Identitetsarkitektur för Azure Stack Hub

När du väljer en identitetsprovider som ska användas med Azure Stack Hub bör du förstå de viktiga skillnaderna mellan alternativen för Azure Active Directory (Azure AD) och Active Directory Federation Services (AD FS) (AD FS).

Funktioner och begränsningar

Identitetsprovidern som du väljer kan begränsa dina alternativ, inklusive stöd för flera innehavare.

Kapacitet eller scenario Azure AD AD FS
Ansluten till Internet Ja Valfritt
Stöd för flera innehavare Ja Inga
Erbjudandeobjekt på Marketplace Yes Ja (kräver användning av offlineverktyget för Marketplace Syndication )
Stöd för Active Directory Authentication Library (ADAL) Ja Ja
Stöd för verktyg som Azure CLI, Visual Studio och PowerShell Ja Ja
Skapa tjänstens huvudnamn via Azure Portal Ja Inga
Skapa tjänstens huvudnamn med certifikat Ja Ja
Skapa tjänstens huvudnamn med hemligheter (nycklar) Ja Ja
Program kan använda Graph-tjänsten Ja Inga
Program kan använda identitetsprovider för inloggning Yes Ja (kräver att appar federeras med lokala AD FS-instanser)
Hanterade identiteter Inga Inga

Topologier

I följande avsnitt beskrivs de olika identitetstopologier som du kan använda.

Azure AD: topologi med en enda klientorganisation

När du installerar Azure Stack Hub och använder Azure AD använder Azure Stack Hub som standard en topologi med en enda klient.

En topologi med en klientorganisation är användbar när:

  • Alla användare ingår i samma klientorganisation.
  • En tjänstleverantör är värd för en Azure Stack Hub-instans för en organisation.

Azure Stack Hub single-tenant topology with Azure AD

Den här topologin har följande egenskaper:

  • Azure Stack Hub registrerar alla appar och tjänster i samma Azure AD-klientkatalog.
  • Azure Stack Hub autentiserar endast användare och appar från den katalogen, inklusive token.
  • Identiteter för administratörer (molnoperatörer) och klientanvändare finns i samma katalogklientorganisation.
  • Om du vill göra det möjligt för en användare från en annan katalog att komma åt den här Azure Stack Hub-miljön måste du bjuda in användaren som gäst till klientkatalogen.

Azure AD: topologi för flera klientorganisationer

Molnoperatörer kan konfigurera Azure Stack Hub för att tillåta åtkomst till appar av klientorganisationer från en eller flera organisationer. Användare får åtkomst till appar via Azure Stack Hub-användarportalen. I den här konfigurationen är administratörsportalen (som används av molnoperatören) begränsad till användare från en enda katalog.

En topologi med flera klientorganisationer är användbar när:

  • En tjänstleverantör vill tillåta användare från flera organisationer att få åtkomst till Azure Stack Hub.

Azure Stack Hub multi-tenant topology with Azure AD

Den här topologin har följande egenskaper:

  • Åtkomst till resurser bör ske per organisation.
  • Användare från en organisation bör inte kunna bevilja åtkomst till resurser till användare utanför organisationen.
  • Identiteter för administratörer (molnoperatörer) kan finnas i en separat katalogklientorganisation från identiteterna för användare. Den här separationen ger kontoisolering på identitetsprovidernivå.

AD FS

AD FS-topologin krävs när något av följande villkor är sant:

  • Azure Stack Hub ansluter inte till Internet.
  • Azure Stack Hub kan ansluta till Internet, men du väljer att använda AD FS för din identitetsprovider.

Azure Stack Hub topology using AD FS

Den här topologin har följande egenskaper:

  • För att stödja användningen av den här topologin i produktion måste du integrera den inbyggda Azure Stack Hub AD FS-instansen med en befintlig AD FS-instans som backas upp av Active Directory via ett federationsförtroende.

  • Du kan integrera Graph-tjänsten i Azure Stack Hub med din befintliga Active Directory-instans. Du kan också använda den OData-baserade Graph API-tjänsten som stöder API:er som är konsekventa med Azure AD-Graph API.

    För att interagera med din Active Directory-instans kräver Graph API en användarautentiseringsuppgift med skrivskyddad behörighet till din Active Directory-instans och åtkomst:

    • Den inbyggda AD FS-instansen.
    • Dina AD FS- och Active Directory-instanser, som måste baseras på Windows Server 2012 eller senare.

    Mellan din Active Directory-instans och den inbyggda AD FS-instansen är interaktioner inte begränsade till OpenID-Anslut och de kan använda alla protokoll som stöds ömsesidigt.

    • Användarkonton skapas och hanteras i din lokal Active Directory-instans.
    • Tjänstens huvudnamn och registreringar för appar hanteras i den inbyggda Active Directory-instansen.

Nästa steg