Identitetsarkitektur för Azure Stack Hub
När du väljer en identitetsprovider som ska användas med Azure Stack Hub bör du förstå de viktiga skillnaderna mellan alternativen för Microsoft Entra-ID och Active Directory Federation Services (AD FS) (AD FS).
Funktioner och begränsningar
Den identitetsprovider som du väljer kan begränsa dina alternativ, inklusive stöd för flera innehavare.
| Kapacitet eller scenario | Microsoft Entra ID | AD FS |
|---|---|---|
| Ansluten till Internet | Ja | Valfritt |
| Stöd för flera innehavare | Ja | Inga |
| Erbjudandeobjekt på Marketplace | Yes | Ja (kräver användning av offlineverktyget för Marketplace Syndication ) |
| Stöd för Active Directory Authentication Library (ADAL) | Ja | Yes |
| Stöd för verktyg som Azure CLI, Visual Studio och PowerShell | Ja | Yes |
| Skapa tjänstens huvudnamn via Azure Portal | Ja | Inga |
| Skapa tjänstens huvudnamn med certifikat | Ja | Yes |
| Skapa tjänstens huvudnamn med hemligheter (nycklar) | Ja | Yes |
| Program kan använda Graph-tjänsten | Ja | Inga |
| Program kan använda identitetsprovider för inloggning | Yes | Ja (kräver att appar federeras med lokala AD FS-instanser) |
| Hanterade identiteter | Inga | Inga |
Topologier
I följande avsnitt beskrivs de olika identitetstopologier som du kan använda.
Microsoft Entra-ID: topologi med en klientorganisation
När du installerar Azure Stack Hub och använder Microsoft Entra-ID använder Azure Stack Hub som standard en topologi med en klientorganisation.
En topologi med en klientorganisation är användbar när:
- Alla användare ingår i samma klientorganisation.
- En tjänstleverantör är värd för en Azure Stack Hub-instans för en organisation.
Den här topologin har följande egenskaper:
- Azure Stack Hub registrerar alla appar och tjänster till samma Microsoft Entra klientkatalog.
- Azure Stack Hub autentiserar endast användare och appar från den katalogen, inklusive token.
- Identiteter för administratörer (molnoperatörer) och klientanvändare finns i samma katalogklientorganisation.
- Om du vill att en användare från en annan katalog ska få åtkomst till den här Azure Stack Hub-miljön måste du bjuda in användaren som gäst till klientkatalogen.
Microsoft Entra-ID: topologi för flera klientorganisationer
Molnoperatörer kan konfigurera Azure Stack Hub för att tillåta åtkomst till appar av klientorganisationer från en eller flera organisationer. Användare får åtkomst till appar via Azure Stack Hub-användarportalen. I den här konfigurationen är administratörsportalen (som används av molnoperatören) begränsad till användare från en enda katalog.
En topologi för flera klientorganisationer är användbar när:
- En tjänstleverantör vill ge användare från flera organisationer åtkomst till Azure Stack Hub.
Den här topologin har följande egenskaper:
- Åtkomst till resurser bör ske per organisation.
- Användare från en organisation bör inte kunna bevilja åtkomst till resurser till användare utanför organisationen.
- Identiteter för administratörer (molnoperatörer) kan finnas i en separat katalogklientorganisation från användarnas identiteter. Den här separationen ger kontoisolering på identitetsprovidernivå.
AD FS
AD FS-topologin krävs när något av följande villkor är sant:
- Azure Stack Hub ansluter inte till Internet.
- Azure Stack Hub kan ansluta till Internet, men du väljer att använda AD FS för din identitetsprovider.
Den här topologin har följande egenskaper:
För att stödja användningen av den här topologin i produktion måste du integrera den inbyggda Azure Stack Hub AD FS-instansen med en befintlig AD FS-instans som backas upp av Active Directory via ett federationsförtroende.
Du kan integrera Graph-tjänsten i Azure Stack Hub med din befintliga Active Directory-instans. Du kan också använda den OData-baserade Graph API-tjänsten som stöder API:er som är konsekventa med Azure AD Graph API.
För att interagera med din Active Directory-instans kräver Graph API en användarautentiseringsuppgift med skrivskyddad behörighet till din Active Directory-instans och åtkomst:
- Den inbyggda AD FS-instansen.
- Dina AD FS- och Active Directory-instanser, som måste baseras på Windows Server 2012 eller senare.
Mellan din Active Directory-instans och den inbyggda AD FS-instansen är interaktionerna inte begränsade till OpenID Connect, och de kan använda alla protokoll som stöds av varandra.
- Användarkonton skapas och hanteras i din lokal Active Directory-instans.
- Tjänstens huvudnamn och registreringar för appar hanteras i den inbyggda Active Directory-instansen.