Arquitetura de identidade para o Azure Stack Hub
Ao escolher um provedor de identidade para usar com o Azure Stack Hub, você deve entender as diferenças importantes entre as opções do Microsoft Entra ID e dos Serviços de Federação do Ative Directory (AD FS).
Capacidades e limitações
O provedor de identidade escolhido pode limitar suas opções, incluindo suporte para multilocação.
| Capacidade ou cenário | Microsoft Entra ID | AD FS |
|---|---|---|
| Conectado à internet | Sim | Opcional |
| Suporte para multilocação | Sim | Não |
| Ofereça itens no Marketplace | Sim | Sim (requer o uso da ferramenta offline Marketplace Syndication tool) |
| Suporte para a Biblioteca de Autenticação do Ative Directory (ADAL) | Sim | Sim |
| Suporte para ferramentas como CLI do Azure, Visual Studio e PowerShell | Sim | Sim |
| Criar entidades de serviço através do portal do Azure | Sim | Não |
| Criar entidades de serviço com certificados | Sim | Sim |
| Criar principais de serviço com chaves secretas | Sim | Sim |
| Os aplicativos podem usar o serviço Graph | Sim | Não |
| Os aplicativos podem usar o provedor de identidade para entrar | Sim | Sim (requer que os aplicativos sejam federados com instâncias locais do AD FS) |
| Identidades gerenciadas | Não | Não |
Topologias
As seções a seguir discutem as diferentes topologias de identidade que você pode usar.
Microsoft Entra ID: topologia de inquilino único
Por padrão, quando você instala o Azure Stack Hub e usa o Microsoft Entra ID, o Azure Stack Hub usa uma topologia de locatário único.
Uma topologia de locatário único é útil quando:
- Todos os usuários fazem parte do mesmo locatário.
- Um provedor de serviços hospeda uma instância do Azure Stack Hub para uma organização.
Essa topologia apresenta as seguintes características:
- O Azure Stack Hub registra todos os aplicativos e serviços no mesmo diretório de locatários do Microsoft Entra.
- O Azure Stack Hub autentica apenas os usuários e aplicativos desse diretório, incluindo tokens.
- As identidades para administradores (operadores de nuvem) e usuários locatários estão no mesmo locatário de diretório.
- Para permitir que um usuário de outro diretório acesse esse ambiente do Azure Stack Hub, você deve convidar o usuário como convidado para o diretório do locatário.
Microsoft Entra ID: topologia multilocatária
Os operadores de nuvem podem configurar o Azure Stack Hub para permitir o acesso a aplicativos por locatários de uma ou mais organizações. Os usuários acessam aplicativos por meio do portal do usuário do Azure Stack Hub. Nessa configuração, o portal do administrador (usado pelo operador de nuvem) é limitado a usuários de um único diretório.
Uma topologia multilocatária é útil quando:
- Um provedor de serviços deseja permitir que usuários de várias organizações acessem o Azure Stack Hub.
Essa topologia apresenta as seguintes características:
- O acesso aos recursos deve ser feito por organização.
- Os usuários de uma organização não podem conceder acesso a recursos a usuários que estão fora de sua organização.
- As identidades para administradores (operadores de nuvem) podem estar em um locatário de diretório separado das identidades para usuários. Essa separação fornece isolamento das contas ao nível do fornecedor de identidade.
AD FS
A topologia do AD FS é necessária quando uma das seguintes condições for verdadeira:
- O Azure Stack Hub não se conecta à Internet.
- O Azure Stack Hub pode se conectar à Internet, mas você opta por usar o AD FS para seu provedor de identidade.
Essa topologia apresenta as seguintes características:
Para dar suporte ao uso dessa topologia na produção, você deve integrar a instância interna do AD FS do Azure Stack Hub a uma instância existente do AD FS apoiada pelo Ative Directory, por meio de uma confiança de federação.
Você pode integrar o serviço Graph no Azure Stack Hub com sua instância existente do Ative Directory. Você também pode usar o serviço Graph API baseado em OData que dá suporte a APIs consistentes com a API do Azure AD Graph.
Para interagir com sua instância do Ative Directory, a Graph API requer uma credencial de usuário com permissão somente leitura para sua instância do Ative Directory e acessa:
- A instância interna do AD FS.
- Suas instâncias do AD FS e do Ative Directory, que devem ser baseadas no Windows Server 2012 ou posterior.
Entre a instância do Ative Directory e a instância interna do AD FS, as interações não estão restritas ao OpenID Connect e podem usar qualquer protocolo com suporte mútuo.
- As contas de usuário são criadas e gerenciadas em sua instância local do Ative Directory.
- Os principais de serviço e os registos para aplicativos são geridos na instância interna do Active Directory.