Dela via


Översikt över identitetsprovidrar för Azure Stack Hub

Azure Stack Hub kräver Microsoft Entra-ID eller Active Directory Federation Services (AD FS) (AD FS), som backas upp av Active Directory som identitetsprovider. Valet av leverantör är ett engångsbeslut som du fattar när du först distribuerar Azure Stack Hub. Begreppen och auktoriseringsinformationen i den här artikeln kan hjälpa dig att välja mellan identitetsprovidrar.

Ditt val av Antingen Microsoft Entra-ID eller AD FS bestäms av läget där du distribuerar Azure Stack Hub:

  • När du distribuerar den i ett anslutet läge kan du använda antingen Microsoft Entra ID eller AD FS.
  • När du distribuerar den i frånkopplat läge, utan anslutning till Internet, stöds endast AD FS.

Mer information om dina alternativ, som är beroende av din Azure Stack Hub-miljö, finns i följande artiklar:

Viktigt!

Azure AD Graph är inaktuellt och dras tillbaka den 30 juni 2023. Mer information finns i det här avsnittet.

Vanliga begrepp för identitetsprovidrar

I nästa avsnitt beskrivs vanliga begrepp om identitetsprovidrar och deras användning i Azure Stack Hub.

Terminologi för identitetsprovidrar

Katalogklienter och organisationer

En katalog är en container som innehåller information om användare, program, grupper och tjänstens huvudnamn.

En katalogklientorganisation är en organisation, till exempel Microsoft eller ditt eget företag.

  • Microsoft Entra ID stöder flera klienter och har stöd för flera organisationer i sin egen katalog. Om du använder Microsoft Entra-ID och har flera klienter kan du bevilja appar och användare från en klientorganisation åtkomst till andra klienter i samma katalog.
  • AD FS stöder endast en enda klientorganisation och därför endast en enda organisation.

Användare och grupper

Användarkonton (identiteter) är standardkonton som autentiserar enskilda användare med hjälp av ett användar-ID och lösenord. Grupper kan innehålla användare eller andra grupper.

Hur du skapar och hanterar användare och grupper beror på vilken identitetslösning du använder.

I Azure Stack Hub, användarkonton:

  • Skapas i username@domain format. AD FS mappar användarkonton till en Active Directory-instans, men AD FS stöder inte användning av formatet \<domain>\<alias> .
  • Kan konfigureras för att använda multifaktorautentisering.
  • Är begränsade till katalogen där de först registrerar sig, vilket är organisationens katalog.
  • Kan importeras från dina lokala kataloger. Mer information finns i Integrera dina lokala kataloger med Microsoft Entra-ID.

När du loggar in på organisationens användarportal använder https://portal.local.azurestack.external du URL:en. När du loggar in på Azure Stack Hub-portalen från andra domäner än den som används för att registrera Azure Stack Hub måste domännamnet som används för att registrera Azure Stack Hub läggas till i portalens URL. Om Azure Stack Hub till exempel har registrerats med fabrikam.onmicrosoft.com och användarkontot loggar in är admin@contoso.com, skulle URL:en som ska användas för att logga in på användarportalen vara: https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Gästanvändare

Gästanvändare är användarkonton från andra katalogklientorganisationer som har beviljats åtkomst till resurser i din katalog. För att stödja gästanvändare använder du Microsoft Entra-ID och aktiverar stöd för flera innehavare. När supporten är aktiverad kan du bjuda in gästanvändare att komma åt resurser i din katalogklientorganisation, vilket i sin tur möjliggör deras samarbete med externa organisationer.

Om du vill bjuda in gästanvändare kan molnoperatörer och användare använda Microsoft Entra B2B-samarbete. Inbjudna användare får åtkomst till dokument, resurser och appar från din katalog och du behåller kontrollen över dina egna resurser och data.

Som gästanvändare kan du logga in på en annan organisations katalogklientorganisation. För att göra det lägger du till organisationens katalognamn i portalens URL. Om du till exempel tillhör Contoso-organisationen och vill logga in på fabrikam-katalogen använder du https://portal.local.azurestack.external/fabrikam.onmicrosoft.com.

