Arquitetura de identidade para Azure Stack HubIdentity architecture for Azure Stack Hub

Ao escolher um fornecedor de identidade para utilizar com o Azure Stack Hub, deve entender as diferenças importantes entre as opções de Azure Ative Directory (Azure AD) e Ative Directory Federation Services (AD FS).When choosing an identity provider to use with Azure Stack Hub, you should understand the important differences between the options of Azure Active Directory (Azure AD) and Active Directory Federation Services (AD FS).

Capacidades e limitaçõesCapabilities and limitations

O fornecedor de identidade que escolher pode limitar as suas opções, incluindo suporte para vários arrendamentos.The identity provider that you choose can limit your options, including support for multi-tenancy.

Capacidade ou cenárioCapability or scenario Azure ADAzure AD AD FSAD FS
Ligado à internetConnected to the internet YesYes OpcionalOptional
Apoio a vários arrendamentosSupport for multi-tenancy YesYes NoNo
Oferecer itens no MercadoOffer items in the Marketplace YesYes Sim (requer a utilização da ferramenta offline Marketplace Syndication)Yes (requires use of the offline Marketplace Syndication tool)
Suporte para Biblioteca de Autenticação de Diretório Ativo (ADAL)Support for Active Directory Authentication Library (ADAL) YesYes YesYes
Suporte para ferramentas como Azure CLI, Visual Studio e PowerShellSupport for tools such as Azure CLI, Visual Studio, and PowerShell YesYes YesYes
Criar diretores de serviço através do portal AzureCreate service principals through the Azure portal YesYes NoNo
Criar princípios de serviço com certificadosCreate service principals with certificates YesYes YesYes
Criar princípios de serviço com segredos (chaves)Create service principals with secrets (keys) YesYes YesYes
As aplicações podem usar o serviço GraphApplications can use the Graph service YesYes NoNo
As aplicações podem usar o fornecedor de identidade para iniciar sismoApplications can use identity provider for sign-in YesYes Sim (requer aplicações para federar com instâncias AD FS no local)Yes (requires apps to federate with on-premises AD FS instances)
Identidades geridas do sistemaManaged System Identities NoNo NoNo

TopologiasTopologies

As secções seguintes discutem as diferentes topologias de identidade que pode utilizar.The following sections discuss the different identity topologies that you can use.

Azure AD: topologia de inquilino únicoAzure AD: single-tenant topology

Por padrão, quando instala o Azure Stack Hub e utiliza o Azure AD, o Azure Stack Hub utiliza uma topologia de um único inquilino.By default, when you install Azure Stack Hub and use Azure AD, Azure Stack Hub uses a single-tenant topology.

Uma topologia de um único inquilino é útil quando:A single-tenant topology is useful when:

  • Todos os utilizadores fazem parte do mesmo inquilino.All users are part of the same tenant.
  • Um prestador de serviços acolhe uma instância do Azure Stack Hub para uma organização.A service provider hosts an Azure Stack Hub instance for an organization.

Topologia de inquilino único do Azure Stack Hub com Azure AD

Esta topologia apresenta as seguintes características:This topology features the following characteristics:

  • O Azure Stack Hub regista todas as aplicações e serviços para o mesmo diretório de inquilinos Azure AD.Azure Stack Hub registers all apps and services to the same Azure AD tenant directory.
  • O Azure Stack Hub autentica apenas os utilizadores e aplicações desse diretório, incluindo fichas.Azure Stack Hub authenticates only the users and apps from that directory, including tokens.
  • As identidades dos administradores (operadores de nuvem) e dos utilizadores de inquilinos estão no mesmo inquilino do diretório.Identities for administrators (cloud operators) and tenant users are in the same directory tenant.
  • Para permitir que um utilizador de outro diretório aceda a este ambiente Azure Stack Hub, você deve convidar o utilizador como hóspede para o diretório do inquilino.To enable a user from another directory to access this Azure Stack Hub environment, you must invite the user as a guest to the tenant directory.

