Het bevoegde eind punt in Azure Stack hub gebruikenUse the privileged endpoint in Azure Stack Hub

Als Azure Stack hub-operator moet u de beheer Portal, Power shell of Azure Resource Manager Api's voor de meeste dagelijkse beheer taken gebruiken.As an Azure Stack Hub operator, you should use the administrator portal, PowerShell, or Azure Resource Manager APIs for most day-to-day management tasks. Voor sommige minder veelvoorkomende bewerkingen moet u echter het privileged endpoint (PEP) gebruiken.However, for some less common operations, you need to use the privileged endpoint (PEP). De PEP is een vooraf geconfigureerde externe Power shell-console met voldoende mogelijkheden om u te helpen een vereiste taak uit te voeren.The PEP is a pre-configured remote PowerShell console that provides you with just enough capabilities to help you do a required task. Het eind punt maakt gebruik van Power shell JEA (net genoeg beheer) om slechts een beperkt aantal cmdlets beschikbaar te maken.The endpoint uses PowerShell JEA (Just Enough Administration) to expose only a restricted set of cmdlets. Voor toegang tot de PEP en het aanroepen van de beperkte set cmdlets wordt een account met weinig bevoegdheden gebruikt.To access the PEP and invoke the restricted set of cmdlets, a low-privileged account is used. Er zijn geen beheerders accounts vereist.No admin accounts are required. Voor extra beveiliging is het uitvoeren van scripts niet toegestaan.For additional security, scripting isn't allowed.

U kunt de PEP gebruiken om de volgende taken uit te voeren:You can use the PEP to perform these tasks:

  • Taken op laag niveau, zoals het verzamelen van Diagnostische logboeken.Low-level tasks, such as collecting diagnostic logs.
  • Veel Data Center-integratie taken na de implementatie voor geïntegreerde systemen, zoals het toevoegen van Domain Name System (DNS)-doorstuur servers na de implementatie, het instellen van Microsoft Graph Integration, Active Directory Federation Services (AD FS) integratie, het draaien van certificaten, enzovoort.Many post-deployment datacenter integration tasks for integrated systems, such as adding Domain Name System (DNS) forwarders after deployment, setting up Microsoft Graph integration, Active Directory Federation Services (AD FS) integration, certificate rotation, and so on.
  • Om te kunnen werken met ondersteuning voor het verkrijgen van tijdelijke toegang op hoog niveau voor uitgebreide probleem oplossing van een geïntegreerd systeem.To work with support to obtain temporary, high-level access for in-depth troubleshooting of an integrated system.

De PEP registreert elke actie (en de bijbehorende uitvoer) die u in de Power shell-sessie uitvoert.The PEP logs every action (and its corresponding output) that you perform in the PowerShell session. Dit biedt volledige transparantie en volledige controle van bewerkingen.This provides full transparency and complete auditing of operations. U kunt deze logboek bestanden voor toekomstige controles blijven gebruiken.You can keep these log files for future audits.

Notitie

In de Azure Stack Development Kit (ASDK) kunt u een aantal van de opdrachten die beschikbaar zijn in de PEP rechtstreeks uitvoeren vanuit een Power shell-sessie op de Development Kit-host.In the Azure Stack Development Kit (ASDK), you can run some of the commands available in the PEP directly from a PowerShell session on the development kit host. Het is echter mogelijk dat u bepaalde bewerkingen wilt testen met behulp van de PEP, zoals logboek verzameling, omdat dit de enige methode is die beschikbaar is voor het uitvoeren van bepaalde bewerkingen in een geïntegreerde systeem omgeving.However, you may want to test some operations using the PEP, such as log collection, because this is the only method available to perform certain operations in an integrated systems environment.

Notitie

U kunt ook de operator Access-werk station (OAW) gebruiken voor toegang tot het privileged endpoint (PEP), de beheerders portal voor ondersteunings scenario's en Azure Stack hub GitHub-Hulpprogram Ma's.You can also use the The Operator Access Workstation (OAW) to access the privileged endpoint (PEP), the Administrator portal for support scenarios, and Azure Stack Hub GitHub Tools. Zie Azure stack hub-operator toegang tot werk stationvoor meer informatie.For more information see Azure Stack Hub Operator Access Workstation.

