Identiteits architectuur voor Azure Stack hubIdentity architecture for Azure Stack Hub

Bij het kiezen van een id-provider voor gebruik met Azure Stack hub moet u inzicht hebben in de belangrijkste verschillen tussen de opties van Azure Active Directory (Azure AD) en Active Directory Federation Services (AD FS).When choosing an identity provider to use with Azure Stack Hub, you should understand the important differences between the options of Azure Active Directory (Azure AD) and Active Directory Federation Services (AD FS).

Mogelijkheden en beperkingenCapabilities and limitations

De ID-provider die u kiest, kan uw opties beperken, inclusief ondersteuning voor multitenancy.The identity provider that you choose can limit your options, including support for multi-tenancy.

Mogelijkheid of scenarioCapability or scenario Azure ADAzure AD AD FSAD FS
Verbonden met InternetConnected to the internet JaYes OptioneelOptional
Ondersteuning voor multitenancySupport for multi-tenancy JaYes NeeNo
Objecten in Marketplace aanbiedenOffer items in the Marketplace JaYes Ja (het gebruik van het offline Marketplace-syndicatie hulpprogramma vereist)Yes (requires use of the offline Marketplace Syndication tool)
Ondersteuning voor Active Directory Authentication Library (ADAL)Support for Active Directory Authentication Library (ADAL) JaYes JaYes
Ondersteuning voor hulpprogram ma's zoals Azure CLI, Visual Studio en Power shellSupport for tools such as Azure CLI, Visual Studio, and PowerShell JaYes JaYes
Service-principals maken via de Azure PortalCreate service principals through the Azure portal JaYes NeeNo
Service-principals met certificaten makenCreate service principals with certificates JaYes JaYes
Service-principals met geheimen maken (sleutels)Create service principals with secrets (keys) JaYes JaYes
Toepassingen kunnen de grafiek service gebruikenApplications can use the Graph service JaYes NeeNo
Toepassingen kunnen ID-provider gebruiken voor aanmeldingApplications can use identity provider for sign-in JaYes Ja (vereist dat apps communiceren met on-premises AD FS instanties)Yes (requires apps to federate with on-premises AD FS instances)
Beheerde systeem identiteitenManaged System Identities NeeNo NeeNo

TopologieënTopologies

In de volgende secties worden de verschillende identiteits topologieën beschreven die u kunt gebruiken.The following sections discuss the different identity topologies that you can use.

Azure AD: single-tenant topologieAzure AD: single-tenant topology

Wanneer u Azure Stack hub installeert en Azure AD gebruikt, wordt er standaard een topologie met één Tenant gebruikt voor Azure Stack hub.By default, when you install Azure Stack Hub and use Azure AD, Azure Stack Hub uses a single-tenant topology.

Een topologie met één Tenant is handig wanneer:A single-tenant topology is useful when:

  • Alle gebruikers maken deel uit van dezelfde Tenant.All users are part of the same tenant.
  • Een service provider fungeert als host voor een Azure Stack hub-exemplaar voor een organisatie.A service provider hosts an Azure Stack Hub instance for an organization.

Topologie met één Tenant Azure Stack hub met Azure AD

Deze topologie bevat de volgende kenmerken:This topology features the following characteristics:

  • Azure Stack hub registreert alle apps en services in dezelfde Azure AD-Tenant Directory.Azure Stack Hub registers all apps and services to the same Azure AD tenant directory.
  • Azure Stack hub verifieert alleen de gebruikers en apps uit die map, met inbegrip van tokens.Azure Stack Hub authenticates only the users and apps from that directory, including tokens.
  • Identiteiten voor beheerders (Cloud operators) en Tenant gebruikers bevinden zich in dezelfde directory Tenant.Identities for administrators (cloud operators) and tenant users are in the same directory tenant.
  • Als u een gebruiker vanuit een andere Directory toegang wilt geven tot deze Azure Stack hub-omgeving, moet u de gebruiker als gast uitnodigen voor de Tenant Directory.To enable a user from another directory to access this Azure Stack Hub environment, you must invite the user as a guest to the tenant directory.

