Architettura di Azure Lighthouse

Azure Lighthouse aiuta i provider di servizi a semplificare l'engagement dei clienti e le esperienze di onboarding, gestendo al contempo le risorse delegate su larga scala con agilità e precisione. Gli utenti, i gruppi e le entità servizio autorizzati possono funzionare direttamente nel contesto di una sottoscrizione di un cliente senza avere un account nel tenant di Microsoft Entra del cliente o essere co-proprietario del tenant del cliente. Il meccanismo usato per supportare questo accesso è denominato Gestione risorse delegate di Azure.

Suggerimento

Azure Lighthouse può essere usato anche all'interno di un'azienda che dispone di più tenant Di Microsoft Entra propri per semplificare la gestione tra tenant.

Questo argomento illustra la relazione tra i tenant in Azure Lighthouse e le risorse create nel tenant del cliente che abilitano tale relazione.

Nota

L'onboarding di un cliente in Azure Lighthouse richiede una distribuzione da parte di un account non guest nel tenant del cliente che ha un ruolo con l'autorizzazione, ad esempio Proprietario, per la sottoscrizione di cui viene eseguito l'onboarding (o che contiene i gruppi di risorse di cui viene eseguito l'onboardingMicrosoft.Authorization/roleAssignments/write).

Risorse di delega create nel tenant del cliente

Quando viene eseguito l'onboarding della sottoscrizione o del gruppo di risorse di un cliente in Azure Lighthouse, vengono create due risorse: la definizione di registrazione e l'assegnazione di registrazione. È possibile usare API e strumenti di gestione per accedere a queste risorse o usarle nel portale di Azure.

Definizione di registrazione

La definizione di registrazione contiene i dettagli dell'offerta Di Azure Lighthouse (l'ID tenant di gestione e le autorizzazioni che assegnano ruoli predefiniti a utenti, gruppi e/o entità servizio specifici nel tenant di gestione.

Viene creata una definizione di registrazione a livello di sottoscrizione per ogni sottoscrizione delegata o in ogni sottoscrizione che contiene un gruppo di risorse delegato. Quando si usano le API per creare una definizione di registrazione, è necessario lavorare a livello di sottoscrizione. Ad esempio, usando Azure PowerShell, è necessario usare New-AzureRmDeployment prima di creare una nuova definizione di registrazione (New-AzManagedServicesDefinition), anziché usare New-AzureRmResourceGroupDeployment.

Assegnazione di registrazione

L'assegnazione di registrazione assegna la definizione di registrazione a un ambito specifico, ovvero le sottoscrizioni e/o i gruppi di risorse di cui è stato eseguito l'onboarding.

Un'assegnazione di registrazione viene creata in ogni ambito delegato, quindi sarà a livello di gruppo di sottoscrizioni o a livello di gruppo di risorse, a seconda di ciò che è stato eseguito l'onboarding.

Ogni assegnazione di registrazione deve fare riferimento a una definizione di registrazione valida a livello di sottoscrizione, legando le autorizzazioni per tale provider di servizi all'ambito delegato e concedendo così l'accesso.

Proiezione logica

Azure Lighthouse crea una proiezione logica di risorse da un tenant a un altro tenant. In questo modo, gli utenti autorizzati del provider di servizi accedono al proprio tenant con l'autorizzazione per lavorare in sottoscrizioni delegate dei clienti e gruppi di risorse. Gli utenti nel tenant del provider di servizi possono quindi eseguire operazioni di gestione per conto dei clienti, senza dover accedere a ogni singolo tenant del cliente.

Ogni volta che un utente, un gruppo o un'entità servizio nel tenant del provider di servizi accede alle risorse nel tenant di un cliente, Azure Resource Manager riceve una richiesta. Resource Manager autentica queste richieste, così come per le richieste effettuate dagli utenti all'interno del tenant del cliente. Per Azure Lighthouse, ciò avviene confermando che due risorse, la definizione di registrazione e l'assegnazione di registrazione, sono presenti nel tenant del cliente. In tal caso, Resource Manager autorizza l'accesso in base alle informazioni definite da tali risorse.

L'attività degli utenti nel tenant del provider di servizi viene rilevata nel log attività, archiviato nel tenant del cliente. In questo modo il cliente può vedere quali modifiche sono state apportate e da chi.

Funzionamento di Azure Lighthouse

A livello generale, ecco come funziona Azure Lighthouse per il tenant di gestione:

1. Identificare i ruoli che i gruppi, le entità servizio o gli utenti dovranno gestire le risorse di Azure del cliente.
2. Specificare questo accesso ed eseguire l'onboarding del cliente in Azure Lighthouse pubblicando un'offerta di servizio gestito in Azure Marketplace o distribuendo un modello di Azure Resource Manager. Questo processo di onboarding crea le due risorse descritte in precedenza (definizione di registrazione e assegnazione di registrazione) nel tenant del cliente.
3. Dopo aver eseguito l'onboarding del cliente, gli utenti autorizzati accedono al tenant di gestione ed eseguono attività nell'ambito del cliente specificato (sottoscrizione o gruppo di risorse) in base all'accesso definito. I clienti possono esaminare tutte le azioni eseguite e possono rimuovere l'accesso in qualsiasi momento.

Anche se nella maggior parte dei casi un solo provider di servizi gestirà risorse specifiche per un cliente, è possibile che il cliente crei più deleghe per la stessa sottoscrizione o gruppo di risorse, consentendo a più provider di servizi di avere accesso. Questo scenario abilita anche scenari ISV che proiettano le risorse dal tenant del provider di servizi a più clienti.

Passaggi successivi

• Esaminare l'interfaccia della riga di comando di Azure e i comandi di Azure PowerShell per usare le definizioni di registrazione e le assegnazioni di registrazione.
• Informazioni su servizi e scenari avanzati per Azure Lighthouse.
• Altre informazioni sul funzionamento di tenant, utenti e ruoli con Azure Lighthouse.