Toegang tot het privileged EndpointAccess the privileged endpoint

U hebt toegang tot de PEP via een externe Power shell-sessie op de virtuele machine (VM) die als host fungeert voor de PEP.You access the PEP through a remote PowerShell session on the virtual machine (VM) that hosts the PEP. In de ASDK heet deze VM AzS-ERCS01.In the ASDK, this VM is named AzS-ERCS01. Als u een geïntegreerd systeem gebruikt, zijn er drie exemplaren van de PEP, die elk binnen een virtuele machine (voor voegsel-ERCS01, prefix-ERCS02 of voor voegsel-ERCS03) op verschillende hosts worden uitgevoerd voor tolerantie.If you're using an integrated system, there are three instances of the PEP, each running inside a VM (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) on different hosts for resiliency.

Voordat u met deze procedure begint voor een geïntegreerd systeem, moet u ervoor zorgen dat u toegang hebt tot de PEP via een IP-adres of via DNS.Before you begin this procedure for an integrated system, make sure you can access the PEP either by IP address or through DNS. Na de eerste implementatie van Azure Stack hub hebt u alleen toegang tot de PEP via IP-adres omdat de DNS-integratie nog niet is ingesteld.After the initial deployment of Azure Stack Hub, you can access the PEP only by IP address because DNS integration isn't set up yet. Uw OEM-hardwareleverancier krijgt u een JSON-bestand met de naam AzureStackStampDeploymentInfo dat de IP-adressen van Pep bevat.Your OEM hardware vendor will provide you with a JSON file named AzureStackStampDeploymentInfo that contains the PEP IP addresses.

U kunt ook het IP-adres vinden in het Azure Stack hub-beheerders Portal.You may also find the IP address in the Azure Stack Hub administrator portal. Open de portal, bijvoorbeeld https://adminportal.local.azurestack.external .Open the portal, for example, https://adminportal.local.azurestack.external. Selecteer Eigenschappen van regio beheer > .Select Region Management > Properties.

U moet uw huidige cultuur instelling instellen op en-US bij het uitvoeren van het bevoegde eind punt, anders werken cmdlets, zoals Test-AzureStack of Get-AzureStackLog, niet zoals verwacht.You will need set your current culture setting to en-US when running the privileged endpoint, otherwise cmdlets such as Test-AzureStack or Get-AzureStackLog will not work as expected.

Notitie

Uit veiligheids overwegingen is het van belang dat u alleen verbinding maakt met de PEP van een geharde virtuele machine die wordt uitgevoerd op de hardware levenscyclus of op een specifieke en beveiligde computer, zoals een privileged Access-werk station.For security reasons, we require that you connect to the PEP only from a hardened VM running on top of the hardware lifecycle host, or from a dedicated and secure computer, such as a Privileged Access Workstation. De oorspronkelijke configuratie van de hardware levenscyclus-host mag niet worden gewijzigd van de oorspronkelijke configuratie (inclusief het installeren van nieuwe software) of worden gebruikt om verbinding te maken met de PEP.The original configuration of the hardware lifecycle host must not be modified from its original configuration (including installing new software) or used to connect to the PEP.

  1. Stel de vertrouwens relatie in.Establish the trust.

    • Op een geïntegreerd systeem voert u de volgende opdracht uit vanaf een Windows Power shell-sessie met verhoogde bevoegdheid om de PEP toe te voegen als een vertrouwde host op de beveiligde virtuele machine die wordt uitgevoerd op de hardware Lifecycle host of het werk station met privileged Access.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate
      
    • Als u de ASDK uitvoert, meldt u zich aan bij de Development Kit-host.If you're running the ASDK, sign in to the development kit host.

  2. Open een Windows Power shell-sessie op de beveiligde virtuele machine die wordt uitgevoerd op de hardware-levens cyclus host of het werk station voor bevoegde toegang.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Voer de volgende opdrachten uit om een externe sessie tot stand te brengen op de virtuele machine die als host fungeert voor de PEP:Run the following commands to establish a remote session on the VM that hosts the PEP:

    • Op een geïntegreerd systeem:On an integrated system:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

      De ComputerName para meter kan het IP-adres of de DNS-naam zijn van een van de virtuele machines die als host fungeert voor de PEP.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

      Notitie

      Azure Stack hub maakt geen externe oproep bij het valideren van de PEP-referentie.Azure Stack Hub doesn't make a remote call when validating the PEP credential. Dit is afhankelijk van een lokaal opgeslagen RSA open bare sleutel.It relies on a locally-stored RSA public key to do that.

