Udostępnij za pośrednictwem

Omówienie dostawców tożsamości dla usługi Azure Stack Hub

  • Artykuł

Usługa Azure Stack Hub wymaga usługi Microsoft Entra ID lub Active Directory Federation Services (AD FS), wspieranej przez usługę Active Directory jako dostawcę tożsamości. Wybór dostawcy to jednorazowa decyzja podjęta podczas pierwszego wdrażania usługi Azure Stack Hub. Pojęcia i szczegóły autoryzacji w tym artykule mogą pomóc w wyborze między dostawcami tożsamości.

Wybór identyfikatora entra firmy Microsoft lub usług AD FS zależy od trybu wdrażania usługi Azure Stack Hub:

  • Podczas wdrażania go w trybie połączonym można użyć identyfikatora Entra firmy Microsoft lub usług AD FS.
  • Po wdrożeniu go w trybie rozłączenia bez połączenia z Internetem obsługiwane są tylko usługi AD FS.

Aby uzyskać więcej informacji o opcjach, które zależą od środowiska usługi Azure Stack Hub, zobacz następujące artykuły:

Ważne

Usługa Azure AD Graph jest przestarzała i zostanie wycofana 30 czerwca 2023 r. Więcej informacji znajduje się w tej sekcji.

Typowe pojęcia dotyczące dostawców tożsamości

W następnych sekcjach omówiono typowe pojęcia dotyczące dostawców tożsamości i ich użycia w usłudze Azure Stack Hub.

Terminologia dotycząca dostawców tożsamości

Dzierżawy katalogów i organizacje

Katalog to kontener, który zawiera informacje o użytkownikach, aplikacjach, grupach i jednostkach usługi.

Dzierżawa katalogu jest organizacją, taką jak Microsoft lub Twoja firma.

  • Usługa Microsoft Entra ID obsługuje wiele dzierżaw i może obsługiwać wiele organizacji — każdą we własnym katalogu. Jeśli używasz identyfikatora Entra firmy Microsoft i masz wiele dzierżaw, możesz przyznać aplikacjom i użytkownikom z jednego dzierżawy dostęp do innych dzierżaw tego samego katalogu.
  • Usługi AD FS obsługują tylko jedną dzierżawę i dlatego tylko jedna organizacja.

Użytkownicy i grupy

Konta użytkowników (tożsamości) to konta standardowe, które uwierzytelniają osoby przy użyciu identyfikatora użytkownika i hasła. Grupy mogą obejmować użytkowników lub inne grupy.

Sposób tworzenia użytkowników i grup oraz zarządzania nimi zależy od używanego rozwiązania tożsamości.

W usłudze Azure Stack Hub konta użytkowników:

  • Są tworzone w formacie username@domain . Mimo że usługi AD FS mapuje konta użytkowników na wystąpienie usługi Active Directory, usługi AD FS nie obsługują użycia formatu \<domain>\<alias> .
  • Można skonfigurować do korzystania z uwierzytelniania wieloskładnikowego.
  • Są ograniczone do katalogu, w którym najpierw się rejestrują, czyli katalogu swojej organizacji.
  • Można zaimportować z katalogów lokalnych. Aby uzyskać więcej informacji, zobacz Integrowanie katalogów lokalnych z identyfikatorem Entra firmy Microsoft.

Po zalogowaniu się do portalu użytkowników organizacji użyjesz https://portal.local.azurestack.external adresu URL. Podczas logowania się do portalu usługi Azure Stack Hub z domen innych niż ta używana do rejestrowania usługi Azure Stack Hub nazwa domeny używana do rejestrowania usługi Azure Stack Hub musi zostać dołączona do adresu URL portalu. Jeśli na przykład usługa Azure Stack Hub została zarejestrowana w usłudze fabrikam.onmicrosoft.com, a logowanie do konta użytkownika to admin@contoso.com, adres URL używany do logowania się do portalu użytkowników będzie: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Użytkownicy-goście

Użytkownicy-goście to konta użytkowników z innych dzierżaw katalogu, którym udzielono dostępu do zasobów w katalogu. Aby obsługiwać użytkowników-gości, należy użyć identyfikatora Entra firmy Microsoft i włączyć obsługę wielu dzierżaw. Po włączeniu obsługi można zaprosić użytkowników-gości do uzyskiwania dostępu do zasobów w dzierżawie katalogu, co z kolei umożliwia współpracę z organizacjami zewnętrznymi.

