Gambaran umum IdP untuk Azure Stack Hub

Azure Stack Hub memerlukan Azure Active Directory (Azure AD) atau Active Directory Federation Services (AD FS), didukung oleh Active Directory sebagai penyedia identitas. Pilihan penyedia adalah keputusan satu kali yang Anda buat saat pertama kali menyebarkan Azure Stack Hub. Konsep dan rincian otorisasi dalam artikel ini dapat membantu Anda memilih antara IdP.

Pilihan Anda, baik Azure AD atau AD FS, ditentukan oleh mode di mana Anda menyebarkan Azure Stack Hub:

  • Saat Anda menyebarkannya dalam mode terhubung, Anda dapat menggunakan Azure AD atau AD FS.
  • Saat Anda menyebarkannya dalam mode terputus, tanpa koneksi ke internet, hanya FS AD yang didukung.

Untuk informasi selengkapnya tentang opsi Anda, yang bergantung pada lingkungan Azure Stack Hub Anda, lihat artikel berikut:

Penting

AAD Graph sedang tidak digunakan lagi, dan akan berhenti pada 30 Juni 2022. Untuk informasi selengkapnya, lihat bagian ini.

Konsep umum untuk penyedia identitas

Bagian selanjutnya membahas konsep umum tentang IdP dan penggunaannya di Azure Stack Hub.

Terminology for identity providers

Penyewa direktori dan organisasi

Direktori adalah kontainer yang menyimpan informasi tentang pengguna, aplikasi, grup, dan perwakilan layanan.

Penyewa direktori adalah organisasi, seperti Microsoft atau perusahaan Anda sendiri.

  • Azure AD mendukung beberapa penyewa, dan dapat mendukung beberapa organisasi, masing-masing dalam direktorinya sendiri. Jika Anda menggunakan Azure AD dan memiliki beberapa penyewa, Anda dapat memberikan aplikasi dan pengguna dari satu akses penyewa ke penyewa lain dari direktori yang sama.
  • AD FS hanya mendukung satu penyewa dan, oleh karena itu, hanya satu organisasi.

Pengguna dan grup

Akun pengguna (identitas) adalah akun standar yang mengautentikasi individu dengan menggunakan ID pengguna dan kata sandi. Grup dapat berisi pengguna atau grup lain.

Cara Anda membuat dan mengelola pengguna dan grup tergantung solusi identitas yang Anda gunakan.

Di Azure Stack Hub, akun pengguna:

  • Dibuat dalam format nama pengguna@domain. Meskipun Active Directory Federation Services memetakan akun ke instans Active Directory, Active Directory Federation Services tidak mendukung penggunaan format \<>domain<alias>.
  • Dapat disiapkan untuk menggunakan autentikasi multifaktor.
  • Dibatasi pada direktori tempat mereka pertama kali mendaftar, yang merupakan direktori organisasi mereka.
  • Dapat diimpor dari direktori lokal Anda. Untuk informasi selengkapnya, lihat Mengintegrasikan direktori lokal Anda dengan Azure Active Directory.

Saat masuk ke portal pengguna organisasi Anda, Anda menggunakan URL https://portal.local.azurestack.external. Saat masuk ke portal Azure Stack Hub dari domain selain yang digunakan untuk mendaftarkan Azure Stack Hub, nama domain yang digunakan untuk mendaftarkan Azure Stack Hub harus ditambahkan ke url portal. Misalnya, jika Azure Stack Hub telah terdaftar dengan fabrikam.onmicrosoft.com dan pengelogan akun pengguna adalah admin@contoso.com, URL yang akan digunakan untuk masuk ke portal pengguna adalah: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Pengguna tamu

Pengguna tamu adalah akun pengguna dari penyewa direktori lain yang telah diberikan akses ke sumber daya di direktori Anda. Untuk mendukung pengguna tamu, Anda harus menggunakan Azure AD dan mengaktifkan dukungan untuk multi-penyewa. Begitu dukungan diaktifkan, Anda dapat mengundang pengguna tamu untuk mengakses sumber daya di penyewa direktori Anda, yang secara bergantian memungkinkan kolaborasi mereka dengan organisasi luar.

