Visão geral dos provedores de identidade para Azure Stack Hub

Azure Stack Hub requer Azure Active Directory (Azure AD) ou Serviços de Federação do Active Directory (AD FS) (AD FS), com suporte do Active Directory como um provedor de identidade. A escolha de um provedor é uma decisão única que você tomará ao implantar o Azure Stack Hub. Os conceitos e os detalhes de autorização neste artigo podem ajudá-lo a escolher entre provedores de identidade.

Sua escolha do Azure AD ou AD FS é determinada pelo modo no qual você implanta Azure Stack Hub:

  • Ao implantá-lo em um modo conectado, você pode usar o Azure AD ou AD FS.
  • Ao implantá-lo em um modo desconectado, sem uma conexão com a Internet, somente AD FS tem suporte.

Para obter mais informações sobre suas opções, que dependem de seu ambiente Azure Stack Hub, consulte os seguintes artigos:

Importante

O Azure AD Graph está sendo preterido e será preterido em 30 de junho de 2022. Para obter mais informações, consulte esta seção.

Conceitos comuns para provedores de identidade

As próximas seções discutem conceitos comuns sobre provedores de identidade e seu uso Azure Stack Hub.

Terminologia para provedores de identidade

Locatários e organizações de diretório

Um diretório é um contêiner que contém informações sobre usuários,aplicativos, grupose entidades de serviço.

Um locatário de diretório é uma organização,como a Microsoft ou sua própria empresa.

  • O Azure AD dá suporte a vários locatários e pode dar suporte a várias organizações, cada uma em seu próprio diretório. Se você usar o Azure AD e tiver vários locatários, poderá conceder a aplicativos e usuários de um locatário acesso a outros locatários desse mesmo diretório.
  • AD FS dá suporte a apenas um único locatário e, portanto, apenas a uma única organização.

Usuários e grupos

Contas de usuário (identidades) são contas padrão que autenticam indivíduos usando uma ID de usuário e uma senha. Os grupos podem incluir usuários ou outros grupos.

A maneira como você cria e gerencia usuários e grupos depende da solução de identidade usada.

No Azure Stack Hub, contas de usuário:

  • São criados no formato username@domain dados. Embora AD FS mapeie contas de usuário para uma instância do Active Directory, AD FS não dá suporte ao uso do formato \ domínio \ >< alias. >
  • Pode ser configurada para usar a autenticação multifa factor.
  • São restritos ao diretório em que eles se registram pela primeira vez, que é o diretório da organização.
  • Pode ser importado de seus diretórios locais. Para obter mais informações, consulte Integrar seus diretórios locais ao Azure Active Directory.

Ao entrar no portal do usuário da sua organização, você usa a https://portal.local.azurestack.external URL. Ao entrar no portal Azure Stack Hub de domínios que não sejam aquele usado para registrar Azure Stack Hub, o nome de domínio usado para registrar Azure Stack Hub deve ser anexado à URL do portal. Por exemplo, se Azure Stack Hub tiver sido registrado com o fabrikam.onmicrosoft.com e a conta de usuário fizer logoff for , a URL a ser usada para fazer logoff no portal do usuário admin@contoso.com será: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Usuários convidados

Os usuários convidados são contas de usuário de outros locatários de diretório que tiveram acesso aos recursos em seu diretório. Para dar suporte a usuários convidados, use o Azure AD e habilita o suporte para multienalidade. Quando o suporte está habilitado, você pode convidar usuários convidados para acessar recursos em seu locatário de diretório, o que, por sua vez, permite a colaboração deles com organizações externas.

Para convidar usuários convidados, operadores de nuvem e usuários podem usar a colaboração B2B do Azure AD. Os usuários convidados têm acesso a documentos, recursos e aplicativos de seu diretório e você mantém o controle sobre seus próprios recursos e dados.

Como um usuário convidado, você pode entrar no locatário de diretório de outra organização. Para fazer isso, você anexa o nome do diretório dessa organização à URL do portal. Por exemplo, se você pertencer à organização Contoso e quiser entrar no diretório Fabrikam, use https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Aplicativos

Você pode registrar aplicativos no Azure AD ou AD FS e, em seguida, oferecer os aplicativos aos usuários em sua organização.

