Az Azure Stack Hub identitásszolgáltatóinak áttekintése

  • Cikk

Az Azure Stack Hubhoz Microsoft Entra azonosítóra vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS) van szükség, amelyet az Active Directory identitásszolgáltatóként használ. A szolgáltató kiválasztása egyszeri döntés, amelyet az Azure Stack Hub első üzembe helyezésekor hoz meg. A cikkben szereplő fogalmak és engedélyezési részletek segíthetnek az identitásszolgáltatók közötti választásban.

Az Ön által választott Microsoft Entra-azonosítót vagy AD FS-t az határozza meg, hogy milyen módon helyezi üzembe az Azure Stack Hubot:

  • Ha csatlakoztatott módban helyezi üzembe, használhatja Microsoft Entra azonosítót vagy az AD FS-t.
  • Ha leválasztott módban, internetkapcsolat nélkül telepíti, csak az AD FS támogatott.

Az Azure Stack Hub-környezettől függő lehetőségekről az alábbi cikkekben talál további információt:

Fontos

Azure AD Graph elavult, és 2023. június 30-án megszűnik. További információt ebben a szakaszban talál.

Az identitásszolgáltatók általános fogalmai

A következő szakaszok az identitásszolgáltatókkal és az Azure Stack Hubban való használatukkal kapcsolatos gyakori fogalmakat ismertetik.

Az identitásszolgáltatók terminológiája

Címtárbérlők és szervezetek

A címtárak olyan tárolók, amelyek a felhasználókra, alkalmazásokra, csoportokra és szolgáltatásnevekre vonatkozó információkat tartalmaznak.

A címtárbérlő egy szervezet, például a Microsoft vagy a saját vállalata.

  • Microsoft Entra id több bérlőt támogat, és több szervezetet is támogathat, amelyek mindegyike a saját címtárában található. Ha Microsoft Entra-azonosítót használ, és több bérlője van, akkor az egyik bérlőtől származó alkalmazásokat és felhasználókat hozzáférést adhat ugyanazon címtár más bérlőinek.
  • Az AD FS csak egyetlen bérlőt támogat, ezért csak egyetlen szervezetet.

Felhasználók és csoportok

A felhasználói fiókok (identitások) olyan standard fiókok, amelyek felhasználói azonosító és jelszó használatával hitelesítik az egyéneket. A csoportok tartalmazhatnak felhasználókat vagy más csoportokat.

A felhasználók és csoportok létrehozásának és kezelésének menete a használt identitáskezelési megoldástól függ.

Az Azure Stack Hubban a felhasználói fiókok:

  • A username@domain formátumban jönnek létre. Bár az AD FS leképezi a felhasználói fiókokat egy Active Directory-példányra, az AD FS nem támogatja a \<domain>\<alias> formátum használatát.
  • Többtényezős hitelesítés használatára is beállítható.
  • Csak arra a könyvtárra van korlátozva, ahol először regisztrálják őket, amely a szervezet címtára.
  • Importálható a helyszíni címtárakból. További információ: Helyszíni címtárak integrálása Microsoft Entra azonosítóval.

Amikor bejelentkezik a szervezet felhasználói portáljára, az https://portal.local.azurestack.external URL-címet fogja használni. Amikor nem az Azure Stack Hub regisztrálásához használt tartományokból jelentkezik be az Azure Stack Hub portáljára, az Azure Stack Hub regisztrálásához használt tartománynevet hozzá kell fűzni a portál URL-címéhez. Ha például az Azure Stack Hub regisztrálva van fabrikam.onmicrosoft.com, és a felhasználói fiók bejelentkezése a admin@contoso.comkövetkező, a felhasználói portálra való bejelentkezéshez használt URL-cím a következő: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Vendégfelhasználók

A vendégfelhasználók olyan más címtárbérlők felhasználói fiókjai, amelyek hozzáférést kaptak a címtár erőforrásaihoz. A vendégfelhasználók támogatásához Microsoft Entra azonosítót kell használnia, és engedélyeznie kell a több-bérlős támogatást. Ha a támogatás engedélyezve van, meghívhatja a vendégfelhasználókat, hogy hozzáférjenek a címtárbérlő erőforrásaihoz, ami viszont lehetővé teszi a külső szervezetekkel való együttműködést.

