Identiteitsarchitectuur voor Azure Stack Hub
Wanneer u een id-provider kiest voor gebruik met Azure Stack Hub, moet u de belangrijke verschillen tussen de opties van Azure Active Directory (Azure AD) en Active Directory Federation Services (AD FS) begrijpen.
Mogelijkheden en beperkingen
De id-provider die u kiest, kan uw opties beperken, inclusief ondersteuning voor multitenancy.
| Mogelijkheid of scenario | Azure AD | AD FS |
|---|---|---|
| Verbonden met internet | Ja | Optioneel |
| Ondersteuning voor multitenancy | Ja | Nee |
| Aanbiedingsitems in Marketplace | Yes | Ja (vereist gebruik van het offline marketplace-syndicatieprogramma ) |
| Ondersteuning voor Active Directory Authentication Library (ADAL) | Ja | Ja |
| Ondersteuning voor hulpprogramma's zoals Azure CLI, Visual Studio en PowerShell | Ja | Ja |
| Service-principals maken via de Azure Portal | Ja | Nee |
| Service-principals maken met certificaten | Ja | Ja |
| Service-principals maken met geheimen (sleutels) | Ja | Ja |
| Toepassingen kunnen de Graph-service gebruiken | Ja | Nee |
| Toepassingen kunnen id-provider gebruiken voor aanmelding | Yes | Ja (vereist dat apps worden gefedereerd met on-premises AD FS-exemplaren) |
| Beheerde identiteiten | Nee | Nee |
Topologieën
In de volgende secties worden de verschillende identiteitstopologieën besproken die u kunt gebruiken.
Azure AD: topologie met één tenant
Wanneer u Azure Stack Hub installeert en Azure AD gebruikt, gebruikt Azure Stack Hub standaard een topologie met één tenant.
Een topologie met één tenant is handig wanneer:
- Alle gebruikers maken deel uit van dezelfde tenant.
- Een serviceprovider host een Azure Stack Hub-exemplaar voor een organisatie.
Deze topologie bevat de volgende kenmerken:
- Azure Stack Hub registreert alle apps en services in dezelfde Azure AD-tenantmap.
- Azure Stack Hub verifieert alleen de gebruikers en apps uit die map, inclusief tokens.
- Identiteiten voor beheerders (cloudoperators) en tenantgebruikers bevinden zich in dezelfde directorytenant.
- Als u een gebruiker vanuit een andere directory toegang wilt geven tot deze Azure Stack Hub-omgeving, moet u de gebruiker uitnodigen als gast voor de tenantmap.
Azure AD: topologie met meerdere tenants
Cloudoperators kunnen Azure Stack Hub configureren om toegang tot apps per tenant van een of meer organisaties toe te staan. Gebruikers hebben toegang tot apps via de Azure Stack Hub-gebruikersportal. In deze configuratie is de beheerdersportal (gebruikt door de cloudoperator) beperkt tot gebruikers uit één directory.
Een topologie met meerdere tenants is handig wanneer:
- Een serviceprovider wil gebruikers van meerdere organisaties toegang geven tot Azure Stack Hub.
Deze topologie bevat de volgende kenmerken:
- Toegang tot resources moet per organisatie zijn.
- Gebruikers van één organisatie mogen geen toegang verlenen tot resources voor gebruikers die zich buiten hun organisatie bevinden.
- Identiteiten voor beheerders (cloudoperators) kunnen zich in een afzonderlijke directorytenant bevinden van de identiteiten voor gebruikers. Deze scheiding biedt accountisolatie op het niveau van de id-provider.
AD FS
De AD FS-topologie is vereist wanneer aan een van de volgende voorwaarden wordt voldaan:
- Azure Stack Hub maakt geen verbinding met internet.
- Azure Stack Hub kan verbinding maken met internet, maar u kiest ervoor OM AD FS te gebruiken voor uw id-provider.
Deze topologie bevat de volgende kenmerken:
Ter ondersteuning van het gebruik van deze topologie in productie moet u de ingebouwde Azure Stack Hub AD FS-instantie integreren met een bestaand AD FS-exemplaar dat wordt ondersteund door Active Directory, via een federatieve vertrouwensrelatie.
U kunt de Graph-service in Azure Stack Hub integreren met uw bestaande Active Directory-exemplaar. U kunt ook de op OData gebaseerde Graph API-service gebruiken die API's ondersteunt die consistent zijn met de Azure AD-Graph API.
Als u wilt communiceren met uw Active Directory-exemplaar, heeft de Graph API een gebruikersreferentie met alleen-lezenmachtiging voor uw Active Directory-exemplaar nodig en heeft deze toegang tot:
- Het ingebouwde AD FS-exemplaar.
- Uw AD FS- en Active Directory-exemplaren, die moeten zijn gebaseerd op Windows Server 2012 of hoger.
Tussen uw Active Directory-exemplaar en het ingebouwde AD FS-exemplaar zijn interacties niet beperkt tot OpenID-Verbinding maken en kunnen ze elk wederzijds ondersteund protocol gebruiken.
- Gebruikersaccounts worden gemaakt en beheerd in uw on-premises Active Directory exemplaar.
- Service-principals en registraties voor apps worden beheerd in het ingebouwde Active Directory-exemplaar.