Přehled zprostředkovatelů identit pro Azure Stack Hub

Azure Stack Hub vyžaduje Azure Active Directory (Azure AD) nebo Active Directory Federation Services (AD FS) (AD FS) zálohované službou Active Directory jako zprostředkovatel identity. Volba poskytovatele je jedno časové rozhodnutí, které se při prvním nasazení služby Azure Stack Hub. S výběrem mezi zprostředkovateli identit vám můžou pomoct koncepty a podrobnosti autorizace v tomto článku.

Volba služby Azure AD nebo AD FS závisí na režimu, ve kterém nasazujete Azure Stack Hub:

  • Když ho nasadíte v režimu připojení, můžete použít Azure AD nebo AD FS.
  • Pokud ji nasadíte v odpojeném režimu bez připojení k internetu, podporuje se AD FS prostředí.

Další informace o možnostech, které závisí na vašem Azure Stack Hub, najdete v následujících článcích:

Důležité

Služba Azure AD Graph je zastaralá a k 30. červnu 2022 bude vyřazena. Další informace najdete v této části.

Běžné koncepty pro zprostředkovatele identity

Další části popisují běžné koncepty týkající se zprostředkovatelů identit a jejich použití v Azure Stack Hub.

Terminologie pro zprostředkovatele identity

Tenanti a organizace adresáře

Adresář je kontejner, který obsahuje informace o uživatelích, aplikacích,skupinácha objektech služby.

Tenant adresáře je organizace,například Microsoft nebo vaše vlastní společnost.

  • Azure AD podporuje více tenantů a dokáže podporovat i více organizací ve vlastních adresářích. Pokud používáte Azure AD a máte více tenantů, můžete aplikacím a uživatelům z jednoho tenanta udělit přístup jiným tenantům stejného adresáře.
  • AD FS podporuje pouze jednoho tenanta, a proto pouze jednu organizaci.

Uživatelé a skupiny

Uživatelské účty (identity) jsou standardní účty, které ověřují jednotlivce pomocí ID uživatele a hesla. Skupiny mohou zahrnovat uživatele nebo jiné skupiny.

Způsob vytváření a správy uživatelů a skupin závisí na řešení identit, které používáte.

V Azure Stack Hub uživatelské účty:

  • Vytvoří se ve username@domain formátu. I AD FS mapuje uživatelské účty na instanci služby Active Directory, AD FS nepodporuje použití formátu aliasu \ ><> doména \.
  • Je možné nastavit tak, aby bylo možné používat vícefaktorové ověřování.
  • Jsou omezeny na adresář, ve kterém se nejprve zaregistrují, což je adresář jejich organizace.
  • Je možné importovat z místních adresářů. Další informace najdete v tématu Integrace místních adresářůs Azure Active Directory .

Když se přihlásíte k portálu User Portal vaší organizace, použijete adresu https://portal.local.azurestack.external URL. Při přihlašování k portálu Azure Stack Hub z jiných domén, než které se použily k registraci Azure Stack Hub, se název domény použitý k registraci Azure Stack Hub musí připojit k adrese URL portálu. Pokud je například Azure Stack Hub zaregistrovaný v nástroji fabrikam.onmicrosoft.com a přihlášení uživatelského účtu je , adresa URL, která se má použít pro přihlášení k admin@contoso.com portálu User Portal, by byla: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Uživatelé s účtem Host

Uživatelé typu host jsou uživatelské účty z jiných tenantů adresáře, kteří mají udělený přístup k prostředkům ve vašem adresáři. Pokud chcete podporovat uživatele hosta, použijte Azure AD a povolte podporu pro vícevrstvé prostředí. Když je povolená podpora, můžete pozvat uživatele hosta, aby měli přístup k prostředkům ve vašem tenantovi adresáře, což jim umožní spolupráci s externími organizacemi.

K pozvání uživatelů hosta mohou operátoři cloudu a uživatelé používat spolupráci B2B služby Azure AD. Pozvaní uživatelé pomocí svého adresáře mají přístup k dokumentům, prostředkům a aplikacím a vy si zachováte kontrolu nad vlastními prostředky a daty.

Jako uživatel guest se můžete přihlásit k tenantovi adresáře jiné organizace. K tomu připojíte název adresáře této organizace k adrese URL portálu. Pokud například patříte do organizace Contoso a chcete se přihlásit k adresáři Fabrikam, použijte https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Aplikace

Aplikace můžete zaregistrovat v Azure AD nebo AD FS a pak je nabídnout uživatelům ve vaší organizaci.