A vendégfelhasználók meghívásához a felhőüzemeltetők és a felhasználók Microsoft Entra B2B-együttműködést használhatnak. A meghívott felhasználók a címtárból férhetnek hozzá a dokumentumokhoz, erőforrásokhoz és alkalmazásokhoz, és Ön felügyelheti a saját erőforrásait és adatait.

Vendégfelhasználóként bejelentkezhet egy másik szervezet címtárbérlőjéhez. Ehhez hozzá kell fűznie a szervezet címtárnevét a portál URL-címéhez. Ha például a Contoso szervezet tagja, és be szeretne jelentkezni a Fabrikam könyvtárba, akkor a https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Alkalmazások

Regisztrálhat alkalmazásokat Microsoft Entra azonosítóra vagy AD FS-be, majd felajánlhatja az alkalmazásokat a szervezet felhasználóinak.

Az alkalmazások közé tartoznak a következők:

  • Webalkalmazások: Ilyen például a Azure Portal és az Azure Resource Manager. Támogatják a webes API-hívásokat.
  • Natív ügyfél: Ilyen például a Azure PowerShell, a Visual Studio és az Azure CLI.

Az alkalmazások kétféle bérlői típust támogatnak:

  • Egybérlős: Csak abból a címtárból támogatja a felhasználókat és szolgáltatásokat, ahol az alkalmazás regisztrálva van.

    Megjegyzés

    Mivel az AD FS csak egyetlen címtárat támogat, az AD FS-topológiában létrehozott alkalmazások kialakításuk szerint egybérlős alkalmazások.

  • Több-bérlős: Támogatja a felhasználók és szolgáltatások általi használatot mind az alkalmazás regisztrálásakor használt címtárból, mind a további bérlői címtárakból. Több-bérlős alkalmazások esetén egy másik bérlői címtár (egy másik Microsoft Entra bérlő) felhasználói bejelentkezhetnek az alkalmazásba.

    A több-bérlős szolgáltatásokkal kapcsolatos további információkért lásd: Több-bérlősség engedélyezése.

    További információ a több-bérlős alkalmazások fejlesztéséről: Több-bérlős alkalmazások.

Amikor regisztrál egy alkalmazást, két objektumot hoz létre:

  • Alkalmazásobjektum: Az alkalmazás globális reprezentációja az összes bérlőn. Ez a kapcsolat egy-az-egyhez a szoftveralkalmazással, és csak abban a könyvtárban létezik, amelyben az alkalmazás először regisztrálva van.

  • Szolgáltatásnév objektuma: Egy olyan hitelesítő adat, amely abban a könyvtárban található alkalmazáshoz jön létre, amelyben az alkalmazás első regisztrálása történik. A rendszer egy szolgáltatásnevet is létrehoz minden olyan további bérlő címtárában, ahol az alkalmazást használják. Ez a kapcsolat egy-a-többhöz típusú lehet a szoftveralkalmazással.

További információ az alkalmazás- és szolgáltatásnév-objektumokról: Alkalmazás- és szolgáltatásnév-objektumok Microsoft Entra-azonosítóban.

Szolgáltatásnevek

A szolgáltatásnév olyan alkalmazások vagy szolgáltatások hitelesítő adatainak készlete, amelyek hozzáférést biztosítanak az Azure Stack Hub erőforrásaihoz. A szolgáltatásnév használata elkülöníti az alkalmazásengedélyeket az alkalmazás felhasználójának engedélyeitől.

Minden bérlőben létrejön egy szolgáltatásnév, ahol az alkalmazást használják. A szolgáltatásnév identitást hoz létre a bejelentkezéshez és az adott bérlő által védett erőforrásokhoz (például felhasználókhoz) való hozzáféréshez.

  • Egy egybérlős alkalmazás csak egy szolgáltatásnévvel rendelkezik, amely abban a könyvtárban található, amelyben először létrehozták. Ez a szolgáltatásnév létrejön, és hozzájárul ahhoz, hogy az alkalmazás regisztrációja során felhasználják.
  • A több-bérlős webalkalmazás vagy API szolgáltatásnévvel rendelkezik, amely minden bérlőben létrejön, ahol a bérlő egy felhasználója hozzájárul az alkalmazás használatához.

