1. 身份架构概述Disconnected Operations不依赖 Microsoft Entra ID而是在本地构建完整的身份认证体系。整个身份系统由三个组件组成Active Directory Domain Services (AD DS)提供用户、组及组成员信息Active Directory Federation Services (AD FS)提供 OpenID ConnectOIDC身份认证LDAP v3推荐 LDAPS负责同步用户组及成员信息整个身份体系完全运行在本地数据中心无需连接 Azure 公有云。2. 支持的身份组件组件用途说明Active Directory Domain ServicesAD DS用户、组、组成员管理仅支持 Universal Group ScopeActive Directory Federation ServicesAD FSOIDC 身份认证必须能够访问https://ADFS-FQDN/adfsMetadata EndpointLDAP v3同步组与成员默认端口 3268LDAP或 3269LDAPS推荐使用 3269SSL/TLS⚠️重要当前 Azure Local Disconnected Operations不支持 Microsoft Entra ID原 Azure Active Directory作为身份提供程序。身份认证必须通过 AD FS Active Directory 实现。3. 身份认证流程[用户登录] │ ▼ [Local Portal] │ ▼ OpenID Connect [AD FS] │ ▼ 用户身份认证 [返回 Access Token] │ ▼ [Appliance Control Plane] │ ▼ LDAP每 6 小时同步 [Active Directory]身份职责划分功能组件用户认证AD FSOIDC用户组同步LDAP用户信息来源Active Directory权限控制Azure RBAC4. Root Operator 与权限模型部署过程中必须指定一个 Root OperatorInitial Operator。Root Operator 自动拥有 Operator Subscription 权限可继续创建其他 Operator。其职责包括创建 Operator创建订阅Subscription创建 Service PrincipalSPN管理 Identity 配置管理诊断与日志管理 RBAC微软官方特别说明Role assignments and policies arent inherited from the Operator Subscription to individual subscriptions. Each subscription has its own RBAC scope.因此每个 Subscription 都拥有独立的 RBAC 权限边界权限不会自动继承。5. Operator 权限5.1 身份管理操作Operator创建 Operator✅创建 SPN✅删除 SPN✅修改 SPN✅查询 SPN✅查看同步后的组成员✅查看 Identity 配置✅查看同步状态✅5.2 Subscription 管理操作Operator创建 Alias✅删除 Alias✅创建 Subscription✅删除 Subscription✅查询 Subscription✅修改 Subscription Owner✅重命名 Subscription✅Resume Subscription✅5.3 运维与诊断操作Operator收集日志✅下载日志✅配置 Diagnostics✅配置 Syslog Forwarding✅5.4 权限限制以下操作不允许❌ 删除 Operator Subscription❌ Operator 自动继承所有 Subscription 权限需要注意SPN Owner 可以删除自己拥有的 SPN——这是独立于 Operator 的权限模型。6. Identity 同步机制部署完成后首次完成身份同步后续默认每 6 小时自动同步一次同步内容包括用户组用户成员关系Group Membership同步状态可通过 Operator API 查询Get-ApplianceExternalIdentityObservability7. 部署前需要准备的身份参数参数说明示例AuthorityOIDC Metadata URIhttps://adfs.contoso.com/adfsClientIdAD FS 注册应用 IDxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxLDAP CredentialLDAP 只读账户ldap / ******LDAPS Certificate ChainLDAPS 证书链见 PKI 章节OIDC Certificate ChainAD FS 证书链见 PKI 章节LDAP ServerLDAP Server FQDNldap.contoso.comLDAP PortLDAP 端口3269推荐Root Operator UPN初始 Operatoroperatorcontoso.comSync Group IdentifierRoot Group GUIDxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxAutomation Certificate自动化部署证书可选PowerShell 创建8. Identity 配置示例$ldapPass retracted | ConvertTo-SecureString -AsPlainText -Force $idpConfig { authority https://adfs.contoso.com/adfs clientId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx rootOperatorUserPrincipalName operatorcontoso.com ldapServer ldap.contoso.com ldapCredential New-Object PSCredential(ldap, $ldapPass) syncGroupIdentifier xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx }9. 自动化部署Automation Certificate如果希望整个部署流程无人值守可配置 Automation Certificate。Azure CLI 示例az login \ --service-principal \ --username ApplicationId \ --certificate CertificatePath \ --tenant TenantIdPowerShell 示例Connect-AzAccount -ServicePrincipal -CertificateThumbprint $CertThumbprint -Tenant $TenantId -ApplicationId $ApplicationId⚠️重要Automation Certificate等同于部署环境的最高权限凭据。如果证书永久丢失将无法继续自动化管理严重情况下可能需要重新部署 Disconnected Operations。建议使用企业 PKI 签发离线备份妥善保管私钥10. 部署前 Identity 检查清单检查项是否必须LDAP Server 已部署✅LDAP Endpoint 可访问✅AD FS 已部署✅OIDC Metadata 可访问✅Appliance 能解析 LDAP FQDN✅Appliance 能解析 AD FS FQDN✅LDAP 只读账户已创建✅已确定 Root Operator✅已确定同步 Root Group✅已准备所有 Identity 参数✅11. 官方未明确说明但需要注意的事项微软官方文档未明确说明以下内容AD FS 的最低版本要求通常建议 Windows Server 2019 或更新版本是否支持 LDAP StartTLS官方仅说明 LDAP/LDAPS推荐使用 LDAPS 3269Operator 数量是否存在上限Operator Subscription 是否涉及独立授权或计费Universal Group Scope 的设计原因官方仅要求必须使用 Universal Group未进一步解释
Azure Local离线模式身份规划(系列篇之三)