Mezi aplikace patří:

  • Webové aplikace:Mezi příklady patří Azure Portal a Azure Resource Manager. Podporují volání webového rozhraní API.
  • Nativní klient:Mezi příklady patří Azure PowerShell, Visual Studio a Azure CLI.

Aplikace mohou podporovat dva typy tenatů:

  • Jeden tenant:Podporuje uživatele a služby pouze ze stejného adresáře, ve kterém je aplikace zaregistrovaná.

    Poznámka

    Protože AD FS podporuje pouze jeden adresář, aplikace, které vytvoříte v AD FS topologii, jsou z návrhu aplikace s jedním tenantem.

  • Více tenantů:Podporuje používání uživateli a službami z adresáře, ve kterém je aplikace zaregistrovaná, i dalších adresářů tenanta. Pomocí aplikací s více tenanty se k vaší aplikaci mohou přihlásit uživatelé jiného adresáře tenanta (jiný tenant Azure AD).

    Další informace o vícenájmu najdete v tématu Povolení vícevrstvé náctví.

    Další informace o vývoji aplikace s více tenanty najdete v tématu Aplikace s více tenanty.

Při registraci aplikace vytvoříte dva objekty:

  • Objekt aplikace:Globální reprezentace aplikace napříč všemi tenanty. Tento vztah je 1:1 se softwarovou aplikací a existuje pouze v adresáři, ve kterém je aplikace poprvé zaregistrovaná.

  • Instanční objekt:Přihlašovací údaje vytvořené pro aplikaci v adresáři, ve kterém je aplikace poprvé zaregistrovaná. Instanční objekt se také vytvoří v adresáři každého dalšího tenanta, ve kterém se tato aplikace používá. Tento vztah může být 1:N se softwarovou aplikací.

Další informace o objektech aplikací a instančních objektech najdete v tématu Objekty aplikacía instanční objekty v Azure Active Directory .

Instanční objekty

Instanční objekt je sada přihlašovacích údajů pro aplikaci nebo službu, která udělovat přístup k prostředkům v Azure Stack Hub. Použití objektu služby odděluje oprávnění aplikace od oprávnění uživatele aplikace.

Instanční objekt se vytvoří v každém tenantovi, ve kterém se aplikace používá. Instanční objekt vytvoří identitu pro přihlášení a přístup k prostředkům (například uživatelům), které jsou zabezpečené tímto tenantem.

  • Aplikace s jedním tenantem má pouze jeden instanční objekt, který je v adresáři, ve kterém je poprvé vytvořena. Tento objekt služby se vytvoří a souhlasí s tím, že se použije při registraci aplikace.
  • Více tenantů webové aplikace nebo rozhraní API má instanční objekt, který se vytvoří v každém tenantovi, kde uživatel z tohoto tenanta souhlasí s používáním aplikace.

Přihlašovacími údaji pro objekty služby může být klíč, který se generuje prostřednictvím Azure Portal nebo certifikátu. Použití certifikátu je vhodné pro automatizaci, protože certifikáty se považují za bezpečnější než klíče.

Poznámka

Pokud použijete AD FS s Azure Stack Hub, může objekty služby vytvářet pouze správce. V AD FS vyžadují objekty služby certifikáty a vytvářejí se prostřednictvím privilegovaného koncového bodu. Další informace najdete v tématu Použití identity aplikace pro přístup k prostředkům.

Další informace o objektech služby pro Azure Stack Hub najdete v tématu Vytváření objektů služby.

Služby

Služby v Azure Stack Hub, které komunikují se zprostředkovatelem identity, jsou zaregistrované jako aplikace u zprostředkovatele identity. Stejně jako u aplikací registrace umožňuje službě ověřování v systému identit.

Všechny služby Azure používají OpenID Připojení protokoly a webové tokeny JSON k vytvoření své identity. Protože Azure AD a AD FS používají protokoly konzistentně, můžete použít knihovnu ADAL (Azure Active Directory Authentication Library) k ověřování v místním prostředí nebo v Azure (v připojeném scénáři). S ADAL můžete také použít nástroje, jako je Azure PowerShell a Azure CLI, pro správu prostředků mezi cloudy a místními prostředky.

Identity a váš systém identit

Identity pro Azure Stack Hub zahrnují uživatelské účty, skupiny a objekty služby.