Appar

Du kan registrera appar till Microsoft Entra ID eller AD FS och sedan erbjuda apparna till användare i din organisation.

Bland apparna finns:

  • Webbappar: Exempel är Azure Portal och Azure Resource Manager. De stöder webb-API-anrop.
  • Intern klient: Exempel är Azure PowerShell, Visual Studio och Azure CLI.

Appar kan ha stöd för två typer av innehav:

  • Enskild klientorganisation: Stöder endast användare och tjänster från samma katalog där appen är registrerad.

    Kommentar

    Eftersom AD FS endast stöder en enda katalog är appar som du skapar i en AD FS-topologi, avsiktligt, appar med en enda klientorganisation.

  • Flera klientorganisationer: Stöder användning av användare och tjänster från både katalogen där appen är registrerad och ytterligare klientkataloger. Med appar för flera klientorganisationer kan användare av en annan klientkatalog (en annan Microsoft Entra-klientorganisation) logga in på din app.

    Mer information om flera innehavare finns i Aktivera flera innehavare.

    Mer information om hur du utvecklar en app för flera klientorganisationer finns i Appar för flera klientorganisationer.

När du registrerar en app skapar du två objekt:

  • Programobjekt: Den globala representationen av appen för alla klienter. Den här relationen är en-till-en med programappen och finns bara i katalogen där appen först registreras.

  • Objekt för tjänstens huvudnamn: En autentiseringsuppgift som skapas för en app i katalogen där appen först registreras. Ett huvudnamn för tjänsten skapas också i katalogen för varje ytterligare klient där appen används. Den här relationen kan vara en-till-många med programappen.

Mer information om objekt för app- och tjänstens huvudnamn finns i Objekt för program och tjänstens huvudnamn i Microsoft Entra-ID.

Tjänstens huvudnamn

Ett huvudnamn för tjänsten är en uppsättning autentiseringsuppgifter för en app eller tjänst som ger åtkomst till resurser i Azure Stack Hub. Användningen av tjänstens huvudnamn separerar appbehörigheterna från behörigheterna för appens användare.

Ett huvudnamn för tjänsten skapas i varje klientorganisation där appen används. Tjänstens huvudnamn upprättar en identitet för inloggning och åtkomst till resurser (till exempel användare) som skyddas av den klientorganisationen.

  • En app med en klientorganisation har bara ett huvudnamn för tjänsten, som finns i katalogen där den först skapas. Tjänstens huvudnamn skapas och samtycker till att användas under registreringen av appen.
  • En webbapp eller ETT API för flera klientorganisationer har ett huvudnamn för tjänsten som skapas i varje klientorganisation där en användare från den klientorganisationen godkänner användningen av appen.

Autentiseringsuppgifter för tjänstens huvudnamn kan antingen vara en nyckel som genereras via Azure Portal eller ett certifikat. Användningen av ett certifikat lämpar sig för automatisering eftersom certifikat anses vara säkrare än nycklar.

Kommentar

När du använder AD FS med Azure Stack Hub kan endast administratören skapa tjänstens huvudnamn. Med AD FS kräver tjänstens huvudnamn certifikat och skapas via den privilegierade slutpunkten (PEP). Mer information finns i Använda en appidentitet för att komma åt resurser.

Mer information om tjänstens huvudnamn för Azure Stack Hub finns i Skapa tjänstens huvudnamn.

Tjänster

Tjänster i Azure Stack Hub som interagerar med identitetsprovidern registreras som appar med identitetsprovidern. Precis som med appar kan en tjänst autentiseras med identitetssystemet.

Alla Azure-tjänster använder OpenID Connect-protokoll och JSON-webbtoken för att upprätta sin identitet. Eftersom Microsoft Entra ID och AD FS använder protokoll konsekvent kan du använda Microsoft Authentication Library (MSAL) för att hämta en säkerhetstoken för att autentisera lokalt eller till Azure (i ett anslutet scenario). Med MSAL kan du också använda verktyg som Azure PowerShell och Azure CLI för hantering av resurser mellan moln och lokalt.