Aby zaprosić użytkowników-gości, operatorzy chmury i użytkownicy mogą korzystać ze współpracy firmy Microsoft Entra B2B. Zaproszeni użytkownicy uzyskują dostęp do dokumentów, zasobów i aplikacji z katalogu, a ty utrzymujesz kontrolę nad własnymi zasobami i danymi.

Jako użytkownik-gość możesz zalogować się do dzierżawy katalogu innej organizacji. W tym celu należy dołączyć nazwę katalogu organizacji do adresu URL portalu. Jeśli na przykład należysz do organizacji contoso i chcesz zalogować się do katalogu Fabrikam, użyj polecenia https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Aplikacje

Aplikacje można zarejestrować w usłudze Microsoft Entra ID lub AD FS, a następnie zaoferować aplikacje użytkownikom w organizacji.

Aplikacje obejmują:

  • Aplikacje internetowe: przykłady obejmują witrynę Azure Portal i usługę Azure Resource Manager. Obsługują one wywołania internetowego interfejsu API.
  • Klient natywny: przykłady obejmują program Azure PowerShell, program Visual Studio i interfejs wiersza polecenia platformy Azure.

Aplikacje mogą obsługiwać dwa typy dzierżaw:

  • Jedna dzierżawa: obsługuje użytkowników i usługi tylko z tego samego katalogu, w którym zarejestrowano aplikację.

    Uwaga

    Ponieważ usługi AD FS obsługują tylko jeden katalog, aplikacje tworzone w topologii usług AD FS są zgodnie z projektem aplikacje z jedną dzierżawą.

  • Wiele dzierżaw: obsługuje korzystanie przez użytkowników i usługi zarówno z katalogu, w którym aplikacja jest zarejestrowana, jak i dodatkowych katalogów dzierżawy. W przypadku aplikacji wielodostępnych użytkownicy innego katalogu dzierżawy (innej dzierżawy firmy Microsoft Entra) mogą logować się do aplikacji.

    Aby uzyskać więcej informacji na temat wielu dzierżaw, zobacz Włączanie wielodostępności.

    Aby uzyskać więcej informacji na temat tworzenia aplikacji wielodostępnej, zobacz Aplikacje wielodostępne.

Podczas rejestrowania aplikacji tworzone są dwa obiekty:

  • Obiekt aplikacji: globalna reprezentacja aplikacji we wszystkich dzierżawach. Ta relacja jest relacją jeden do jednego z aplikacją oprogramowania i istnieje tylko w katalogu, w którym aplikacja jest najpierw zarejestrowana.

  • Obiekt jednostki usługi: poświadczenie utworzone dla aplikacji w katalogu, w którym aplikacja jest najpierw zarejestrowana. Jednostka usługi jest również tworzona w katalogu każdej dodatkowej dzierżawy, w której jest używana ta aplikacja. Ta relacja może być relacją "jeden do wielu" w aplikacji programowej.

Aby dowiedzieć się więcej o obiektach aplikacji i jednostki usługi, zobacz Application and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft).

Jednostki usługi

Jednostka usługi to zestaw poświadczeń dla aplikacji lub usługi, która udziela dostępu do zasobów w usłudze Azure Stack Hub. Użycie jednostki usługi oddziela uprawnienia aplikacji od uprawnień użytkownika aplikacji.

Jednostka usługi jest tworzona w każdej dzierżawie, w której jest używana aplikacja. Jednostka usługi ustanawia tożsamość logowania i dostępu do zasobów (takich jak użytkownicy), które są zabezpieczone przez dzierżawę.

  • Aplikacja z jedną dzierżawą ma tylko jedną jednostkę usługi, która znajduje się w katalogu, w którym została utworzona. Ta jednostka usługi jest tworzona i wyraża zgodę na jej zastosowanie podczas rejestracji aplikacji.
  • Wielodostępna aplikacja internetowa lub interfejs API ma jednostkę usługi utworzoną w każdej dzierżawie, w której użytkownik z tej dzierżawy wyraża zgodę na korzystanie z aplikacji.

