Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Stack Hub wymaga usługi Microsoft Entra ID lub Active Directory Federation Services (AD FS), wspieranej przez usługę Active Directory jako dostawcę tożsamości. Wybór dostawcy to jednorazowa decyzja podjęta podczas pierwszego wdrażania usługi Azure Stack Hub. Szczegóły autoryzacji i pojęcia zawarte w tym artykule mogą pomóc w wyborze dostawcy tożsamości.
Twój wybór, czy używać Microsoft Entra ID czy AD FS, jest determinowany trybem, w jakim wdrażasz Azure Stack Hub.
- Podczas wdrażania go w trybie połączonym można użyć identyfikatora Entra firmy Microsoft lub usług AD FS.
- Po wdrożeniu w trybie offline, bez połączenia z internetem, obsługiwane są tylko usługi AD FS.
Aby uzyskać więcej informacji o opcjach, które zależą od środowiska usługi Azure Stack Hub, zobacz następujące artykuły:
- Zestaw deweloperski usługi Azure Stack Hub: zagadnienia dotyczące tożsamości.
- Zintegrowane systemy usługi Azure Stack Hub: decyzje dotyczące planowania wdrożenia dla zintegrowanych systemów usługi Azure Stack Hub.
Ważne
Usługa Azure AD Graph jest przestarzała i zostanie wycofana 30 czerwca 2023 r. Więcej informacji znajduje się w tej sekcji.
Typowe pojęcia dotyczące dostawców tożsamości
W następnych sekcjach omówiono typowe pojęcia dotyczące dostawców tożsamości i ich użycia w usłudze Azure Stack Hub.
Najemcy katalogów i organizacje
Katalog to kontener, który zawiera informacje o użytkownikach, aplikacjach, grupach i jednostkach usługi.
Dzierżawca katalogu jest organizacją, taką jak Microsoft lub Twoja firma.
- Usługa Microsoft Entra ID obsługuje wiele dzierżaw i może obsługiwać wiele organizacji — każdą we własnym katalogu. Jeśli używasz Microsoft Entra ID i masz wiele dzierżaw, możesz przyznać aplikacjom i użytkownikom z jednej dzierżawy dostęp do innych dzierżaw w tym samym katalogu.
- Usługi AD FS mogą obsługiwać tylko jedną dzierżawę, a co za tym idzie, tylko jedną organizację.
Użytkownicy i grupy
Konta użytkowników (tożsamości) to konta standardowe, które uwierzytelniają osoby przy użyciu identyfikatora użytkownika i hasła. Grupy mogą obejmować użytkowników lub inne grupy.
Sposób tworzenia użytkowników i grup oraz zarządzania nimi zależy od używanego rozwiązania tożsamości.
W usłudze Azure Stack Hub konta użytkowników:
- Są tworzone w formacie username@domain . Usługa AD FS, choć mapuje konta użytkowników na wystąpienie Active Directory, nie obsługuje użycia formatu \<domain>\<alias>.
- Można skonfigurować do korzystania z uwierzytelniania wieloskładnikowego.
- Są ograniczone do katalogu, w którym najpierw się rejestrują, czyli katalogu swojej organizacji.
- Można zaimportować z katalogów lokalnych. Aby uzyskać więcej informacji, zobacz Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.
Po zalogowaniu się do portalu użytkowników organizacji użyjesz https://portal.local.azurestack.external adresu URL. Podczas logowania się do portalu usługi Azure Stack Hub z domen innych niż ta używana do rejestrowania usługi Azure Stack Hub nazwa domeny używana do rejestrowania usługi Azure Stack Hub musi zostać dołączona do adresu URL portalu. Jeśli na przykład usługa Azure Stack Hub została zarejestrowana w usłudze fabrikam.onmicrosoft.com, a logowanie do konta użytkownika to admin@contoso.com, adres URL używany do logowania się do portalu użytkowników będzie: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Użytkownicy-goście
Konta użytkowników-gości to konta pochodzące z innych dzierżawców katalogów, które otrzymały dostęp do zasobów w Twoim katalogu. Aby obsługiwać użytkowników-gości, należy użyć identyfikatora Entra firmy Microsoft i włączyć obsługę wielu dzierżaw. Po włączeniu wsparcia można zaprosić użytkowników zewnętrznych do uzyskiwania dostępu do zasobów w dzierżawie katalogowej, co z kolei umożliwia współpracę z organizacjami zewnętrznymi.