Untuk mengundang pengguna tamu, operator cloud dan pengguna dapat menggunakan kolaborasi Azure AD B2B. Pengguna yang diundang akan mendapatkan akses ke dokumen, sumber daya, dan aplikasi dari direktori Anda, dan Anda mempertahankan kendali atas sumber daya dan data Anda sendiri.

Sebagai pengguna tamu, Anda dapat masuk ke penyewa direktori organisasi lain. Untuk melakukannya, Anda harus menambahkan nama direktori organisasi itu ke URL portal. Misalnya, jika Anda termasuk dalam organisasi Contoso dan ingin masuk ke direktori Fabrikam, Anda menggunakan https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Aplikasi

Anda dapat mendaftarkan aplikasi ke Azure AD atau AD FS, lalu menawarkan aplikasi kepada pengguna di organisasi Anda.

Aplikasi meliputi:

  • Aplikasi web: Contohnya meliputi portal Azure dan Azure Resource Manager. Aplikasi tersebut mendukung panggilan API Web.
  • Klien asli: Contohnya meliputi Azure PowerShell, Visual Studio, dan Azure CLI.

Aplikasi dapat mendukung dua jenis penyewaan:

  • Penyewa tunggal: Mendukung pengguna dan layanan hanya dari direktori yang sama di mana aplikasi terdaftar.

    Catatan

    Karena AD FS hanya mendukung satu direktori, aplikasi yang Anda buat dalam topologi AD FS, berdasarkan desain, adalah aplikasi penyewa tunggal.

  • Multi-penyewa: Mendukung penggunaan oleh pengguna dan layanan dari kedua direktori tempat aplikasi terdaftar dan direktori penyewa tambahan. Dengan aplikasi multi-penyewa, pengguna direktori penyewa lain (penyewa Azure AD lainnya) dapat masuk ke aplikasi Anda.

    Untuk informasi selengkapnya tentang multi-tenancy, lihat Aktifkan multi-penyewaan.

    Untuk informasi selengkapnya tentang mengembangkan aplikasi multi-penyewa, lihat Aplikasi Multi-penyewa.

Saat mendaftarkan aplikasi, Anda akan membuat dua objek:

  • Objek aplikasi: Representasi global aplikasi di semua penyewa. Hubungan ini adalah bersifat satu-ke-satu dengan aplikasi perangkat lunak dan hanya ada di direktori di mana aplikasi pertama kali terdaftar.

  • Objek perwakilan layanan: Kredensial yang dibuat untuk aplikasi di direktori tempat aplikasi pertama kali terdaftar. Perwakilan layanan juga dibuat di direktori setiap penyewa tambahan tempat aplikasi itu digunakan. Hubungan ini bisa bersifat satu-ke-banyak dengan aplikasi perangkat lunak.

Untuk mempelajari selengkapnya tentang objek aplikasi dan perwakilan layanan, lihat Objek aplikasi dan perwakilan layanan di Azure Active Directory.

Perwakilan layanan

Perwakilan layanan adalah serangkaian kredensial untuk aplikasi atau layanan yang memberikan akses ke sumber daya di Azure Stack Hub. Penggunaan perwakilan layanan memisahkan izin aplikasi dari izin pengguna aplikasi.

Perwakilan layanan dibuat di setiap penyewa tempat aplikasi digunakan. Perwakilan layanan menetapkan identitas untuk masuk dan akses ke sumber daya (seperti pengguna) yang dijamin oleh penyewa tersebut.