Když nainstalujete Azure Stack Hub, několik integrovaných aplikací a služeb se automaticky zaregistruje u vašeho zprostředkovatele identity v tenantovi adresáře. Některé služby, které se registruje, se používají pro správu. Další služby jsou k dispozici pro uživatele. Výchozí registrace poskytují základní identity služeb, které mohou komunikovat navzájem i s identitami, které přidáte později.

Pokud nastavíte Azure AD s více než tenaty, některé aplikace se rozšíří do nových adresářů.

Ověřování a autorizace

Ověřování podle aplikací a uživatelů

Identita mezi vrstvami Azure Stack Hub

Pro aplikace a uživatele je architektura Azure Stack Hub popsána čtyřmi vrstvami. Interakce mezi jednotlivými vrstvami mohou používat různé typy ověřování.

Vrstva Ověřování mezi vrstvami
Nástroje a klienti, například portál pro správu Pro přístup k prostředku v Azure Stack Hub nástroje a klienti používají JSON Web Token volání metody Azure Resource Manager.
Azure Resource Manager ověří stav JSON Web Token a prohlédnutím deklarací identity v vydaném tokenu odhadne úroveň autorizace, kterou má tento uživatel nebo instanční Azure Stack Hub.
Azure Resource Manager a její základní služby Azure Resource Manager komunikuje s poskytovateli prostředků a přenese komunikaci od uživatelů.
Přenosy používají přímá imperativní volání nebo deklarativní volání prostřednictvím Azure Resource Manager šablon.
Poskytovatelé prostředků Volání předaná poskytovatelům prostředků jsou zabezpečená ověřováním na základě certifikátů.
Azure Resource Manager a poskytovatel prostředků pak zůstanou v komunikaci prostřednictvím rozhraní API. U každého volání přijatého z Azure Resource Manager poskytovatel prostředků ověří volání tímto certifikátem.
Infrastruktura a obchodní logika Poskytovatelé prostředků komunikují s obchodní logikou a infrastrukturou pomocí režimu ověřování podle svého výběru. Výchozí poskytovatelé prostředků, kteří se do Azure Stack Hub používají Windows k zabezpečení této komunikace.

Informace potřebné pro ověřování

Ověření pro Azure Resource Manager

Abyste se ověřili u zprostředkovatele identity a JSON Web Token, musíte mít následující informace:

  1. Url for the identity system (Authority) :Adresa URL, na které je možné získat přístup k vašemu zprostředkovateli identity. Například, https://login.windows.net.
  2. Identifikátor URI ID aplikace Azure Resource Manager:Jedinečný identifikátor Azure Resource Manager, který je zaregistrovaný u vašeho zprostředkovatele identity. Je také jedinečný pro každou Azure Stack Hub instalaci.
  3. Credentials(Přihlašovací údaje): Přihlašovací údaje, které používáte k ověření u zprostředkovatele identity.
  4. Adresa URL Azure Resource Manager: Adresa URL je umístěním služby Azure Resource Manager. Příkladem je https://management.azure.com nebo https://management.local.azurestack.external.

Když objekt zabezpečení (klient, aplikace nebo uživatel) vytvoří žádost o ověření pro přístup k prostředku, musí požadavek obsahovat:

  • Přihlašovací údaje objektu zabezpečení.
  • Identifikátor URI ID aplikace prostředku, ke které chce objekt zabezpečení přistupovat.

Přihlašovací údaje ověřuje zprostředkovatel identity. Zprostředkovatel identity také ověří, že identifikátor URI ID aplikace je pro zaregistrovanou aplikaci a že objekt zabezpečení má správná oprávnění k získání tokenu pro tento prostředek. Pokud je požadavek platný, JSON Web Token oprávnění.

Token pak musí předat hlavičku požadavku do Azure Resource Manager. Azure Resource Manager postupuje v žádném konkrétním pořadí takto:

  • Ověří deklaraci identity vystavitele (iss) a ověří, že token pochází od správného zprostředkovatele identity.
  • Ověří deklaraci identity cílové skupiny (aud) a ověří, že token byl vydán Azure Resource Manager.
  • Ověří, že JSON Web Token je podepsaný certifikátem, který je nakonfigurovaný prostřednictvím OpenID a o Azure Resource Manager.
  • Zkontrolujte vydané deklarace identity v (iat) a vypršení platnosti (exp) a ověřte, že je token aktivní a je možné ho přijmout.

Po dokončení všech ověření Azure Resource Manager id objektu (oid) a deklarace identity skupin k provedení seznamu prostředků, ke které má objekt zabezpečení přístup.