Os aplicativos incluem:

  • Aplicativos Web:exemplos incluem portal do Azure e Azure Resource Manager. Eles são suportados por chamadas à API Web.
  • Cliente nativo:exemplos incluem Azure PowerShell, Visual Studio e CLI do Azure.

Os aplicativos podem dar suporte a dois tipos de latência:

  • Locatário único:dá suporte a usuários e serviços somente do mesmo diretório em que o aplicativo está registrado.

    Observação

    Como AD FS dá suporte a apenas um único diretório, os aplicativos que você cria em uma topologia AD FS são, por design, aplicativos de locatário único.

  • Multi-locatário:dá suporte ao uso por usuários e serviços do diretório em que o aplicativo está registrado e diretórios de locatário adicionais. Com aplicativos multi locatários, os usuários de outro diretório de locatário (outro locatário do Azure AD) podem entrar em seu aplicativo.

    Para obter mais informações sobre multilinha, consulte Habilitar multienalidade.

    Para obter mais informações sobre como desenvolver um aplicativo multi locatário, consulte Aplicativos multi-locatário.

Ao registrar um aplicativo, você cria dois objetos:

  • Objeto de aplicativo: a representação global do aplicativo em todos os locatários. Essa relação é um-para-um com o aplicativo de software e existe apenas no diretório em que o aplicativo é registrado pela primeira vez.

  • Objeto de entidade deserviço: uma credencial criada para um aplicativo no diretório em que o aplicativo é registrado pela primeira vez. Uma entidade de serviço também é criada no diretório de cada locatário adicional em que esse aplicativo é usado. Essa relação pode ser um-para-muitos com o aplicativo de software.

Para saber mais sobre objetos de entidade de serviço e aplicativo, consulte Objetos de entidade de serviço e aplicativo no Azure Active Directory.

Entidades de serviço

Uma entidade de serviço é um conjunto de credenciais para um aplicativo ou serviço que concede acesso aos recursos Azure Stack Hub. O uso de uma entidade de serviço separa as permissões do aplicativo das permissões do usuário do aplicativo.

Uma entidade de serviço é criada em cada locatário em que o aplicativo é usado. A entidade de serviço estabelece uma identidade para entrada e acesso a recursos (como usuários) protegidos por esse locatário.

  • Um aplicativo de locatário único tem apenas uma entidade de serviço, que está no diretório em que ele é criado pela primeira vez. Essa entidade de serviço é criada e consente em ser usada durante o registro do aplicativo.
  • Um aplicativo Web multi locatário ou API tem uma entidade de serviço criada em cada locatário em que um usuário desse locatário consente com o uso do aplicativo.

As credenciais para entidades de serviço podem ser uma chave gerada por meio do portal do Azure ou de um certificado. O uso de um certificado é adequado para automação porque os certificados são considerados mais seguros do que as chaves.

Observação

Quando você usa AD FS com Azure Stack Hub, somente o administrador pode criar entidades de serviço. Com AD FS, as entidades de serviço exigem certificados e são criadas por meio do PEP (ponto de extremidade privilegiado). Para obter mais informações, consulte Usar uma identidade de aplicativo para acessar recursos.

Para saber mais sobre entidades de serviço para Azure Stack Hub, consulte Criar entidades de serviço.

Serviços

Os serviços Azure Stack Hub que interagem com o provedor de identidade são registrados como aplicativos com o provedor de identidade. Assim como os aplicativos, o registro permite que um serviço seja autenticado com o sistema de identidade.

Todos os serviços do Azure usam protocolos Conexão OpenID e Tokens Web JSON para estabelecer sua identidade. Como o Azure AD e AD FS usam protocolos de forma consistente, você pode usar a ADAL (Biblioteca de Autenticação do Azure Active Directory) para autenticar localmente ou no Azure (em um cenário conectado). Com a ADAL, você também pode usar ferramentas como Azure PowerShell e CLI do Azure para gerenciamento de recursos entre nuvens e locais.

Identidades e seu sistema de identidade

As identidades para Azure Stack Hub incluem contas de usuário, grupos e entidades de serviço.