  • Aplikasi penyewa tunggal hanya memiliki satu perwakilan layanan, yang ada di direktori tempat pertama kali dibuat. Perwakilan layanan ini dibuat dan disetujui untuk digunakan selama pendaftaran aplikasi.
  • Aplikasi web multi-penyewa atau API memiliki perwakilan layanan yang dibuat di setiap penyewa di mana pengguna dari penyewa tersebut menyetujui penggunaan aplikasi.

Kredensial untuk perwakilan layanan dapat berupa kunci yang dibuat melalui portal Azure atau sertifikat. Penggunaan sertifikat cocok untuk otomatisasi karena sertifikat dianggap lebih aman dari kunci.

Catatan

Jika Anda menggunakan AD FS dengan Azure Stack Hub, hanya administrator yang dapat membuat perwakilan layanan. Dengan AD FS, perwakilan layanan memerlukan sertifikat dan dibuat melalui endpoint dengan hak istimewa (PEP). Untuk informasi selengkapnya, lihat Gunakan identitas aplikasi untuk mengakses sumber daya.

Untuk mempelajari tentang perwakilan layanan untuk Azure Stack Hub, lihat Membuat perwakilan layanan.

Layanan

Layanan di Azure Stack Hub yang berinteraksi dengan penyedia identitas terdaftar sebagai aplikasi dengan penyedia identitas. Seperti aplikasi, pendaftaran memungkinkan layanan mengautentikasi dengan sistem identitas.

Semua layanan Azure menggunakan protokol OpenID Connect dan JSON Web Token untuk menetapkan identitas mereka. Karena Azure AD dan Active Directory Federation Services menggunakan protokol secara konsisten, Anda dapat menggunakan Azure Active Directory Authentication Library (ADAL) untuk mengautentikasi lokal atau ke Azure (dalam skenario tersambung). Dengan ADAL, Anda juga dapat menggunakan alat seperti Azure PowerShell dan Azure CLI untuk manajemen sumber daya di seluruh cloud dan lokal.

Identitas dan sistem identitas Anda

Identitas untuk Azure Stack Hub meliputi akun pengguna, grup, dan perwakilan layanan.

Saat Anda menginstal Azure Stack Hub, beberapa aplikasi dan layanan bawaan secara otomatis didaftarkan ke penyedia identitas Anda di penyewa direktori. Beberapa layanan yang mendaftar digunakan untuk administrasi. Layanan lain akan tersedia untuk pengguna. Pendaftaran default akan memberikan identitas layanan inti yang dapat berinteraksi satu sama lain dan dengan identitas yang Anda tambahkan nantinya.

Jika Anda menyiapkan Azure AD dengan multi-penyewa, beberapa aplikasi akan menyebar ke direktori baru.

Autentikasi dan Otorisasi

Autentikasi oleh aplikasi dan pengguna

Identity between layers of Azure Stack Hub

Untuk aplikasi dan pengguna, arsitektur Azure Stack Hub dijelaskan oleh empat lapisan. Interaksi antara masing-masing lapisan ini dapat menggunakan berbagai jenis autentikasi.

Lapisan Autentikasi antar lapisan
Alat dan klien, seperti portal administrator Untuk mengakses atau memodifikasi sumber daya di Azure Stack Hub, alat dan klien menggunakan JSON Web Token untuk melakukan panggilan ke Azure Resource Manager.
Azure Resource Manager memvalidasi JSON Web Token dan mengintip klaim dalam token yang bermasalah untuk memperkirakan tingkat otorisasi yang dimiliki pengguna atau perwakilan layanan di Azure Stack Hub.
Azure Resource Manager dan layanan intinya Azure Resource Manager berkomunikasi dengan penyedia sumber daya untuk mentransfer komunikasi dari pengguna.
Transfer menggunakan panggilan imperatif langsung atau panggilan deklaratif melalui pola dasar Azure Resource Manager.
Penyedia sumber Panggilan yang diteruskan ke penyedia sumber daya akan diamankan dengan autentikasi berbasis sertifikat.
Azure Resource Manager dan penyedia sumber daya kemudian tetap berkomunikasi melalui API. Untuk setiap panggilan yang diterima dari Azure Resource Manager, penyedia sumber daya memvalidasi panggilan dengan sertifikat tersebut.
Infrastruktur dan logika bisnis Penyedia sumber daya berkomunikasi dengan infrastruktur dan logika bisnis dengan menggunakan mode autentikasi pilihan mereka. Penyedia sumber daya default yang dikirimkan dengan Azure Stack Hub menggunakan Autentikasi Windows untuk mengamankan komunikasi ini.

