Arquitectura de identidad para Azure Stack Hub
Al elegir un proveedor de identidades para usarlo con Azure Stack Hub, debe comprender las diferencias importantes entre las opciones de Microsoft Entra id. y Servicios de federación de Active Directory (AD FS) (AD FS).
Funcionalidades y limitaciones
El proveedor de identidad que elija puede limitar las opciones, incluida la compatibilidad con la arquitectura multiinquilino.
| Funcionalidad o escenario | Id. de Microsoft Entra | AD FS |
|---|---|---|
| Conectado a Internet | Sí | Opcional |
| Compatibilidad con arquitectura multiinquilino | Sí | No |
| Ofrecer elementos en Marketplace | Sí | Sí (requiere el uso de la herramienta Marketplace Syndication sin conexión) |
| Compatibilidad con la biblioteca de autenticación de Active Directory (ADAL) | Sí | Sí |
| Compatibilidad con herramientas como la CLI de Azure, Visual Studio y PowerShell | Sí | Sí |
| Creación de entidades de servicio mediante Azure Portal | Sí | No |
| Creación de entidades de servicio con certificados | Sí | Sí |
| Creación de entidades de servicio con secretos (claves) | Sí | Sí |
| Las aplicaciones pueden usar el servicio Graph | Sí | No |
| Las aplicaciones pueden utilizar el proveedor de identidades para iniciar sesión | Sí | Sí (requiere que las aplicaciones se federen con instancias de AD FS locales) |
| Identidades administradas | No | No |
Topologías
En las siguientes secciones se explican las diferentes topologías de identidad que se pueden usar.
identificador de Microsoft Entra: topología de un solo inquilino
De forma predeterminada, al instalar Azure Stack Hub y usar Microsoft Entra identificador, Azure Stack Hub usa una topología de inquilino único.
Una topología de inquilino único resulta útil cuando:
- Todos los usuarios forman parte del mismo inquilino.
- Un proveedor de servicios hospeda una instancia de Azure Stack Hub para una organización.
Esta topología presenta las siguientes características:
- Azure Stack Hub registra todas las aplicaciones y servicios en el mismo directorio de inquilinos Microsoft Entra.
- Azure Stack Hub autentica solo los usuarios y las aplicaciones desde ese directorio, incluidos los tokens.
- Las identidades de los administradores (operadores en la nube) y los usuarios del inquilino están en el mismo inquilino de directorio.
- Para permitir que un usuario de otro directorio acceda e este entorno de Azure Stack Hub, debe invitar al usuario como invitado al directorio de inquilino.
Microsoft Entra identificador: topología multiinquilino
Los operadores de la nube pueden configurar Azure Stack Hub para permitir el acceso a las aplicaciones por parte de inquilinos de una o varias organizaciones. Los usuarios acceden a las aplicaciones mediante el portal de usuarios de Azure Stack Hub. En esta configuración, el portal de administración (usado por el operador en la nube) se limita a los usuarios desde un único directorio.
Una topología mutiinquilino resulta útil cuando:
- Un proveedor de servicios desea permitir que los usuarios de varias organizaciones accedan a Azure Stack Hub.
Esta topología presenta las siguientes características:
- El acceso a los recursos debe tener lugar para cada organización.
- Los usuarios de una organización no deberían poder conceder acceso a los recursos a los usuarios que están fuera de ella.
- Las identidades de los administradores (operadores de la nube) pueden estar en un inquilino de un directorio distinto del de las identidades de los usuarios. Esta separación proporciona el aislamiento de la cuenta en el nivel del proveedor de identidad.
AD FS
La topología de AD FS es obligatoria cuando alguna de las siguientes condiciones es verdadera:
- Azure Stack Hub no se conecta a Internet.
- Azure Stack Hub puede conectarse a Internet, pero se decide usar AD FS para el proveedor de identidades.
Esta topología presenta las siguientes características:
Para admitir el uso de esta topología en un entorno de producción, es necesario integrar la instancia de AD FS de Azure Stack Hub integrada con una instancia existente de AD FS respaldada por Active Directory, mediante una confianza de federación.
También puede integrar el servicio Graph en Azure Stack Hub con la instancia de Active Directory existente. Igualmente, puede usar el servicio Graph API basado en OData que admite API coherentes con Graph API de Azure AD.
Para interactuar con la instancia de Active Directory, Graph API requiere una credencial de usuario de la instancia de Active Directory con permiso y accesos de solo lectura:
- La instancia de AD FS integrada.
- Las instancias de AD FS y Active Directory deben estar basadas en Windows Server 2012 o posterior.
Entre la instancia de Active Directory y la de AD FS integrada, las interacciones no se restringen a OpenID Connect y pueden usar cualquier protocolo que ambas admitan.
- Las cuentas de usuario se crean y se administran en la instancia de Active Directory local.
- Las entidades de servicio y los registros de las aplicaciones se administran en la instancia de Active Directory integrada.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de