    • Als u de ASDK uitvoert:If you're running the ASDK:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

    Wanneer u hierom wordt gevraagd, gebruikt u de volgende referenties:When prompted, use the following credentials:

    • Gebruikers naam: Geef het CloudAdmin-account op in de indeling < Azure stack hub-domein > \cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (Voor ASDK is de gebruikers naam azurestack\cloudadmin)(For ASDK, the user name is azurestack\cloudadmin)
    • Wacht woord: Voer het wacht woord in dat is opgegeven tijdens de installatie van het AzureStackAdmin Domain Administrator-account.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

    Notitie

    Als u geen verbinding kunt maken met het ERCS-eind punt, voert u de stappen 1 en 2 opnieuw uit met een ander ERCS VM-IP-adres.If you're unable to connect to the ERCS endpoint, retry steps one and two with another ERCS VM IP address.

  3. Nadat u verbinding hebt gemaakt, wordt de prompt gewijzigd in [IP-adres of ERCS VM-naam]: PS> of [AZS-ercs01]: PS>, afhankelijk van de omgeving.After you connect, the prompt will change to [IP address or ERCS VM name]: PS> or to [azs-ercs01]: PS>, depending on the environment. Voer een van de volgende handelingen uit Get-Command om de lijst met beschik bare cmdlets weer te geven.From here, run Get-Command to view the list of available cmdlets.

    U vindt een Naslag informatie voor cmdlets in op Azure stack hub privileged endpoint-referentieYou can find a reference for cmdlets in at Azure Stack Hub privileged endpoint reference

    Veel van deze cmdlets zijn alleen bedoeld voor geïntegreerde systeem omgevingen (zoals de cmdlets die betrekking hebben op de integratie met data centers).Many of these cmdlets are intended only for integrated system environments (such as the cmdlets related to datacenter integration). In de ASDK zijn de volgende cmdlets gevalideerd:In the ASDK, the following cmdlets have been validated:

    • Clear-HostClear-Host
    • Close-PrivilegedEndpointClose-PrivilegedEndpoint
    • Exit-PSSessionExit-PSSession
    • Get-AzureStackLogGet-AzureStackLog
    • Get-AzureStackStampInformationGet-AzureStackStampInformation
    • Get-CommandGet-Command
    • Get-FormatDataGet-FormatData
    • Get-HelpGet-Help
    • Get-ThirdPartyNoticesGet-ThirdPartyNotices
    • Measure-ObjectMeasure-Object
    • New-CloudAdminUserNew-CloudAdminUser
    • Out-DefaultOut-Default
    • Remove-CloudAdminUserRemove-CloudAdminUser
    • Select-ObjectSelect-Object
    • Set-CloudAdminUserPasswordSet-CloudAdminUserPassword
    • Test-AzureStackTest-AzureStack
    • Stop-AzureStackStop-AzureStack
    • Get-ClusterLogGet-ClusterLog

Het geprivilegieerde eind punt gebruikenHow to use the privileged endpoint

Zoals hierboven vermeld, is PEP een Power shell JEA -eind punt.As mentioned above, the PEP is a PowerShell JEA endpoint. Tijdens een sterke beveiligingslaag reduceert een JEA-eind punt enkele van de basis mogelijkheden van Power shell, zoals scripting of het volt ooien van tabbladen.While providing a strong security layer, a JEA endpoint reduces some of the basic PowerShell capabilities, such as scripting or tab completion. Als u een type script bewerking probeert uit te voeren, mislukt de bewerking met de fout ScriptsNotAllowed.If you try any type of script operation, the operation fails with the error ScriptsNotAllowed. Deze fout is het verwachte gedrag.This failure is expected behavior.

Als u bijvoorbeeld de lijst met para meters voor een bepaalde cmdlet wilt ophalen, voert u de volgende opdracht uit:For instance, to get the list of parameters for a given cmdlet, run the following command:

    Get-Command <cmdlet_name> -Syntax

U kunt ook de cmdlet import-PSSession gebruiken om alle Pep-cmdlets te importeren in de huidige sessie op uw lokale machine.Alternatively, you can use the Import-PSSession cmdlet to import all the PEP cmdlets into the current session on your local machine. De cmdlets en functies van de PEP zijn nu beschikbaar op uw lokale machine, samen met het invullen van tabbladen en, in het algemeen, het uitvoeren van scripts.The cmdlets and functions of the PEP are now available on your local machine, together with tab completion and, more in general, scripting. U kunt ook de module Get-Help uitvoeren om de cmdlet-instructies te bekijken.You can also run the Get-Help module to review cmdlet instructions.

