Architektura tożsamości dla Azure Stack Hub

W przypadku wybrania dostawcy tożsamości do użycia z centrum Azure Stack należy zrozumieć istotne różnice między opcjami Azure Active Directory (Azure AD) i Active Directory Federation Services (AD FS).

Możliwości i ograniczenia

Wybrany dostawca tożsamości może ograniczyć opcje, w tym obsługę wielu dzierżawców.

Możliwość lub scenariusz Azure AD AD FS
Połączono z Internetem Tak Opcjonalne
Obsługa wielu dzierżawców Tak Nie
Oferuj elementy w portalu Marketplace Tak Tak (wymaga użycia narzędzia zespalania z witryny Marketplace w trybie offline )
Obsługa Active Directory Authentication Library (ADAL) Tak Tak
Obsługa narzędzi takich jak interfejs wiersza polecenia platformy Azure, Visual Studio i PowerShell Tak Tak
Tworzenie jednostek usługi za pomocą Azure Portal Tak Nie
Tworzenie jednostek usługi przy użyciu certyfikatów Tak Tak
Tworzenie jednostek usługi z kluczami tajnymi (klucze) Tak Tak
Aplikacje mogą korzystać z usługi Graph Tak Nie
Aplikacje mogą używać dostawcy tożsamości do logowania Tak Tak (wymaga, aby aplikacje sfederować z lokalnymi wystąpieniami AD FS)
Tożsamości systemu zarządzanego Nie Nie

Topologie

W poniższych sekcjach omówiono różne topologie tożsamości, których można użyć.

Azure AD: topologia z jedną dzierżawą

Domyślnie podczas instalowania Azure Stack Hub i używania usługi Azure AD usługa Azure Stack Hub korzysta z topologii z jedną dzierżawą.

Topologia z jedną dzierżawą jest przydatna w przypadku:

  • Wszyscy użytkownicy są częścią tej samej dzierżawy.
  • Dostawca usług obsługuje wystąpienie centrum Azure Stack dla organizacji.

Azure Stack centrum topologii pojedynczej dzierżawy z usługą Azure AD

Ta topologia oferuje następujące cechy:

  • Usługa Azure Stack Hub rejestruje wszystkie aplikacje i usługi w tym samym katalogu dzierżawy usługi Azure AD.
  • Azure Stack Hub uwierzytelnia tylko użytkowników i aplikacje z tego katalogu, w tym tokeny.
  • Tożsamości dla administratorów (operatorów chmury) i użytkowników dzierżaw znajdują się w tej samej dzierżawie katalogu.
  • Aby umożliwić użytkownikowi z innego katalogu uzyskać dostęp do tego środowiska centrum Azure Stack, musisz zaprosić użytkownika jako gościa do katalogu dzierżawy.

Azure AD: topologia z wieloma dzierżawcami

Operatorzy chmury mogą konfigurować Azure Stack Hub, aby zezwalać na dostęp do aplikacji przez dzierżawców z jednej lub wielu organizacji. Użytkownicy uzyskują dostęp do aplikacji za pomocą portalu użytkowników centrum Azure Stack. W tej konfiguracji Portal administratora (używany przez operatora chmury) jest ograniczony do użytkowników z jednego katalogu.

Topologia z wieloma dzierżawcami jest przydatna w przypadku:

  • Dostawca usług chce zezwolić użytkownikom z wielu organizacji na dostęp do centrum Azure Stack.

Azure Stack centrum topologii wielu dzierżawców z usługą Azure AD

Ta topologia oferuje następujące cechy:

  • Dostęp do zasobów powinien być dla każdej organizacji.
  • Użytkownicy z jednej organizacji powinni być w stanie udzielić dostępu do zasobów użytkownikom spoza organizacji.
  • Tożsamości dla administratorów (operatorzy chmury) mogą znajdować się w osobnej dzierżawie katalogu od tożsamości użytkowników. Ta separacja zapewnia izolację konta na poziomie dostawcy tożsamości.

AD FS

Topologia AD FS jest wymagana, gdy spełniony jest dowolny z następujących warunków:

  • Azure Stack centrum nie łączy się z Internetem.
  • Azure Stack Hub może połączyć się z Internetem, ale użytkownik chce użyć AD FS dla dostawcy tożsamości.

Topologia Azure Stack Hub przy użyciu AD FS

Ta topologia oferuje następujące cechy:

  • Aby zapewnić obsługę tej topologii w środowisku produkcyjnym, należy zintegrować wbudowane wystąpienie AD FS Azure Stack Hub z istniejącym wystąpieniem AD FS, które jest obsługiwane przez Active Directory przy użyciu zaufania federacji.

  • Usługę Graph można zintegrować w centrum Azure Stack z istniejącym wystąpieniem Active Directory. Można również użyć usługi interfejs API programu Graph opartej na protokole OData, która obsługuje interfejsy API, które są spójne z interfejs API programu Graph usługi Azure AD.

    Aby można było korzystać z wystąpienia Active Directory, interfejs API programu Graph wymaga podania poświadczeń użytkownika z uprawnieniami tylko do odczytu do wystąpienia Active Directory i dostęp do nich:

    • Wbudowane wystąpienie AD FS.
    • Wystąpienia AD FS i Active Directory, które muszą być oparte na systemie Windows Server 2012 lub nowszym.

    Między wystąpieniem Active Directory i wbudowanym wystąpieniem AD FS interakcje nie są ograniczone do OpenID Connect Connect i mogą korzystać z dowolnego wspólnie obsługiwanego protokołu.

    • Konta użytkowników są tworzone i zarządzane w lokalnym wystąpieniu Active Directory.
    • Jednostki usługi i rejestracje dla aplikacji są zarządzane przy użyciu wbudowanego wystąpienia Active Directory.

Następne kroki