发布时间:2026/7/4 19:35:35
1. 身份架构概述Disconnected Operations不依赖 Microsoft Entra ID而是在本地构建完整的身份认证体系。整个身份系统由三个组件组成Active Directory Domain Services (AD DS)提供用户、组及组成员信息Active Directory Federation Services (AD FS)提供 OpenID ConnectOIDC身份认证LDAP v3推荐 LDAPS负责同步用户组及成员信息整个身份体系完全运行在本地数据中心无需连接 Azure 公有云。2. 支持的身份组件组件用途说明Active Directory Domain ServicesAD DS用户、组、组成员管理仅支持 Universal Group ScopeActive Directory Federation ServicesAD FSOIDC 身份认证必须能够访问https://ADFS-FQDN/adfsMetadata EndpointLDAP v3同步组与成员默认端口 3268LDAP或 3269LDAPS推荐使用 3269SSL/TLS⚠️重要当前 Azure Local Disconnected Operations不支持 Microsoft Entra ID原 Azure Active Directory作为身份提供程序。身份认证必须通过 AD FS Active Directory 实现。3. 身份认证流程[用户登录] │ ▼ [Local Portal] │ ▼ OpenID Connect [AD FS] │ ▼ 用户身份认证 [返回 Access Token] │ ▼ [Appliance Control Plane] │ ▼ LDAP每 6 小时同步 [Active Directory]身份职责划分功能组件用户认证AD FSOIDC用户组同步LDAP用户信息来源Active Directory权限控制Azure RBAC4. Root Operator 与权限模型部署过程中必须指定一个 Root OperatorInitial Operator。Root Operator 自动拥有 Operator Subscription 权限可继续创建其他 Operator。其职责包括创建 Operator创建订阅Subscription创建 Service PrincipalSPN管理 Identity 配置管理诊断与日志管理 RBAC微软官方特别说明Role assignments and policies arent inherited from the Operator Subscription to individual subscriptions. Each subscription has its own RBAC scope.因此每个 Subscription 都拥有独立的 RBAC 权限边界权限不会自动继承。5. Operator 权限5.1 身份管理操作Operator创建 Operator✅创建 SPN✅删除 SPN✅修改 SPN✅查询 SPN✅查看同步后的组成员✅查看 Identity 配置✅查看同步状态✅5.2 Subscription 管理操作Operator创建 Alias✅删除 Alias✅创建 Subscription✅删除 Subscription✅查询 Subscription✅修改 Subscription Owner✅重命名 Subscription✅Resume Subscription✅5.3 运维与诊断操作Operator收集日志✅下载日志✅配置 Diagnostics✅配置 Syslog Forwarding✅5.4 权限限制以下操作不允许❌ 删除 Operator Subscription❌ Operator 自动继承所有 Subscription 权限需要注意SPN Owner 可以删除自己拥有的 SPN——这是独立于 Operator 的权限模型。6. Identity 同步机制部署完成后首次完成身份同步后续默认每 6 小时自动同步一次同步内容包括用户组用户成员关系Group Membership同步状态可通过 Operator API 查询Get-ApplianceExternalIdentityObservability7. 部署前需要准备的身份参数参数说明示例AuthorityOIDC Metadata URIhttps://adfs.contoso.com/adfsClientIdAD FS 注册应用 IDxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxLDAP CredentialLDAP 只读账户ldap / ******LDAPS Certificate ChainLDAPS 证书链见 PKI 章节OIDC Certificate ChainAD FS 证书链见 PKI 章节LDAP ServerLDAP Server FQDNldap.contoso.comLDAP PortLDAP 端口3269推荐Root Operator UPN初始 Operatoroperatorcontoso.comSync Group IdentifierRoot Group GUIDxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxAutomation Certificate自动化部署证书可选PowerShell 创建8. Identity 配置示例$ldapPass retracted | ConvertTo-SecureString -AsPlainText -Force $idpConfig { authority https://adfs.contoso.com/adfs clientId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx rootOperatorUserPrincipalName operatorcontoso.com ldapServer ldap.contoso.com ldapCredential New-Object PSCredential(ldap, $ldapPass) syncGroupIdentifier xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx }9. 自动化部署Automation Certificate如果希望整个部署流程无人值守可配置 Automation Certificate。Azure CLI 示例az login \ --service-principal \ --username ApplicationId \ --certificate CertificatePath \ --tenant TenantIdPowerShell 示例Connect-AzAccount -ServicePrincipal -CertificateThumbprint $CertThumbprint -Tenant $TenantId -ApplicationId $ApplicationId⚠️重要Automation Certificate等同于部署环境的最高权限凭据。如果证书永久丢失将无法继续自动化管理严重情况下可能需要重新部署 Disconnected Operations。建议使用企业 PKI 签发离线备份妥善保管私钥10. 部署前 Identity 检查清单检查项是否必须LDAP Server 已部署✅LDAP Endpoint 可访问✅AD FS 已部署✅OIDC Metadata 可访问✅Appliance 能解析 LDAP FQDN✅Appliance 能解析 AD FS FQDN✅LDAP 只读账户已创建✅已确定 Root Operator✅已确定同步 Root Group✅已准备所有 Identity 参数✅11. 官方未明确说明但需要注意的事项微软官方文档未明确说明以下内容AD FS 的最低版本要求通常建议 Windows Server 2019 或更新版本是否支持 LDAP StartTLS官方仅说明 LDAP/LDAPS推荐使用 LDAPS 3269Operator 数量是否存在上限Operator Subscription 是否涉及独立授权或计费Universal Group Scope 的设计原因官方仅要求必须使用 Universal Group未进一步解释