Použití privilegovaného koncového bodu v centru Azure StackUse the privileged endpoint in Azure Stack Hub

Jako operátor centra Azure Stack byste pro většinu každodenních úloh správy měli používat rozhraní API pro správu portálu, PowerShell nebo Azure Resource Manager.As an Azure Stack Hub operator, you should use the administrator portal, PowerShell, or Azure Resource Manager APIs for most day-to-day management tasks. U některých méně běžných operací ale potřebujete použít privilegovaný koncový bod (PEP).However, for some less common operations, you need to use the privileged endpoint (PEP). PEP je předem nakonfigurovaná konzola vzdáleného prostředí PowerShell, která poskytuje dostatek možností, které vám pomůžou provést požadovanou úlohu.The PEP is a pre-configured remote PowerShell console that provides you with just enough capabilities to help you do a required task. Koncový bod používá prostředí POWERSHELL JEA (jen dostatečná Správa) k zobrazení pouze omezené sady rutin.The endpoint uses PowerShell JEA (Just Enough Administration) to expose only a restricted set of cmdlets. Pokud chcete získat přístup k PEP a vyvolat omezenou sadu rutin, použije se účet s nízkými oprávněními.To access the PEP and invoke the restricted set of cmdlets, a low-privileged account is used. Nejsou vyžadovány žádné účty správců.No admin accounts are required. Pro zvýšení zabezpečení není skriptování povoleno.For additional security, scripting isn't allowed.

K provedení těchto úloh můžete použít PEP:You can use the PEP to perform these tasks:

  • Úlohy nízké úrovně, jako je například shromažďování diagnostických protokolů.Low-level tasks, such as collecting diagnostic logs.
  • Mnoho úloh integrace Datacenter po nasazení u integrovaných systémů, jako je například přidání serverů pro přeposílání DNS (Domain Name System) po nasazení, nastavení integrace Microsoft Graph, integrace Active Directory Federation Services (AD FS) (AD FS), rozšíření certifikátu atd.Many post-deployment datacenter integration tasks for integrated systems, such as adding Domain Name System (DNS) forwarders after deployment, setting up Microsoft Graph integration, Active Directory Federation Services (AD FS) integration, certificate rotation, and so on.
  • Pro práci s podporou pro získání dočasného přístupu s vysokou úrovní pro důkladné řešení potíží s integrovaným systémem.To work with support to obtain temporary, high-level access for in-depth troubleshooting of an integrated system.

PEP zaznamená všechny akce (a odpovídající výstupy), které v relaci PowerShellu provedete.The PEP logs every action (and its corresponding output) that you perform in the PowerShell session. To zajišťuje úplnou transparentnost a kompletní auditování operací.This provides full transparency and complete auditing of operations. Tyto soubory protokolu můžete zachovat pro budoucí audity.You can keep these log files for future audits.

Poznámka

V Azure Stack Development Kit (ASDK) můžete spouštět některé příkazy, které jsou k dispozici v PEP, přímo z relace PowerShellu na hostiteli vývojové sady.In the Azure Stack Development Kit (ASDK), you can run some of the commands available in the PEP directly from a PowerShell session on the development kit host. Můžete ale chtít otestovat některé operace pomocí PEP, jako je například shromažďování protokolů, protože se jedná o jedinou metodu, kterou lze použít k provádění určitých operací v prostředí integrovaných systémů.However, you may want to test some operations using the PEP, such as log collection, because this is the only method available to perform certain operations in an integrated systems environment.

Poznámka

Pro přístup k privilegovanému koncovému bodu (PEP), portálu pro správu scénářů podpory a nástrojům GitHub centra Azure Stack můžete také použít pracovní stanici pro přístup k operátoru (OAW).You can also use the The Operator Access Workstation (OAW) to access the privileged endpoint (PEP), the Administrator portal for support scenarios, and Azure Stack Hub GitHub Tools. Další informace najdete v tématu pracovní stanice pro přístup k operátorovi centra Azure Stack.For more information see Azure Stack Hub Operator Access Workstation.

