Konfigurace víceklientské architektury v centru Azure Stack

centrum Azure Stack můžete nakonfigurovat tak, aby podporovala přihlášení uživatelů, kteří se nacházejí v jiných adresářích Azure Active Directory (Azure AD), což jim umožňuje používat služby v centru Azure Stack. Tyto adresáře mají vztah "host" s adresářem centra Azure Stack a považují se za klienty Azure AD typu Host.

Zvažte například tento scénář:

  • Jste správcem služby contoso.onmicrosoft.com, který je domácím klientem Azure AD, který poskytuje služby pro správu identit a přístupu pro Azure Stack hub.
  • Marie je Správce adresáře adatum.onmicrosoft.com, tenant hosta Azure AD, kde se nacházejí uživatelé typu Host.
  • Společnost Marie (adatum) používá služby IaaS a PaaS z vaší společnosti. Adatum chce uživatelům v adresáři hosta (adatum.onmicrosoft.com) dovolit, aby se přihlásili a používali prostředky centra Azure Stack zabezpečené pomocí contoso.onmicrosoft.com.

V této příručce najdete požadované kroky v souvislosti s tímto scénářem, pokud chcete povolit nebo zakázat víceklientské prostředí v Azure Stack hub pro tenanta adresáře hostů. Tento proces můžete dokončit tak, že zaregistrujete nebo zrušíte registraci klienta adresáře hosta, který umožňuje nebo zakáže přihlášení k rozbočovači Azure Stack a spotřebu služeb adatum uživateli.

pokud jste Cloud Solution Provider (CSP), máte k dispozici další způsoby konfigurace a správy Azure Stackho centra pro více tenantů.

Požadavky

Než zaregistrujete nebo zrušíte registraci adresáře hosta, je nutné, abyste vy a Marie dokončili kroky správy pro příslušné klienty Azure AD: domovský adresář centra Azure Stack (Contoso) a adresář hosta (adatum):

Registrace adresáře hosta

Pokud chcete zaregistrovat adresář hostů pro víceklientské architektury, musíte nakonfigurovat adresář domovského Azure Stack hub i adresář hostů.

Konfigurovat adresář centra Azure Stack

Jako správce služby contoso.onmicrosoft.com je třeba nejdřív připojit klienta adresáře hosta adatum do centra Azure Stack. Následující skript nakonfiguruje Azure Resource Manager pro přijímání přihlášení uživatelů a instančních objektů v tenantovi adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurace adresáře hosta

Dále musí být Marie (Správce adresáře adatum) registrovat Azure Stack hub pomocí adresáře hosta adatum.onmicrosoft.com spuštěním následujícího skriptu:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Důležité

Pokud váš správce centra Azure Stack v budoucnu nainstaluje nové služby nebo aktualizace, možná budete muset tento skript spustit znovu.

Spusťte tento skript kdykoli znovu, abyste zkontrolovali stav aplikací centra Azure Stack ve vašem adresáři.

Pokud si všimnete potíží s vytvářením virtuálních počítačů v Managed Disks (představených v aktualizaci 1808), přidal se nový poskytovatel prostředků disku, který vyžaduje, aby se tento skript spouštěl znovu.

Přímé přihlašování uživatelů

A konečně, Marie může adatum uživatele s účty @adatum. onmicrosoft.com, které se budou přihlašovat, a to tak, že navštíví portál pro uživatele centra Azure Stack. Pro systémy s více uzly je adresa URL uživatelského portálu formátována jako https://portal.<region>.<FQDN> . V případě nasazení ASDK je adresa URL https://portal.local.azurestack.external .

Marie musí také směrovat jakékoli cizí objekty zabezpečení (uživatelé v adresáři adatum bez přípony adatum.onmicrosoft.com), aby se přihlásili pomocí https://<user-portal-url>/adatum.onmicrosoft.com . Pokud neurčíte /adatum.onmicrosoft.com tenanta adresáře v adrese URL, odešlou se do výchozího adresáře a zobrazí se chyba oznamující, že správce nesouhlasí.

Zrušení registrace adresáře hostů

Pokud už nechcete, aby se přihlásili Azure Stack služby centra z tenanta hostovaného adresáře, můžete zrušit registraci adresáře. Znovu se musí nakonfigurovat adresář domovského Azure Stackového centra i adresáře hosta:

  1. Jako správce adresáře hosta (Marie v tomto scénáři) spusťte Unregister-AzsWithMyDirectoryTenant . Rutina odinstaluje všechny aplikace Azure Stack hub z nového adresáře.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Jako správce služby Azure Stack hub (v tomto scénáři) spusťte Unregister-AzSGuestDirectoryTenant rutinu:

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Upozornění

    Postup zakázání víceklientské architektury se musí provádět v uvedeném pořadí. Krok #1 se nezdařil, pokud je nejprve dokončen krok #2.

