Azure Stack Hub için kimlik sağlayıcılarına genel bakış

Azure Stack Hub, kimlik sağlayıcısı olarak Active Directory tarafından yedeklenen Azure Active Directory (Azure AD) veya Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gerektirir. Sağlayıcı seçimi, Azure Stack Hub'ı ilk kez dağıtırken tek seferlik bir karardır. Bu makaledeki kavramlar ve yetkilendirme ayrıntıları, kimlik sağlayıcıları arasında seçim yapmanıza yardımcı olabilir.

Azure AD veya AD FS seçiminiz, Azure Stack Hub'ı dağıttığınız moda göre belirlenir:

  • Bağlı modda dağıttığınızda Azure AD veya AD FS kullanabilirsiniz.
  • İnternet bağlantısı olmadan bağlantıyı kesme modunda dağıttığınızda yalnızca AD FS desteklenir.

Azure Stack Hub ortamınıza bağlı olan seçenekleriniz hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Önemli

Azure AD Graph kullanımdan kaldırılıyor ve 30 Haziran 2022'de kullanımdan kaldırılacak. Daha fazla bilgi için bu bölüme bakın.

Kimlik sağlayıcıları için yaygın kavramlar

Sonraki bölümlerde kimlik sağlayıcıları ve Azure Stack Hub'daki kullanımları hakkındaki yaygın kavramlar ele alınmaktadır.

Terminology for identity providers

Dizin kiracıları ve kuruluşlar

Dizin, kullanıcılar, uygulamalar, gruplar ve hizmet sorumluları hakkında bilgi tutan bir kapsayıcıdır.

Dizin kiracısı, Microsoft veya kendi şirketiniz gibi bir kuruluştır.

  • Azure AD birden çok kiracıyı destekler ve her biri kendi dizininde yer alan birden çok kuruluşu destekleyebilir. Azure AD kullanıyorsanız ve birden çok kiracınız varsa, bir kiracıdan uygulama ve kullanıcılara aynı dizinin diğer kiracılarına erişim vekleyebilirsiniz.
  • AD FS yalnızca tek bir kiracıyı ve dolayısıyla tek bir kuruluşu destekler.

Kullanıcılar ve gruplar

Kullanıcı hesapları (kimlikler), bir kullanıcı kimliği ve parola kullanarak kişilerin kimliğini doğrulayan standart hesaplardır. Gruplar kullanıcıları veya diğer grupları içerebilir.

Kullanıcıları ve grupları oluşturma ve yönetme şekliniz, kullandığınız kimlik çözümüne bağlıdır.

Azure Stack Hub'da kullanıcı hesapları:

  • username@domain biçiminde oluşturulur. AD FS, kullanıcı hesaplarını bir Active Directory örneğine eşlese de, AD FS \<etkialanı>\<diğer ad> biçiminin kullanımını desteklemez.
  • Çok faktörlü kimlik doğrulamasını kullanacak şekilde ayarlanabilir.
  • İlk kaydettikleri dizinle sınırlıdır ve bu da kuruluşlarının dizinidir.
  • Şirket içi dizinlerinizden içeri aktarılabilir. Daha fazla bilgi için bkz. Şirket içi dizinlerinizi Azure Active Directory ile tümleştirme.

Kuruluşunuzun kullanıcı portalında oturum açtığınızda URL'yi https://portal.local.azurestack.external kullanırsınız. Azure Stack Hub'ı kaydetmek için kullanılan dışındaki etki alanlarından Azure Stack Hub portalında oturum açarken, Azure Stack Hub'ı kaydetmek için kullanılan etki alanı adının portal url'sine eklenmesi gerekir. Örneğin, Azure Stack Hub fabrikam.onmicrosoft.com ile kaydedildiyse ve oturum açan kullanıcı hesabı ise admin@contoso.com, kullanıcı portalında oturum açmak için kullanılacak URL şöyle olacaktır: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Konuk kullanıcılar

Konuk kullanıcılar, dizininizdeki kaynaklara erişim izni verilmiş diğer dizin kiracılarından gelen kullanıcı hesaplarıdır. Konuk kullanıcıları desteklemek için Azure AD'yi kullanır ve çoklu kiracı desteğini etkinleştirirsiniz. Destek etkinleştirildiğinde, konuk kullanıcıları dizin kiracınızdaki kaynaklara erişmeye davet edebilirsiniz ve bu da dış kuruluşlarla işbirliğine olanak tanır.

