Multitenancy configureren in Azure Stack Hub
U kunt Azure Stack Hub configureren ter ondersteuning van aanmeldingen van gebruikers die zich in andere Azure Active Directory (Azure AD)-directory's bevinden, zodat ze services kunnen gebruiken in Azure Stack Hub. Deze mappen hebben een 'gast'-relatie met uw Azure Stack Hub-directory en worden beschouwd als gast-Azure AD-tenants.
Denk bijvoorbeeld aan dit scenario:
- U bent de servicebeheerder van contoso.onmicrosoft.com, de Azure AD-tenant die identiteits- en toegangsbeheerservices biedt aan Azure Stack Hub.
- Mary is de directorybeheerder van adatum.onmicrosoft.com, de Azure AD-gasttenant waar gastgebruikers zich bevinden.
- Mary's bedrijf (Adatum) maakt gebruik van IaaS- en PaaS-services van uw bedrijf. Adatum wil gebruikers uit de gastmap (adatum.onmicrosoft.com) toestaan zich aan te melden en Azure Stack Hub-resources te gebruiken die zijn beveiligd door contoso.onmicrosoft.com.
Deze handleiding bevat de stappen die nodig zijn in de context van dit scenario om multitenancy in of uit te schakelen in Azure Stack Hub voor een tenant voor een gastmap. U en Mary doen dit proces door de tenant van de gastmap te registreren of op te heffen, waardoor Aanmeldingen en serviceverbruik van Azure Stack Hub door Adatum-gebruikers worden ingeschakeld of uitgeschakeld.
Als u een Cloud Solution Provider (CSP) bent, kunt u een Azure Stack Hub met meerdere tenants configureren en beheren.
Vereisten
Voordat u een gastmap registreert of de registratie ervan ongedaan maakt, moeten u en Mary beheerstappen uitvoeren voor uw respectieve Azure AD-tenants: de Azure Stack Hub-basismap (Contoso) en de gastmap (Adatum):
PowerShell voor Azure Stack Hub installeren en configureren .
Download de Azure Stack Hub Tools en importeer vervolgens de Verbinding maken- en identiteitsmodules:
Import-Module .\Identity\AzureStack.Identity.psm1
Een gastmap registreren
Als u een gastmap voor meerdere tenants wilt registreren, moet u zowel de azure Stack Hub-basismap als de gastmap configureren.
Azure Stack Hub-directory configureren
Als servicebeheerder van contoso.onmicrosoft.com moet u eerst de gastmaptenant van Adatum onboarden naar Azure Stack Hub. Met het volgende script configureert u Azure Resource Manager om aanmeldingen van gebruikers en service-principals in de adatum.onmicrosoft.com-tenant te accepteren:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Gastmap configureren
Vervolgens moet Mary (directorybeheerder van Adatum) Azure Stack Hub registreren bij de adatum.onmicrosoft.com gastmap door het volgende script uit te voeren:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Belangrijk
Als uw Azure Stack Hub-beheerder in de toekomst nieuwe services of updates installeert, moet u dit script mogelijk opnieuw uitvoeren.
Voer dit script op elk gewenst moment opnieuw uit om de status van de Azure Stack Hub-apps in uw directory te controleren.
Als u problemen ondervindt met het maken van VM's in Managed Disks (geïntroduceerd in de update van 1808), is er een nieuwe schijfresourceprovider toegevoegd. Hiervoor moet dit script opnieuw worden uitgevoerd.
Gebruikers om zich aan te melden
Ten slotte kan Mary Adatum-gebruikers @adatum.onmicrosoft.com met accounts om zich aan te melden door naar de Azure Stack Hub-gebruikersportal te gaan. Voor systemen met meerdere knooppunten wordt de URL van de gebruikersportal opgemaakt als https://portal.<region>.<FQDN>. Voor een ASDK-implementatie is https://portal.local.azurestack.externalde URL.
Mary moet ook externe principals (gebruikers in de Adatum-directory zonder het achtervoegsel van adatum.onmicrosoft.com) om zich aan te melden met behulp https://<user-portal-url>/adatum.onmicrosoft.comvan . Als ze de /adatum.onmicrosoft.com maptenant niet in de URL opgeven, worden ze verzonden naar hun standaardmap en krijgen ze een foutmelding met de mededeling dat de beheerder geen toestemming heeft gegeven.
