Identitätsarchitektur für Azure Stack Hub

Bei der Auswahl eines Identitätsanbieters zur Verwendung mit Azure Stack Hub ist es wichtig, die wesentlichen Unterschiede zwischen Azure Active Directory (Azure AD) und den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) zu kennen.

Funktionen und Einschränkungen

Die Wahl des Identitätsanbieters schränkt unter Umständen Ihre Optionen ein – einschließlich der Unterstützung mehrerer Mandanten.

Funktion oder Szenario Azure AD AD FS
Verbindung mit dem Internet vorhanden Ja Optional
Unterstützung mehrerer Mandanten Ja Nein
Elemente im Marketplace anbieten Ja Ja (Nutzung des Tools für die Marketplace-Offlinesyndikation ist erforderlich)
Unterstützung der Active Directory Authentication Library (ADAL) Ja Ja
Unterstützung von Tools wie Azure-Befehlszeilenschnittstelle, Visual Studio und PowerShell Ja Ja
Erstellen von Dienstprinzipalen über das Azure-Portal Ja Nein
Erstellen von Dienstprinzipalen mit Zertifikaten Ja Ja
Erstellen von Dienstprinzipalen mit Geheimnissen (Schlüsseln) Ja Ja
Anwendungen können den Graph-Dienst verwenden Ja Nein
Anwendungen können einen Identitätsanbieter zum Anmelden verwenden Ja Ja (für Anwendungen muss ein Verbund mit lokalen AD FS-Instanzen eingerichtet werden)
Verwaltete Identitäten Nein Nein

Topologien

In den folgenden Abschnitten werden die verschiedenen Identitätstopologien behandelt, die Sie verwenden können.

Azure AD: Topologie mit einem einzelnen Mandanten

Bei der Installation von Azure Stack Hub und der Verwendung von Azure AD nutzt Azure Stack Hub standardmäßig eine Topologie mit nur einem Mandanten.

Eine Topologie mit nur einem Mandanten ist geeignet, wenn Folgendes gilt:

  • Alle Benutzer sind Teil desselben Mandanten.
  • Ein Dienstanbieter hostet eine Azure Stack Hub-Instanz für eine Organisation.

Azure Stack Hub single-tenant topology with Azure AD

Merkmale dieser Topologie:

  • Azure Stack Hub registriert alle Apps und Dienste im selben Azure AD-Mandantenverzeichnis.
  • Azure Stack Hub authentifiziert nur die Benutzer und Apps aus diesem Verzeichnis (einschließlich Token).
  • Identitäten für Administratoren (Cloudbetreiber) und Mandantenbenutzer befinden sich unter demselben Verzeichnismandanten.
  • Damit ein Benutzer aus einem anderen Verzeichnis auf diese Azure Stack Hub-Umgebung zugreifen kann, müssen Sie diesen Benutzer als Gast in das Mandantenverzeichnis einladen.

Azure AD: mehrinstanzenfähige Topologie

Cloudoperatoren können Azure Stack Hub so konfigurieren, dass der Zugriff auf Apps durch Mandanten einer oder mehrerer Organisationen zulässig ist. Benutzer greifen über das Azure Stack Hub-Benutzerportal auf Apps zu. In dieser Konfiguration ist das Administratorportal (vom Cloudbetreiber genutzt) auf Benutzer aus einem bestimmten Verzeichnis beschränkt.

Eine Topologie mit mehreren Mandanten ist geeignet, wenn Folgendes gilt:

  • Ein Dienstanbieter möchte für Benutzer mehrerer Organisationen den Zugriff auf Azure Stack Hub zulassen.

Azure Stack Hub multi-tenant topology with Azure AD

Merkmale dieser Topologie:

  • Der Zugriff auf Ressourcen sollte pro Organisation erfolgen.
  • Den Benutzern einer Organisation sollte es nicht möglich sein, Benutzern außerhalb ihrer Organisation Zugriff auf Ressourcen zu gewähren.
  • Identitäten für Administratoren (Cloudbetreiber) können sich in einem anderen Verzeichnismandanten befinden als die Identitäten für Benutzer. Diese Trennung sorgt auf Identitätsanbieterebene für Kontoisolation.

AD FS

Die AD FS-Topologie ist erforderlich, wenn eine der folgenden Bedingungen zutrifft:

  • Azure Stack Hub stellt keine Verbindung mit dem Internet her.
  • Azure Stack Hub kann eine Verbindung mit dem Internet herstellen, aber Sie entscheiden sich für AD FS als Identitätsanbieter.

Azure Stack Hub topology using AD FS

Merkmale dieser Topologie:

  • Um die Verwendung dieser Topologie in einer Produktionsumgebung zu unterstützen, müssen Sie die integrierte Azure Stack Hub-AD FS-Instanz über eine Verbundvertrauensstellung in eine vorhandene AD FS-Instanz integrieren, die auf Active Directory basiert.

  • Sie können den Graph-Dienst in Azure Stack Hub in Ihre vorhandene Active Directory-Instanz integrieren. Sie können auch den OData-basierten Graph-API-Dienst verwenden, der mit der Azure AD-Graph-API konsistente APIs unterstützt.

    Für die Interaktion mit Ihrer Active Directory-Instanz benötigt die Graph-API Benutzeranmeldeinformationen mit Leseberechtigungen für Ihre Active Directory-Instanz und Zugriff auf:

    • die integrierte AD FS-Instanz,
    • Ihre AD FS- und Active Directory-Instanzen, die auf Windows Server 2012 oder höher basieren müssen.

    Zwischen Ihrer Active Directory-Instanz und der integrierten AD FS-Instanz sind Interaktionen nicht auf OpenID Connect beschränkt, und es können alle gegenseitig unterstützten Protokolle verwendet werden.

    • Benutzerkonten werden in Ihrer lokalen Active Directory-Instanz erstellt und verwaltet.
    • Dienstprinzipale und Registrierungen für Apps werden in der integrierten Active Directory-Instanz verwaltet.

Nächste Schritte