Diagram protokolu výměny tokenů

Poznámka

Po nasazení Azure Active Directory oprávnění globálního správce. Některé operace ale mohou vyžadovat přihlašovací údaje globálního správce (například instalační skript poskytovatele prostředků nebo novou funkci, která vyžaduje, aby bylo uděleno oprávnění). Můžete buď dočasně znovu nastavit oprávnění globálního správce účtu, nebo použít samostatný účet globálního správce, který je vlastníkem výchozího předplatného poskytovatele.

Použití Role-Based Access Control

Role-Based Access Control (RBAC) v Azure Stack Hub je konzistentní s implementací v Microsoft Azure. Přístup k prostředkům můžete spravovat přiřazením příslušné role RBAC uživatelům, skupinám a aplikacím. Informace o tom, jak používat RBAC s Azure Stack Hub, najdete v následujících článcích:

Ověřování s využitím Azure PowerShellu

Podrobnosti o použití Azure PowerShell ověřování pomocí Azure Stack Hub najdete v tématu Konfigurace Azure Stack Hub prostředí PowerShell uživatele.

Ověřování pomocí Azure CLI

Informace o použití Azure PowerShell ověřování pomocí Azure Stack Hub najdete v tématu Instalace a konfigurace Azure CLI pro použitís Azure Stack Hub .

Azure Policy

Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Prostřednictvím řídicího panelu pro dodržování předpisů poskytuje agregované zobrazení pro vyhodnocení celkového stavu prostředí s možností přechodu k podrobnostem podle prostředků a zásad. Pomáhá také zajistit dodržování předpisů prostředky prostřednictvím hromadné nápravy stávajících prostředků a automatické nápravy nových prostředků.

Mezi běžné případy použití Azure Policy patří implementace zásad správného řízení pro zajištění konzistence prostředků, dodržování právních předpisů, zabezpečení, nákladů a správy. Definice zásad pro tyto běžné případy použití jsou už integrované v prostředí Azure, které vám pomůžou začít.

Poznámka

Azure Policy se v současné době nepodporuje Azure Stack Hub.

Azure AD Graph

Microsoft Azure 30. června 2020 oznámilo vyřazení služby Azure AD Graph a datum vyřazení z 30. června 2022. Microsoft o této změně prostřednictvím e-mailu informoval zákazníky. Následující část popisuje, jak toto vyněcování ovlivňuje Azure Stack Hub.

Tým Azure Stack Hub úzce pracuje s týmem Azure Graph, aby zajistil, aby vaše systémy v případě potřeby fungovaly i po 30. červnu 2022, aby se zajistil bezproblémový přechod. Nejdůležitější akcí je zajistit, že dodržujete zásady údržby Azure Stack Hub předpisů. Zákazníci obdrží upozornění na portálu pro správu služby Azure Stack Hub a budou muset aktualizovat domovský adresář a všechny onboardované adresáře hostů.

Většinu samotné migrace provádí integrované prostředí pro aktualizace systému. Zákazníci budou muset ručně udělit příslušná oprávnění, která budou vyžadovat oprávnění globálního správce v každém adresáři Služby Azure AD používaném s vašimi Azure Stack Hub prostředími. Po dokončení instalace balíčku aktualizací s těmito změnami se na portálu pro správu zobrazí upozornění, které vás nasměruje k dokončení tohoto kroku pomocí našeho uživatelského rozhraní s více klienty nebo skriptů PowerShellu (jedná se o stejnou operaci, kterou provádíte při onboardingu dalších adresářů nebo poskytovatelů prostředků. Další informace najdete tady.)

Pokud použijete AD FS jako systém identit s Azure Stack Hub, tyto změny Graph nebudou mít přímý vliv na váš systém. Nejnovější verze nástrojů, jako je Azure CLI, Azure PowerShell atd., ale budou vyžadovat nové rozhraní API Graph a nebudou fungovat. Ujistěte se, že používáte pouze verze těchto nástrojů, které jsou výslovně podporovány ve vašem Azure Stack Hub sestavení. Tento článek se bude v budoucnu aktualizovat a zobrazí seznam podporovaných verzí nástrojů pro Azure Stack Hub pro AD FS.

Kromě upozornění na portálu pro správu budeme informovat o změnách prostřednictvím poznámek k vydání aktualizace a budeme informovat o tom, který balíček aktualizací vyžaduje aktualizaci domovského adresáře a všech onboardovaných adresářů hostů.

Další kroky