Konuk kullanıcıları davet etmek için bulut operatörleri ve kullanıcılar Azure AD B2B işbirliğini kullanabilir. Davet edilen kullanıcılar dizininizden belgelere, kaynaklara ve uygulamalara erişim elde eder ve kendi kaynaklarınız ve verileriniz üzerinde denetim sahibi olursunuz.

Konuk kullanıcı olarak, başka bir kuruluşun dizin kiracısında oturum açabilirsiniz. Bunu yapmak için bu kuruluşun dizin adını portal URL'sine eklersiniz. Örneğin, Contoso kuruluşuna aitseniz ve Fabrikam dizininde oturum açmak istiyorsanız https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Uygulamalar

Uygulamaları Azure AD veya AD FS'ye kaydedebilir ve ardından uygulamaları kuruluşunuzdaki kullanıcılara sunabilirsiniz.

Uygulamalar şunlardır:

  • Web uygulamaları: Örnekler arasında Azure portal ve Azure Resource Manager yer alır. Web API çağrılarını destekler.
  • Yerel istemci: Örnek olarak Azure PowerShell, Visual Studio ve Azure CLI verilebilir.

Uygulamalar iki kiracı türünü destekleyebilir:

  • Tek kiracılı: Yalnızca uygulamanın kayıtlı olduğu dizindeki kullanıcıları ve hizmetleri destekler.

    Not

    AD FS yalnızca tek bir dizini desteklediği için, AD FS topolojisinde oluşturduğunuz uygulamalar tasarım gereği tek kiracılı uygulamalardır.

  • Çok kiracılı: Hem uygulamanın kayıtlı olduğu dizinden hem de ek kiracı dizinlerinden kullanıcılar ve hizmetler tarafından kullanımı destekler. Çok kiracılı uygulamalarla, başka bir kiracı dizininin (başka bir Azure AD kiracısı) kullanıcıları uygulamanızda oturum açabilir.

    Çok kiracılılık hakkında daha fazla bilgi için bkz. Çoklu kiracıyı etkinleştirme.

    Çok kiracılı uygulama geliştirme hakkında daha fazla bilgi için bkz. Çok kiracılı uygulamalar.

Bir uygulamayı kaydettiğinizde iki nesne oluşturursunuz:

  • Uygulama nesnesi: Uygulamanın tüm kiracılar genelindeki genel gösterimi. Bu ilişki yazılım uygulamasıyla bire bir ilişkidir ve yalnızca uygulamanın ilk kaydedildiği dizinde bulunur.

  • Hizmet sorumlusu nesnesi: Uygulamanın ilk kaydedildiği dizindeki bir uygulama için oluşturulan kimlik bilgisi. Bu uygulamanın kullanıldığı her ek kiracının dizininde bir hizmet sorumlusu da oluşturulur. Bu ilişki yazılım uygulamasıyla bire çok olabilir.

Uygulama ve hizmet sorumlusu nesneleri hakkında daha fazla bilgi edinmek için bkz. Azure Active Directory'de uygulama ve hizmet sorumlusu nesneleri.

Hizmet sorumluları

Hizmet sorumlusu, Azure Stack Hub'daki kaynaklara erişim izni veren bir uygulama veya hizmetin kimlik bilgileri kümesidir. Hizmet sorumlusunun kullanılması, uygulama izinlerini uygulama kullanıcısının izinlerinden ayırır.

Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, oturum açma ve söz konusu kiracı tarafından güvenliği sağlanan kaynaklara (kullanıcılar gibi) erişim için bir kimlik oluşturur.

  • Tek kiracılı bir uygulama, ilk oluşturulduğu dizinde yer alan tek bir hizmet sorumlusuna sahiptir. Bu hizmet sorumlusu oluşturulur ve uygulamanın kaydı sırasında kullanılmasını onaylar.
  • Çok kiracılı bir web uygulamasının veya API'sinin her kiracıda oluşturulmuş bir hizmet sorumlusu vardır ve bu kiracıdaki bir kullanıcı uygulamanın kullanımına onay verir.