Aby zaprosić użytkowników-gości, operatorzy chmury i użytkownicy mogą korzystać ze współpracy firmy Microsoft Entra B2B. Zaproszeni użytkownicy uzyskują dostęp do dokumentów, zasobów i aplikacji z katalogu, a ty utrzymujesz kontrolę nad własnymi zasobami i danymi.
Jako użytkownik-gość możesz zalogować się do dzierżawy katalogu innej organizacji. W tym celu należy dołączyć nazwę katalogu organizacji do adresu URL portalu. Jeśli na przykład należysz do organizacji Contoso i chcesz zalogować się do katalogu Fabrikam, użyj polecenia https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.
Aplikacje
Aplikacje można zarejestrować w usłudze Microsoft Entra ID lub AD FS, a następnie zaoferować aplikacje użytkownikom w organizacji.
Aplikacje obejmują:
- Aplikacje internetowe: przykłady obejmują witrynę Azure Portal i usługę Azure Resource Manager. Obsługują one wywołania internetowego interfejsu API.
- Klient natywny: przykłady obejmują program Azure PowerShell, program Visual Studio i interfejs wiersza polecenia platformy Azure.
Aplikacje mogą obsługiwać dwa typy dzierżaw:
Pojedynczy dzierżawca: obsługuje użytkowników i usługi tylko z tego samego katalogu, w którym zarejestrowano aplikację.
Uwaga
Ponieważ usługi AD FS obsługują tylko jeden katalog, aplikacje tworzone w topologii usług AD FS są z założenia aplikacjami z jedną dzierżawą.
Wielodzierżawca: obsługuje korzystanie przez użytkowników i usługi zarówno z katalogu, w którym aplikacja jest zarejestrowana, jak i dodatkowych katalogów dzierżawców. W przypadku aplikacji wielodostępnych użytkownicy innego katalogu dzierżawy (innej dzierżawy Microsoft Entra) mogą logować się do Twojej aplikacji.
Aby uzyskać więcej informacji na temat wielodostępności, zobacz Włączanie wielodostępności.
Aby uzyskać więcej informacji na temat tworzenia aplikacji wielodostępnej, zobacz Aplikacje wielodostępne.
Podczas rejestrowania aplikacji tworzone są dwa obiekty:
Obiekt aplikacji: globalna reprezentacja aplikacji we wszystkich dzierżawach. Ta relacja jest jednoznaczna z aplikacją i istnieje tylko w katalogu, gdzie aplikacja została zarejestrowana po raz pierwszy.
Obiekt principal usługi: Poświadczenie utworzone dla aplikacji w katalogu, gdzie aplikacja została po raz pierwszy zarejestrowana. Zasada usługi jest również tworzona w katalogu każdej dodatkowej dzierżawy, w której jest używana ta aplikacja. Ta relacja może być relacją "jeden do wielu" w aplikacji programowej.
Aby dowiedzieć się więcej o obiektach aplikacji i jednostki usługi, zobacz Application and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft).
Podmioty usługowe
Główna usługa to zestaw poświadczeń dla aplikacji lub usługi, które zapewniają dostęp do zasobów w usłudze Azure Stack Hub. Użycie jednostki usługi oddziela uprawnienia aplikacji od uprawnień użytkownika aplikacji.
Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja. Główna usługa ustanawia tożsamość do logowania i dostępu do zasobów (takich jak użytkownicy), które są zabezpieczone przez tego tenanta.
- Aplikacja typu single-tenant ma tylko jeden obiekt zabezpieczeń, który znajduje się w katalogu, w którym został po raz pierwszy utworzony. Ta jednostka usługi jest tworzona i wyraża zgodę na jej zastosowanie podczas rejestracji aplikacji.
- Wielodostępna aplikacja internetowa lub interfejs API ma jednostkę usługi utworzoną w każdej dzierżawie, w której użytkownik z tej dzierżawy wyraża zgodę na korzystanie z aplikacji.