Poświadczenia dla jednostek usługi mogą być kluczem wygenerowanym za pośrednictwem witryny Azure Portal lub certyfikatu. Użycie certyfikatu jest odpowiednie do automatyzacji, ponieważ certyfikaty są uważane za bezpieczniejsze niż klucze.

Uwaga

W przypadku korzystania z usług AD FS z usługą Azure Stack Hub tylko administrator może tworzyć jednostki usługi. W usługach AD FS jednostki usług wymagają certyfikatów i są tworzone za pośrednictwem uprzywilejowanego punktu końcowego (PEP). Aby uzyskać więcej informacji, zobacz Używanie tożsamości aplikacji do uzyskiwania dostępu do zasobów.

Aby dowiedzieć się więcej o jednostkach usługi dla usługi Azure Stack Hub, zobacz Tworzenie jednostek usługi.

Usługi

Usługi w usłudze Azure Stack Hub, które współdziałają z dostawcą tożsamości, są rejestrowane jako aplikacje u dostawcy tożsamości. Podobnie jak aplikacje, rejestracja umożliwia usłudze uwierzytelnianie w systemie tożsamości.

Wszystkie usługi platformy Azure używają protokołów OpenID Connect i tokenów sieci Web JSON w celu ustanowienia ich tożsamości. Ponieważ microsoft Entra ID i AD FS używają protokołów spójnie, możesz użyć biblioteki Microsoft Authentication Library (MSAL), aby uzyskać token zabezpieczający do uwierzytelniania w środowisku lokalnym lub na platformie Azure (w połączonym scenariuszu). Za pomocą biblioteki MSAL można również użyć narzędzi, takich jak program Azure PowerShell i interfejs wiersza polecenia platformy Azure na potrzeby zarządzania zasobami między chmurami i zasobami lokalnymi.

Tożsamości i system tożsamości

Tożsamości dla usługi Azure Stack Hub obejmują konta użytkowników, grupy i jednostki usługi.

Podczas instalowania usługi Azure Stack Hub kilka wbudowanych aplikacji i usług automatycznie rejestruje się u dostawcy tożsamości w dzierżawie katalogu. Niektóre usługi, które rejestrują się, są używane do administrowania. Inne usługi są dostępne dla użytkowników. Domyślne rejestracje zapewniają tożsamości usług podstawowych, które mogą współdziałać ze sobą i z tożsamościami dodanymi później.

Jeśli skonfigurujesz identyfikator Entra firmy Microsoft z wieloma dzierżawami, niektóre aplikacje będą propagowane do nowych katalogów.

Uwierzytelnianie i autoryzacja

Uwierzytelnianie według aplikacji i użytkowników

Tożsamość między warstwami usługi Azure Stack Hub

W przypadku aplikacji i użytkowników architektura usługi Azure Stack Hub jest opisana przez cztery warstwy. Interakcje między poszczególnymi warstwami mogą używać różnych typów uwierzytelniania.

Warstwa Uwierzytelnianie między warstwami
Narzędzia i klienci, tacy jak portal administratora Aby uzyskać dostęp do zasobu lub zmodyfikować go w usłudze Azure Stack Hub, narzędzia i klienci używają tokenu internetowego JSON do umieszczenia wywołania usługi Azure Resource Manager.
Usługa Azure Resource Manager weryfikuje token internetowy JSON i sprawdza oświadczenia w wystawionym tokenie, aby oszacować poziom autoryzacji użytkownika lub jednostki usługi w usłudze Azure Stack Hub.
Usługa Azure Resource Manager i jej podstawowe usługi Usługa Azure Resource Manager komunikuje się z dostawcami zasobów w celu transferu komunikacji od użytkowników.
Transfery używają bezpośrednich wywołań imperatywnych lub wywołań deklaratywnych za pośrednictwem szablonów usługi Azure Resource Manager.
Dostawcy zasobów Wywołania przekazywane do dostawców zasobów są zabezpieczone za pomocą uwierzytelniania opartego na certyfikatach.
Usługa Azure Resource Manager i dostawca zasobów pozostają w komunikacji za pośrednictwem interfejsu API. Dla każdego wywołania odebranego z usługi Azure Resource Manager dostawca zasobów weryfikuje wywołanie za pomocą tego certyfikatu.
Infrastruktura i logika biznesowa Dostawcy zasobów komunikują się z logiką biznesową i infrastrukturą przy użyciu wybranego trybu uwierzytelniania. Domyślni dostawcy zasobów dostarczane z usługą Azure Stack Hub używają uwierzytelniania systemu Windows do zabezpieczenia tej komunikacji.