Information needed for authentication

Mengautentikasi ke Azure Resource Manager

Untuk mengautentikasi dengan penyedia identitas dan menerima Web JSON Token, Anda harus memiliki informasi berikut:

  1. URL untuk sistem identitas (Otoritas): URL yang dapat dijangkau oleh penyedia identitas Anda. Contohnya:https://login.windows.net
  2. App ID URI for Azure Resource Manager: Pengidentifikasi unik untuk Azure Resource Manager yang terdaftar di penyedia identitas Anda. Ini juga bersifat unik untuk setiap penginstalan Azure Stack Hub.
  3. Kredensial: Kredensial yang Anda gunakan untuk mengautentikasi dengan penyedia identitas.
  4. URL untuk Azure Resource Manager: URL adalah lokasi layanan Azure Resource Manager. Misalnya, https://management.azure.com atau https://management.local.azurestack.external.

Ketika perwakilan (klien, aplikasi, atau pengguna) membuat permintaan autentikasi untuk mengakses sumber daya, permintaan harus meliputi:

  • Kredensial perwakilan.
  • URI ID aplikasi sumber daya yang ingin diakses oleh perwakilan.

Kredensial divalidasi oleh penyedia identitas. Penyedia identitas juga memvalidasi bahwa URI ID aplikasi hanya untuk aplikasi terdaftar, dan bahwa perwakilan memiliki hak istimewa yang benar untuk mendapatkan token untuk sumber daya itu. Jika permintaan tersebut valid, Web JSON Token akan diberikan.

Token kemudian harus diteruskan di header permintaan ke Azure Resource Manager. Azure Resource Manager akan melakukan hal berikut, tanpa urutan tertentu:

  • Memvalidasi klaim penerbit (iss) untuk mengonfirmasi bahwa token berasal dari penyedia identitas yang benar.
  • Memvalidasi klaim audiens (aud) untuk mengonfirmasi bahwa token dikeluarkan untuk Azure Resource Manager.
  • Memvalidasi bahwa Web JSON Token ditandatangani dengan sertifikat yang dikonfigurasi melalui OpenID dan diketahui oleh Azure Resource Manager.
  • Tinjau klaim yang dikeluarkan pada (iat) dan kedaluwarsa (exp) untuk mengonfirmasi bahwa token aktif dan dapat diterima.

Ketika semua validasi selesai, Azure Resource Manager akan menggunakan klaim id objek (oid) dan grup untuk membuat daftar sumber daya yang dapat diakses oleh perwakilan.

Diagram of the token exchange protocol

Catatan

Setelah penyebaran, izin administrator global Azure Active Directory tidak diperlukan. Namun, beberapa operasi mungkin memerlukan info masuk admin global (misalnya, skrip penginstal penyedia sumber daya atau fitur baru yang memerlukan izin untuk diberikan). Anda dapat mengembalikan izin admin global akun untuk sementara waktu atau menggunakan akun admin global terpisah yang merupakan pemilik langganan penyedia default.

Gunakan Microsoft Azure Access Control Berbasis Peran

Role-Based Access Control (RBAC) di Azure Stack Hub konsisten dengan implementasi di Microsoft Azure. Anda dapat mengelola akses ke sumber daya dengan menetapkan peran RBAC yang sesuai untuk pengguna, grup, dan aplikasi. Untuk informasi tentang cara menggunakan RBAC dengan Azure Stack Hub, lihat artikel berikut:

Mengautentikasi dengan Azure PowerShell

Detail tentang menggunakan Azure PowerShell untuk mengautentikasi dengan Azure Stack Hub dapat ditemukan di Mengonfigurasi lingkungan PowerShell pengguna Azure Stack Hub.

