Arquitetura de identidade para Azure Stack Hub

Ao escolher um fornecedor de identidade para utilizar com o Azure Stack Hub, deve entender as diferenças importantes entre as opções de Azure Ative Directory (Azure AD) e Serviços da Federação de Diretórios Ativos (AD FS).

Capacidades e limitações

O fornecedor de identidade que escolher pode limitar as suas opções, incluindo suporte para vários arrendamentos.

Capacidade ou cenário Azure AD AD FS
Ligado à internet Yes Opcional
Apoio a vários arrendamentos Yes No
Oferecer itens no Mercado Yes Sim (requer a utilização da ferramenta de sindicalização offline Marketplace)
Suporte para Biblioteca de Autenticação de Diretório Ativo (ADAL) Yes Yes
Suporte para ferramentas como Azure CLI, Visual Studio e PowerShell Yes Yes
Criar diretores de serviço através do portal Azure Yes No
Criar princípios de serviço com certificados Yes Yes
Criar princípios de serviço com segredos (chaves) Yes Yes
As aplicações podem usar o serviço Graph Yes No
As aplicações podem usar o fornecedor de identidade para iniciar sismo Yes Sim (requer aplicações para federar com instâncias AD FS no local)
Identidades geridas do sistema No No

Topologias

As secções seguintes discutem as diferentes topologias de identidade que pode utilizar.

Azure AD: topologia de inquilino único

Por padrão, quando instala o Azure Stack Hub e utiliza o Azure AD, o Azure Stack Hub utiliza uma topologia de um único inquilino.

Uma topologia de um único inquilino é útil quando:

  • Todos os utilizadores fazem parte do mesmo inquilino.
  • Um prestador de serviços acolhe uma instância do Azure Stack Hub para uma organização.

Topologia de inquilino único do Azure Stack Hub com Azure AD

Esta topologia apresenta as seguintes características:

  • O Azure Stack Hub regista todas as aplicações e serviços para o mesmo diretório de inquilinos Azure AD.
  • O Azure Stack Hub autentica apenas os utilizadores e aplicações desse diretório, incluindo fichas.
  • As identidades dos administradores (operadores de nuvem) e dos utilizadores de inquilinos estão no mesmo inquilino do diretório.
  • Para permitir que um utilizador de outro diretório aceda a este ambiente Azure Stack Hub, deve convidar o utilizador como hóspede para o diretório de inquilinos.

Azure AD: topologia multi-inquilino

Os operadores de nuvem podem configurar o Azure Stack Hub para permitir o acesso a aplicações por inquilinos de uma ou mais organizações. Os utilizadores acedem a aplicações através do portal de utilizadores do Azure Stack Hub. Nesta configuração, o portal do administrador (utilizado pelo operador da nuvem) limita-se aos utilizadores a partir de um único diretório.

Uma topologia multi-inquilino é útil quando:

  • Um prestador de serviços quer permitir que os utilizadores de várias organizações acedam ao Azure Stack Hub.

Topologia multi-inquilino Azure Stack Hub com Azure AD

Esta topologia apresenta as seguintes características:

  • O acesso aos recursos deve ser por organização.
  • Os utilizadores de uma organização devem não poder conceder acesso aos recursos aos utilizadores que estão fora da sua organização.
  • As identidades dos administradores (operadores de nuvem) podem estar num inquilino separado das identidades dos utilizadores. Esta separação proporciona isolamento de conta ao nível do fornecedor de identidade.

AD FS

A topologia da AD FS é necessária quando qualquer uma das seguintes condições é verdadeira:

  • O Azure Stack Hub não se liga à internet.
  • O Azure Stack Hub pode ligar-se à internet, mas opta por utilizar O FS AD para o seu fornecedor de identidade.

Topologia do Hub Azure Stack usando AD FS

Esta topologia apresenta as seguintes características:

  • Para apoiar o uso desta topologia na produção, você deve integrar o exemplo Azure Stack Hub AD FS incorporado com um caso AD FS existente que é apoiado pelo Ative Directory, através de um fundo da federação.

  • Pode integrar o serviço de Graph no Azure Stack Hub com a sua instância ative de Diretório existente. Também pode utilizar o serviço API Graph baseado em OData que suporta APIs que são consistentes com a AD AZure Graph API.

    Para interagir com a sua instância ative, a API Graph requer uma credencial do utilizador com permissão apenas de leitura para a sua instância ative, e acede:

    • O caso incorporado da AD FS.
    • As suas instâncias de AD FS e Ative Directory, que devem basear-se em Windows Server 2012 ou posteriormente.

    Entre a sua instância ative De diretório e a instância de FS AD incorporada, as interações não se restringem ao openID Ligação, e podem usar qualquer protocolo apoiado mutuamente.

    • As contas de utilizador são criadas e geridas no seu caso ative directy no local.
    • Os principais serviços e registos de apps são geridos no caso do Diretório Ativo incorporado.

Passos seguintes