Arsitektur Azure Lighthouse

Azure Lighthouse membantu penyedia layanan menyederhanakan pengalaman keterlibatan dan onboarding pelanggan, sekaligus mengelola sumber daya yang didelegasikan dalam skala besar dengan kelincahan dan presisi. Pengguna, grup, dan perwakilan layanan yang berwenang dapat bekerja langsung dalam konteks langganan pelanggan tanpa memiliki akun di penyewa Microsoft Entra pelanggan tersebut atau menjadi pemilik bersama penyewa pelanggan. Mekanisme yang digunakan untuk mendukung akses ini disebut manajemen sumber daya yang didelegasikan Azure.

Tip

Azure Lighthouse juga dapat digunakan dalam perusahaan yang memiliki beberapa penyewa Microsoft Entra sendiri untuk menyederhanakan manajemen lintas penyewa.

Topik ini membahas hubungan antara penyewa di Azure Lighthouse dan sumber daya yang dibuat di penyewa pelanggan yang memungkinkan hubungan tersebut.

Catatan

Onboarding pelanggan ke Azure Lighthouse memerlukan penyebaran oleh akun non-tamu di penyewa pelanggan yang memiliki peran dengan izin Microsoft.Authorization/roleAssignments/write, seperti Pemilik, untuk langganan yang sedang di-onboarding (atau yang berisi grup sumber daya yang sedang di-onboarding).

Sumber daya delegasi dibuat di penyewa pelanggan

Saat langganan atau grup sumber daya pelanggan melakukan onboard ke Azure Lighthouse, dua sumber daya dibuat: definisi pendaftaran dan penetapan pendaftaran. Anda dapat menggunakan API dan alat manajemen untuk mengakses sumber daya ini, atau mengerjakannya di portal Microsoft Azure.

Definisi pendaftaran

Definisi pendaftaran berisi detail penawaran Azure Lighthouse (ID penyewa pengelola dan otorisasi yang menetapkan peran bawaan untuk pengguna, grup, dan/atau perwakilan layanan tertentu dalam penyewa pengelola.

Definisi pendaftaran dibuat di tingkat langganan untuk setiap langganan yang didelegasikan, atau di setiap langganan yang berisi grup sumber daya yang didelegasikan. Saat menggunakan API untuk membuat definisi pendaftaran, Anda harus bekerja di tingkat langganan. Misalnya, menggunakan Azure PowerShell, Anda harus menggunakan New-AzureRmDeployment sebelum membuat definisi pendaftaran baru (New-AzManagedServicesDefinition), dan bukan menggunakan New-AzureRmResourceGroupDeployment.

Penetapan pendaftaran

Penetapan pendaftaran menetapkan definisi pendaftaran ke lingkup tertentu—yaitu, grup langganan dan/atau sumber daya onboarding.

Penetapan pendaftaran dibuat di setiap cakupan yang didelegasikan, sehingga akan berada di tingkat grup langganan atau tingkat grup sumber daya, bergantung pada apa yang dimuat saat onboarding.

Setiap penetapan pendaftaran harus mereferensikan definisi pendaftaran yang valid di tingkat langganan guna memberi otorisasi untuk penyedia layanan tersebut ke cakupan yang didelegasikan dan dengan demikian akan memberikan akses.

Proyeksi logika

Azure Lighthouse membuat proyeksi sumber daya logika dari satu penyewa ke penyewa lain. Hal ini memungkinkan pengguna penyedia layanan resmi masuk ke penyewa mereka sendiri dengan otorisasi untuk bekerja di grup sumber daya dan langganan pelanggan yang didelegasikan. Pengguna di penyewa penyedia layanan kemudian dapat melakukan operasi manajemen atas nama pelanggan mereka, tanpa harus masuk ke setiap penyewa pelanggan individu.

Setiap kali pengguna, grup, atau perwakilan layanan di penyewa penyedia layanan mengakses sumber daya di penyewa pelanggan, Azure Resource Manager menerima permintaan. Resource Manager mengautentikasi permintaan ini, sama seperti permintaan yang dibuat oleh pengguna dalam penyewa pelanggan sendiri. Azure Lighthouse melakukan hal ini dengan mengonfirmasi bahwa dua sumber daya—definisi pendaftaran dan penetapan pendaftaran—ada di penyewa pelanggan. Jika demikian, Resource Manager mengizinkan akses sesuai dengan informasi yang ditentukan oleh sumber daya tersebut.

Aktivitas dari pengguna di penyewa penyedia layanan dilacak dalam log aktivitas, yang disimpan di penyewa pelanggan. Ini memungkinkan pelanggan untuk melihat perubahan apa yang dibuat dan oleh siapa perubahan tersebut dibuat.

Cara kerja Azure Lighthouse

Pada tingkat tinggi, berikut cara kerja Azure Lighthouse untuk penyewa pengelola:

1. Mengidentifikasi peran yang diperlukan oleh grup, perwakilan layanan, atau pengguna untuk mengelola sumber daya Azure pelanggan.
2. Menentukan akses ini dan melakukan onboarding pelanggan ke Azure Lighthouse baik dengan menerbitkan penawaran Managed Service ke Azure Marketplace atau dengan menyebarkan templat Azure Resource Manager. Proses onboarding ini menciptakan dua sumber daya yang dijelaskan di atas (definisi pendaftaran dan penetapan pendaftaran) di penyewa pelanggan.
3. Setelah pelanggan telah melakukan onboarding, pengguna yang berwenang masuk ke penyewa pengelola dan melakukan tugas dalam cakupan pelanggan yang ditentukan (grup sumber daya atau langganan) sesuai dengan akses yang Anda tentukan. Pelanggan dapat meninjau semua tindakan yang diambil dan dapat menghapus akses kapan saja.

Meskipun dalam kebanyakan kasus hanya satu penyedia layanan yang akan mengelola sumber daya tertentu untuk pelanggan, pelanggan dapat membuat beberapa delegasi untuk langganan atau grup sumber daya yang sama, yang memungkinkan beberapa penyedia layanan memiliki akses. Skenario ini juga memungkinkan skenario ISV yang memproyeksikan sumber daya dari penyewa penyedia layanan ke beberapa pelanggan.

Langkah berikutnya

• Tinjau perintah Azure CLI dan Azure PowerShell untuk bekerja dengan penetapan pendaftaran dan definisi pendaftaran.
• Pelajari layanan dan skenario yang disempurnakan untuk Azure Lighthouse.
• Pelajari selengkapnya cara penyewa, pengguna, dan peran berfungsi bersama Azure Lighthouse.