Architecture d’identité pour Azure Stack Hub
Lorsque vous choisissez un fournisseur d’identité à utiliser avec Azure Stack Hub, vous devez comprendre les différences importantes entre les options de Microsoft Entra ID et les services de fédération Active Directory (AD FS).
Fonctionnalités et limitations
Le fournisseur d’identité que vous choisissez peut limiter vos options, dont la prise en charge d’architecture mutualisée.
| Fonctionnalité ou scénario | ID d'entrée Microsoft | AD FS |
|---|---|---|
| Connecté à Internet | Oui | Optionnel |
| Prise en charge d’architecture mutualisée | Oui | Non |
| Proposer des articles sur le Marché | Oui | Oui (nécessite l’utilisation de l’outil Syndication de Place de marché hors ligne) |
| Prise en charge de la bibliothèque d’authentification Active Directory (ADAL) | Oui | Oui |
| Prise en charge des outils tels qu’Azure CLI, Visual Studio et PowerShell | Oui | Oui |
| Créer des principaux de service via le portail Azure | Oui | Non |
| Créer des entités de service avec des certificats | Oui | Oui |
| Créer des principaux de service avec des secrets (clés) | Oui | Oui |
| Les applications peuvent utiliser le service Graph | Oui | Non |
| Les applications peuvent utiliser le fournisseur d’identité pour la connexion | Oui | Oui (nécessite que les applications soient fédérées avec des instances AD FS locales) |
| Identités managées | Non | Non |
Topologies
Les sections suivantes décrivent les différentes topologies d’identité que vous pouvez utiliser.
Microsoft Entra ID : topologie de client unique
Par défaut, lorsque vous installez Azure Stack Hub et utilisez l’ID Microsoft Entra, Azure Stack Hub utilise une topologie monolocataire.
Une topologie monolocataire est utile lorsque :
- Tous les utilisateurs font partie du même locataire.
- Un fournisseur de services héberge une instance Azure Stack Hub pour une organisation.
Cette topologie présente les caractéristiques suivantes :
- Azure Stack Hub inscrit toutes les applications et services dans le même répertoire de locataire Microsoft Entra.
- Azure Stack Hub authentifie uniquement les utilisateurs et les applications de ce répertoire, y compris les jetons.
- Les identités pour administrateurs (opérateurs cloud) et les utilisateurs client sont dans le même répertoire de client.
- Pour permettre à un utilisateur à partir d’un autre annuaire d’accéder à cet environnement Azure Stack Hub, vous devez inviter l’utilisateur en tant qu’invité à l’annuaire du locataire.
Microsoft Entra ID : topologie mutualisée
Les opérateurs cloud peuvent configurer Azure Stack Hub pour autoriser l’accès aux applications par locataires d’une ou plusieurs organisations. Les utilisateurs accèdent aux applications via le portail utilisateur Azure Stack Hub. Dans cette configuration, le portail d’administration (utilisé par l’opérateur cloud) est limité aux utilisateurs d’un seul annuaire.
Une topologie multilocataire est utile lorsque :
- Un fournisseur de services souhaite autoriser les utilisateurs de plusieurs organisations à accéder à Azure Stack Hub.
Cette topologie présente les caractéristiques suivantes :
- L’accès aux ressources doit être par organisation.
- Les utilisateurs d’une organisation doivent ne pas pouvoir accorder l’accès aux ressources aux utilisateurs qui se trouvent en dehors de leur organisation.
- Les identités des administrateurs (opérateurs cloud) peuvent se trouver dans un répertoire locataire distinct de celles des utilisateurs. Cette séparation offre une isolation de compte au niveau du fournisseur d’identité.
AD FS
La topologie AD FS est requise lorsque l’une des conditions suivantes est remplie :
- Azure Stack Hub ne se connecte pas à Internet.
- Azure Stack Hub peut se connecter à Internet, mais vous choisissez d’utiliser AD FS pour votre fournisseur d’identité.
AD FS
Cette topologie présente les caractéristiques suivantes :
Pour prendre en charge l’utilisation de cette topologie en production, vous devez intégrer l’instance Azure Stack Hub AD FS intégrée à une instance AD FS existante sauvegardée par Active Directory, via une approbation de fédération.
Vous pouvez intégrer le service Graph dans Azure Stack Hub à votre instance Active Directory existante. Vous pouvez également utiliser le service d’API Graph basé sur OData qui prend en charge les API cohérentes avec l’API Graph Azure AD.
Pour interagir avec votre instance Active Directory, l’API Graph nécessite des informations d’identification utilisateur avec l’autorisation en lecture seule pour votre instance Active Directory et accède à :
- Instance AD FS intégrée.
- Vos instances AD FS et Active Directory, qui doivent être basées sur Windows Server 2012 ou version ultérieure.
Entre votre instance Active Directory et l’instance AD FS intégrée, les interactions ne sont pas limitées à OpenID Connect et peuvent utiliser n’importe quel protocole mutuellement pris en charge.
- Les comptes d’utilisateur sont créés et gérés dans votre instance Active Directory locale.
- Les principaux de service et les inscriptions d’applications sont gérés dans l’instance Active Directory intégrée.
Étapes suivantes
- Vue d’ensemble de l’identité
- Intégration au centre de données - Identité