Quando você instala Azure Stack Hub, vários aplicativos e serviços integrados se registram automaticamente com seu provedor de identidade no locatário do diretório. Alguns serviços que se registram são usados para administração. Outros serviços estão disponíveis para usuários. Os registros padrão dão identidades de serviços principais que podem interagir entre si e com identidades que você adiciona mais tarde.

Se você configurar o Azure AD com multienancy, alguns aplicativos serão propagados para os novos diretórios.

Autenticação e autorização

Autenticação por aplicativos e usuários

Identidade entre camadas de Azure Stack Hub

Para aplicativos e usuários, a arquitetura do Azure Stack Hub é descrita por quatro camadas. As interações entre cada uma dessas camadas podem usar diferentes tipos de autenticação.

Camada Autenticação entre camadas
Ferramentas e clientes, como o portal do administrador Para acessar ou modificar um recurso no Azure Stack Hub, as ferramentas e os clientes usam um Token Web JSON para fazer uma chamada para Azure Resource Manager.
Azure Resource Manager valida o Token Web JSON e dá uma olhada nas declarações no token emitido para estimar o nível de autorização que o usuário ou a entidade de serviço tem Azure Stack Hub.
Azure Resource Manager e seus principais serviços Azure Resource Manager se comunica com provedores de recursos para transferir a comunicação dos usuários.
As transferências usam chamadas imperativas diretas ou declarativaspor meio Azure Resource Manager modelos.
Provedores de recursos As chamadas passadas aos provedores de recursos são protegidas com autenticação baseada em certificado.
Azure Resource Manager e o provedor de recursos permanecem em comunicação por meio de uma API. Para cada chamada recebida do Azure Resource Manager, o provedor de recursos valida a chamada com esse certificado.
Infraestrutura e lógica de negócios Os provedores de recursos se comunicam com a lógica de negócios e a infraestrutura usando um modo de autenticação de sua escolha. Os provedores de recursos padrão que são fornecidas com Azure Stack Hub usam Windows Autenticação para proteger essa comunicação.

Informações necessárias para autenticação

Autenticar para Azure Resource Manager

Para autenticar com o provedor de identidade e receber um Token Web JSON, você deve ter as seguintes informações:

  1. URL do sistema de identidade (Autoridade): a URL na qual seu provedor de identidade pode ser alcançado. Por exemplo, https://login.windows.net.
  2. URI da IDdo aplicativo Azure Resource Manager: o identificador exclusivo para Azure Resource Manager que está registrado com seu provedor de identidade. Ele também é exclusivo para cada Azure Stack Hub instalação.
  3. Credenciais:a credencial que você usa para autenticar com o provedor de identidade.
  4. URL para Azure Resource Manager:a URL é o local do Azure Resource Manager serviço. Por exemplo, https://management.azure.com ou https://management.local.azurestack.external.

Quando uma entidade de serviço (um cliente, aplicativos ou usuário) faz uma solicitação de autenticação para acessar um recurso, a solicitação deve incluir:

  • As credenciais da entidade de serviço.
  • O URI da ID do aplicativo do recurso que a entidade de entidade deseja acessar.

As credenciais são validadas pelo provedor de identidade. O provedor de identidade também valida que o URI da ID do aplicativo é para um aplicativo registrado e que a entidade de segurança tem os privilégios corretos para obter um token para esse recurso. Se a solicitação for válida, um Token Web JSON será concedido.

Em seguida, o token deve passar o título de uma solicitação para Azure Resource Manager. Azure Resource Manager faz o seguinte, em nenhuma ordem específica:

  • Valida a declaração do emissor (iss) para confirmar se o token é do provedor de identidade correto.
  • Valida a declaração de público-alvo (aud) para confirmar que o token foi emitido para Azure Resource Manager.
  • Valida se o Token Web JSON está assinado com um certificado configurado por meio do OpenID e conhecido como Azure Resource Manager.
  • Revise as declarações emitidas em (iat) e expiração (exp) para confirmar se o token está ativo e pode ser aceito.