Voer de volgende stappen uit om de PEP-sessie te importeren op uw lokale computer:To import the PEP session on your local machine, do the following steps:

  1. Stel de vertrouwens relatie in.Establish the trust.

    • Op een geïntegreerd systeem voert u de volgende opdracht uit vanaf een Windows Power shell-sessie met verhoogde bevoegdheid om de PEP toe te voegen als een vertrouwde host op de beveiligde virtuele machine die wordt uitgevoerd op de hardware Lifecycle host of het werk station met privileged Access.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'
      
    • Als u de ASDK uitvoert, meldt u zich aan bij de Development Kit-host.If you're running the ASDK, sign in to the development kit host.

  2. Open een Windows Power shell-sessie op de beveiligde virtuele machine die wordt uitgevoerd op de hardware-levens cyclus host of het werk station voor bevoegde toegang.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Voer de volgende opdrachten uit om een externe sessie tot stand te brengen op de virtuele machine die als host fungeert voor de PEP:Run the following commands to establish a remote session on the virtual machine that hosts the PEP:

    • Op een geïntegreerd systeem:On an integrated system:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName <IP_address_of_ERCS> `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

      De ComputerName para meter kan het IP-adres of de DNS-naam zijn van een van de virtuele machines die als host fungeert voor de PEP.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

    • Als u de ASDK uitvoert:If you're running the ASDK:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName azs-ercs01 `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

    Wanneer u hierom wordt gevraagd, gebruikt u de volgende referenties:When prompted, use the following credentials:

    • Gebruikers naam: Geef het CloudAdmin-account op in de indeling < Azure stack hub-domein > \cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (Voor ASDK is de gebruikers naam azurestack\cloudadmin.)(For ASDK, the user name is azurestack\cloudadmin.)

    • Wacht woord: Voer het wacht woord in dat is opgegeven tijdens de installatie van het AzureStackAdmin Domain Administrator-account.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

  3. Importeer de PEP-sessie in uw lokale machine:Import the PEP session into your local machine:

    Import-PSSession $session
    
  4. Nu kunt u de tabtoets gebruiken en scripts zoals gebruikelijk uitvoeren in uw lokale Power shell-sessie met alle functies en cmdlets van de PEP, zonder de beveiligings postuur van Azure Stack hub te verminderen.Now, you can use tab-completion and do scripting as usual on your local PowerShell session with all the functions and cmdlets of the PEP, without decreasing the security posture of Azure Stack Hub. Veel plezier!Enjoy!

De privileged endpoint-sessie sluitenClose the privileged endpoint session

Zoals eerder vermeld, registreert de PEP elke actie (en de bijbehorende uitvoer) die u in de Power shell-sessie uitvoert.As mentioned earlier, the PEP logs every action (and its corresponding output) that you do in the PowerShell session. U moet de-sessie sluiten met behulp van de- Close-PrivilegedEndpoint cmdlet.You must close the session by using the Close-PrivilegedEndpoint cmdlet. Met deze cmdlet wordt het eind punt gesloten en worden de logboek bestanden overgebracht naar een externe bestands share voor retentie.This cmdlet correctly closes the endpoint, and transfers the log files to an external file share for retention.

De eindpunt sessie sluiten:To close the endpoint session:

  1. Maak een externe bestands share die toegankelijk is via de PEP.Create an external file share that's accessible by the PEP. In een Development Kit-omgeving kunt u gewoon een bestands share maken op de Development Kit-host.In a development kit environment, you can just create a file share on the development kit host.