Přístup k privilegovanému koncovému boduAccess the privileged endpoint

K PEP přistupujete prostřednictvím vzdálené relace PowerShellu na virtuálním počítači, který hostuje PEP.You access the PEP through a remote PowerShell session on the virtual machine (VM) that hosts the PEP. V ASDK se tento virtuální počítač jmenuje AzS-ERCS01.In the ASDK, this VM is named AzS-ERCS01. Pokud používáte integrovaný systém, existují tři instance PEP, z nichž každý běží v rámci virtuálního počítače (předpona-ERCS01, prefix-ERCS02 nebo prefix-ERCS03) na různých hostitelích pro zajištění odolnosti.If you're using an integrated system, there are three instances of the PEP, each running inside a VM (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) on different hosts for resiliency.

Než zahájíte tento postup pro integrovaný systém, ujistěte se, že máte přístup k PEP buď podle IP adresy, nebo prostřednictvím DNS.Before you begin this procedure for an integrated system, make sure you can access the PEP either by IP address or through DNS. Po počátečním nasazení centra Azure Stack můžete k PEP přistupovat jenom pomocí IP adresy, protože integrace DNS zatím není nastavená.After the initial deployment of Azure Stack Hub, you can access the PEP only by IP address because DNS integration isn't set up yet. Dodavatel hardwaru OEM vám poskytne soubor JSON s názvem AzureStackStampDeploymentInfo , který obsahuje IP adresy PEP.Your OEM hardware vendor will provide you with a JSON file named AzureStackStampDeploymentInfo that contains the PEP IP addresses.

IP adresu můžete najít také na portálu pro správu centra Azure Stack.You may also find the IP address in the Azure Stack Hub administrator portal. Otevřete portál, například https://adminportal.local.azurestack.external .Open the portal, for example, https://adminportal.local.azurestack.external. Vyberte Vlastnosti správy oblastí > .Select Region Management > Properties.

en-USPři spuštění privilegovaného koncového bodu budete muset nastavit aktuální nastavení jazykové verze, jinak rutiny, jako je Test-AzureStack nebo Get-AzureStackLog, nebudou fungovat podle očekávání.You will need set your current culture setting to en-US when running the privileged endpoint, otherwise cmdlets such as Test-AzureStack or Get-AzureStackLog will not work as expected.

Poznámka

Z bezpečnostních důvodů vyžadujeme, abyste se připojili ke službě PEP jenom z posíleného virtuálního počítače, který běží na hostiteli životního cyklu hardwaru, nebo z vyhrazeného a zabezpečeného počítače, jako je například pracovní stanice privilegovaného přístupu.For security reasons, we require that you connect to the PEP only from a hardened VM running on top of the hardware lifecycle host, or from a dedicated and secure computer, such as a Privileged Access Workstation. Původní konfigurace hostitele životního cyklu hardwaru nesmí být upravena z původní konfigurace (včetně instalace nového softwaru) nebo používaná pro připojení k PEP.The original configuration of the hardware lifecycle host must not be modified from its original configuration (including installing new software) or used to connect to the PEP.

  1. Vytvořte vztah důvěryhodnosti.Establish the trust.

    • V integrovaném systému spusťte následující příkaz z relace se zvýšenými oprávněními Windows PowerShellu a přidejte PEP jako důvěryhodného hostitele na zesílený virtuální počítač, který běží na hostiteli životního cyklu hardwaru nebo na pracovní stanici privilegovaného přístupu.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate
      
    • Pokud používáte ASDK, přihlaste se k hostiteli vývojové sady.If you're running the ASDK, sign in to the development kit host.

  2. V zesíleném virtuálním počítači, který běží na hostiteli životního cyklu hardwaru nebo na pracovní stanici privilegovaného přístupu, otevřete relaci prostředí Windows PowerShell.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Spusťte následující příkazy, abyste navázali vzdálenou relaci na virtuálním počítači, který je hostitelem PEP:Run the following commands to establish a remote session on the VM that hosts the PEP:

    • V integrovaném systému:On an integrated system:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

      ComputerNameParametr může být buď IP adresa, nebo název DNS jednoho z virtuálních počítačů, které hostují PEP.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

      Poznámka

      Azure Stack centrum neprovádí vzdálené volání při ověřování přihlašovacích údajů PEP.Azure Stack Hub doesn't make a remote call when validating the PEP credential. K tomu se spoléhá na místně uložený veřejný klíč RSA.It relies on a locally-stored RSA public key to do that.

