Identiteits- en toegangsbeheer op ondernemingsschaal voor Azure VMware Solution

  • Artikel
  • 2 minuten om te lezen

Dit artikel bouwt voort op de informatie in Identiteits- en toegangsbeheer en Azure VMware Solution identiteitsconcepten.

Gebruik deze informatie om ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer te onderzoeken die specifiek zijn voor de implementatie van Azure VMware Solution.

Identiteitsvereisten voor Azure VMware Solution variëren afhankelijk van de implementatie ervan in Azure. De informatie in dit artikel is gebaseerd op de meest voorkomende scenario's.

Overwegingen bij het ontwerpen

Nadat u de Azure VMware Solution, bevat het vCenter van de nieuwe omgeving een ingebouwde lokale gebruiker met de naam cloudadmin . Deze gebruiker wordt toegewezen aan de rol CloudAdmin met verschillende machtigingen in vCenter. U kunt ook aangepaste rollen maken in uw Azure VMware Solution omgeving met behulp van het principe van de minste bevoegdheden.

Ontwerpaanbevelingen

  • Als onderdeel van de landingszone voor identiteits- en toegangsbeheer op ondernemingsschaal implementeert u een Active Directory Domain Services-domeincontroller (AD DS) in het identiteitsabonnement.

  • Beperk het aantal gebruikers dat u de rol CloudAdmin toewijst. Gebruik aangepaste rollen en de minste bevoegdheden om gebruikers toe te wijzen aan Azure VMware Solution.

  • Wees voorzichtig bij het roteren van cloudadmin- en NSX-beheerderswachtwoorden.

  • Beperk Azure VMware Solution op rollen gebaseerd toegangsbeheer (RBAC) in Azure tot de resourcegroep waarin deze is geïmplementeerd en de gebruikers die de toegangsbeheergroep moeten Azure VMware Solution.

  • Configureer alleen vSphere-machtigingen met aangepaste rollen op hiërarchieniveau, indien nodig. Het is beter om machtigingen toe te passen op de juiste VM-map of resourcegroep. Vermijd toepassing van vSphere-machtigingen op of boven het datacenterniveau.

  • Active Directory-sites en -services bijwerken om Azure- en Azure VMware Solution AD DS naar de juiste domeincontrollers te leiden.

  • Gebruik de opdracht Uitvoeren in uw privécloud om het volgende te doen:

    • Voeg een AD DS domeincontroller toe als een identiteitsbron voor vCenter en NSX-T.

    • Geef de levenscyclusbewerking voor de vsphere.local\CloudAdmins groep op.

  • Maak groepen in Active Directory en gebruik RBAC om vCenter en NSX-T te beheren. U kunt aangepaste rollen maken en Active Directory-groepen toewijzen aan de aangepaste rollen.

Volgende stappen

Meer informatie over netwerktopologie en connectiviteit voor een Azure VMware Solution scenario op ondernemingsschaal. Bekijk ontwerpoverwegingen en best practices voor netwerken en connectiviteit met Microsoft Azure en Azure VMware Solution.

Netwerktopologie en -connectiviteit