Identitásarchitektúra Azure Stack Hub

Amikor identitásszolgáltatót választ a Azure Stack Hub-hez, tisztában kell lennie a Azure Active Directory (Azure AD) és a Active Directory összevonási szolgáltatások (AD FS) (AD FS) lehetőségek közötti különbségekkel.

Képességek és korlátozások

A választott identitásszolgáltató korlátozhatja a beállításokat, beleértve a több-bérlős rendszer támogatását is.

Képesség vagy forgatókönyv Azure AD AD FS
Csatlakozás az internethez Yes Választható
Több-bérlős rendszer támogatása Igen Nem
Ajánlatelemek a Marketplace-en Yes Igen (az offline Marketplace Syndication eszközt kell használnia)
Támogatás a Active Directory-hitelesítési tár (ADAL) Igen Yes
Támogatás olyan eszközökhöz, mint az Azure CLI, Visual Studio és a PowerShell Igen Yes
Szolgáltatásnév létrehozása a Azure Portal Igen Nem
Szolgáltatásnév létrehozása tanúsítványokkal Igen Yes
Szolgáltatásnév létrehozása titkos kulcsokkal (kulcsokkal) Igen Yes
Az alkalmazások a Graph használhatja Igen Nem
Az alkalmazások identitásszolgáltatót használhatnak a bejelentkezéshez Yes Igen (alkalmazások helyszíni példányokkal való AD FS szükséges)
Felügyeltrendszer-identitások Nem Nem

Topológiák

A következő szakaszok a használható identitás-topológiákat ismertetik.

Azure AD: egybérlős topológia

Alapértelmezés szerint az Azure AD Azure Stack Hub és használata esetén a Azure Stack Hub egybérlős topológiát használ.

Az egybérlős topológia akkor hasznos, ha:

  • Minden felhasználó ugyanannak a bérlőnek a tagja.
  • A szolgáltató egy Azure Stack Hub egy példányát.

Azure Stack Hub egybérlős topológia az Azure AD-val

Ez a topológia a következő jellemzőkkel rendelkezik:

  • Azure Stack Hub összes alkalmazást és szolgáltatást ugyanabban az Azure AD-bérlői címtárban regisztrálja.
  • Azure Stack Hub csak az abból a címtárból származó felhasználókat és alkalmazásokat hitelesíti, beleértve a jogkivonatokat is.
  • A rendszergazdák (felhőüzemeltetők) és a bérlői felhasználók identitásai ugyanabban a címtárbérlőben vannak.
  • Ha egy másik címtárból származó felhasználó számára engedélyezni szeretné a Azure Stack Hub környezethez való hozzáférést, vendégként meg kell hívnia a felhasználót a bérlő címtárába.

Azure AD: több-bérlős topológia

A felhőüzemeltetők konfigurálni Azure Stack Hub, hogy egy vagy több szervezet bérlői hozzáférést engedélyezzenek az alkalmazásokhoz. A felhasználók a felhasználói portálon Azure Stack Hub alkalmazásokat. Ebben a konfigurációban a felügyeleti portál (amelyet a felhőüzemeltető használ) egyetlen címtár felhasználóira korlátozódik.

A több-bérlős topológia akkor hasznos, ha:

  • A szolgáltató azt szeretné, hogy a felhasználók több szervezetből is hozzáférjenek a Azure Stack Hub.

Azure Stack Hub-bérlős topológia az Azure AD-val

Ez a topológia a következő jellemzőkkel rendelkezik:

  • Az erőforrásokhoz való hozzáférésnek szervezetenként kell lennie.
  • Az egyik szervezet felhasználói nem adhatnak hozzáférést az erőforrásokhoz a szervezeten kívüli felhasználók számára.
  • A rendszergazdák (felhőüzemeltetők) identitásai a felhasználók identitásaitól külön címtárbérlőben is lehet. Ez az elkülönítés biztosítja a fiókok elkülönítését az identitásszolgáltató szintjén.

AD FS

A AD FS topológiára akkor van szükség, ha az alábbi feltételek bármelyike teljesül:

  • Azure Stack Hub nem csatlakozik az internethez.
  • Azure Stack Hub csatlakozhat az internethez, de úgy dönt, hogy AD FS identitásszolgáltatójához használja.

Azure Stack Hub topológia használata AD FS

Ez a topológia a következő jellemzőkkel rendelkezik:

  • A topológia éles környezetben való használatának támogatásához egy összevonási megbízhatósági kapcsolaton keresztül integrálni kell a beépített Azure Stack Hub AD FS-példányt egy meglévő AD FS-példánymal, amelyet egy Active Directory támogat.

  • A Graph szolgáltatást integrálhatja Azure Stack Hub meglévő Active Directory példányával. Az Azure AD Graph API-val konzisztens API-kat támogató OData-alapú Graph API-szolgáltatást is használhatja.

    A Active Directory-példány használatához az Graph API-nak írási engedéllyel rendelkező felhasználói hitelesítő adatokra van szüksége a Active Directory-példányhoz, és a következő hozzáférésekkel rendelkezik:

    • A beépített AD FS példány.
    • A AD FS és Active Directory példányok, amelyeknek a vagy újabb Windows Server 2012 kell alapulni.

    A Active Directory-példány és a beépített AD FS-példány között az interakciók nem korlátozódnak az OpenID Csatlakozás-be, és bármilyen kölcsönösen támogatott protokollt használhatnak.

    • A felhasználói fiókokat a rendszer a saját példányán helyi Active Directory kezeli.
    • Az alkalmazások szolgáltatásnévinek és regisztrációjának kezelése a beépített Active Directory meg.

Következő lépések