Přehled zprostředkovatelů identity pro centrum Azure StackOverview of identity providers for Azure Stack Hub

Azure Stack hub vyžaduje Azure Active Directory (Azure AD) nebo Active Directory Federation Services (AD FS) (AD FS), kterou zajišťuje služba Active Directory jako zprostředkovatel identity.Azure Stack Hub requires Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS), backed by Active Directory as an identity provider. Volbou poskytovatele je jednorázové rozhodnutí, které uděláte při prvním nasazení centra Azure Stack.The choice of a provider is a one-time decision that you make when you first deploy Azure Stack Hub. Koncepty a podrobnosti o autorizaci v tomto článku vám pomůžou vybrat mezi zprostředkovateli identity.The concepts and authorization details in this article can help you choose between identity providers.

Vaše volba pro Azure AD nebo AD FS je určená režimem, ve kterém nasazujete Azure Stack hub:Your choice of either Azure AD or AD FS is determined by the mode in which you deploy Azure Stack Hub:

  • Když ho nasadíte v připojeném režimu, můžete použít buď službu Azure AD, nebo AD FS.When you deploy it in a connected mode, you can use either Azure AD or AD FS.
  • Když ho nasadíte v odpojeném režimu bez připojení k Internetu, podporuje se jenom AD FS.When you deploy it in a disconnected mode, without a connection to the internet, only AD FS is supported.

Další informace o možnostech, které závisí na prostředí centra Azure Stack, najdete v následujících článcích:For more information about your options, which depend on your Azure Stack Hub environment, see the following articles:

Běžné koncepty pro zprostředkovatele identityCommon concepts for identity providers

V dalších částech se dozvíte o běžných konceptech zprostředkovatelů identity a jejich použití v Azure Stack hub.The next sections discuss common concepts about identity providers and their use in Azure Stack Hub.

Terminologie pro zprostředkovatele identity

Klienti adresáře a organizaceDirectory tenants and organizations

Adresář je kontejner, který obsahuje informace o uživatelích, aplikacích, skupinácha instančních objektech.A directory is a container that holds information about users, applications, groups, and service principals.

Tenant adresáře je organizace, jako je například Microsoft nebo vaše společnost.A directory tenant is an organization, such as Microsoft or your own company.

  • Azure AD podporuje více tenantů a dokáže podporovat i více organizací ve vlastních adresářích.Azure AD supports multiple tenants, and it can support multiple organizations, each in its own directory. Pokud používáte Azure AD a máte více tenantů, můžete aplikacím a uživatelům udělit přístup z jednoho tenanta k ostatním klientům stejného adresáře.If you use Azure AD and have multiple tenants, you can grant apps and users from one tenant access to other tenants of that same directory.
  • AD FS podporuje jenom jednoho tenanta, a proto jenom jednu organizaci.AD FS supports only a single tenant and, therefore, only a single organization.

Uživatelé a skupinyUsers and groups

Uživatelské účty (identity) jsou standardní účty, které ověřují jednotlivce pomocí ID a hesla uživatele.User accounts (identities) are standard accounts that authenticate individuals by using a user ID and password. Skupiny můžou zahrnovat uživatele nebo jiné skupiny.Groups can include users or other groups.

Způsob vytváření a správy uživatelů a skupin závisí na používaném řešení identity.How you create and manage users and groups depends on the identity solution you use.

V Azure Stackovém centru jsou uživatelské účty:In Azure Stack Hub, user accounts:

  • Jsou vytvořeny ve formátu * @ doména uživatelské_jméno* .Are created in the username@domain format. I když AD FS mapuje uživatelské účty k instanci služby Active Directory, AD FS nepodporuje použití \<domain>\<alias> formátu.Although AD FS maps user accounts to an Active Directory instance, AD FS doesn't support the use of the \<domain>\<alias> format.
  • Dá se nastavit tak, aby používal službu Multi-Factor Authentication.Can be set up to use multi-factor authentication.
  • Jsou omezeny na adresář, ve kterém jsou poprvé registrována, což je adresář organizace.Are restricted to the directory where they first register, which is their organization's directory.
  • Dá se importovat z vašich místních adresářů.Can be imported from your on-premises directories. Další informace najdete v tématu Integrace místních adresářů s Azure Active Directory.For more information, see Integrate your on-premises directories with Azure Active Directory.