Azure AD: topologie met meerdere tenantsAzure AD: multi-tenant topology

Cloud operators kunnen Azure Stack hub configureren om toegang tot apps toe te staan door tenants van een of meer organisaties.Cloud operators can configure Azure Stack Hub to allow access to apps by tenants from one or more organizations. Gebruikers hebben toegang tot apps via de gebruikers portal van Azure Stack hub.Users access apps through the Azure Stack Hub user portal. In deze configuratie is de beheer Portal (die door de Cloud operator wordt gebruikt) beperkt tot gebruikers van één map.In this configuration, the administrator portal (used by the cloud operator) is limited to users from a single directory.

Een topologie met meerdere tenants is handig wanneer:A multi-tenant topology is useful when:

  • Een service provider wil dat gebruikers van meerdere organisaties toegang hebben tot Azure Stack hub.A service provider wants to allow users from multiple organizations to access Azure Stack Hub.

Multi tenant topologie met Azure Stack hub met Azure AD

Deze topologie bevat de volgende kenmerken:This topology features the following characteristics:

  • Toegang tot resources moet per organisatie worden uitgevoerd.Access to resources should be on a per-organization basis.
  • Gebruikers van een organisatie mogen geen toegang verlenen tot resources voor gebruikers die zich buiten hun organisatie bevinden.Users from one organization should be unable to grant access to resources to users who are outside their organization.
  • Identiteiten voor beheerders (Cloud operators) kunnen zich in een afzonderlijke directory Tenant bevindt op basis van de identiteit voor gebruikers.Identities for administrators (cloud operators) can be in a separate directory tenant from the identities for users. Deze schei ding biedt account isolatie op het niveau van de identiteits provider.This separation provides account isolation at the identity provider level.

AD FSAD FS

De AD FS topologie is vereist als aan een van de volgende voor waarden wordt voldaan:The AD FS topology is required when either of the following conditions is true:

  • Azure Stack hub maakt geen verbinding met internet.Azure Stack Hub doesn't connect to the internet.
  • Azure Stack hub kan verbinding maken met internet, maar u kunt AD FS gebruiken voor uw ID-provider.Azure Stack Hub can connect to the internet, but you choose to use AD FS for your identity provider.

Azure Stack hub-topologie met behulp van AD FS

Deze topologie bevat de volgende kenmerken:This topology features the following characteristics:

  • Ter ondersteuning van het gebruik van deze topologie in productie moet u de ingebouwde Azure Stack hub AD FS instantie integreren met een bestaande AD FS instantie die door Active Directory wordt ondersteund via een Federatie vertrouwen.To support the use of this topology in production, you must integrate the built-in Azure Stack Hub AD FS instance with an existing AD FS instance that's backed by Active Directory, through a federation trust.

  • U kunt de Graph-service in Azure Stack hub integreren met uw bestaande Active Directory-exemplaar.You can integrate the Graph service in Azure Stack Hub with your existing Active Directory instance. U kunt ook de Graph API-service op basis van OData gebruiken die ondersteuning biedt voor Api's die consistent zijn met de Azure AD-Graph API.You can also use the OData-based Graph API service that supports APIs that are consistent with the Azure AD Graph API.

    Om te communiceren met uw Active Directory-exemplaar, moeten de Graph API gebruikers referenties van uw Active Directory-exemplaar met alleen-lezen machtigingen hebben.To interact with your Active Directory instance, the Graph API requires user credentials from your Active Directory instance that have read-only permissions.

    • Het ingebouwde AD FS exemplaar is gebaseerd op Windows Server 2016.The built-in AD FS instance is based on Windows Server 2016.
    • Uw AD FS-en Active Directory-exemplaren moeten zijn gebaseerd op Windows Server 2012 of hoger.Your AD FS and Active Directory instances must be based on Windows Server 2012 or later.

    Tussen uw Active Directory-exemplaar en het ingebouwde AD FS exemplaar zijn interacties niet beperkt tot OpenID Connect Connect en kunnen ze gebruikmaken van elk protocol dat wederzijds wordt ondersteund.Between your Active Directory instance and the built-in AD FS instance, interactions aren't restricted to OpenID Connect, and they can use any mutually supported protocol.

    • Gebruikers accounts worden gemaakt en beheerd in uw on-premises Active Directory-exemplaar.User accounts are created and managed in your on-premises Active Directory instance.
    • Service-principals en registraties voor apps worden beheerd in de ingebouwde Active Directory-instantie.Service principals and registrations for apps are managed in the built-in Active Directory instance.

Volgende stappenNext steps