Hizmet sorumluları için kimlik bilgileri, Azure portal veya sertifika aracılığıyla oluşturulan bir anahtar olabilir. Sertifikalar anahtarlardan daha güvenli olarak kabul edildiğinden, sertifika kullanımı otomasyon için uygundur.

Not

AD FS'yi Azure Stack Hub ile kullandığınızda, hizmet sorumlularını yalnızca yönetici oluşturabilir. AD FS ile hizmet sorumluları sertifika gerektirir ve ayrıcalıklı uç nokta (PEP) aracılığıyla oluşturulur. Daha fazla bilgi için bkz. Kaynaklara erişmek için uygulama kimliği kullanma.

Azure Stack Hub hizmet sorumluları hakkında bilgi edinmek için bkz. Hizmet sorumluları oluşturma.

Hizmetler

Azure Stack Hub'da kimlik sağlayıcısıyla etkileşim kuran hizmetler, kimlik sağlayıcısına uygulama olarak kaydedilir. Uygulamalar gibi kayıt da bir hizmetin kimlik sistemiyle kimlik doğrulamasına olanak tanır.

Tüm Azure hizmetleri kimliklerini oluşturmak için OpenID Bağlanprotokollerini ve JSON Web Belirteçlerini kullanır. Azure AD ve AD FS protokolleri tutarlı bir şekilde kullandığından, şirket içinde veya Azure'da (bağlı bir senaryoda) kimlik doğrulaması yapmak için Azure Active Directory Kimlik Doğrulama Kitaplığı(ADAL) kullanabilirsiniz. ADAL ile bulutlar arası ve şirket içi kaynak yönetimi için Azure PowerShell ve Azure CLI gibi araçları da kullanabilirsiniz.

Kimlikler ve kimlik sisteminiz

Azure Stack Hub kimlikleri kullanıcı hesaplarını, grupları ve hizmet sorumlularını içerir.

Azure Stack Hub'ı yüklediğinizde, birkaç yerleşik uygulama ve hizmet dizin kiracısında kimlik sağlayıcınıza otomatik olarak kaydedilir. Kaydolan bazı hizmetler yönetim için kullanılır. Diğer hizmetler kullanıcılar tarafından kullanılabilir. Varsayılan kayıtlar, hem birbirleriyle hem de daha sonra eklediğiniz kimliklerle etkileşim kurabilen temel hizmet kimlikleri sağlar.

Azure AD'yi çok kiracılı olarak ayarlarsanız, bazı uygulamalar yeni dizinlere yayılır.

Kimlik doğrulaması ve yetkilendirme

Uygulamalar ve kullanıcılar tarafından kimlik doğrulaması

Identity between layers of Azure Stack Hub

Uygulamalar ve kullanıcılar için Azure Stack Hub mimarisi dört katmanla açıklanmıştır. Bu katmanların her biri arasındaki etkileşimler farklı kimlik doğrulama türlerini kullanabilir.

Katman Katmanlar arasında kimlik doğrulaması
Yöneticiler portalı gibi araçlar ve istemciler Azure Stack Hub'daki bir kaynağa erişmek veya bunları değiştirmek için araçlar ve istemciler, Azure Resource Manager çağrısı yapmak için JSON Web Belirteci kullanır.
Azure Resource Manager, kullanıcının veya hizmet sorumlusunun Azure Stack Hub'da sahip olduğu yetkilendirme düzeyini tahmin etmek için JSON Web Belirtecini doğrular ve verilen belirteçteki taleplere bakar.
Azure Resource Manager ve temel hizmetleri Azure Resource Manager, kullanıcılardan gelen iletişimi aktarmak için kaynak sağlayıcılarıyla iletişim kurar.
Aktarımlar, Azure Resource Manager şablonları aracılığıyla doğrudan kesinlik temelli çağrılar veya bildirim temelli çağrılar kullanır.
Kaynak sağlayıcıları Kaynak sağlayıcılarına geçirilen çağrıların güvenliği sertifika tabanlı kimlik doğrulamasıyla sağlanır.
Azure Resource Manager ve kaynak sağlayıcısı daha sonra bir API aracılığıyla iletişim halinde kalır. Azure Resource Manager'dan alınan her çağrı için kaynak sağlayıcısı bu sertifikayla çağrıyı doğrular.
Altyapı ve iş mantığı Kaynak sağlayıcıları, tercih ettikleri bir kimlik doğrulama modunu kullanarak iş mantığı ve altyapısıyla iletişim kurar. Azure Stack Hub ile birlikte gönderilen varsayılan kaynak sağlayıcıları, bu iletişimin güvenliğini sağlamak için Windows Kimlik Doğrulaması kullanır.