Když se přihlásíte k portálu User Portal vaší organizace, použijete adresu URL https: / /Portal.Local.azurestack.external .When you sign in to your organization's user portal, you use the https://portal.local.azurestack.external URL. Při přihlašování k portálu centra Azure Stack z jiných domén, než je ta, která se používá k registraci Azure Stackho centra, musí být název domény, který se používá k registraci centra Azure Stack, připojený k adrese URL portálu.When signing into the Azure Stack Hub portal from domains other than the one used to register Azure Stack Hub, the domain name used to register Azure Stack Hub must be appended to the portal url. Pokud jste například Azure Stack centrum zaregistrovali v fabrikam.onmicrosoft.com a uživatelský účet přihlášení je admin@contoso.com , adresa URL, která se má použít pro přihlášení k portálu User Portal, by byla: https: / /Portal.Local.azurestack.external/Fabrikam.onmicrosoft.com.For example, if Azure Stack Hub has been registered with fabrikam.onmicrosoft.com and the user account logging in is admin@contoso.com, the URL to use to log into the user portal would be: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Uživatelé s účtem HostGuest users

Uživatelé typu Host jsou uživatelské účty z jiných tenantů adresářů, kterým byl udělen přístup k prostředkům ve vašem adresáři.Guest users are user accounts from other directory tenants that have been granted access to resources in your directory. Pokud chcete zajistit podporu pro uživatele typu Host, použijte službu Azure AD a povolte podporu pro víceklientské architektury.To support guest users, you use Azure AD and enable support for multi-tenancy. Pokud je povolená podpora, můžete pozvat uživatele typu Host, aby měli přístup k prostředkům ve vašem tenantovi adresáře, což zase umožní spolupráci s externími organizacemi.When support is enabled, you can invite guest users to access resources in your directory tenant, which in turn enables their collaboration with outside organizations.

K pozvání uživatelů typu Host můžou používat cloudové operátory a uživatelé Azure AD spolupráci B2B.To invite guest users, cloud operators and users can use Azure AD B2B collaboration. Pozvaní uživatelé získají přístup k dokumentům, prostředkům a aplikacím z vašeho adresáře a Vy si udržujete kontrolu nad svými vlastními prostředky a daty.Invited users get access to documents, resources, and apps from your directory, and you maintain control over your own resources and data.

Jako uživatel typu Host se můžete přihlásit k tenantovi adresáře jiné organizace.As a guest user, you can sign in to another organization's directory tenant. Uděláte to tak, že název adresáře této organizace připojíte k adrese URL portálu.To do so, you append that organization's directory name to the portal URL. Pokud například patříte do organizace contoso a chcete se přihlásit k adresáři Fabrikam, použijte protokol https: / /Portal.Local.azurestack.external/Fabrikam.onmicrosoft.com.For example, if you belong to the Contoso organization and want to sign in to the Fabrikam directory, you use https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

AppsApps

Aplikace můžete registrovat do služby Azure AD nebo AD FS a pak je nabízet uživatelům ve vaší organizaci.You can register apps to Azure AD or AD FS, and then offer the apps to users in your organization.

Mezi aplikace patří:Apps include:

  • Webové aplikace: příklady zahrnují Azure Portal a Azure Resource Manager.Web apps: Examples include the Azure portal and Azure Resource Manager. Podporují volání webového rozhraní API.They support Web API calls.
  • Nativní klient: příklady zahrnují Azure PowerShell, Visual Studio a Azure CLI.Native client: Examples include Azure PowerShell, Visual Studio, and Azure CLI.

Aplikace můžou podporovat dva typy tenantů:Apps can support two types of tenancy:

  • Jeden tenant: podporuje uživatele a služby jenom ze stejného adresáře, ve kterém je aplikace zaregistrovaná.Single-tenant: Supports users and services only from the same directory where the app is registered.