Registratie van een gastmap ongedaan maken
Als u aanmeldingen niet meer wilt toestaan voor Azure Stack Hub-services vanuit een tenant van een gastmap, kunt u de registratie van de map ongedaan maken. Opnieuw moet zowel de basismap van Azure Stack Hub als de gastmap worden geconfigureerd:
Voer als beheerder van de gastmap (Mary in dit scenario)
Unregister-AzsWithMyDirectoryTenantuit. Met de cmdlet worden alle Azure Stack Hub-apps uit de nieuwe map verwijderd.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -VerboseVoer als servicebeheerder van Azure Stack Hub (in dit scenario) de
Unregister-AzSGuestDirectoryTenantcmdlet uit:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupNameWaarschuwing
De stappen voor het uitschakelen van meerdere tenants moeten op volgorde worden uitgevoerd. Stap 1 mislukt als stap 2 eerst is voltooid.
Azure Stack Hub-identiteitsstatusrapport ophalen
Vervang de <region><domain>tijdelijke aanduidingen en <homeDirectoryTenant> vervang de tijdelijke aanduidingen en voer vervolgens de volgende cmdlet uit als de Azure Stack Hub-beheerder.
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Azure AD-tenantmachtigingen bijwerken
Met deze actie wordt een waarschuwing gewist in Azure Stack Hub, waarmee wordt aangegeven dat een map een update vereist. Voer de volgende opdracht uit vanuit de map Azurestack-tools-master/identity :
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
Het script vraagt u om beheerdersreferenties in de Azure AD-tenant en het duurt enkele minuten om het uit te voeren. De waarschuwing wordt gewist nadat u de cmdlet hebt uitgevoerd.
Beheer op basis van de portal wordt niet ondersteund voor deze versie
Multitenancybeheer met behulp van de beheerportal is alleen beschikbaar voor versies 2102 en hoger. Selecteer een latere versie met behulp van de kiezer in het linkerbovenhoekgedeelte van de pagina.
Een gastmap registreren
Als u een gastmap voor meerdere tenants wilt registreren, moet u zowel de azure Stack Hub-basismap als de gastmap configureren.
Azure Stack Hub-directory configureren
De eerste stap is het maken van uw Azure Stack Hub-systeem op de hoogte van de gastmap. In dit voorbeeld wordt de directory van Mary's bedrijf, Adatum, adatum.onmicrosoft.com genoemd.
Meld u aan bij de Azure Stack Hub-beheerdersportal en ga naar Alle services - Directory's.
Selecteer Toevoegen om het onboardingproces te starten. Voer de naam van de gastmap 'adatum.onmicrosoft.com' in en selecteer Vervolgens Toevoegen.
De gastmap wordt weergegeven in de lijstweergave, met de status niet geregistreerd.
Alleen Mary heeft de referenties om te verifiëren bij de gastmap, dus u moet haar de koppeling sturen om de registratie te voltooien. Schakel het selectievakje adatum.onmicrosoft.com in en selecteer Vervolgens Registreren.
Er wordt een nieuw browsertabblad geopend. Selecteer Koppeling kopiëren onder aan de pagina en geef deze aan Mary op.
Als u de referenties voor de gastmap hebt, kunt u de registratie zelf voltooien door Aanmelden te selecteren.
Gastmap configureren
Mary heeft de e-mail ontvangen met de koppeling om de map te registreren. Ze opent de koppeling in een browser en bevestigt de Azure Active Directory en het Azure Resource Manager-eindpunt van uw Azure Stack Hub-systeem.
Mary meldt zich aan met haar globale beheerdersreferenties voor adatum.onmicrosoft.com.
Notitie
Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary controleert de status van de map en ziet dat deze niet is geregistreerd.
Mary selecteert Registreren om het proces te starten.
Notitie
Vereiste objecten voor Visual Studio Code kunnen mogelijk niet worden gemaakt en moeten PowerShell gebruiken.
Nadat het registratieproces is voltooid, kan Mary alle toepassingen bekijken die in de map zijn gemaakt en de status ervan controleren.
Mary heeft het registratieproces voltooid en kan nu Adatum-gebruikers @adatum.onmicrosoft.com met accounts om zich aan te melden door naar de Azure Stack Hub-gebruikersportal te gaan. Voor systemen met meerdere knooppunten wordt de URL van de gebruikersportal opgemaakt als
https://portal.<region>.<FQDN>. Voor een ASDK-implementatie ishttps://portal.local.azurestack.externalde URL.
