Azure Stack Hub 的身分識別架構

在您選擇要與 Azure Stack Hub 搭配使用的身分識別提供者時,請了解 Azure Active Directory (Azure AD) 與 Active Directory 同盟服務 (AD FS) 的選項之間有何重要差異。

功能和限制

您選擇的身分識別提供者可能會限制您的選項,包括支援多租用戶。

功能或案例 Azure AD AD FS
已連線至網際網路 選用
支援多租用戶
Marketplace 中的供應項目 Yes 是 (要求使用離線 Marketplace 摘要整合工具)
支援 Active Directory 驗證程式庫 (ADAL)
支援 Azure CLI、Visual Studio 和 PowerShell 等工具
透過 Azure 入口網站建立服務主體
建立包含憑證的服務主體
建立包含祕密 (金鑰) 的服務主體
應用程式可以使用 Graph 服務
應用程式可以使用身分識別提供者進行登入 Yes 是 (要求應用程式與內部部署 AD FS 執行個體同盟)
受控身分識別

拓撲

下列各節討論您可使用的各種身分識別拓撲。

Azure AD:單一租用戶拓撲

根據預設,當您安裝 Azure Stack Hub 並使用 Azure AD 時,Azure Stack Hub 會使用單一租用戶拓撲。

在下列情況下,單一租用戶拓撲很有用:

  • 所有使用者都屬於相同的租用戶。
  • 服務提供者主控組織的 Azure Stack Hub 執行個體。

Azure Stack Hub single-tenant topology with Azure AD

此拓撲具有下列特性︰

  • Azure Stack Hub 會將所有的應用程式和服務註冊到相同的 Azure AD 租用戶目錄。
  • Azure Stack Hub 只會驗證該目錄中的使用者和應用程式,包括權杖。
  • 系統管理員 (雲端操作員) 和租用戶使用者的身分識別位於相同的目錄租用戶中。
  • 若要讓其他目錄的使用者能夠存取此 Azure Stack Hub 環境,您必須邀請使用者成為租用戶目錄的來賓。

Azure AD:多租用戶拓撲

雲端操作員可將 Azure Stack Hub 設定為允許一或多個組織的租用戶存取應用程式。 使用者可透過 Azure Stack Hub 使用者入口網站存取應用程式。 在此組態中,系統管理員入口網站 (由雲端操作員使用) 受限於單一目錄中的使用者。

在下列情況下,多租用戶拓撲很有用:

  • 服務提供者想要允許多個組織中的使用者存取 Azure Stack Hub。

Azure Stack Hub multi-tenant topology with Azure AD

此拓撲具有下列特性︰

  • 資源的存取權應該以每個組織為基礎。
  • 某個組織中的使用者不能將資源的存取權授與給其組織外部的使用者。
  • 系統管理員 (雲端操作員) 的身分識別可以位於與使用者身分識別不同的目錄租用戶中。 此分隔可提供識別提供者層級的帳戶隔離。

AD FS

下列其中一個條件成立時需要 AD FS 拓撲:

  • Azure Stack Hub 未連線至網際網路。
  • Azure Stack Hub 可連線至網際網路,但您選擇使用 AD FS 作為您的識別提供者。

Azure Stack Hub topology using AD FS

此拓撲具有下列特性︰

  • 若要支援在生產環境中使用此拓撲,您必須透過同盟信任來整合內建 Azure Stack Hub AD FS 執行個體與 Active Directory 所支援的現有 AD FS 執行個體。

  • 您可以整合 Azure Stack Hub 中的 Graph 服務與現有的 Active Directory 執行個體。 您也可以使用以 OData 為基礎的圖形 API 服務,該服務支援與 Azure AD Graph API 一致的 API。

    為了與 Active Directory 執行個體互動,圖形 API 需要一個具有 Active Directory 執行個體唯讀權限的使用者認證,並存取:

    • 內建的 AD FS 執行個體。
    • AD FS 和 Active Directory 執行個體 (必須以 Windows Server 2012 或更新版本為基礎)。

    Active Directory 執行個體與內建 AD FS 執行個體之間的互動不限於 OpenID Connect,並可使用任何相互支援的通訊協定。

    • 使用者帳戶是在內部部署 Active Directory 執行個體中進行建立和管理。
    • 應用程式的服務主體和註冊是在內建 Active Directory 執行個體中進行管理。

後續步驟