    Poznámka

    Vzhledem k tomu, že AD FS podporuje jenom jeden adresář, aplikace, které vytvoříte v topologii AD FS, jsou navržené aplikacemi pro jednoho tenanta.Because AD FS supports only a single directory, apps you create in an AD FS topology are, by design, single-tenant apps.

  • Víceklientskérozhraní: podporuje použití uživateli a službami v adresáři, ve kterém je aplikace zaregistrovaná, a dalších adresářích tenanta.Multi-tenant: Supports use by users and services from both the directory where the app is registered and additional tenant directories. S aplikacemi pro více tenantů se můžou uživatelé jiného adresáře tenanta (jiný tenant Azure AD) přihlásit k vaší aplikaci.With multi-tenant apps, users of another tenant directory (another Azure AD tenant) can sign in to your app.

    Další informace o víceklientské architektuře najdete v tématu Povolení víceklientské architektury.For more information about multi-tenancy, see Enable multi-tenancy.

    Další informace o vývoji aplikace s více klienty najdete v tématu víceklientské aplikace.For more information about developing a multi-tenant app, see Multi-tenant apps.

Při registraci aplikace vytvoříte dva objekty:When you register an app, you create two objects:

  • Objekt aplikace: globální reprezentace aplikace napříč všemi klienty.Application object: The global representation of the app across all tenants. Tento vztah se softwarovou aplikací používá a existuje jenom v adresáři, ve kterém se aplikace poprvé zaregistrovala.This relationship is one-to-one with the software app and exists only in the directory where the app is first registered.

  • Instanční objekt služby: přihlašovací údaje, které se vytvoří pro aplikaci v adresáři, ve kterém se aplikace poprvé zaregistrovala.Service principal object: A credential that's created for an app in the directory where the app is first registered. Instanční objekt se vytvoří také v adresáři každého dalšího tenanta, ve kterém se tato aplikace používá.A service principal is also created in the directory of each additional tenant where that app is used. Tento vztah může být v softwarové aplikaci jeden až mnoho.This relationship can be one-to-many with the software app.

Další informace o aplikacích a instančních objektech zabezpečení naleznete v tématu Application and Service Principal Objects in Azure Active Directory.To learn more about app and service principal objects, see Application and service principal objects in Azure Active Directory.

Instanční objektyService principals

Instanční objekt je sada přihlašovacích údajů pro aplikaci nebo službu, která uděluje přístup k prostředkům v centru Azure Stack.A service principal is a set of credentials for an app or service that grant access to resources in Azure Stack Hub. Použití instančního objektu odděluje oprávnění aplikace od oprávnění uživatele k aplikaci.The use of a service principal separates the app permissions from the permissions of the user of the app.

V každém tenantovi, ve kterém se aplikace používá, se vytvoří instanční objekt.A service principal is created in each tenant where the app is used. Instanční objekt vytváří identitu pro přihlašování a přístup k prostředkům (například uživatelům) zabezpečeným tímto klientem.The service principal establishes an identity for sign-in and access to resources (such as users) that are secured by that tenant.

  • Aplikace pro jednoho tenanta má jenom jeden instanční objekt, který je v adresáři, ve kterém se nejdřív vytvořil.A single-tenant app has only one service principal, which is in the directory where it's first created. Tento instanční objekt se vytvoří a pošle se k použití během registrace aplikace.This service principal is created and consents to being used during registration of the app.
  • Webová aplikace nebo rozhraní API pro více tenantů má instanční objekt, který je vytvořený v každém tenantovi, kde se uživatel z tohoto tenanta souhlasí s používáním aplikace.A multi-tenant web app or API has a service principal that's created in each tenant where a user from that tenant consents to the use of the app.

Přihlašovací údaje pro instanční objekty můžou být buď klíč, který se generuje prostřednictvím Azure Portal nebo certifikátu.Credentials for service principals can be either a key that's generated through the Azure portal or a certificate. Použití certifikátu je vhodné pro automatizaci, protože certifikáty se považují za bezpečnější než klíče.The use of a certificate is suited for automation because certificates are considered more secure than keys.