Information needed for authentication

Azure Resource Manager kimlik doğrulaması

Kimlik sağlayıcısıyla kimlik doğrulaması yapmak ve bir JSON Web Belirteci almak için aşağıdaki bilgilere sahip olmanız gerekir:

  1. Kimlik sisteminin (Yetkili) URL'si: Kimlik sağlayıcınıza ulaşabileceğiniz URL. Örneğin, https://login.windows.net.
  2. Azure Resource Manager için Uygulama Kimliği URI'si: Kimlik sağlayıcınıza kayıtlı Azure Resource Manager benzersiz tanımlayıcısı. Ayrıca her Azure Stack Hub yüklemesi için benzersizdir.
  3. Kimlik bilgileri: Kimlik sağlayıcısıyla kimlik doğrulaması yapmak için kullandığınız kimlik bilgisi.
  4. Azure Resource Manager URL'si: URL, Azure Resource Manager hizmetinin konumudur. Örneğin https://management.azure.com veya https://management.local.azurestack.external olabilir.

Sorumlu (istemci, uygulama veya kullanıcı) bir kaynağa erişmek için kimlik doğrulama isteğinde bulunursa, istek şunları içermelidir:

  • Sorumlunun kimlik bilgileri.
  • Sorumlunun erişmek istediği kaynağın uygulama kimliği URI'si.

Kimlik bilgileri kimlik sağlayıcısı tarafından doğrulanır. Kimlik sağlayıcısı ayrıca uygulama kimliği URI'sinin kayıtlı bir uygulama için olduğunu ve sorumlunun bu kaynak için belirteç almak için doğru ayrıcalıklara sahip olduğunu doğrular. İstek geçerliyse bir JSON Web Belirteci verilir.

Belirtecin daha sonra isteğin üst bilgisini Azure Resource Manager geçirmesi gerekir. Azure Resource Manager aşağıdakileri belirli bir sırayla yapmaz:

  • Belirtecin doğru kimlik sağlayıcısından geldiğini onaylamak için veren (iss) iddiasını doğrular.
  • Belirtecin Azure Resource Manager'a verildiğini onaylamak için hedef kitle (aud) iddiasını doğrular.
  • JSON Web Belirtecinin OpenID aracılığıyla yapılandırılan ve Azure Resource Manager tarafından bilinen bir sertifikayla imzalandığını doğrular.
  • Belirtecin etkin olduğunu ve kabul edilebileceğini onaylamak için (iat) ve süre sonu (exp) taleplerinde verilenleri gözden geçirin.

Tüm doğrulamalar tamamlandığında, Azure Resource Manager nesne kimliğini (oid) kullanır ve grupların talepleri sorumlunun erişebileceği kaynakların listesini oluşturur.

Diagram of the token exchange protocol

Not

Dağıtımdan sonra Azure Active Directory genel yönetici izni gerekmez. Ancak bazı işlemler için genel yönetici kimlik bilgileri (örneğin, kaynak sağlayıcısı yükleyici betiği veya izin verilmesini gerektiren yeni bir özellik) gerekebilir. Hesabın genel yönetici izinlerini geçici olarak yeniden kullanabilir veya varsayılan sağlayıcı aboneliğinin sahibi olan ayrı bir genel yönetici hesabı kullanabilirsiniz.

Role-Based Access Control kullanma

Azure Stack Hub'daki Role-Based Access Control (RBAC), Microsoft Azure'daki uygulamayla tutarlıdır. Kullanıcılara, gruplara ve uygulamalara uygun RBAC rolünü atayarak kaynaklara erişimi yönetebilirsiniz. RBAC'yi Azure Stack Hub ile kullanma hakkında bilgi için aşağıdaki makalelere bakın:

Azure PowerShell ile kimlik doğrulaması

Azure Stack Hub ile kimlik doğrulaması yapmak için Azure PowerShell kullanma hakkındaki ayrıntılar Azure Stack Hub kullanıcısının PowerShell ortamını yapılandırma makalesinde bulunabilir.