Belangrijk
Het kan maximaal één uur duren voordat de Azure Stack-operator de mapstatus in de beheerportal heeft bijgewerkt.
Mary moet ook externe principals (gebruikers in de Adatum-directory zonder het achtervoegsel van adatum.onmicrosoft.com) om zich aan te melden met behulp https://<user-portal-url>/adatum.onmicrosoft.comvan . Als ze de /adatum.onmicrosoft.com maptenant niet in de URL opgeven, worden ze verzonden naar hun standaardmap en krijgen ze een foutmelding met de mededeling dat de beheerder geen toestemming heeft gegeven.
Registratie van een gastmap ongedaan maken
Als u aanmeldingen niet meer wilt toestaan voor Azure Stack Hub-services vanuit een tenant van een gastmap, kunt u de registratie van de map ongedaan maken. Opnieuw moet zowel de basismap van Azure Stack Hub als de gastmap worden geconfigureerd:
Gastmap configureren
Mary gebruikt geen services meer in Azure Stack Hub en moet de objecten verwijderen. Ze opent de URL opnieuw die ze via e-mail heeft ontvangen om de registratie van de map ongedaan te maken. Voordat u dit proces start, verwijdert Mary alle resources uit het Azure Stack Hub-abonnement.
Mary meldt zich aan met haar globale beheerdersreferenties voor adatum.onmicrosoft.com.
Notitie
Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary ziet de status van de map.
Mary selecteert Registratie ongedaan maken om de actie te starten.
Wanneer het proces is voltooid, wordt de status weergegeven als Niet geregistreerd:
Mary heeft de registratie van de map adatum.onmicrosoft.com ongedaan gemaakt.
Notitie
Het kan maximaal één uur duren voordat de map wordt weergegeven als niet geregistreerd in de Azure Stack-beheerportal.
Azure Stack Hub-directory configureren
Als Azure Stack Hub-operator kunt u de gastmap op elk gewenst moment verwijderen, zelfs als Mary de registratie van de map nog niet heeft opgehefd.
Meld u aan bij de Azure Stack Hub-beheerdersportal en ga naar Alle services - Directory's.
Schakel het selectievakje adatum.onmicrosoft.com map in en selecteer Vervolgens Verwijderen.
Bevestig de verwijderactie door Ja te typen en Verwijderen te selecteren.
U hebt de map verwijderd.
Vereiste updates beheren
Azure Stack Hub-updates kunnen ondersteuning bieden voor nieuwe hulpprogramma's of services waarvoor mogelijk een update van de basis- of gastmap is vereist.
Als Azure Stack Hub-operator krijgt u een waarschuwing in de beheerportal die u informeert over een vereiste directory-update. U kunt ook bepalen of een update vereist is voor basis- of gastmappen door het deelvenster mappen in de beheerportal weer te geven. In elke lijst met mappen wordt het type map weergegeven. Het type kan een basis- of gastmap zijn en de status ervan wordt weergegeven.
De Azure Stack Hub-mappen bijwerken
Wanneer een Azure Stack Hub-directory-update is vereist, wordt de status Update vereist weergegeven. Bijvoorbeeld:
Als u de map wilt bijwerken, schakelt u het selectievakje Mapnaam in en selecteert u Bijwerken.
De gastmap bijwerken
Een Azure Stack Hub-operator moet ook de eigenaar van de gastmap informeren dat ze hun directory moeten bijwerken met behulp van de URL die wordt gedeeld voor registratie. De operator kan de URL opnieuw verzenden, maar wordt niet gewijzigd.
Mary, de eigenaar van de gastmap, opent de URL die ze via e-mail heeft ontvangen toen ze de directory registreerde:
Mary meldt zich aan met haar globale beheerdersreferenties voor adatum.onmicrosoft.com. Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary ziet de status van de map waarin staat dat er een update is vereist.
De actie Bijwerken is beschikbaar voor Mary om de gastmap bij te werken. Het kan een uur duren voordat de map wordt weergegeven als geregistreerd in de Azure Stack-beheerportal.
Aanvullende mogelijkheden
Een Azure Stack Hub-operator kan de abonnementen weergeven die zijn gekoppeld aan een map. Bovendien heeft elke map een actie om de map rechtstreeks in de Azure Portal te beheren. Voor beheer moet de doelmap machtigingen hebben in de Azure Portal.