Identiteter och ditt identitetssystem

Identiteter för Azure Stack Hub omfattar användarkonton, grupper och tjänstens huvudnamn.

När du installerar Azure Stack Hub registreras flera inbyggda appar och tjänster automatiskt hos din identitetsprovider i katalogklientorganisationen. Vissa tjänster som registrerar används för administration. Andra tjänster är tillgängliga för användare. Standardregistreringarna ger kärntjänstidentiteter som kan interagera både med varandra och med identiteter som du lägger till senare.

Om du konfigurerar Microsoft Entra-ID med flera innehavare sprids vissa appar till de nya katalogerna.

Autentisering och auktorisering

Autentisering av appar och användare

Identitet mellan lager i Azure Stack Hub

Arkitekturen för Azure Stack Hub beskrivs av fyra lager för appar och användare. Interaktioner mellan vart och ett av dessa lager kan använda olika typer av autentisering.

Skikt Autentisering mellan lager
Verktyg och klienter, till exempel administratörsportalen För att komma åt eller ändra en resurs i Azure Stack Hub använder verktyg och klienter en JSON-webbtoken för att ringa ett anrop till Azure Resource Manager.
Azure Resource Manager verifierar JSON-webbtoken och tittar på anspråken i den utfärdade token för att uppskatta den auktoriseringsnivå som användaren eller tjänstens huvudnamn har i Azure Stack Hub.
Azure Resource Manager och dess kärntjänster Azure Resource Manager kommunicerar med resursprovidrar för att överföra kommunikation från användare.
Överföringar använder direkta imperativa anrop eller deklarativa anrop via Azure Resource Manager-mallar.
Resursproviders Anrop som skickas till resursprovidrar skyddas med certifikatbaserad autentisering.
Azure Resource Manager och resursprovidern förblir sedan i kommunikation via ett API. För varje anrop som tas emot från Azure Resource Manager validerar resursprovidern anropet med certifikatet.
Infrastruktur och affärslogik Resursprovidrar kommunicerar med affärslogik och infrastruktur med hjälp av ett valfritt autentiseringsläge. Standardresursprovidrar som levereras med Azure Stack Hub använder Windows-autentisering för att skydda den här kommunikationen.

Information som behövs för autentisering

Autentisera till Azure Resource Manager

Om du vill autentisera med identitetsprovidern och ta emot en JSON-webbtoken måste du ha följande information:

  1. URL för identitetssystemet (utfärdare): Den URL som identitetsprovidern kan nås till. Exempel: https://login.windows.net
  2. App-ID-URI för Azure Resource Manager: Den unika identifieraren för Azure Resource Manager som är registrerad hos din identitetsprovider. Den är också unik för varje Azure Stack Hub-installation.
  3. Autentiseringsuppgifter: De autentiseringsuppgifter som du använder för att autentisera med identitetsprovidern.
  4. URL för Azure Resource Manager: URL:en är platsen för Azure Resource Manager-tjänsten. Exempel: https://management.azure.com eller https://management.local.azurestack.external.

När ett huvudnamn (en klient, appar eller användare) gör en autentiseringsbegäran för att få åtkomst till en resurs måste begäran innehålla:

  • Huvudmannens autentiseringsuppgifter.
  • App-ID-URI:n för resursen som huvudnamnet vill komma åt.

Autentiseringsuppgifterna verifieras av identitetsprovidern. Identitetsprovidern verifierar också att app-ID-URI:n är för en registrerad app och att huvudkontot har rätt behörighet för att hämta en token för den resursen. Om begäran är giltig beviljas en JSON-webbtoken.

Token måste sedan skicka rubriken för en begäran till Azure Resource Manager. Azure Resource Manager gör följande, utan någon specifik ordning:

  • Verifierar utfärdarens anspråk för att bekräfta att token kommer från rätt identitetsprovider.
  • Verifierar målgruppsanspråket (aud) för att bekräfta att token har utfärdats till Azure Resource Manager.
  • Verifierar att JSON-webbtoken är signerad med ett certifikat som har konfigurerats via OpenID och är känt för Azure Resource Manager.
  • Granska de utfärdade anspråken ( iat) och expiration (exp) för att bekräfta att token är aktiv och kan accepteras.