Quando todas as validações são concluídas, Azure Resource Manager usa a ID de objeto (oid) e as declarações de grupos para fazer uma lista de recursos que a entidade de entidade pode acessar.

Diagrama do protocolo de troca de tokens

Observação

Após a implantação, Azure Active Directory permissão de administrador global não é necessária. No entanto, algumas operações podem exigir as credenciais de administrador global (por exemplo, um script do instalador do provedor de recursos ou um novo recurso que exige a concessão de uma permissão). Você pode re-instate temporariamente as permissões de administrador global da conta ou usar uma conta de administrador global separada que seja um proprietário da assinatura do provedor padrão.

Usar o controle de acesso baseado em função

Role-Based RBAC (Controle de Acesso) em Azure Stack Hub é consistente com a implementação em Microsoft Azure. Você pode gerenciar o acesso aos recursos atribuindo a função RBAC apropriada a usuários, grupos e aplicativos. Para obter informações sobre como usar o RBAC com Azure Stack Hub, consulte os seguintes artigos:

Autenticar com o Azure PowerShell

Detalhes sobre como usar Azure PowerShell autenticação com Azure Stack Hub podem ser encontrados em Configurar o ambiente do PowerShell do Azure Stack Hub do usuário.

Autenticar com CLI do Azure

Para obter informações sobre como Azure PowerShell autenticar com Azure Stack Hub, consulte Instalar e configurar CLI do Azure para uso com Azure Stack Hub.

Azure Policy

O Azure Policy ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. Por meio de seu painel de conformidade, ele fornece uma exibição agregada para avaliar o estado geral do ambiente, com a capacidade de fazer drill down para granularidade por recurso por política. Ele também ajuda a deixar seus recursos em conformidade por meio da correção em massa de recursos existentes e da correção automática para novos recursos.

Casos de uso comuns do Azure Policy incluem implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. As definições de política para esses casos de uso comuns já estão internas em seu ambiente do Azure para ajudá-lo a começar.

Observação

Azure Policy atualmente não há suporte para Azure Stack Hub.

Azure AD Graph

Microsoft Azure anunciou a preteração do Azure AD Graph em 30 de junho de 2020 e sua data de baixa de 30 de junho de 2022. A Microsoft informou os clientes por email sobre essa alteração. A seção a seguir descreve como essa preteração afeta Azure Stack Hub.

A equipe Azure Stack Hub está trabalhando em estreita contato com a equipe do Azure Graph para garantir que seus sistemas continuem funcionando além de 30 de junho de 2022, se necessário, para garantir uma transição suave. A ação mais importante é garantir que você está em conformidade com a Azure Stack Hub de manutenção. Os clientes receberão um alerta no portal do administrador do Azure Stack Hub e serão necessários para atualizar o diretório 1 e todos os diretórios convidados integrados.

A maioria da migração em si será feita pela experiência de atualização integrada do sistema; Haverá uma etapa manual exigida pelos clientes para conceder novas permissões a esses aplicativos, o que exigirá permissões de administrador global em cada diretório do Azure AD usado com seus ambientes de Azure Stack Hub. Depois que o pacote de atualização com essas alterações terminar de ser instalado, um alerta será gerado no portal de administração, direcionando você para concluir esta etapa usando nossa interface do usuário de multi-alocação ou scripts do PowerShell (essa é a mesma operação que você executa ao integração de diretórios ou provedores de recursos adicionais; mais informações podem ser encontradas aqui.)

Se você usar AD FS como seu sistema de identidade com Azure Stack Hub, essas Graph alterações não afetarão o sistema diretamente. No entanto, as versões mais recentes de ferramentas como CLI do Azure, Azure PowerShell etc. exigirão as novas APIs de Graph e não funcionarão. Certifique-se de usar apenas as versões dessas ferramentas que têm suporte explícito com o build Azure Stack Hub determinado. Este artigo será atualizado no futuro e lista as versões de ferramentas com suporte para Azure Stack Hub para AD FS.

Além do alerta no portal de administração, comunicaremos as alterações por meio das notas de versão de atualização e comunicaremos qual pacote de atualização requer a atualização do diretório básico e de todos os diretórios convidados integrados.

Próximas etapas