A szolgáltatásnevek hitelesítő adatai lehetnek a Azure Portal vagy tanúsítványon keresztül létrehozott kulcsok. A tanúsítvány használata automatizálásra alkalmas, mivel a tanúsítványok biztonságosabbnak minősülnek, mint a kulcsok.

Megjegyzés

Ha az AD FS-t az Azure Stack Hubbal használja, csak a rendszergazda hozhat létre szolgáltatásneveket. Az AD FS-ben a szolgáltatásnevek tanúsítványokat igényelnek, és a kiemelt végponton (PEP) keresztül jönnek létre. További információ: Az erőforrások elérése alkalmazásidentitás használatával.

Az Azure Stack Hub szolgáltatásneveiről további információt a Szolgáltatásnevek létrehozása című témakörben talál.

Szolgáltatások

Az identitásszolgáltatóval együttműködő Azure Stack Hub-szolgáltatások alkalmazásként vannak regisztrálva az identitásszolgáltatónál. Az alkalmazásokhoz hasonlóan a regisztráció lehetővé teszi a szolgáltatás számára az identitásrendszerrel való hitelesítést.

Minden Azure-szolgáltatás OpenID Connect-protokollokat és JSON webes jogkivonatokat használ az identitásuk létrehozásához. Mivel Microsoft Entra azonosító és az AD FS következetesen használ protokollokat, a Microsoft Authentication Library (MSAL) használatával biztonsági jogkivonatot szerezhet be a helyszíni vagy az Azure-beli hitelesítéshez (csatlakoztatott forgatókönyv esetén). Az MSAL segítségével olyan eszközöket is használhat, mint a Azure PowerShell és az Azure CLI a felhők közötti és a helyszíni erőforrás-felügyelethez.

Identitások és az identitásrendszer

Az Azure Stack Hub identitásai közé tartoznak a felhasználói fiókok, csoportok és szolgáltatásnevek.

Az Azure Stack Hub telepítésekor számos beépített alkalmazás és szolgáltatás automatikusan regisztrál az identitásszolgáltatónál a címtárbérlőben. Egyes regisztrált szolgáltatások adminisztrációra szolgálnak. Más szolgáltatások is elérhetők a felhasználók számára. Az alapértelmezett regisztrációk olyan alapvető szolgáltatási identitásokat adnak meg, amelyek kommunikálhatnak egymással és a később hozzáadott identitásokkal.

Ha több-bérlős Microsoft Entra-azonosítót állít be, egyes alkalmazások az új címtárakba propagálnak.

Hitelesítés és engedélyezés

Hitelesítés alkalmazások és felhasználók szerint

Identitás az Azure Stack Hub rétegei között

Az alkalmazások és a felhasználók esetében az Azure Stack Hub architektúráját négy réteg ismerteti. Az egyes rétegek közötti interakciók különböző típusú hitelesítést használhatnak.

Réteg Hitelesítés rétegek között
Eszközök és ügyfelek, például a felügyeleti portál Az Azure Stack Hubban lévő erőforrások eléréséhez vagy módosításához az eszközök és az ügyfelek egy JSON-webtoken használatával kezdeményeznek hívást az Azure Resource Manager.
Az Azure Resource Manager ellenőrzi a JSON-webjogkivonatot, és betekint a kiadott jogkivonat jogcímeibe, hogy megbecsülje a felhasználó vagy szolgáltatásnév által az Azure Stack Hubban használt engedélyezési szintet.
Az Azure Resource Manager és alapvető szolgáltatásai Az Azure Resource Manager kommunikál az erőforrás-szolgáltatókkal a felhasználók közötti kommunikáció átviteléhez.
Az átvitel közvetlen imperatív hívásokat vagy deklaratív hívásokat használ az Azure Resource Manager-sablonokon keresztül.
Erőforrás-szolgáltatók Az erőforrás-szolgáltatóknak átadott hívásokat tanúsítványalapú hitelesítés védi.
Az Azure Resource Manager és az erőforrás-szolgáltató ezután egy API-val kommunikál. Az Azure Resource Manager-tól érkező minden hívás esetén az erőforrás-szolgáltató ezzel a tanúsítvánnyal ellenőrzi a hívást.
Infrastruktúra és üzleti logika Az erőforrás-szolgáltatók a választott hitelesítési mód használatával kommunikálnak az üzleti logikával és infrastruktúrával. Az Azure Stack Hubot szállító alapértelmezett erőforrás-szolgáltatók Windows-hitelesítéssel védik ezt a kommunikációt.