Informacje potrzebne do uwierzytelniania

Uwierzytelnianie w usłudze Azure Resource Manager

Aby uwierzytelnić się u dostawcy tożsamości i otrzymać token internetowy JSON, musisz mieć następujące informacje:

  1. Adres URL systemu tożsamości (Urząd): adres URL, pod którym można uzyskać dostęp do dostawcy tożsamości. Na przykład https://login.windows.net.
  2. Identyfikator URI identyfikatora aplikacji dla usługi Azure Resource Manager: unikatowy identyfikator usługi Azure Resource Manager zarejestrowany u dostawcy tożsamości. Jest ona również unikatowa dla każdej instalacji usługi Azure Stack Hub.
  3. Poświadczenia: poświadczenia używane do uwierzytelniania za pomocą dostawcy tożsamości.
  4. Adres URL usługi Azure Resource Manager: adres URL jest lokalizacją usługi Azure Resource Manager. Na przykład: https://management.azure.com lub https://management.local.azurestack.external.

Gdy podmiot zabezpieczeń (klient, aplikacje lub użytkownik) wysyła żądanie uwierzytelniania w celu uzyskania dostępu do zasobu, żądanie musi zawierać następujące elementy:

  • Poświadczenia podmiotu zabezpieczeń.
  • Identyfikator URI aplikacji zasobu, do którego podmiot zabezpieczeń chce uzyskać dostęp.

Poświadczenia są weryfikowane przez dostawcę tożsamości. Dostawca tożsamości sprawdza również, czy identyfikator URI identyfikatora aplikacji jest przeznaczony dla zarejestrowanej aplikacji, oraz że podmiot zabezpieczeń ma odpowiednie uprawnienia do uzyskania tokenu dla tego zasobu. Jeśli żądanie jest prawidłowe, zostanie udzielony token internetowy JSON.

Token musi następnie przekazać nagłówek żądania do usługi Azure Resource Manager. Usługa Azure Resource Manager wykonuje następujące czynności w określonej kolejności:

  • Weryfikuje oświadczenie wystawcy (iss), aby potwierdzić, że token pochodzi od poprawnego dostawcy tożsamości.
  • Weryfikuje oświadczenie odbiorców (aud), aby potwierdzić, że token został wystawiony w usłudze Azure Resource Manager.
  • Sprawdza, czy token internetowy JSON jest podpisany przy użyciu certyfikatu skonfigurowanego za pomocą identyfikatora OpenID i znanego usłudze Azure Resource Manager.
  • Przejrzyj wystawione oświadczenia ( iat) i wygaśnięcia (exp), aby potwierdzić, że token jest aktywny i można go zaakceptować.

Po zakończeniu wszystkich walidacji usługa Azure Resource Manager używa identyfikatora obiektu (oid) i oświadczeń grup w celu utworzenia listy zasobów, do których podmiot zabezpieczeń może uzyskać dostęp.

Diagram protokołu wymiany tokenów

Korzystanie z kontroli dostępu opartej na rolach

Kontrola dostępu oparta na rolach (RBAC) w usłudze Azure Stack Hub jest spójna z implementacją na platformie Microsoft Azure. Dostęp do zasobów można zarządzać, przypisując odpowiednią rolę RBAC użytkownikom, grupom i aplikacjom. Aby uzyskać informacje na temat korzystania z kontroli dostępu opartej na rolach w usłudze Azure Stack Hub, zobacz następujące artykuły:

Uwierzytelnianie za pomocą programu Azure PowerShell

Szczegółowe informacje na temat uwierzytelniania za pomocą programu Azure PowerShell w usłudze Azure Stack Hub można znaleźć w artykule Configure the Azure Stack Hub user's PowerShell environment (Konfigurowanie środowiska programu PowerShell użytkownika usługi Azure Stack Hub).