Azure CLI ile kimlik doğrulaması

Azure Stack Hub ile kimlik doğrulaması yapmak için Azure PowerShell kullanma hakkında bilgi için bkz. Azure Stack Hub ile kullanmak üzere Azure CLI'yi yükleme ve yapılandırma.

Azure İlkesi

Azure İlkesi, kuruluş standartlarını zorunlu kılmaya ve uygun ölçekte uyumluluğu değerlendirmeye yardımcı olur. Uyumluluk panosu aracılığıyla, kaynak başına, ilke başına ayrıntı düzeyinde detaya gitme özelliğiyle ortamın genel durumunu değerlendirmek için toplu bir görünüm sağlar. Ayrıca mevcut kaynaklar için toplu düzeltme ve yeni kaynaklar için otomatik düzeltme yoluyla kaynaklarınızı uyumlu hale getirmenize de yardımcı olur.

Azure İlkesi için yaygın kullanım örnekleri arasında kaynak tutarlılığı, mevzuat uyumluluğu, güvenlik, maliyet ve yönetim için idarenin uygulanması yer alır. Bu yaygın kullanım örneklerine yönelik ilke tanımları, kullanmaya başlamanıza yardımcı olmak için Azure ortamınızda zaten yerleşik olarak bulunur.

Not

Azure İlkesi şu anda Azure Stack Hub'da desteklenmiyor.

Azure AD Graph

Microsoft Azure, Azure AD Graph'nin 30 Haziran 2020'de kullanımdan kaldırıldığını ve 30 Haziran 2022'de kullanımdan kaldırıldığını duyurdu. Microsoft, müşterileri bu değişiklik hakkında e-posta yoluyla bilgilendirmiştir. Aşağıdaki bölümde bu kullanımdan kaldırma işleminin Azure Stack Hub'ı nasıl etkilediği açıklanmaktadır.

Azure Stack Hub ekibi, sorunsuz bir geçiş sağlamak amacıyla sistemlerinizin gerekirse 30 Haziran 2022'nin ötesinde çalışmaya devam etmesini sağlamak için Azure Graph ekibiyle yakın bir şekilde çalışmaktadır. En önemli eylem, Azure Stack Hub hizmet ilkesiyle uyumlu olduğunuzdan emin olmaktır. Müşteriler Azure Stack Hub'ın yönetici portalında bir uyarı alır ve giriş dizinini ve eklenen tüm konuk dizinlerini güncelleştirmeleri gerekir.

Geçişin büyük bölümü tümleşik sistem güncelleştirme deneyimi tarafından gerçekleştirilir; Müşterilerin bu uygulamalara yeni izinler vermesi için el ile yapılması gereken ve Azure Stack Hub ortamlarınızla birlikte kullanılan her Azure AD dizininde genel yönetici izinleri gerektiren bir adım olacaktır. Bu değişiklikleri içeren güncelleştirme paketinin yüklenmesi tamamlandıktan sonra, yönetim portalında sizi çok kiracılı kullanıcı arabirimimizi veya PowerShell betiklerimizi kullanarak bu adımı tamamlamaya yönlendiren bir uyarı oluşturulur (bu, ek dizinleri veya kaynak sağlayıcılarını eklerken gerçekleştirdiğiniz işlemle aynıdır; daha fazla bilgiyi burada bulabilirsiniz.)

Azure Stack Hub ile kimlik sisteminiz olarak AD FS kullanırsanız, bu Graph değişiklikler sisteminizi doğrudan etkilemez. Ancak Azure CLI, Azure PowerShell vb. araçların en son sürümleri için yeni Graph API'leri gerekir ve bunlar çalışmaz. Bu araçların yalnızca belirli Bir Azure Stack Hub derlemenizde açıkça desteklenen sürümlerini kullandığınızdan emin olun. Bu makale gelecekte güncelleştirilecek ve AD FS için Azure Stack Hub için desteklenen araç sürümlerini listeleyecektir.

Yönetici portalındaki uyarıya ek olarak, değişiklikleri güncelleştirme sürüm notları aracılığıyla iletecek ve hangi güncelleştirme paketinin giriş dizininin ve eklenen tüm konuk dizinlerinin güncelleştirilmesini gerektirdiğini bildireceğiz.

Sonraki adımlar