    • Pokud používáte ASDK:If you're running the ASDK:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

    Po zobrazení výzvy použijte následující přihlašovací údaje:When prompted, use the following credentials:

    • Uživatelské jméno: zadejte účet CloudAdmin ve formátu < Azure Stack centrum doména > \cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (Pro ASDK se uživatelské jméno azurestack\cloudadmin.)(For ASDK, the user name is azurestack\cloudadmin)
    • Heslo: zadejte stejné heslo, které bylo zadáno během instalace pro účet správce domény AzureStackAdmin.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

    Poznámka

    Pokud se nemůžete připojit ke koncovému bodu ERCS, opakujte kroky jedna a dvě s jinou IP adresou virtuálního počítače ERCS.If you're unable to connect to the ERCS endpoint, retry steps one and two with another ERCS VM IP address.

  3. Po připojení se výzva změní na [IP adresa nebo název virtuálního počítače ERCS]: PS> nebo na [AZS-ercs01]: PS>, v závislosti na prostředí.After you connect, the prompt will change to [IP address or ERCS VM name]: PS> or to [azs-ercs01]: PS>, depending on the environment. Z tohoto místa spusťte příkaz Get-Command pro zobrazení seznamu dostupných rutin.From here, run Get-Command to view the list of available cmdlets.

    Odkaz na rutiny najdete v referenčních informacích o privilegovaném koncovém bodu Azure Stack hub .You can find a reference for cmdlets in at Azure Stack Hub privileged endpoint reference

    Mnohé z těchto rutin jsou určené jenom pro integrovaná systémová prostředí (například rutiny související s integrací Datacenter).Many of these cmdlets are intended only for integrated system environments (such as the cmdlets related to datacenter integration). V ASDK byly ověřeny následující rutiny:In the ASDK, the following cmdlets have been validated:

    • Clear-HostClear-Host
    • Close-PrivilegedEndpointClose-PrivilegedEndpoint
    • Exit-PSSessionExit-PSSession
    • Get-AzureStackLogGet-AzureStackLog
    • Get-AzureStackStampInformationGet-AzureStackStampInformation
    • Get-CommandGet-Command
    • Get-FormatDataGet-FormatData
    • Get-HelpGet-Help
    • Get-ThirdPartyNoticesGet-ThirdPartyNotices
    • Measure-ObjectMeasure-Object
    • New-CloudAdminUserNew-CloudAdminUser
    • Out-DefaultOut-Default
    • Remove-CloudAdminUserRemove-CloudAdminUser
    • Select-ObjectSelect-Object
    • Set-CloudAdminUserPasswordSet-CloudAdminUserPassword
    • Test-AzureStackTest-AzureStack
    • Stop-AzureStackStop-AzureStack
    • Get-ClusterLogGet-ClusterLog

Použití privilegovaného koncového boduHow to use the privileged endpoint

Jak je uvedeno výše, PEP je koncový bod POWERSHELL JEA .As mentioned above, the PEP is a PowerShell JEA endpoint. Při poskytování silné bezpečnostní vrstvy JEA koncový bod omezuje některé základní funkce PowerShellu, jako je například skriptování nebo dokončování karet.While providing a strong security layer, a JEA endpoint reduces some of the basic PowerShell capabilities, such as scripting or tab completion. Pokud se pokusíte použít nějaký typ operace skriptu, operace se nezdařila s chybou ScriptsNotAllowed.If you try any type of script operation, the operation fails with the error ScriptsNotAllowed. Toto selhání je očekávané chování.This failure is expected behavior.