A hitelesítéshez szükséges információk

Hitelesítés az Azure Resource Manager

Az identitásszolgáltatóval való hitelesítéshez és a JSON-webtoken fogadásához a következő adatokkal kell rendelkeznie:

  1. Az identitásrendszer (szolgáltató) URL-címe: Az az URL-cím, amelyen az identitásszolgáltató elérhető. Például: https://login.windows.net.
  2. Az Azure-Resource Manager alkalmazásazonosítójának URI-ja: Az identitásszolgáltatójához regisztrált Azure-Resource Manager egyedi azonosítója. Az Azure Stack Hub egyes telepítései is egyediek.
  3. Hitelesítő adatok: Az identitásszolgáltatóval való hitelesítéshez használt hitelesítő adatok.
  4. Az Azure Resource Manager URL-címe: Az URL-cím az Azure Resource Manager szolgáltatás helye. Például https://management.azure.com vagy https://management.local.azurestack.external.

Ha egy rendszerbiztonsági tag (ügyfél, alkalmazás vagy felhasználó) hitelesítési kérést küld egy erőforrás eléréséhez, a kérelemnek tartalmaznia kell a következőket:

  • A rendszerbiztonsági tag hitelesítő adatai.
  • A rendszerbiztonsági tag által elérni kívánt erőforrás alkalmazásazonosítójának URI-ja.

A hitelesítő adatokat az identitásszolgáltató ellenőrzi. Az identitásszolgáltató azt is ellenőrzi, hogy az alkalmazásazonosító URI-ja egy regisztrált alkalmazáshoz tartozik-e, és hogy a rendszerbiztonsági tag rendelkezik-e a megfelelő jogosultságokkal az adott erőforrás jogkivonatának beszerzéséhez. Ha a kérelem érvényes, a rendszer egy JSON webes jogkivonatot ad meg.

A jogkivonatnak ezután meg kell adnia egy kérés fejlécét az Azure Resource Manager. Az Azure Resource Manager a következőket hajtja végre, konkrét sorrendben:

  • Ellenőrzi a kiállítói (iss) jogcímet annak ellenőrzéséhez, hogy a jogkivonat a megfelelő identitásszolgáltatótól származik-e.
  • Ellenőrzi a célközönség (aud) jogcímét annak ellenőrzéséhez, hogy a jogkivonat ki lett-e állítva az Azure Resource Manager.
  • Ellenőrzi, hogy a JSON-webtoken olyan tanúsítvánnyal van-e aláírva, amely openID-vel van konfigurálva, és amelyet az Azure Resource Manager ismer.
  • Tekintse át az (iat) és a lejárati (exp) jogcímeket, és ellenőrizze, hogy a jogkivonat aktív-e, és elfogadható-e.

Ha minden ellenőrzés befejeződött, az Azure Resource Manager az objektumazonosítót (objektumazonosítót) és a csoportjogcímeket használja az egyszerű felhasználó által elérhető erőforrások listájának létrehozásához.

A jogkivonatcsere protokolljának ábrája

Megjegyzés

Az üzembe helyezés után nincs szükség Microsoft Entra globális rendszergazdai engedélyre. Egyes műveletekhez azonban szükség lehet a globális rendszergazdai hitelesítő adatokra (például egy erőforrás-szolgáltató telepítőprogramjára vagy egy engedély megadását igénylő új szolgáltatásra). Ideiglenesen visszaállíthatja a fiók globális rendszergazdai engedélyeit, vagy használhat egy külön globális rendszergazdai fiókot, amely az alapértelmezett szolgáltatói előfizetés tulajdonosa.