När alla valideringar är klara använder Azure Resource Manager objekt-ID :t (oid) och grupperna gör anspråk på att göra en lista över resurser som huvudkontot kan komma åt.

Diagram över tokenutbytesprotokollet

Använda rollbaserad åtkomstkontroll

Rollbaserad åtkomstkontroll (RBAC) i Azure Stack Hub är konsekvent med implementeringen i Microsoft Azure. Du kan hantera åtkomst till resurser genom att tilldela lämplig RBAC-roll till användare, grupper och appar. Information om hur du använder RBAC med Azure Stack Hub finns i följande artiklar:

Autentisera med Azure PowerShell

Information om hur du använder Azure PowerShell för att autentisera med Azure Stack Hub finns i Konfigurera Azure Stack Hub-användarens PowerShell-miljö.

Autentisera med Azure CLI

Information om hur du använder Azure PowerShell för att autentisera med Azure Stack Hub finns i Installera och konfigurera Azure CLI för användning med Azure Stack Hub.

Azure Policy

Azure Policy hjälper till att framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala. Via instrumentpanelen för efterlevnad ger den en aggregerad vy för att utvärdera miljöns övergripande tillstånd, med möjlighet att öka detaljnivån till kornighet per resurs per princip. Du får också hjälp att säkerställa att resurserna efterlever kraven via massåtgärder för befintliga resurser och automatisk reparation för nya resurser.

Några vanliga användningsområden för Azure Policy är att implementera styrning för resurskonsekvens, regelefterlevnad, säkerhet, kostnad och hantering. Principdefinitioner för dessa vanliga användningsfall är redan inbyggda i din Azure-miljö för att hjälpa dig att komma igång.

Kommentar

Azure Policy stöds för närvarande inte på Azure Stack Hub.

Azure AD Graph

Microsoft Azure har meddelat utfasningen av Azure AD Graph den 30 juni 2020 och dess slutdatum den 30 juni 2023. Microsoft har informerat kunderna via e-post om den här ändringen. Mer detaljerad information finns i azure AD Graph Retirement and Powershell Module Deprecation-bloggen .

I följande avsnitt beskrivs hur den här utfasningen påverkar Azure Stack Hub.

Azure Stack Hub-teamet har ett nära samarbete med Azure Graph-teamet för att säkerställa att dina system fortsätter att fungera efter den 30 juni 2023 om det behövs för att säkerställa en smidig övergång. Den viktigaste åtgärden är att se till att du är kompatibel med Azure Stack Hub-servicepolicyn. Kunder får en avisering i administratörsportalen för Azure Stack Hub och måste uppdatera hemkatalogen och alla registrerade gästkataloger.

Merparten av själva migreringen kommer att utföras av den integrerade systemuppdateringsupplevelsen. Det kommer att finnas ett manuellt steg som krävs av kunder för att bevilja nya behörigheter till dessa program, vilket kräver programadministratörsbehörigheter i varje Microsoft Entra-katalog som används med dina Azure Stack Hub-miljöer. När uppdateringspaketet med dessa ändringar har slutfört installationen utlöses en avisering i administratörsportalen där du uppmanas att slutföra det här steget med hjälp av användargränssnittet för flera innehavare eller PowerShell-skript. Det här är samma åtgärd som du utför när du registrerar ytterligare kataloger eller resursprovidrar. Mer information finns i Konfigurera flera innehavare i Azure Stack Hub.

Om du använder AD FS som identitetssystem med Azure Stack Hub påverkar dessa Graph-ändringar inte systemet direkt. Men de senaste versionerna av verktyg som Azure CLI, Azure PowerShell osv. kräver de nya Graph-API:erna, och de fungerar inte. Se till att du bara använder de versioner av dessa verktyg som uttryckligen stöds med din angivna Azure Stack Hub-version.

Förutom aviseringen i administratörsportalen kommunicerar vi ändringar via viktig information om uppdateringen och meddelar vilket uppdateringspaket som kräver uppdatering av hemkatalogen och alla registrerade gästkataloger.

Nästa steg