Chcete-li například získat seznam parametrů pro danou rutinu, spusťte následující příkaz:For instance, to get the list of parameters for a given cmdlet, run the following command:

    Get-Command <cmdlet_name> -Syntax

Alternativně můžete pomocí rutiny Import-PSSession importovat všechny rutiny Pep do aktuální relace na místním počítači.Alternatively, you can use the Import-PSSession cmdlet to import all the PEP cmdlets into the current session on your local machine. Rutiny a funkce PEP jsou teď k dispozici na vašem místním počítači společně s doplňováním karet a obecně se jedná o skriptování.The cmdlets and functions of the PEP are now available on your local machine, together with tab completion and, more in general, scripting. Můžete také spustit modul Get-Help a zkontrolovat pokyny k rutinám.You can also run the Get-Help module to review cmdlet instructions.

Pokud chcete importovat relaci PEP na místním počítači, proveďte následující kroky:To import the PEP session on your local machine, do the following steps:

  1. Vytvořte vztah důvěryhodnosti.Establish the trust.

    • V integrovaném systému spusťte následující příkaz z relace se zvýšenými oprávněními Windows PowerShellu a přidejte PEP jako důvěryhodného hostitele na zesílený virtuální počítač, který běží na hostiteli životního cyklu hardwaru nebo na pracovní stanici privilegovaného přístupu.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'
      
    • Pokud používáte ASDK, přihlaste se k hostiteli vývojové sady.If you're running the ASDK, sign in to the development kit host.

  2. V zesíleném virtuálním počítači, který běží na hostiteli životního cyklu hardwaru nebo na pracovní stanici privilegovaného přístupu, otevřete relaci prostředí Windows PowerShell.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Spusťte následující příkazy, abyste navázali vzdálenou relaci na virtuálním počítači, který je hostitelem PEP:Run the following commands to establish a remote session on the virtual machine that hosts the PEP:

    • V integrovaném systému:On an integrated system:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName <IP_address_of_ERCS> `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

      ComputerNameParametr může být buď IP adresa, nebo název DNS jednoho z virtuálních počítačů, které hostují PEP.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

    • Pokud používáte ASDK:If you're running the ASDK:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName azs-ercs01 `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

    Po zobrazení výzvy použijte následující přihlašovací údaje:When prompted, use the following credentials:

    • Uživatelské jméno: zadejte účet CloudAdmin ve formátu < Azure Stack centrum doména > \cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (Pro ASDK se uživatelské jméno azurestack\cloudadmin.)(For ASDK, the user name is azurestack\cloudadmin.)

    • Heslo: zadejte stejné heslo, které bylo zadáno během instalace pro účet správce domény AzureStackAdmin.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

  3. Importujte relaci PEP do místního počítače:Import the PEP session into your local machine:

    Import-PSSession $session
    
  4. Nyní můžete použít dokončování karet a provádět skriptování jako obvykle na místní relaci PowerShellu se všemi funkcemi a rutinami PEP, aniž by došlo ke snížení stav zabezpečení centra Azure Stack.Now, you can use tab-completion and do scripting as usual on your local PowerShell session with all the functions and cmdlets of the PEP, without decreasing the security posture of Azure Stack Hub. Užijte si ji!Enjoy!

Zavřít privilegovanou relaci koncového boduClose the privileged endpoint session

Jak bylo zmíněno dříve, PEP protokoluje každou akci (a odpovídající výstup), kterou provedete v relaci PowerShellu.As mentioned earlier, the PEP logs every action (and its corresponding output) that you do in the PowerShell session. Relaci musíte uzavřít pomocí Close-PrivilegedEndpoint rutiny.You must close the session by using the Close-PrivilegedEndpoint cmdlet. Tato rutina správně ukončí koncový bod a přenáší soubory protokolu do externí sdílené složky pro uchování.This cmdlet correctly closes the endpoint, and transfers the log files to an external file share for retention.

Ukončení relace koncového bodu:To close the endpoint session:

  1. Vytvořte externí sdílení souborů, které je přístupné pro PEP.Create an external file share that's accessible by the PEP. V prostředí vývojové sady můžete pouze vytvořit sdílenou složku na hostiteli vývojové sady.In a development kit environment, you can just create a file share on the development kit host.