Role-Based Access Control használata

Role-Based Access Control (RBAC) az Azure Stack Hubban összhangban van a Microsoft Azure implementációjával. Az erőforrásokhoz való hozzáférést úgy kezelheti, ha a megfelelő RBAC-szerepkört rendeli hozzá a felhasználókhoz, csoportokhoz és alkalmazásokhoz. Az RBAC Azure Stack Hubbal való használatáról az alábbi cikkekben talál további információt:

Hitelesítés az Azure PowerShell-lel

A Azure PowerShell Azure Stack Hubbal való hitelesítésével kapcsolatos részletekért tekintse meg az Azure Stack Hub-felhasználó PowerShell-környezetének konfigurálása című témakört.

Hitelesítés az Azure CLI-vel

Az Azure Stack Hubbal való hitelesítéshez Azure PowerShell használatával kapcsolatos információkért lásd: Az Azure CLI telepítése és konfigurálása az Azure Stack Hubbal való használatra.

Azure Policy

Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. A megfelelőségi irányítópultján keresztül összesített nézetet biztosít a környezet általános állapotának értékeléséhez, amely lehetővé teszi az erőforrásokra és szabályzatonkénti részletességre való lehatolást. Ezenfelül segít biztosítani az erőforrások megfelelőségét a meglévő erőforrások tömeges, illetve az új erőforrások automatikus szervizelésével.

Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Ezeknek a gyakori használati eseteknek a szabályzatdefiníciói már be vannak építve az Azure-környezetbe az első lépésekhez.

Megjegyzés

Azure Policy jelenleg nem támogatott az Azure Stack Hubon.

Azure AD Graph

A Microsoft Azure bejelentette a Azure AD Graph elavulását 2020. június 30-án, valamint a 2023. június 30-i kivonási dátumát. A Microsoft e-mailben értesítette az ügyfeleket erről a változásról. További információ: Azure AD Graph Retirement and PowerShell Module Deprecation blog.

A következő szakasz azt ismerteti, hogy ez az elavulás hogyan befolyásolja az Azure Stack Hubot.

Az Azure Stack Hub csapata szorosan együttműködik az Azure Graph csapatával annak érdekében, hogy a rendszerek szükség esetén 2023. június 30-a után is működjenek a zökkenőmentes átmenet érdekében. A legfontosabb művelet annak biztosítása, hogy megfeleljen az Azure Stack Hub karbantartási szabályzatának. Az ügyfelek riasztást kapnak az Azure Stack Hub felügyeleti portálján, és frissíteni kell a kezdőkönyvtárat és az összes előkészített vendégkönyvtárat.

A migrálás nagy részét az integrált rendszerfrissítési folyamat fogja elvégezni; az ügyfeleknek manuálisan kell megadniuk az új engedélyeket ezeknek az alkalmazásoknak, ami globális rendszergazdai engedélyeket igényel az Azure Stack Hub-környezetekkel használt Microsoft Entra-címtárakban. Miután az ezekkel a módosításokkal rendelkező frissítési csomag telepítése befejeződött, a felügyeleti portálon riasztás jelenik meg, amely arra utasítja, hogy végezze el ezt a lépést a több-bérlős felhasználói felület vagy PowerShell-szkriptek használatával. Ez ugyanaz a művelet, amelyet további címtárak vagy erőforrás-szolgáltatók előkészítésekor hajt végre; További információ: Több-bérlős bérlő konfigurálása az Azure Stack Hubban.

Ha az AD FS-t használja identitásrendszerként az Azure Stack Hubbal, ezek a gráfmódosítások közvetlenül nem lesznek hatással a rendszerre. Az olyan eszközök legújabb verzióihoz, mint az Azure CLI, Azure PowerShell stb., azonban az új Graph API-kra van szükség, és nem fognak működni. Győződjön meg arról, hogy csak azoknak az eszközöknek a verzióit használja, amelyek kifejezetten támogatottak az adott Azure Stack Hub-buildben.

A felügyeleti portálon megjelenő riasztás mellett a frissítési kibocsátási megjegyzéseken keresztül is közöljük a módosításokat, és közlik, hogy melyik frissítési csomag szükséges a kezdőkönyvtár és az összes előkészített vendégkönyvtár frissítéséhez.

Következő lépések