  2. Voer de volgende cmdlet uit:Run the following cmdlet:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential
    

    De cmdlet maakt gebruik van de para meters in de volgende tabel:The cmdlet uses the parameters in the following table:

    ParameterParameter BeschrijvingDescription TypeType VereistRequired
    TranscriptsPathDestinationTranscriptsPathDestination Het pad naar de externe bestands share gedefinieerd als "fileshareIP\sharefoldername"Path to the external file share defined as "fileshareIP\sharefoldername" TekenreeksString JaYes
    ReferentieCredential Referenties voor toegang tot de bestands shareCredentials to access the file share SecureStringSecureString JaYes

Nadat de logboek bestanden van de transcripten zijn overgebracht naar de bestands share, worden ze automatisch verwijderd uit de PEP.After the transcript log files are successfully transferred to the file share, they're automatically deleted from the PEP.

Notitie

Als u de PEP-sessie sluit met de-cmdlets Exit-PSSession of als Exit u de Power shell-console sluit, worden de transcript-logboeken niet overgebracht naar een bestands share.If you close the PEP session by using the cmdlets Exit-PSSession or Exit, or you just close the PowerShell console, the transcript logs don't transfer to a file share. Ze blijven in de PEP.They remain in the PEP. De volgende keer dat u Close-PrivilegedEndpoint een bestands share uitvoert en bijvoegt, worden de transcript-logboeken van de vorige sessie (s) ook overgedragen.The next time you run Close-PrivilegedEndpoint and include a file share, the transcript logs from the previous session(s) will also transfer. Gebruik Exit-PSSession of Exit om de PEP-sessie niet te sluiten; gebruik Close-PrivilegedEndpoint in plaats daarvan.Don't use Exit-PSSession or Exit to close the PEP session; use Close-PrivilegedEndpoint instead.

Het privileged endpoint voor ondersteunings scenario's ontgrendelenUnlocking the privileged endpoint for support scenarios

Tijdens een ondersteunings scenario moet de ondersteunings technicus van micro soft mogelijk de privileged endpoint Power shell-sessie verhogen om toegang te krijgen tot de interne infra structuur van de Azure Stack hub.During a support scenario, the Microsoft support engineer might need to elevate the privileged endpoint PowerShell session to access the internals of the Azure Stack Hub infrastructure. Dit proces wordt soms aangeduid als ' het glas afwijzen ' of ' de PEP ontgrendelen '.This process is sometimes informally referred to as "break the glass" or "unlock the PEP". Het proces voor de uitbrei ding van de PEP-sessie is een twee stap: twee personen, een verificatie proces met twee organisaties.The PEP session elevation process is a two step, two people, two organization authentication process. De ontgrendelings procedure wordt geïnitieerd door de operator Azure Stack hub, die de controle over hun omgeving altijd behoudt.The unlock procedure is initiated by the Azure Stack Hub operator, who retains control of their environment at all times. De operator opent de PEP en voert de volgende cmdlet uit:The operator accesses the PEP and executes this cmdlet:

     Get-SupportSessionToken

De cmdlet retourneert het token voor de aanvraag van de ondersteunings sessie, een zeer lange alfanumerieke teken reeks.The cmdlet returns the support session request token, a very long alphanumeric string. De operator geeft de aanvraag token vervolgens door aan de ondersteunings technicus van micro soft via een medium van hun keuze (bijvoorbeeld chat, e-mail).The operator then passes the request token to the Microsoft support engineer via a medium of their choice (e.g., chat, email). De ondersteunings technicus van micro soft maakt gebruik van het aanvraag token voor het genereren van een verificatie token voor de ondersteunings sessie en stuurt het terug naar de operator Azure Stack hub.The Microsoft support engineer uses the request token to generate, if valid, a support session authorization token and sends it back to the Azure Stack Hub operator. In dezelfde PEP Power shell-sessie geeft de operator het autorisatie token als invoer door aan deze cmdlet:On the same PEP PowerShell session, the operator then passes the authorization token as input to this cmdlet:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Als het autorisatie token geldig is, wordt de PEP Power shell-sessie verhoogd door volledige beheerders mogelijkheden en volledige bereik baarheid in de infra structuur te bieden.If the authorization token is valid, the PEP PowerShell session is elevated by providing full admin capabilities and full reachability into the infrastructure.

Notitie

Alle bewerkingen en cmdlets die worden uitgevoerd in een PEP-sessie met verhoogde bevoegdheden, moeten worden uitgevoerd onder strikt toezicht op de ondersteunings technicus van micro soft.All the operations and cmdlets executed in an elevated PEP session must be performed under strict supervision of the Microsoft support engineer. Als u dit niet doet, kan dit leiden tot ernstige downtime, gegevens verlies en een volledige herimplementatie van de Azure Stack hub-omgeving.Failure to do so could result in serious downtime, data loss and could require a full redeployment of the Azure Stack Hub environment.