Načíst sestavu stavu identity centra Azure Stack

Nahraďte <region><domain><homeDirectoryTenant> zástupné symboly, a pak spusťte následující rutinu jako správce centra Azure Stack.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Aktualizovat oprávnění tenanta Azure AD

Tato akce vymaže výstrahu v Azure Stackovém centru, což značí, že adresář vyžaduje aktualizaci. Ze složky Azurestack-Tools-Master/identity spusťte následující příkaz:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skript vás vyzve k zadání přihlašovacích údajů správce v tenantovi Azure AD a spuštění trvá několik minut. Po spuštění rutiny se tato výstraha neodstraní.

Správa založená na portálu není pro tuto verzi podporovaná.

Správa více tenantů pomocí portálu pro správu je dostupná jenom pro verze 2102 a novější. Vyberte novější verzi pomocí selektoru v levé horní části stránky.

Registrace adresáře hosta

Pokud chcete zaregistrovat adresář hostů pro víceklientské architektury, musíte nakonfigurovat adresář domovského Azure Stack hub i adresář hostů.

Konfigurovat adresář centra Azure Stack

Prvním krokem je, aby se systém Azure Stack hub vědom adresáře hostů. V tomto příkladu se adresář od společnosti Marie adatum nazývá adatum.onmicrosoft.com.

  1. Přihlaste se k portálu správce centra Azure Stack a přejděte do části všechny služby – adresáře.

    Snímek obrazovky, který zobrazuje seznam adresářů.

  2. Vyberte Přidat a zahajte proces připojování. Zadejte název adresáře hosta "adatum.onmicrosoft.com" a pak vyberte Přidat.

    Snímek obrazovky, který ukazuje, jak přidat nový adresář

  3. V zobrazení seznamu se zobrazí adresář hosta se stavem Neregistrováno.

    Snímek obrazovky zobrazující nový adresář hosta s neregistrovaným stavem

  4. Pouze Marie má pověření pro ověření v adresáři hosta, takže musíte odeslat odkaz pro dokončení registrace. Zaškrtněte políčko adatum.onmicrosoft.com a pak vyberte Registrovat.

    Snímek obrazovky zobrazující výběr adresáře, který se má zaregistrovat

  5. Otevře se nová karta prohlížeče. V dolní části stránky vyberte odkaz pro kopírování a zadejte Marie.

  6. Pokud máte přihlašovací údaje k adresáři hosta, můžete registraci dokončit sami výběrem možnosti Přihlásitse.

    Snímek obrazovky, který zobrazuje výběr možnosti přihlásit se.

Konfigurace adresáře hosta

Marie přijal e-mail s odkazem pro registraci adresáře. otevře odkaz v prohlížeči a potvrdí Azure Active Directory a koncový bod Azure Resource Manager vašeho systému služby Azure Stack Hub.

  1. Marie se přihlásí pomocí svých přihlašovacích údajů globálního správce pro adatum.onmicrosoft.com.

    Poznámka

    Před přihlášením zajistěte, aby byly vypnuté blokování automaticky otevíraných oken.

    Snímek obrazovky, který ukazuje přihlášení ke správě adresáře.

  2. Marie zkontroluje stav adresáře a uvidí, že není zaregistrovaný.

    Snímek obrazovky, který zobrazuje neregistrovaný adresář.

  3. Marie vybere zaregistrovat a zahájí proces.

    Poznámka

    požadované objekty pro Visual Studio Code možná nebude možné vytvořit a musí používat PowerShell.

    Snímek obrazovky zobrazující registraci spouštěcího adresáře

  4. Po dokončení procesu registrace může Marie zkontrolovat všechny aplikace, které byly vytvořeny v adresáři, a zkontrolovat jejich stav.

    Snímek obrazovky, který zobrazuje registrovaný adresář.

  5. Marie úspěšně dokončila proces registrace a teď může přímo adatum uživatele s účty @adatum. onmicrosoft.com, aby se mohli přihlásit, a to tak, že navštíví portál Azure Stack centra uživatelů. Pro systémy s více uzly je adresa URL uživatelského portálu formátována jako https://portal.<region>.<FQDN> . V případě nasazení ASDK je adresa URL https://portal.local.azurestack.external .

Důležité

Může trvat až jednu hodinu, než operátor Azure Stacke uvidí stav adresáře aktualizovaný na portálu pro správu.

Marie musí také směrovat jakékoli cizí objekty zabezpečení (uživatelé v adresáři adatum bez přípony adatum.onmicrosoft.com), aby se přihlásili pomocí https://<user-portal-url>/adatum.onmicrosoft.com . Pokud neurčíte /adatum.onmicrosoft.com tenanta adresáře v adrese URL, odešlou se do výchozího adresáře a zobrazí se chyba oznamující, že správce nesouhlasí.