Mengautentikasi dengan Azure CLI

Untuk informasi tentang menggunakan Azure PowerShell untuk mengautentikasi dengan Azure Stack Hub, lihat Memasang dan mengonfigurasi Azure CLI untuk digunakan dengan Azure Stack Hub.

Kebijakan Azure

Azure Policy membantu memberlakukan standar organisasi dan menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, ia memberikan tampilan agregat untuk mengevaluasi keadaan keseluruhan lingkungan, dengan kemampuan untuk telusuri paling detail per sumber daya, per-kebijakan granularitas. Ini juga membantu untuk membawa sumber daya Anda ke kepatuhan melalui remediasi massal untuk sumber daya yang sudah ada dan remediasi otomatis untuk sumber daya baru.

Penggunaan umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen. Definisi kebijakan untuk kasus penggunaan umum ini sudah dibangun ke lingkungan Azure Anda untuk membantu Anda memulai.

Catatan

Azure Policy saat ini tidak didukung di Azure Stack Hub.

Azure AD Graph

Microsoft Azure telah mengumumkan penghentian AAD pada 30 Juni 2020, dan tanggal penghentiannya pada 30 Juni 2022. Microsoft telah memberi tahu pelanggan melalui email tentang perubahan ini. Bagian berikut menjelaskan bagaimana penghentian ini memengaruhi Azure Stack Hub.

Tim Azure Stack Hub bekerja sama dengan tim Azure Graph untuk memastikan sistem Anda terus bekerja setelah 30 Juni 2022 jika perlu, untuk memastikan transisi yang lancar. Tindakan yang paling penting adalah memastikan Anda mematuhi kebijakan servis Azure Stack Hub. Pelanggan akan menerima pemberitahuan di portal administrator Azure Stack Hub dan akan diminta untuk memperbarui direktori rumah dan semua direktori tamu onboard.

Sebagian besar migrasi itu sendiri akan dilakukan oleh pengalaman pembaruan sistem terintegrasi; akan ada langkah manual yang diperlukan oleh pelanggan untuk memberikan izin baru ke aplikasi tersebut, yang akan memerlukan izin administrator global di setiap direktori Azure AD yang digunakan dengan lingkungan Azure Stack Hub Anda. Setelah paket pembaruan dengan perubahan ini selesai dipasang, peringatan akan dinaikkan di portal admin yang mengarahkan Anda untuk menyelesaikan langkah ini menggunakan skrip antarmuka pengguna multi-tenancy atau PowerShell kami (ini adalah operasi yang sama dengan yang Anda lakukan saat onboarding direktori tambahan atau penyedia sumber; Informasi lebih lanjut dapat ditemukan di sini.)

Jika Anda menggunakan Active Directory Federation Services sebagai sistem identitas Anda dengan Azure Stack Hub, perubahan Graph ini tidak akan memengaruhi sistem Anda secara langsung. Namun, versi terbaru alat seperti Azure CLI, Azure PowerShell, dll akan memerlukan API Graph baru, dan mereka tidak akan berfungsi. Pastikan Anda hanya menggunakan versi alat ini yang didukung secara eksplisit dengan membangun Azure Stack Hub yang Anda berikan. Artikel ini akan diperbarui di masa mendatang dan daftar versi alat yang didukung untuk Azure Stack Hub untuk Active Directory Federation Services.

Selain untuk peringatan di portal admin, kami akan mengkomunikasikan perubahan melalui catatan rilis pembaruan dan akan mengkomunikasikan paket pembaruan mana yang memerlukan pembaruan direktori rumah dan semua direktori tamu onboard.

Langkah berikutnya