Azure Lighthouse architektury

Azure Lighthouse pomáhá poskytovatelům služeb zjednodušit zapojení zákazníků a onboarding a zároveň spravovat delegované prostředky ve velkém měřítku s flexibilitou a přesností. Autorizovaní uživatelé, skupiny a instanční objekty mohou pracovat přímo v kontextu zákaznického předplatného, aniž by měli účet v tenantovi Azure Active Directory (Azure AD) zákazníka nebo byli spoluvlastníkem tenanta zákazníka. Mechanismus, který se používá k podpoře tohoto přístupu, se nazývá delegovaná správa prostředků Azure.

Diagram ilustrující delegovanou správu prostředků Azure

Tip

Azure Lighthouse můžete také použít v rámci podniku, který má vlastní několik tenantů Azure AD, aby se zjednodušila správa mezi tenanty.

Toto téma popisuje vztah mezi tenanty v Azure Lighthouse a prostředky vytvořenými v tenantovi zákazníka, které tuto relaci umožňují.

Prostředky delegování vytvořené v tenantovi zákazníka

Když je předplatné nebo skupina prostředků zákazníka onboardované do Azure Lighthouse, vytvoří se dva prostředky: definice registrace a přiřazení registrace. Pro přístup k těmto prostředkům můžete použít rozhraní API a nástroje pro správu nebo s nimi můžete pracovat v Azure Portal.

Definice registrace

Definice registrace obsahuje podrobnosti o nabídce Azure Lighthouse (SPRÁVA ID tenanta a autorizace, které přiřazovat předdefinované role konkrétním uživatelům, skupinám nebo instančním objektům ve správě tenanta.

Definice registrace se vytvoří na úrovni předplatného pro každé delegované předplatné nebo v každém předplatném, které obsahuje delegovanou skupinu prostředků. Při vytváření definice registrace pomocí rozhraní API budete muset pracovat na úrovni předplatného. Například pomocí Azure PowerShell budete muset před vytvořením nové definice registrace (New-AzManagedServicesDefinition)použít New-AzureRmDeployment místo new-AzureRmResourceGroupDeployment.

Přiřazení registrace

Přiřazení registrace přiřadí definici registrace ke konkrétnímu oboru, tzn. k onboardovaných předplatným nebo ke skupině prostředků.

Přiřazení registrace se vytvoří v každém delegovaném oboru, takže bude buď na úrovni skupiny předplatného, nebo na úrovni skupiny prostředků v závislosti na tom, co bylo onboardováno.

Každé přiřazení registrace musí odkazovat na platnou definici registrace na úrovni předplatného, vázání autorizací pro tohoto poskytovatele služeb na delegovaný obor a tím udělení přístupu.

Logická projekce

Azure Lighthouse vytvoří logickou projekci prostředků z jednoho tenanta do jiného tenanta. To umožňuje autorizovaným uživatelům poskytovatele služeb přihlásit se k vlastnímu tenantovi s autorizací, aby fungovali v delegovaných předplatných a skupinách prostředků zákazníků. Uživatelé v tenantovi poskytovatele služeb pak mohou provádět operace správy jménem svých zákazníků, aniž by se museli přihlašovat ke každému tenantovi jednotlivých zákazníků.

Pokaždé, když uživatel, skupina nebo instanční objekt v tenantovi poskytovatele služeb přistupuje k prostředkům v tenantovi zákazníka, Azure Resource Manager obdrží žádost. Resource Manager požadavky ověřuje stejně jako požadavky provedené uživateli v rámci vlastního tenanta zákazníka. Například Azure Lighthouse tak, že potvrdí, že jsou v tenantovi zákazníka k dispozici dva prostředky – definici registrace a přiřazení registrace. Pokud ano, Resource Manager přístup autorizuje podle informací definovaných těmito prostředky.

Diagram znázorňující logickou projekci v Azure Lighthouse

Aktivita uživatelů v tenantovi poskytovatele služeb se sleduje v protokolu aktivit, který je uložený v tenantovi zákazníka. Díky tomu může zákazník vidět, jaké změny provedl a kým.

Jak Azure Lighthouse funguje

Na nejvyšší úrovni je zde postup, Azure Lighthouse funguje pro tenanta pro správu:

  1. Identifikujte role, které budou vaše skupiny, objekty služby nebo uživatelé potřebovat ke správě prostředků Azure zákazníka.
  2. Zadejte tento přístup a nasaďte zákazníka k Azure Lighthouse publikováním nabídky spravované služby do služby Azure Marketplacenebo nasazením šablony Azure Resource Manager služby. Tento proces onboardingu vytvoří v tenantovi zákazníka dva výše popsané prostředky (definice registrace a přiřazení registrace).
  3. Po připojení zákazníka se autorizovaní uživatelé přihlásí k vašemu tenantovi pro správu a budou provádět úkoly v zadaném oboru zákazníka (předplatné nebo skupina prostředků) podle přístupu, který jste definovali. Zákazníci mohou zkontrolovat všechny akce a kdykoli odebrat přístup.

I když ve většině případů bude konkrétní prostředky pro zákazníka spravovat jenom jeden poskytovatel služeb, zákazník může pro stejné předplatné nebo skupinu prostředků vytvořit více delegování, což umožní přístup několika poskytovatelům služeb. Tento scénář také umožňuje scénářům isv, které projektují prostředky z tenanta poskytovatele služeb více zákazníkům.

Další kroky