Azure Stack 허브에 대 한 id 아키텍처Identity architecture for Azure Stack Hub

Azure Stack 허브에서 사용할 id 공급자를 선택 하는 경우 Azure Active Directory (Azure AD) 및 Active Directory Federation Services (AD FS) 옵션 간의 중요 한 차이점을 이해 해야 합니다.When choosing an identity provider to use with Azure Stack Hub, you should understand the important differences between the options of Azure Active Directory (Azure AD) and Active Directory Federation Services (AD FS).

기능 및 제한 사항Capabilities and limitations

선택한 id 공급자는 다중 테 넌 트 지원을 포함 하 여 옵션을 제한할 수 있습니다.The identity provider that you choose can limit your options, including support for multi-tenancy.

기능 또는 시나리오Capability or scenario Azure ADAzure AD AD FSAD FS
인터넷에 연결 됨Connected to the internet Yes 선택 사항Optional
다중 테 넌 트 지원Support for multi-tenancy Yes No
Marketplace의 제품 항목Offer items in the Marketplace Yes 예 ( 오프 라인 Marketplace 배포 도구를 사용 해야 함)Yes (requires use of the offline Marketplace Syndication tool)
Active Directory 인증 라이브러리에 대 한 지원 (ADAL)Support for Active Directory Authentication Library (ADAL) Yes Yes
Azure CLI, Visual Studio, PowerShell 등의 도구에 대 한 지원Support for tools such as Azure CLI, Visual Studio, and PowerShell Yes Yes
Azure Portal를 통해 서비스 주체 만들기Create service principals through the Azure portal Yes No
인증서를 사용 하 여 서비스 주체 만들기Create service principals with certificates Yes Yes
암호 (키)를 사용 하 여 서비스 사용자 만들기Create service principals with secrets (keys) Yes Yes
응용 프로그램에서 Graph 서비스를 사용할 수 있습니다.Applications can use the Graph service Yes No
응용 프로그램은 로그인에 id 공급자를 사용할 수 있습니다.Applications can use identity provider for sign-in Yes 예 (앱이 온-프레미스 AD FS 인스턴스와 페더레이션 해야 함)Yes (requires apps to federate with on-premises AD FS instances)
관리 되는 시스템 IdManaged System Identities No No

토폴로지Topologies

다음 섹션에서는 사용할 수 있는 다양 한 id 토폴로지에 대해 설명 합니다.The following sections discuss the different identity topologies that you can use.

Azure AD: 단일 테 넌 트 토폴로지Azure AD: single-tenant topology

기본적으로 Azure Stack 허브를 설치 하 고 Azure AD를 사용 하는 경우 Azure Stack 허브는 단일 테 넌 트 토폴로지를 사용 합니다.By default, when you install Azure Stack Hub and use Azure AD, Azure Stack Hub uses a single-tenant topology.

단일 테 넌 트 토폴로지는 다음과 같은 경우에 유용 합니다.A single-tenant topology is useful when:

  • 모든 사용자는 동일한 테 넌 트의 일부입니다.All users are part of the same tenant.
  • 서비스 공급자는 조직에 대 한 Azure Stack 허브 인스턴스를 호스팅합니다.A service provider hosts an Azure Stack Hub instance for an organization.

Azure AD를 사용 하 여 허브 단일 테 넌 트 토폴로지 Azure Stack

이 토폴로지에는 다음과 같은 특징이 있습니다.This topology features the following characteristics:

  • Azure Stack 허브는 모든 앱과 서비스를 동일한 Azure AD 테 넌 트 디렉터리에 등록 합니다.Azure Stack Hub registers all apps and services to the same Azure AD tenant directory.
  • Azure Stack 허브는 토큰을 포함 하 여 해당 디렉터리의 사용자 및 앱만 인증 합니다.Azure Stack Hub authenticates only the users and apps from that directory, including tokens.
  • 관리자 (클라우드 운영자) 및 테 넌 트 사용자의 id는 동일한 디렉터리 테 넌 트에 있습니다.Identities for administrators (cloud operators) and tenant users are in the same directory tenant.
  • 다른 디렉터리의 사용자가이 Azure Stack 허브 환경에 액세스할 수 있게 하려면 사용자를 테 넌 트 디렉터리에 게스트로 초대 해야 합니다.To enable a user from another directory to access this Azure Stack Hub environment, you must invite the user as a guest to the tenant directory.