Zrušení registrace adresáře hostů

Pokud už nechcete, aby se přihlásili Azure Stack služby centra z tenanta hostovaného adresáře, můžete zrušit registraci adresáře. Znovu se musí nakonfigurovat adresář domovského Azure Stackového centra i adresáře hosta:

Konfigurace adresáře hosta

Marie již nepoužívá služby v Azure Stackovém centru a musí tyto objekty odebrat. Otevře adresu URL znovu, kterou obdržel e-mailem, aby zrušila registraci adresáře. Před zahájením tohoto procesu odstraní Marie všechny prostředky z předplatného centra Azure Stack.

  1. Marie se přihlásí pomocí svých přihlašovacích údajů globálního správce pro adatum.onmicrosoft.com.

    Poznámka

    Před přihlášením zajistěte, aby byly vypnuté blokování automaticky otevíraných oken.

    Snímek obrazovky, který zobrazuje výběr možnosti přihlásit se.

  2. Marie uvidí stav adresáře.

    Snímek obrazovky, který zobrazuje registrovaný adresář.

  3. Marie vybere zrušit registraci a spustí akci.

    Snímek obrazovky, který ukazuje, že selecing zruší registraci adresáře.

  4. Po dokončení procesu se stav zobrazuje jako neregistrovaný:

    Snímek obrazovky, který zobrazuje neregistrovaný adresář.

    Marie úspěšně zrušila registraci adresáře adatum.onmicrosoft.com.

    Poznámka

    Může trvat až jednu hodinu, než se adresář zobrazí jako neregistrovaný na portálu pro správu Azure Stack.

Konfigurovat adresář centra Azure Stack

Jako operátor centra Azure Stack můžete kdykoli odebrat adresář hostů, a to i v případě, že Marie ještě předtím zrušila registraci adresáře.

  1. Přihlaste se k portálu správce centra Azure Stack a přejděte do části všechny služby – adresáře.

    Snímek obrazovky, který zobrazuje všechny adresáře.

  2. Zaškrtněte políčko adresář adatum.onmicrosoft.com a pak vyberte Odebrat.

    Snímek obrazovky, který zobrazuje výběr možnosti odebrat pro adresář

  3. Potvrďte akci odstranit zadáním Yes a výběrem možnosti Odebrat.

    Snímek obrazovky, který ukazuje, jak odebrat adresář

    Úspěšně jste odebrali adresář.

Správa požadovaných aktualizací

Aktualizace centra Azure Stack mohou zavést podporu pro nové nástroje nebo služby, které mohou vyžadovat aktualizaci domovského nebo hostovaného adresáře.

Jako operátor centra Azure Stack obdržíte na portálu pro správu výstrahu, která vás informuje o požadované aktualizaci adresáře. V podokně adresáře na portálu pro správu můžete také určit, jestli se pro domovské nebo hostované adresáře vyžaduje aktualizace. Každý výpis adresáře zobrazuje typ adresáře. Může se jednat o typ domů nebo adresář hosta a zobrazí se jeho stav.

Aktualizace adresářů centra Azure Stack

Pokud se vyžaduje aktualizace adresáře centra Azure Stack, zobrazí se stav vyžaduje se aktualizace . Například:

Snímek obrazovky zobrazující adresář vyžadující aktualizaci

Pokud chcete adresář aktualizovat, zaškrtněte políčko název adresáře a pak vyberte aktualizovat.

Aktualizace adresáře hosta

Operátor centra Azure Stack by měl také informovat vlastníka adresáře hosta, že potřebují aktualizovat svůj adresář pomocí adresy URL sdílené pro registraci. Operátor může adresu URL znovu odeslat, ale nemění se.

Marie, vlastník adresáře hosta otevře adresu URL, kterou získal e-mail při registraci adresáře:

  1. Marie se přihlásí pomocí svých přihlašovacích údajů globálního správce pro adatum.onmicrosoft.com. Před přihlášením zajistěte, aby byly vypnuté blokování automaticky otevíraných oken.

    Snímek obrazovky, který zobrazuje výběr možnosti přihlásit se.

  2. Marie uvidí stav adresáře, který říká, že je aktualizace povinná.

  3. Pro aktualizaci adresáře hosta je k dispozici akce aktualizace . Může trvat až jednu hodinu, než se adresář zobrazí jako zaregistrovaný na portálu pro správu Azure Stack.

Další funkce

Operátor centra Azure Stack může zobrazit předplatná přidružená k adresáři. Kromě toho má každý adresář akci pro správu adresáře přímo v Azure Portal. Aby bylo možné spravovat, musí mít cílový adresář oprávnění spravovat v Azure Portal.

Další kroky