Identiteitsarchitectuur voor Azure Stack Hub
Wanneer u een id-provider kiest voor gebruik met Azure Stack Hub, moet u de belangrijke verschillen tussen de opties van Microsoft Entra ID en Active Directory Federation Services (AD FS) begrijpen.
Mogelijkheden en beperkingen
De id-provider die u kiest, kan uw opties beperken, inclusief ondersteuning voor meerdere tenants.
| Mogelijkheid of scenario | Microsoft Entra ID | AD FS |
|---|---|---|
| Verbonden met internet | Ja | Facultatief |
| Ondersteuning voor multitenancy | Ja | Nee |
| Bied items aan in de Marketplace | Ja | Ja (vereist het gebruik van het offline marketplace-syndicatie-hulpprogramma) |
| Ondersteuning voor Active Directory Authentication Library (ADAL) | Ja | Ja |
| Ondersteuning voor hulpprogramma's zoals Azure CLI, Visual Studio en PowerShell | Ja | Ja |
| Service-principals maken via Azure Portal | Ja | Nee |
| Service-principals met behulp van certificaten maken | Ja | Ja |
| Service-principals maken met beveiligingsgegevens (sleutels) | Ja | Ja |
| Toepassingen kunnen de Graph-service gebruiken | Ja | Nee |
| Toepassingen kunnen id-provider gebruiken voor aanmelding | Ja | Ja (vereist dat apps worden gefedereerd met lokale AD FS-exemplaren) |
| Beheerde identiteiten | Nee | Nee |
Topologieën
In de volgende secties worden de verschillende identiteitstopologieën besproken die u kunt gebruiken.
Microsoft Entra-id: topologie met één tenant
Wanneer u Azure Stack Hub installeert en Microsoft Entra ID gebruikt, gebruikt Azure Stack Hub standaard een topologie met één tenant.
Een topologie met één tenant is handig wanneer:
- Alle gebruikers maken deel uit van dezelfde tenant.
- Een serviceprovider host een Azure Stack Hub-exemplaar voor een organisatie.
Deze topologie heeft de volgende kenmerken:
- Azure Stack Hub registreert alle apps en services in dezelfde Microsoft Entra-tenantmap.
- Azure Stack Hub verifieert alleen de gebruikers en apps uit die map, inclusief tokens.
- Identiteiten voor beheerders (cloudoperators) en tenantgebruikers bevinden zich in dezelfde maptenant.
- Als u wilt dat een gebruiker uit een andere directory toegang krijgt tot deze Azure Stack Hub-omgeving, moet u de gebruiker uitnodigen als gast- voor de tenantmap.
Microsoft Entra-id: topologie met meerdere tenants
Cloudoperators kunnen Azure Stack Hub configureren om toegang tot apps per tenant van een of meer organisaties toe te staan. Gebruikers hebben toegang tot apps via de Gebruikersportal van Azure Stack Hub. In deze configuratie is de beheerdersportal (gebruikt door de cloudoperator) beperkt tot gebruikers uit één directory.
Een topologie met meerdere tenants is handig wanneer:
- Een serviceprovider wil gebruikers van meerdere organisaties toegang geven tot Azure Stack Hub.
Deze topologie heeft de volgende kenmerken:
- Toegang tot resources moet per organisatie zijn.
- Gebruikers van één organisatie mogen geen toegang verlenen tot resources voor gebruikers die zich buiten hun organisatie bevinden.
- Identiteiten voor beheerders (cloudoperators) kunnen zich in een afzonderlijke maptenant bevinden van de identiteiten voor gebruikers. Deze scheiding biedt accountisolatie op id-providerniveau.
AD FS
De AD FS-topologie is vereist wanneer aan een van de volgende voorwaarden wordt voldaan:
- Azure Stack Hub maakt geen verbinding met internet.
- Azure Stack Hub kan verbinding maken met internet, maar u kiest ervoor OM AD FS te gebruiken voor uw id-provider.
Deze topologie heeft de volgende kenmerken:
Als u het gebruik van deze topologie in productie wilt ondersteunen, moet u het ingebouwde Azure Stack Hub AD FS-exemplaar integreren met een bestaand AD FS-exemplaar dat wordt ondersteund door Active Directory, via een federatievertrouwensrelatie.
U kunt de Graph-service in Azure Stack Hub integreren met uw bestaande Active Directory-exemplaar. U kunt ook de Op OData gebaseerde Graph API-service gebruiken die ONDERSTEUNING biedt voor API's die consistent zijn met de Azure AD Graph API.
Als u wilt communiceren met uw Active Directory-exemplaar, vereist de Graph API een gebruikersreferentie met alleen-lezenmachtigingen voor uw Active Directory-exemplaar en heeft deze toegang tot:
- Het ingebouwde AD FS-exemplaar.
- Uw AD FS- en Active Directory-exemplaren, die moeten zijn gebaseerd op Windows Server 2012 of hoger.
Tussen uw Active Directory-exemplaar en het ingebouwde AD FS-exemplaar zijn interacties niet beperkt tot OpenID Connect en kunnen ze elk wederzijds ondersteund protocol gebruiken.
- Gebruikersaccounts worden gemaakt en beheerd in uw on-premises Active Directory-exemplaar.
- Service-principals en registraties voor apps worden beheerd in de ingebouwde Active Directory-omgeving.
Volgende stappen
- overzicht van identiteit
- Datacenter-integratie - identiteit