Poznámka

Když použijete AD FS s rozbočovačem Azure Stack, může vytvořit instanční objekty pouze správce.When you use AD FS with Azure Stack Hub, only the administrator can create service principals. U AD FS instanční objekty vyžadují certifikáty a vytvářejí je prostřednictvím privilegovaného koncového bodu (PEP).With AD FS, service principals require certificates and are created through the privileged endpoint (PEP). Další informace najdete v tématu použití identity aplikace pro přístup k prostředkům.For more information, see Use an app identity to access resources.

Další informace o instančních objektech centra Azure Stack najdete v tématu Vytvoření instančních objektů.To learn about service principals for Azure Stack Hub, see Create service principals.

SlužbyServices

Služby v centru Azure Stack, které komunikují se zprostředkovatelem identity, se registrují jako aplikace s poskytovatelem identity.Services in Azure Stack Hub that interact with the identity provider are registered as apps with the identity provider. Podobně jako aplikace registrace umožňuje službě ověřování pomocí systému identit.Like apps, registration enables a service to authenticate with the identity system.

Všechny služby Azure používají ke zřízení své identity protokoly OpenID Connect a webové tokeny JSON .All Azure services use OpenID Connect protocols and JSON Web Tokens to establish their identity. Vzhledem k tomu, že Azure AD a AD FS používají protokoly konzistentně, můžete k ověřování místně nebo k Azure (v připojeném scénáři) použít knihovnu služby Azure Active Directory Authentication Library (ADAL).Because Azure AD and AD FS use protocols consistently, you can use Azure Active Directory Authentication Library (ADAL) to authenticate on-premises or to Azure (in a connected scenario). Pomocí ADAL můžete také používat nástroje, jako je Azure PowerShell a Azure CLI pro správu mezi cloudy a místními prostředky.With ADAL, you can also use tools such as Azure PowerShell and Azure CLI for cross-cloud and on-premises resource management.

Identity a systém identitIdentities and your identity system

Mezi identity služby Azure Stack hub patří uživatelské účty, skupiny a instanční objekty.Identities for Azure Stack Hub include user accounts, groups, and service principals.

Když nainstalujete centrum Azure Stack, několik integrovaných aplikací a služeb se automaticky zaregistruje u vašeho poskytovatele identity v tenantovi adresáře.When you install Azure Stack Hub, several built-in apps and services automatically register with your identity provider in the directory tenant. Některé služby, které se registrují, se používají ke správě.Some services that register are used for administration. Pro uživatele jsou k dispozici další služby.Other services are available for users. Výchozí registrace poskytují identity Core Services, které mohou vzájemně komunikovat, a s identitami, které přidáte později.The default registrations give core services identities that can interact both with each other and with identities that you add later.

Pokud nastavíte Azure AD s využitím víceklientské architektury, některé aplikace se rozšíří do nových adresářů.If you set up Azure AD with multi-tenancy, some apps propagate to the new directories.

Ověřování a autorizaceAuthentication and authorization

Ověřování pomocí aplikací a uživatelůAuthentication by apps and users

Identita mezi vrstvami centra Azure Stack

Pro aplikace a uživatele je architektura centra Azure Stack popsaná čtyřmi vrstvami.For apps and users, the architecture of Azure Stack Hub is described by four layers. Interakce mezi každou z těchto vrstev může používat různé typy ověřování.Interactions between each of these layers can use different types of authentication.

