Identitätsarchitektur für Azure Stack Hub
Wenn Sie einen Identitätsanbieter für die Verwendung mit Azure Stack Hub auswählen, sollten Sie die wichtigen Unterschiede zwischen den Optionen Microsoft Entra ID und Active Directory-Verbunddienste (AD FS) (AD FS) kennen.
Funktionen und Einschränkungen
Die Wahl des Identitätsanbieters schränkt unter Umständen Ihre Optionen ein – einschließlich der Unterstützung mehrerer Mandanten.
Funktion oder Szenario | Microsoft Entra ID | AD FS |
---|---|---|
Verbindung mit dem Internet vorhanden | Ja | Optional |
Unterstützung mehrerer Mandanten | Ja | Nein |
Elemente im Marketplace anbieten | Ja | Ja (Nutzung des Tools für die Marketplace-Offlinesyndikation ist erforderlich) |
Unterstützung der Active Directory Authentication Library (ADAL) | Ja | Ja |
Unterstützung von Tools wie Azure-Befehlszeilenschnittstelle, Visual Studio und PowerShell | Ja | Ja |
Erstellen von Dienstprinzipalen über das Azure-Portal | Ja | Nein |
Erstellen von Dienstprinzipalen mit Zertifikaten | Ja | Ja |
Erstellen von Dienstprinzipalen mit Geheimnissen (Schlüsseln) | Ja | Ja |
Anwendungen können den Graph-Dienst verwenden | Ja | Nein |
Anwendungen können einen Identitätsanbieter zum Anmelden verwenden | Ja | Ja (für Anwendungen muss ein Verbund mit lokalen AD FS-Instanzen eingerichtet werden) |
Verwaltete Identitäten | No | Nein |
Topologien
In den folgenden Abschnitten werden die verschiedenen Identitätstopologien behandelt, die Sie verwenden können.
Microsoft Entra-ID: Topologie mit einem mandantenfähigen Mandanten
Wenn Sie Azure Stack Hub installieren und Microsoft Entra ID verwenden, verwendet Azure Stack Hub standardmäßig eine Einzelmandantentopologie.
Eine Topologie mit nur einem Mandanten ist geeignet, wenn Folgendes gilt:
- Alle Benutzer sind Teil desselben Mandanten.
- Ein Dienstanbieter hostet eine Azure Stack Hub-Instanz für eine Organisation.
Merkmale dieser Topologie:
- Azure Stack Hub registriert alle Apps und Dienste im gleichen Microsoft Entra Mandantenverzeichnis.
- Azure Stack Hub authentifiziert nur die Benutzer und Apps aus diesem Verzeichnis (einschließlich Token).
- Identitäten für Administratoren (Cloudbetreiber) und Mandantenbenutzer befinden sich unter demselben Verzeichnismandanten.
- Damit ein Benutzer aus einem anderen Verzeichnis auf diese Azure Stack Hub-Umgebung zugreifen kann, müssen Sie diesen Benutzer als Gast in das Mandantenverzeichnis einladen.
Microsoft Entra-ID: Topologie mit mehreren Mandanten
Cloudoperatoren können Azure Stack Hub so konfigurieren, dass der Zugriff auf Apps durch Mandanten einer oder mehrerer Organisationen zulässig ist. Benutzer greifen über das Azure Stack Hub-Benutzerportal auf Apps zu. In dieser Konfiguration ist das Administratorportal (vom Cloudbetreiber genutzt) auf Benutzer aus einem bestimmten Verzeichnis beschränkt.
Eine Topologie mit mehreren Mandanten ist geeignet, wenn Folgendes gilt:
- Ein Dienstanbieter möchte für Benutzer mehrerer Organisationen den Zugriff auf Azure Stack Hub zulassen.
Merkmale dieser Topologie:
- Der Zugriff auf Ressourcen sollte pro Organisation erfolgen.
- Den Benutzern einer Organisation sollte es nicht möglich sein, Benutzern außerhalb ihrer Organisation Zugriff auf Ressourcen zu gewähren.
- Identitäten für Administratoren (Cloudbetreiber) können sich in einem anderen Verzeichnismandanten befinden als die Identitäten für Benutzer. Diese Trennung sorgt auf Identitätsanbieterebene für Kontoisolation.
AD FS
Die AD FS-Topologie ist erforderlich, wenn eine der folgenden Bedingungen zutrifft:
- Azure Stack Hub stellt keine Verbindung mit dem Internet her.
- Azure Stack Hub kann eine Verbindung mit dem Internet herstellen, aber Sie entscheiden sich für AD FS als Identitätsanbieter.
Merkmale dieser Topologie:
Um die Verwendung dieser Topologie in einer Produktionsumgebung zu unterstützen, müssen Sie die integrierte Azure Stack Hub-AD FS-Instanz über eine Verbundvertrauensstellung in eine vorhandene AD FS-Instanz integrieren, die auf Active Directory basiert.
Sie können den Graph-Dienst in Azure Stack Hub in Ihre vorhandene Active Directory-Instanz integrieren. Sie können auch den OData-basierten Graph-API-Dienst verwenden, der mit der Azure AD-Graph-API konsistente APIs unterstützt.
Für die Interaktion mit Ihrer Active Directory-Instanz benötigt die Graph-API Benutzeranmeldeinformationen mit Leseberechtigungen für Ihre Active Directory-Instanz und Zugriff auf:
- die integrierte AD FS-Instanz,
- Ihre AD FS- und Active Directory-Instanzen, die auf Windows Server 2012 oder höher basieren müssen.
Zwischen Ihrer Active Directory-Instanz und der integrierten AD FS-Instanz sind Interaktionen nicht auf OpenID Connect beschränkt, und es können alle gegenseitig unterstützten Protokolle verwendet werden.
- Benutzerkonten werden in Ihrer lokalen Active Directory-Instanz erstellt und verwaltet.
- Dienstprinzipale und Registrierungen für Apps werden in der integrierten Active Directory-Instanz verwaltet.