Zodra de ondersteunings sessie is beëindigd, is het belang rijk dat u de verhoogde PEP-sessie sluit met behulp van de cmdlet Close-PrivilegedEndpoint , zoals wordt uitgelegd in de bovenstaande sectie.Once the support session is terminated, it is very important to close back the elevated PEP session by using the Close-PrivilegedEndpoint cmdlet as explained in the section above. Een PEP-sessie wordt beëindigd, het ontgrendelings token is niet meer geldig en kan niet opnieuw worden gebruikt om de PEP-sessie opnieuw te ontgrendelen.One the PEP session is terminated, the unlock token is no longer valid and cannot be reused to unlock the PEP session again. Een PEP-sessie met verhoogde bevoegdheid heeft een geldigheid van acht uur, waarna de verhoogde PEP-sessie automatisch wordt vergrendeld op een normale PEP-sessie, wanneer deze niet wordt beëindigd.An elevated PEP session has a validity of 8 hours, after which, if not terminated, the elevated PEP session will automatically lock back to a regular PEP session.

Inhoud van de privileged endpoint-tokensContent of the privileged endpoint tokens

De aanvraag voor de PEP-ondersteunings sessie en de autorisatie tokens maken gebruik van crypto grafie voor het beveiligen van toegang en zorgen dat alleen geautoriseerde tokens de PEP-sessie kunnen ontgrendelen.The PEP support session request and authorization tokens leverage cryptography to protect access and ensure that only authorized tokens can unlock the PEP session. De tokens zijn ontworpen om cryptografisch te garanderen dat een antwoord token alleen kan worden geaccepteerd door de PEP-sessie die het aanvraag token heeft gegenereerd.The tokens are designed to cryptographically guarantee that a response token can only be accepted by the PEP session that generated the request token. PEP-tokens bevatten geen soort informatie die een unieke identificatie van een Azure Stack hub-omgeving of een klant kan identificeren.PEP tokens do not contain any kind of information that could uniquely identify an Azure Stack Hub environment or a customer. Ze zijn volledig anoniem.They are completely anonymous. Hieronder vindt u meer informatie over de inhoud van elk token.Below the details of the content of each token are provided.

Token voor ondersteunings sessie aanvragenSupport session request token

Het aanvraag token voor de PEP-ondersteunings sessie bestaat uit drie objecten:The PEP support session request token is composed of three objects:

  • Een wille keurig gegenereerde sessie-ID.A randomly generated Session ID.
  • Een zelfondertekend certificaat dat is gegenereerd voor het gebruik van een eenmalige combi natie van open bare/persoonlijke sleutels.A self-signed certificate, generated for the purpose of having a one-time public/private key pair. Het certificaat bevat geen informatie over de omgeving.The certificate does not contain any information on the environment.
  • Een tijds tempel die de verval datum van het aanvraag token aangeeft.A time stamp that indicates the request token expiration.

Het token van de aanvraag wordt vervolgens versleuteld met de open bare sleutel van de Azure-Cloud waartegen de Azure Stack hub-omgeving is geregistreerd.The request token is then encrypted with the public key of the Azure cloud against which the Azure Stack Hub environment is registered to.

Token voor de autorisatie van de ondersteunings sessieSupport session authorization response token

Het PEP-ondersteunings antwoord token voor verificatie is samengesteld uit twee objecten:The PEP support authorization response token is composed of two objects:

  • De wille keurig gegenereerde sessie-ID die is opgehaald uit het aanvraag token.The randomly generated session ID extracted from the request token.
  • Een tijds tempel die de verval datum van het antwoord token aangeeft.A time stamp that indicates the response token expiration.

Het antwoord token wordt vervolgens versleuteld met het zelfondertekende certificaat dat is opgenomen in het aanvraag token.The response token is then encrypted with the self-signed certificate contained in the request token. Het zelfondertekende certificaat is ontsleuteld met de persoonlijke sleutel die is gekoppeld aan de Azure-Cloud waartegen de Azure Stack hub-omgeving is geregistreerd.The self-signed certificate was decrypted with the private key associated with the Azure cloud against which the Azure Stack Hub environment is registered to.

Volgende stappenNext steps