Azure AD: 다중 테 넌 트 토폴로지Azure AD: multi-tenant topology

클라우드 운영자는 하나 이상의 조직에서 테 넌 트가 앱에 액세스할 수 있도록 Azure Stack 허브를 구성할 수 있습니다.Cloud operators can configure Azure Stack Hub to allow access to apps by tenants from one or more organizations. 사용자는 Azure Stack 허브 사용자 포털을 통해 앱에 액세스 합니다.Users access apps through the Azure Stack Hub user portal. 이 구성에서 클라우드 운영자가 사용 하는 관리자 포털은 단일 디렉터리의 사용자로 제한 됩니다.In this configuration, the administrator portal (used by the cloud operator) is limited to users from a single directory.

다중 테 넌 트 토폴로지는 다음과 같은 경우에 유용 합니다.A multi-tenant topology is useful when:

  • 서비스 공급자는 여러 조직의 사용자가 Azure Stack 허브에 액세스할 수 있도록 허용 하려고 합니다.A service provider wants to allow users from multiple organizations to access Azure Stack Hub.

Azure AD를 사용 하 여 허브 다중 테 넌 트 토폴로지 Azure Stack

이 토폴로지에는 다음과 같은 특징이 있습니다.This topology features the following characteristics:

  • 리소스에 대 한 액세스는 조직 별로 설정 해야 합니다.Access to resources should be on a per-organization basis.
  • 한 조직의 사용자는 조직 외부에 있는 사용자에 게 리소스에 대 한 액세스 권한을 부여할 수 없습니다.Users from one organization should be unable to grant access to resources to users who are outside their organization.
  • 관리자 (클라우드 운영자)의 id는 사용자의 id와 별도의 디렉터리 테 넌 트에 있을 수 있습니다.Identities for administrators (cloud operators) can be in a separate directory tenant from the identities for users. 이러한 분리는 id 공급자 수준에서 계정 격리를 제공 합니다.This separation provides account isolation at the identity provider level.

AD FSAD FS

AD FS 토폴로지는 다음 조건 중 하나에 해당 하는 경우에 필요 합니다.The AD FS topology is required when either of the following conditions is true:

  • Azure Stack 허브가 인터넷에 연결 되지 않습니다.Azure Stack Hub doesn't connect to the internet.
  • Azure Stack 허브는 인터넷에 연결할 수 있지만 id 공급자에 AD FS를 사용 하도록 선택 합니다.Azure Stack Hub can connect to the internet, but you choose to use AD FS for your identity provider.

AD FS를 사용 하 여 허브 토폴로지 Azure Stack

이 토폴로지에는 다음과 같은 특징이 있습니다.This topology features the following characteristics:

  • 프로덕션 환경에서이 토폴로지를 사용할 수 있도록 지원 하려면 기본 제공 Azure Stack 허브 AD FS 인스턴스를 페더레이션 트러스트를 통해 Active Directory에 의해 지원 되는 기존 AD FS 인스턴스와 통합 해야 합니다.To support the use of this topology in production, you must integrate the built-in Azure Stack Hub AD FS instance with an existing AD FS instance that's backed by Active Directory, through a federation trust.

  • Azure Stack Hub의 Graph 서비스를 기존 Active Directory 인스턴스와 통합할 수 있습니다.You can integrate the Graph service in Azure Stack Hub with your existing Active Directory instance. Azure AD Graph API와 일치 하는 Api를 지 원하는 OData 기반 Graph API 서비스를 사용할 수도 있습니다.You can also use the OData-based Graph API service that supports APIs that are consistent with the Azure AD Graph API.

    Active Directory 인스턴스와 상호 작용 하려면 Graph API에 읽기 전용 권한이 있는 Active Directory 인스턴스의 사용자 자격 증명이 필요 합니다.To interact with your Active Directory instance, the Graph API requires user credentials from your Active Directory instance that have read-only permissions.

    • 기본 제공 AD FS 인스턴스는 Windows Server 2016을 기반으로 합니다.The built-in AD FS instance is based on Windows Server 2016.
    • AD FS 및 Active Directory 인스턴스는 Windows Server 2012 이상을 기반으로 해야 합니다.Your AD FS and Active Directory instances must be based on Windows Server 2012 or later.

    Active Directory 인스턴스와 기본 제공 AD FS 인스턴스 사이에서 상호 작용은 Openid connect Connect로 제한 되지 않으며 상호 지원 되는 프로토콜을 사용할 수 있습니다.Between your Active Directory instance and the built-in AD FS instance, interactions aren't restricted to OpenID Connect, and they can use any mutually supported protocol.

    • 사용자 계정은 온-프레미스 Active Directory 인스턴스에서 만들어지고 관리 됩니다.User accounts are created and managed in your on-premises Active Directory instance.
    • 앱에 대 한 서비스 사용자 및 등록은 기본 제공 Active Directory 인스턴스에서 관리 됩니다.Service principals and registrations for apps are managed in the built-in Active Directory instance.

다음 단계Next steps