Azure AD: topologia multi-inquilinoAzure AD: multi-tenant topology

Os operadores de nuvem podem configurar o Azure Stack Hub para permitir o acesso a aplicações por inquilinos de uma ou mais organizações.Cloud operators can configure Azure Stack Hub to allow access to apps by tenants from one or more organizations. Os utilizadores acedem a aplicações através do portal de utilizadores do Azure Stack Hub.Users access apps through the Azure Stack Hub user portal. Nesta configuração, o portal do administrador (utilizado pelo operador de nuvem) está limitado aos utilizadores a partir de um único diretório.In this configuration, the administrator portal (used by the cloud operator) is limited to users from a single directory.

Uma topologia multi-inquilino é útil quando:A multi-tenant topology is useful when:

  • Um prestador de serviços quer permitir que os utilizadores de várias organizações acedam ao Azure Stack Hub.A service provider wants to allow users from multiple organizations to access Azure Stack Hub.

Topologia multi-inquilino Azure Stack Hub com Azure AD

Esta topologia apresenta as seguintes características:This topology features the following characteristics:

  • O acesso aos recursos deve ser por organização.Access to resources should be on a per-organization basis.
  • Os utilizadores de uma organização devem não poder conceder acesso aos recursos aos utilizadores que estão fora da sua organização.Users from one organization should be unable to grant access to resources to users who are outside their organization.
  • As identidades dos administradores (operadores de nuvem) podem estar num inquilino separado das identidades dos utilizadores.Identities for administrators (cloud operators) can be in a separate directory tenant from the identities for users. Esta separação proporciona o isolamento da conta ao nível do fornecedor de identidade.This separation provides account isolation at the identity provider level.

AD FSAD FS

A topologia da AD FS é necessária quando qualquer uma das seguintes condições é verdadeira:The AD FS topology is required when either of the following conditions is true:

  • O Azure Stack Hub não se liga à internet.Azure Stack Hub doesn't connect to the internet.
  • O Azure Stack Hub pode ligar-se à internet, mas opta por utilizar O FS AD para o seu fornecedor de identidade.Azure Stack Hub can connect to the internet, but you choose to use AD FS for your identity provider.

Topologia do Hub Azure Stack usando AD FS

Esta topologia apresenta as seguintes características:This topology features the following characteristics:

  • Para apoiar o uso desta topologia na produção, você deve integrar o exemplo Azure Stack Hub AD FS incorporado com um caso AD FS existente que é apoiado pelo Ative Directory, através de um fundo da federação.To support the use of this topology in production, you must integrate the built-in Azure Stack Hub AD FS instance with an existing AD FS instance that's backed by Active Directory, through a federation trust.

  • Pode integrar o serviço Graph no Azure Stack Hub com a sua instância ative de Diretório existente.You can integrate the Graph service in Azure Stack Hub with your existing Active Directory instance. Também pode utilizar o serviço API de gráfico baseado em OData que suporta APIs que são consistentes com a Azure AD Graph API.You can also use the OData-based Graph API service that supports APIs that are consistent with the Azure AD Graph API.

    Para interagir com a sua instância ative Directory, a API do Gráfico requer credenciais de utilizador a partir da sua instância ative Directory que tenham permissões apenas de leitura.To interact with your Active Directory instance, the Graph API requires user credentials from your Active Directory instance that have read-only permissions.

    • A instância de AD FS incorporada baseia-se no Windows Server 2016.The built-in AD FS instance is based on Windows Server 2016.
    • As suas instâncias de AD FS e Ative Directory devem basear-se no Windows Server 2012 ou posteriormente.Your AD FS and Active Directory instances must be based on Windows Server 2012 or later.

    Entre a sua instância ative De diretório e a instância de FS AD incorporada, as interações não se restringem ao OpenID Connect, e podem usar qualquer protocolo apoiado mutuamente.Between your Active Directory instance and the built-in AD FS instance, interactions aren't restricted to OpenID Connect, and they can use any mutually supported protocol.

    • As contas de utilizador são criadas e geridas no seu caso ative directy.User accounts are created and managed in your on-premises Active Directory instance.
    • Os principais serviços e registos de apps são geridos no caso do Diretório Ativo incorporado.Service principals and registrations for apps are managed in the built-in Active Directory instance.

Passos seguintesNext steps