Poświadczenia dla jednostek usługi mogą być kluczem wygenerowanym za pośrednictwem witryny Azure Portal lub certyfikatu. Użycie certyfikatu jest odpowiednie do automatyzacji, ponieważ certyfikaty są uważane za bezpieczniejsze niż klucze.
Uwaga
W przypadku korzystania z usług AD FS z usługą Azure Stack Hub tylko administrator może tworzyć jednostki usługi. W usługach AD FS jednostki usług wymagają certyfikatów i są tworzone za pośrednictwem uprzywilejowanego punktu końcowego (PEP). Aby uzyskać więcej informacji, zobacz Używanie tożsamości aplikacji do uzyskiwania dostępu do zasobów.
Aby dowiedzieć się więcej o jednostkach usługi dla usługi Azure Stack Hub, zobacz Tworzenie jednostek usługi.
Usługi
Usługi w usłudze Azure Stack Hub, które współdziałają z dostawcą tożsamości, są rejestrowane jako aplikacje u dostawcy tożsamości. Podobnie jak aplikacje, rejestracja umożliwia usłudze uwierzytelnianie w systemie tożsamości.
Wszystkie usługi platformy Azure używają protokołów OpenID Connect i tokenów sieci Web JSON w celu ustanowienia ich tożsamości. Ponieważ microsoft Entra ID i AD FS używają protokołów spójnie, możesz użyć biblioteki Microsoft Authentication Library (MSAL), aby uzyskać token zabezpieczający do uwierzytelniania w środowisku lokalnym lub na platformie Azure (w połączonym scenariuszu). Za pomocą biblioteki MSAL można również użyć narzędzi, takich jak program Azure PowerShell i interfejs wiersza polecenia platformy Azure na potrzeby zarządzania zasobami między chmurami i zasobami lokalnymi.
Tożsamości i system tożsamości
Tożsamości dla usługi Azure Stack Hub obejmują konta użytkowników, grupy i jednostki usługi.
Podczas instalowania usługi Azure Stack Hub kilka wbudowanych aplikacji i usług automatycznie rejestruje się u dostawcy tożsamości w dzierżawie katalogu. Niektóre usługi, które rejestrują się, są używane do administrowania. Inne usługi są dostępne dla użytkowników. Domyślne rejestracje nadają tożsamości usługom głównym, które mogą współdziałać zarówno między sobą, jak i z tożsamościami dodanymi później.
Jeśli skonfigurujesz Microsoft Entra ID z wieloma dzierżawami, niektóre aplikacje będą przenoszone do nowych katalogów.
Uwierzytelnianie i autoryzacja
Uwierzytelnianie przez aplikacje i użytkowników
W przypadku aplikacji i użytkowników architektura usługi Azure Stack Hub jest opisana przez cztery warstwy. Interakcje między poszczególnymi warstwami mogą używać różnych typów uwierzytelniania.
| Warstwa | Uwierzytelnianie między warstwami |
|---|---|
| Narzędzia i klienci, tacy jak portal administratora | Aby uzyskać dostęp do zasobu lub zmodyfikować go w usłudze Azure Stack Hub, narzędzia i klienci używają tokenu internetowego JSON do umieszczenia wywołania usługi Azure Resource Manager. Usługa Azure Resource Manager weryfikuje token internetowy JSON i sprawdza oświadczenia w wystawionym tokenie, aby oszacować poziom autoryzacji użytkownika lub jednostki usługi w usłudze Azure Stack Hub. |
| Usługa Azure Resource Manager i jej podstawowe usługi | Usługa Azure Resource Manager komunikuje się z dostawcami zasobów w celu transferu komunikacji od użytkowników. Transfery używają bezpośrednich wywołań imperatywnych lub wywołań deklaratywnych za pośrednictwem szablonów usługi Azure Resource Manager. |
| Dostawcy zasobów | Polecenia przekazywane dostawcom zasobów są zabezpieczane poprzez uwierzytelnianie oparte na certyfikatach. Usługa Azure Resource Manager i dostawca zasobów pozostają w komunikacji za pośrednictwem interfejsu API. Dla każdego wywołania odebranego z usługi Azure Resource Manager dostawca zasobów weryfikuje wywołanie za pomocą tego certyfikatu. |
| Infrastruktura i logika biznesowa | Dostawcy zasobów komunikują się z logiką biznesową i infrastrukturą przy użyciu wybranego trybu uwierzytelniania. Domyślni dostawcy zasobów dostarczane z usługą Azure Stack Hub używają uwierzytelniania systemu Windows do zabezpieczenia tej komunikacji. |
Uwierzytelnianie w usłudze Azure Resource Manager
Aby uwierzytelnić się u dostawcy tożsamości i otrzymać token internetowy JSON, musisz mieć następujące informacje:
- Adres URL systemu tożsamości (Urząd): adres URL, pod którym można uzyskać dostęp do dostawcy tożsamości. Na przykład https://login.windows.net.