VrstvaLayer Ověřování mezi vrstvamiAuthentication between layers
Nástroje a klienti, jako je například portál pro správuTools and clients, such as the administrator portal Chcete-li získat přístup k prostředku v Azure Stackovém centru, nástroje a klienti používají JSON web token k umístění volání Azure Resource Manager.To access or modify a resource in Azure Stack Hub, tools and clients use a JSON Web Token to place a call to Azure Resource Manager.
Azure Resource Manager ověří JSON Web Token a prohlédne deklarace identity v vystaveném tokenu, aby bylo možné odhadnout úroveň oprávnění, které má uživatel nebo instanční objekt v centru Azure Stack.Azure Resource Manager validates the JSON Web Token and peeks at the claims in the issued token to estimate the level of authorization that user or service principal has in Azure Stack Hub.
Azure Resource Manager a jeho základní službyAzure Resource Manager and its core services Azure Resource Manager komunikuje s poskytovateli prostředků pro přenos komunikace od uživatelů.Azure Resource Manager communicates with resource providers to transfer communication from users.
Přenáší použití přímých imperativních volání nebo deklarativních volání prostřednictvím šablon Azure Resource Manager.Transfers use direct imperative calls or declarative calls via Azure Resource Manager templates.
Poskytovatelé prostředkůResource providers Volání předaná poskytovatelům prostředků jsou zabezpečena pomocí ověřování založeného na certifikátech.Calls passed to resource providers are secured with certificate-based authentication.
Azure Resource Manager a poskytovatel prostředků pak zůstanou v komunikaci prostřednictvím rozhraní API.Azure Resource Manager and the resource provider then stay in communication through an API. Pro každé volání, které je přijato od Azure Resource Manager poskytovatel prostředků ověřuje volání s tímto certifikátem.For every call that's received from Azure Resource Manager, the resource provider validates the call with that certificate.
Infrastruktura a obchodní logikaInfrastructure and business logic Poskytovatelé prostředků komunikují s obchodní logikou a infrastrukturou pomocí režimu ověřování podle svého výběru.Resource providers communicate with business logic and infrastructure by using an authentication mode of their choice. Výchozí poskytovatelé prostředků dodávajících Azure Stack hub používají k zabezpečení této komunikace ověřování systému Windows.The default resource providers that ship with Azure Stack Hub use Windows Authentication to secure this communication.

Informace potřebné k ověřování

Ověřování pro Azure Resource ManagerAuthenticate to Azure Resource Manager

Chcete-li provést ověření u poskytovatele identity a získat JSON Web Token, je nutné mít následující informace:To authenticate with the identity provider and receive a JSON Web Token, you must have the following information:

  1. Adresa URL pro systém identity (autorita): adresa URL, na které je možné získat poskytovatele identity.URL for the identity system (Authority): The URL at which your identity provider can be reached. Například https: / /Login.Windows.NET.For example, https://login.windows.net.
  2. Identifikátor URI ID aplikace pro Azure Resource Manager: jedinečný identifikátor pro Azure Resource Manager zaregistrovaný u vašeho poskytovatele identity.App ID URI for Azure Resource Manager: The unique identifier for Azure Resource Manager that's registered with your identity provider. Je také jedinečné pro každou instalaci centra Azure Stack.It's also unique to each Azure Stack Hub installation.
  3. Přihlašovací údaje: přihlašovací údaje, které používáte k ověření u poskytovatele identity.Credentials: The credential you use to authenticate with the identity provider.
  4. Adresa URL pro Azure Resource Manager: adresa URL je umístění služby Azure Resource Manager.URL for Azure Resource Manager: The URL is the location of the Azure Resource Manager service. Například https: / /Management.Azure.com nebo https: / /Management.Local.azurestack.external.For example, https://management.azure.com or https://management.local.azurestack.external.

Když objekt zabezpečení (klient, aplikace nebo uživatel) odešle požadavek na ověření k přístupu k prostředku, požadavek musí zahrnovat:When a principal (a client, apps, or user) makes an authentication request to access a resource, the request must include:

  • Přihlašovací údaje objektu zabezpečeníThe principal's credentials.
  • Identifikátor URI ID aplikace prostředku, k němuž chce získat přístup.The app ID URI of the resource that the principal wants to access.

Přihlašovací údaje jsou ověřeny zprostředkovatelem identity.The credentials are validated by the identity provider. Zprostředkovatel identity taky ověří, že identifikátor URI ID aplikace je pro registrovanou aplikaci a že objekt zabezpečení má správná oprávnění k získání tokenu pro tento prostředek.The identity provider also validates that the app ID URI is for a registered app, and that the principal has the correct privileges to obtain a token for that resource. Je-li požadavek platný, je udělen JSON Web Token.If the request is valid, a JSON Web Token is granted.