  2. Spusťte následující rutinu:Run the following cmdlet:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential
    

    Rutina používá parametry v následující tabulce:The cmdlet uses the parameters in the following table:

    ParametrParameter PopisDescription TypType VyžadovánoRequired
    TranscriptsPathDestinationTranscriptsPathDestination Cesta k externímu sdílení souborů definovaná jako "fileshareIP\sharefoldername"Path to the external file share defined as "fileshareIP\sharefoldername" ŘetězecString YesYes
    Přihlašovací údajCredential Přihlašovací údaje pro přístup ke sdílené složce souborůCredentials to access the file share SecureStringSecureString YesYes

Po úspěšném přenosu souborů protokolu přepisu do sdílené složky se automaticky odstraní z PEP.After the transcript log files are successfully transferred to the file share, they're automatically deleted from the PEP.

Poznámka

Pokud zavřete relaci PEP pomocí rutin Exit-PSSession nebo Exit nebo pouze zavřete konzolu PowerShellu, protokoly přepisu se nepřenášejí do sdílené složky.If you close the PEP session by using the cmdlets Exit-PSSession or Exit, or you just close the PowerShell console, the transcript logs don't transfer to a file share. Zůstávají v PEP.They remain in the PEP. Při příštím spuštění Close-PrivilegedEndpoint a zahrnutí sdílené složky se také přenesou protokoly přepisu z předchozích relací.The next time you run Close-PrivilegedEndpoint and include a file share, the transcript logs from the previous session(s) will also transfer. Nepoužívejte Exit-PSSession nebo Exit k ukončení relace PEP použijte Close-PrivilegedEndpoint místo toho.Don't use Exit-PSSession or Exit to close the PEP session; use Close-PrivilegedEndpoint instead.

Odemknutí privilegovaného koncového bodu pro scénáře podporyUnlocking the privileged endpoint for support scenarios

Během scénáře podpory může pracovník podpory společnosti Microsoft potřebovat zvýšit relaci prostředí PowerShell privilegovaného koncového bodu, aby mohl získat přístup k interním údajům infrastruktury centra Azure Stack.During a support scenario, the Microsoft support engineer might need to elevate the privileged endpoint PowerShell session to access the internals of the Azure Stack Hub infrastructure. Tento proces je někdy neformálně označován jako "rozbití skla" nebo "Unlock The PEP".This process is sometimes informally referred to as "break the glass" or "unlock the PEP". Proces zvýšení úrovně relace PEP je dvěma kroky, dvou, dvou a dvou procesů ověřování organizace.The PEP session elevation process is a two step, two people, two organization authentication process. Postup odemknutí je iniciován operátorem centra Azure Stack, který neustále uchovává kontrolu nad prostředím.The unlock procedure is initiated by the Azure Stack Hub operator, who retains control of their environment at all times. Operátor přistupuje k PEP a provede tuto rutinu:The operator accesses the PEP and executes this cmdlet:

     Get-SupportSessionToken

Rutina vrátí token žádosti o relaci podpory, velmi dlouhý alfanumerický řetězec.The cmdlet returns the support session request token, a very long alphanumeric string. Operátor pak předá pracovníkovi technické podpory společnosti Microsoft prostřednictvím konkrétního výběru (např. chat, e-mail).The operator then passes the request token to the Microsoft support engineer via a medium of their choice (e.g., chat, email). Pracovník podpory společnosti Microsoft používá token žádosti pro vygenerování, pokud je platný, token pro autorizaci relace podpory a pošle ho zpět do operátoru centra Azure Stack.The Microsoft support engineer uses the request token to generate, if valid, a support session authorization token and sends it back to the Azure Stack Hub operator. Ve stejné relaci PowerShellu PEP operátor pak předá do této rutiny autorizační token jako vstup:On the same PEP PowerShell session, the operator then passes the authorization token as input to this cmdlet:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Pokud je autorizační token platný, relace PowerShellu PEP se zvýší na vyšší úroveň tím, že poskytuje úplné možnosti správy a úplný přístup k infrastruktuře.If the authorization token is valid, the PEP PowerShell session is elevated by providing full admin capabilities and full reachability into the infrastructure.