- URI identyfikatora aplikacji dla usługi Azure Resource Manager: unikatowy identyfikator usługi Azure Resource Manager zarejestrowany u dostawcy tożsamości. Jest ona również unikatowa dla każdej instalacji usługi Azure Stack Hub.
- Poświadczenia: Poświadczenia, których używasz do uwierzytelniania się u dostawcy tożsamości.
- Adres URL usługi Azure Resource Manager: adres URL jest lokalizacją usługi Azure Resource Manager. Na przykład: https://management.azure.com lub https://management.local.azurestack.external.
Gdy podmiot zabezpieczeń (klient, aplikacje lub użytkownik) wysyła żądanie uwierzytelniania w celu uzyskania dostępu do zasobu, żądanie musi zawierać następujące elementy:
- Kwalifikacje dyrektora.
- Identyfikator URI aplikacji zasobu, do którego podmiot chce uzyskać dostęp.
Poświadczenia są weryfikowane przez dostawcę tożsamości. Dostawca tożsamości sprawdza również, czy URI identyfikatora aplikacji jest przeznaczony dla zarejestrowanej aplikacji, oraz że podmiot ma odpowiednie uprawnienia do otrzymania tokenu dla tego zasobu. Jeśli żądanie jest prawidłowe, zostanie udzielony token internetowy JSON.
Token musi następnie przekazać nagłówek żądania do usługi Azure Resource Manager. Usługa Azure Resource Manager wykonuje następujące czynności w dowolnej kolejności:
- Weryfikuje oświadczenie wystawcy (iss), aby potwierdzić, że token pochodzi od poprawnego dostawcy tożsamości.
- Weryfikuje oświadczenie odbiorców (aud), aby potwierdzić, że token został wystawiony w usłudze Azure Resource Manager.
- Sprawdza, czy token internetowy JSON jest podpisany przy użyciu certyfikatu skonfigurowanego za pomocą identyfikatora OpenID i znanego usłudze Azure Resource Manager.
- Sprawdź czas wystawienia (iat) i termin wygaśnięcia (exp) roszczeń, aby potwierdzić, że token jest aktywny i można go zaakceptować.
Po zakończeniu wszystkich walidacji usługa Azure Resource Manager używa identyfikatora obiektu (oid) i oświadczeń grup w celu utworzenia listy zasobów, do których podmiot zabezpieczeń może uzyskać dostęp.
Korzystanie z kontroli dostępu opartej na rolach
Kontrola dostępu oparta na rolach (RBAC) w usłudze Azure Stack Hub jest spójna z implementacją na platformie Microsoft Azure. Dostęp do zasobów można zarządzać, przypisując odpowiednią rolę RBAC użytkownikom, grupom i aplikacjom. Aby uzyskać informacje na temat korzystania z kontroli dostępu opartej na rolach w usłudze Azure Stack Hub, zobacz następujące artykuły:
- Rozpocznij pracę z kontrolą dostępu opartą na rolach w witrynie Azure Portal.
- Użyj kontroli dostępu opartej na rolach, aby zarządzać dostępem do zasobów subskrypcji platformy Azure.
- Tworzenie ról niestandardowych dla kontroli dostępu opartej na rolach platformy Azure.