Token se pak musí předat do hlavičky žádosti, aby se Azure Resource Manager.The token must then pass in the header of a request to Azure Resource Manager. Azure Resource Manager provede následující akce bez konkrétního pořadí:Azure Resource Manager does the following, in no specific order:

  • Ověří deklaraci identity vystavitele (ISS), aby zkontrolovala, že token pochází od správného zprostředkovatele identity.Validates the issuer (iss) claim to confirm that the token is from the correct identity provider.
  • Ověří deklaraci identity cílové skupiny (AUD), aby se ověřilo, že token byl vydán pro Azure Resource Manager.Validates the audience (aud) claim to confirm that the token was issued to Azure Resource Manager.
  • Ověří, jestli je JSON Web Token podepsaný certifikátem, který je nakonfigurovaný prostřednictvím OpenID a je známý pro Azure Resource Manager.Validates that the JSON Web Token is signed with a certificate that's configured through OpenID and known to Azure Resource Manager.
  • Přečtěte si deklarace identity vydaná v (IAT) a vypršení platnosti (EXP) a potvrďte, že je token aktivní a který lze přijmout.Review the issued at (iat) and expiration (exp) claims to confirm that the token is active and can be accepted.

Po dokončení všech ověření Azure Resource Manager používá ID objektu (OID) a deklarace skupin k vytvoření seznamu prostředků, ke kterým má objekt zabezpečení přístup.When all validations are complete, Azure Resource Manager uses the object id (oid) and the groups claims to make a list of resources that the principal can access.

Diagram protokolu výměny tokenů

Poznámka

Po nasazení se Azure Active Directory oprávnění globálního správce nevyžadují.After deployment, Azure Active Directory global administrator permission isn't required. Některé operace ale můžou vyžadovat přihlašovací údaje globálního správce (například skript instalačního programu poskytovatele prostředků nebo novou funkci, která vyžaduje udělení oprávnění).However, some operations may require the global admin credentials (for example, a resource provider installer script or a new feature requiring a permission to be granted). Můžete buď dočasně znovu vytvořit oprávnění globálního správce účtu, nebo použít samostatný účet globálního správce, který je vlastníkem výchozího předplatného poskytovatele.You can either temporarily re-instate the account's global admin permissions or use a separate global admin account that's an owner of the default provider subscription.

Použití Access Control na základě rolíUse Role-Based Access Control

Access Control na základě rolí (RBAC) v centru Azure Stack je konzistentní s implementací v Microsoft Azure.Role-Based Access Control (RBAC) in Azure Stack Hub is consistent with the implementation in Microsoft Azure. Přístup k prostředkům můžete spravovat přiřazením příslušné role RBAC uživatelům, skupinám a aplikacím.You can manage access to resources by assigning the appropriate RBAC role to users, groups, and apps. Informace o tom, jak pomocí centra Azure Stack použít RBAC, najdete v následujících článcích:For information about how to use RBAC with Azure Stack Hub, see the following articles:

Ověřování s využitím Azure PowerShelluAuthenticate with Azure PowerShell

Podrobnosti o používání Azure PowerShell k ověřování pomocí centra Azure Stack najdete v části Konfigurace prostředí PowerShell pro Azure Stack uživatele centra.Details about using Azure PowerShell to authenticate with Azure Stack Hub can be found at Configure the Azure Stack Hub user's PowerShell environment.

Ověřování pomocí Azure CLIAuthenticate with Azure CLI

Informace o použití Azure PowerShell k ověřování pomocí centra Azure Stack najdete v tématu instalace a konfigurace rozhraní příkazového řádku Azure CLI pro použití s Azure Stack hub.For information about using Azure PowerShell to authenticate with Azure Stack Hub, see Install and configure Azure CLI for use with Azure Stack Hub.

Další krokyNext steps