Poznámka

Všechny operace a rutiny spouštěné v relaci PEP se zvýšenými oprávněními se musí provádět v rámci striktního dozoru technické podpory společnosti Microsoft.All the operations and cmdlets executed in an elevated PEP session must be performed under strict supervision of the Microsoft support engineer. Tato chyba by mohla vést k vážným výpadkům, ztrátě dat a může vyžadovat úplné opětovné nasazení prostředí Azure Stack hub.Failure to do so could result in serious downtime, data loss and could require a full redeployment of the Azure Stack Hub environment.

Po ukončení relace podpory je velmi důležité zavřít zpátky relaci PEP s vyššími oprávněními pomocí rutiny Close-PrivilegedEndpoint , jak je vysvětleno v části výše.Once the support session is terminated, it is very important to close back the elevated PEP session by using the Close-PrivilegedEndpoint cmdlet as explained in the section above. Jedna relace PEP je ukončena, token odemčení již není platný a nelze jej znovu použít k odemčení relace PEP.One the PEP session is terminated, the unlock token is no longer valid and cannot be reused to unlock the PEP session again. Relace PEP se zvýšenými oprávněními má platnost 8 hodin, po které se v případě neukončení ukončí relace PEP se zvýšenými oprávněními automaticky znovu na běžnou relaci PEP.An elevated PEP session has a validity of 8 hours, after which, if not terminated, the elevated PEP session will automatically lock back to a regular PEP session.

Obsah tokenů privilegovaných koncových bodůContent of the privileged endpoint tokens

PEP podporuje požadavek relace a tokeny autorizace k ochraně přístupu a zajištění, aby relace PEP mohla odemknout pouze autorizované tokeny.The PEP support session request and authorization tokens leverage cryptography to protect access and ensure that only authorized tokens can unlock the PEP session. Tokeny jsou navržené tak, aby kryptograficky zaručují, že token odpovědi může přijmout jenom relace PEP, která vygenerovala token žádosti.The tokens are designed to cryptographically guarantee that a response token can only be accepted by the PEP session that generated the request token. Tokeny PEP neobsahují žádný druh informací, které by mohly jednoznačně identifikovat Azure Stackho centra nebo zákazníka.PEP tokens do not contain any kind of information that could uniquely identify an Azure Stack Hub environment or a customer. Jsou zcela anonymní.They are completely anonymous. Jsou uvedené podrobnosti o obsahu jednotlivých tokenů.Below the details of the content of each token are provided.

Token žádosti o relaci podporySupport session request token

Token žádosti o relaci podpory PEP se skládá ze tří objektů:The PEP support session request token is composed of three objects:

  • Náhodně generované ID relace.A randomly generated Session ID.
  • Certifikát podepsaný svým držitelem generovaný za účelem použití páru veřejného a privátního klíče s jednou dobou.A self-signed certificate, generated for the purpose of having a one-time public/private key pair. Certifikát neobsahuje žádné informace o daném prostředí.The certificate does not contain any information on the environment.
  • Časové razítko, které indikuje vypršení platnosti tokenu žádosti.A time stamp that indicates the request token expiration.

Token žádosti je pak zašifrovaný pomocí veřejného klíče cloudu Azure, ke kterému je prostředí centra Azure Stack zaregistrované.The request token is then encrypted with the public key of the Azure cloud against which the Azure Stack Hub environment is registered to.

Token odpovědi na autorizaci relace podporySupport session authorization response token

Token odpovědi na ověření PEP support se skládá ze dvou objektů:The PEP support authorization response token is composed of two objects:

  • Náhodně generované ID relace extrahované z tokenu žádostiThe randomly generated session ID extracted from the request token.
  • Časové razítko, které indikuje vypršení platnosti tokenu odpovědi.A time stamp that indicates the response token expiration.

Token odpovědi je pak zašifrovaný pomocí certifikátu podepsaného svým držitelem, který je obsažený v tokenu žádosti.The response token is then encrypted with the self-signed certificate contained in the request token. Certifikát podepsaný svým držitelem byl dešifrován pomocí privátního klíče přidruženého ke cloudu Azure, proti kterému je prostředí centra Azure Stack registrované.The self-signed certificate was decrypted with the private key associated with the Azure cloud against which the Azure Stack Hub environment is registered to.

Další krokyNext steps