Identiteitsarchitectuur voor Azure Stack Hub

Wanneer u een id-provider kiest om te gebruiken met Azure Stack Hub, moet u de belangrijke verschillen begrijpen tussen de opties van Microsoft Entra id en Active Directory Federation Services (AD FS).

Mogelijkheden en beperkingen

De id-provider die u kiest, kan uw opties beperken, waaronder ondersteuning voor multitenancy.

Mogelijkheid of scenario Microsoft Entra ID AD FS
Verbonden met internet Ja Optioneel
Ondersteuning voor multitenancy Ja Nee
Aanbiedingsitems in de Marketplace Yes Ja (hiervoor is het gebruik van het offline-hulpprogramma Marketplace Syndication vereist)
Ondersteuning voor Active Directory Authentication Library (ADAL) Ja Ja
Ondersteuning voor hulpprogramma's zoals Azure CLI, Visual Studio en PowerShell Ja Ja
Service-principals maken via de Azure Portal Ja Nee
Service-principals maken met certificaten Ja Ja
Service-principals maken met geheimen (sleutels) Ja Ja
Toepassingen kunnen de Graph-service gebruiken Ja Nee
Toepassingen kunnen een id-provider gebruiken voor aanmelding Yes Ja (vereist dat apps worden gefedereerd met on-premises AD FS-exemplaren)
Beheerde identiteiten No Nee

Topologieën

In de volgende secties worden de verschillende identiteitstopologieën besproken die u kunt gebruiken.

Microsoft Entra-id: topologie met één tenant

Wanneer u Azure Stack Hub installeert en Microsoft Entra-id gebruikt, gebruikt Azure Stack Hub standaard een topologie met één tenant.

Een topologie met één tenant is handig wanneer:

  • Alle gebruikers maken deel uit van dezelfde tenant.
  • Een serviceprovider host een Azure Stack Hub-exemplaar voor een organisatie.

Azure Stack Hub-topologie met één tenant met Microsoft Entra-id

Deze topologie heeft de volgende kenmerken:

  • Azure Stack Hub registreert alle apps en services in dezelfde Microsoft Entra tenantmap.
  • Azure Stack Hub verifieert alleen de gebruikers en apps uit die directory, inclusief tokens.
  • Identiteiten voor beheerders (cloudoperators) en tenantgebruikers bevinden zich in dezelfde directorytenant.
  • Als u een gebruiker uit een andere directory toegang wilt geven tot deze Azure Stack Hub-omgeving, moet u de gebruiker uitnodigen als gast voor de tenantmap.

Microsoft Entra-id: topologie met meerdere tenants

Cloudoperators kunnen Azure Stack Hub configureren om toegang tot apps toe te staan door tenants van een of meer organisaties. Gebruikers hebben toegang tot apps via de Azure Stack Hub-gebruikersportal. In deze configuratie is de beheerdersportal (gebruikt door de cloudoperator) beperkt tot gebruikers uit één directory.

Een topologie met meerdere tenants is handig in de volgende gevallen:

  • Een serviceprovider wil gebruikers van meerdere organisaties toegang geven tot Azure Stack Hub.

Azure Stack Hub-topologie met meerdere tenants met Microsoft Entra-id

Deze topologie heeft de volgende kenmerken:

  • Toegang tot resources moet per organisatie zijn.
  • Gebruikers van één organisatie mogen geen toegang tot resources verlenen aan gebruikers die zich buiten hun organisatie bevinden.
  • Identiteiten voor beheerders (cloudoperators) kunnen zich in een afzonderlijke directorytenant bevinden van de identiteiten voor gebruikers. Deze scheiding biedt accountisolatie op het niveau van de id-provider.

AD FS

De AD FS-topologie is vereist wanneer aan een van de volgende voorwaarden wordt voldaan:

  • Azure Stack Hub maakt geen verbinding met internet.
  • Azure Stack Hub kan verbinding maken met internet, maar u kiest ervoor om AD FS te gebruiken voor uw id-provider.

Azure Stack Hub-topologie met AD FS

Deze topologie heeft de volgende kenmerken:

  • Ter ondersteuning van het gebruik van deze topologie in productie, moet u het ingebouwde Azure Stack Hub AD FS-exemplaar integreren met een bestaand AD FS-exemplaar dat wordt ondersteund door Active Directory, via een federatieve vertrouwensrelatie.

  • U kunt de Graph-service in Azure Stack Hub integreren met uw bestaande Active Directory-exemplaar. U kunt ook de op OData gebaseerde Graph API-service gebruiken die ondersteuning biedt voor API's die consistent zijn met de Azure AD Graph API.

    Voor interactie met uw Active Directory-exemplaar heeft de Graph API een gebruikersreferentie met alleen-lezenmachtiging nodig voor uw Active Directory-exemplaar en heeft toegang tot:

    • Het ingebouwde AD FS-exemplaar.
    • Uw AD FS- en Active Directory-exemplaren, die moeten zijn gebaseerd op Windows Server 2012 of hoger.

    Tussen uw Active Directory-exemplaar en het ingebouwde AD FS-exemplaar zijn interacties niet beperkt tot OpenID Connect en kunnen ze elk wederzijds ondersteund protocol gebruiken.

    • Gebruikersaccounts worden gemaakt en beheerd in uw on-premises Active Directory-exemplaar.
    • Service-principals en registraties voor apps worden beheerd in het ingebouwde Active Directory-exemplaar.

Volgende stappen