Uwierzytelnianie za pomocą interfejsu wiersza polecenia platformy Azure

Aby uzyskać informacje na temat uwierzytelniania przy użyciu programu Azure PowerShell w usłudze Azure Stack Hub, zobacz Instalowanie i konfigurowanie interfejsu wiersza polecenia platformy Azure do użycia z usługą Azure Stack Hub.

Azure Policy

Usługa Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Za pośrednictwem pulpitu nawigacyjnego zgodności udostępnia on zagregowany widok do oceny ogólnego stanu środowiska z możliwością przechodzenia do szczegółów poszczególnych zasobów i szczegółowości poszczególnych zasad. Pomaga również zapewnić zgodność zasobów dzięki korygowaniu zbiorczemu istniejących zasobów i automatycznemu korygowaniu nowych zasobów.

Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Definicje zasad dla tych typowych przypadków użycia są już wbudowane w środowisko platformy Azure, aby ułatwić rozpoczęcie pracy.

Uwaga

Usługa Azure Policy nie jest obecnie obsługiwana w usłudze Azure Stack Hub.

Azure AD Graph

Platforma Microsoft Azure ogłosiła wycofanie usługi Azure AD Graph 30 czerwca 2020 r. i jej datę wycofania z 30 czerwca 2023 r. Firma Microsoft poinformowała klientów pocztą e-mail o tej zmianie. Aby uzyskać bardziej szczegółowe informacje, zobacz blog Wycofywanie programu Azure AD Graph i wycofywanie modułu PowerShell.

W poniższej sekcji opisano, jak ta amortyzacja ma wpływ na usługę Azure Stack Hub.

Zespół usługi Azure Stack Hub ściśle współpracuje z zespołem usługi Azure Graph, aby upewnić się, że systemy będą nadal działać poza 30 czerwca 2023 r., jeśli to konieczne, aby zapewnić bezproblemowe przejście. Najważniejszą akcją jest zapewnienie zgodności z zasadami obsługi usługi Azure Stack Hub. Klienci otrzymają alert w portalu administratora usługi Azure Stack Hub i będą musieli zaktualizować katalog macierzysty i wszystkie dołączone katalogi gościa.

Większość samej migracji będzie wykonywana przez zintegrowane środowisko aktualizacji systemu; Klienci będą musieli ręcznie udzielić nowych uprawnień tym aplikacjom, co będzie wymagać uprawnień administratora aplikacji w każdym katalogu microsoft Entra używanym w środowiskach usługi Azure Stack Hub. Po zakończeniu instalowania pakietu aktualizacji za pomocą tych zmian w portalu administracyjnym zostanie zgłoszony alert kierujący Cię do wykonania tego kroku przy użyciu interfejsu użytkownika wielodostępu lub skryptów programu PowerShell. Jest to ta sama operacja wykonywana podczas dołączania dodatkowych katalogów lub dostawców zasobów; Aby uzyskać więcej informacji, zobacz Konfigurowanie wielu dzierżaw w usłudze Azure Stack Hub.

Jeśli używasz usług AD FS jako systemu tożsamości w usłudze Azure Stack Hub, te zmiany programu Graph nie będą mieć bezpośredniego wpływu na system. Jednak najnowsze wersje narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell itp., wymagają nowych interfejsów API programu Graph i nie będą działać. Upewnij się, że używasz tylko wersji tych narzędzi, które są jawnie obsługiwane w danej kompilacji usługi Azure Stack Hub.

Oprócz alertu w portalu administracyjnym przekażemy zmiany za pośrednictwem informacji o wersji aktualizacji i przekażemy, który pakiet aktualizacji wymaga zaktualizowania katalogu macierzystego i wszystkich dołączonych katalogów gości.

Następne kroki