- Zarządzanie kontrolą dostępu opartą na rolach w usłudze Azure Stack Hub.
Uwierzytelnianie za pomocą programu Azure PowerShell
Szczegółowe informacje na temat uwierzytelniania za pomocą programu Azure PowerShell w usłudze Azure Stack Hub można znaleźć w artykule Configure the Azure Stack Hub user's PowerShell environment (Konfigurowanie środowiska programu PowerShell użytkownika usługi Azure Stack Hub).
Uwierzytelnianie za pomocą Azure CLI
Aby uzyskać informacje na temat uwierzytelniania przy użyciu programu Azure PowerShell w usłudze Azure Stack Hub, zobacz Instalowanie i konfigurowanie interfejsu wiersza polecenia platformy Azure do użycia z usługą Azure Stack Hub.
Azure Policy
Usługa Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Za pośrednictwem pulpitu nawigacyjnego zgodności udostępnia on zagregowany widok do oceny ogólnego stanu środowiska z możliwością przechodzenia do szczegółów poszczególnych zasobów i szczegółowości poszczególnych zasad. Pomaga również zapewnić zgodność zasobów dzięki korygowaniu zbiorczemu istniejących zasobów i automatycznemu korygowaniu nowych zasobów.
Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Definicje zasad dla tych typowych przypadków użycia są już wbudowane w środowisko platformy Azure, aby ułatwić rozpoczęcie pracy.
Uwaga
Usługa Azure Policy nie jest obecnie obsługiwana w usłudze Azure Stack Hub.
Azure AD Graph
Platforma Microsoft Azure ogłosiła wycofanie usługi Azure AD Graph 30 czerwca 2020 r. i jej datę wycofania z 30 czerwca 2023 r. Firma Microsoft poinformowała klientów pocztą e-mail o tej zmianie. Aby uzyskać bardziej szczegółowe informacje, zobacz blog Wycofywanie programu Azure AD Graph i wycofywanie modułu PowerShell.
W poniższej sekcji opisano, jak ta amortyzacja ma wpływ na usługę Azure Stack Hub.
Zespół usługi Azure Stack Hub ściśle współpracuje z zespołem usługi Azure Graph, aby upewnić się, że systemy będą nadal działać poza 30 czerwca 2023 r., jeśli to konieczne, aby zapewnić bezproblemowe przejście. Najważniejszą akcją jest zapewnienie zgodności z zasadami obsługi usługi Azure Stack Hub. Klienci otrzymają alert w portalu administratora usługi Azure Stack Hub i będą musieli zaktualizować katalog macierzysty i wszystkie dołączone katalogi gościa.
Większość samej migracji będzie wykonywana przez zintegrowane środowisko aktualizacji systemu; Klienci będą musieli ręcznie udzielić nowych uprawnień tym aplikacjom, co będzie wymagać uprawnień administratora aplikacji w każdym katalogu microsoft Entra używanym w środowiskach usługi Azure Stack Hub. Po zakończeniu instalowania pakietu aktualizacji za pomocą tych zmian w portalu administracyjnym zostanie zgłoszony alert kierujący Cię do wykonania tego kroku przy użyciu interfejsu użytkownika wielodostępu lub skryptów programu PowerShell. Jest to ta sama operacja wykonywana podczas dołączania dodatkowych katalogów lub dostawców zasobów; Aby uzyskać więcej informacji, zobacz Konfigurowanie wielu dzierżaw w usłudze Azure Stack Hub.
Jeśli używasz usług AD FS jako systemu tożsamości w usłudze Azure Stack Hub, te zmiany programu Graph nie będą mieć bezpośredniego wpływu na system. Jednak najnowsze wersje narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell itp., wymagają nowych interfejsów API programu Graph i nie będą działać. Upewnij się, że używasz tylko wersji tych narzędzi, które są jawnie obsługiwane w danej kompilacji usługi Azure Stack Hub.
Oprócz alertu w portalu administracyjnym przekażemy zmiany za pośrednictwem informacji o wersji aktualizacji i przekażemy, który pakiet aktualizacji wymaga zaktualizowania katalogu macierzystego i wszystkich dołączonych katalogów gości.