Azure Lighthouse architectuur

Artikel
09/28/2021
3 minuten om te lezen

Azure Lighthouse helpt serviceproviders klantbetrokkenheid en onboarding-ervaringen te vereenvoudigen, terwijl gedelegeerde resources op schaal met flexibiliteit en precisie worden beheren. Geautoriseerde gebruikers, groepen en service-principals kunnen rechtstreeks in de context van een klantabonnement werken zonder dat ze een account hebben in de Azure Active Directory tenant van die klant (Azure AD) of als mede-eigenaar van de tenant van de klant. Het mechanisme dat wordt gebruikt om deze toegang te ondersteunen, heet Azure gedelegeerd resourcebeheer.

Diagram met azure gedelegeerd resourcebeheer.

Tip

Azure Lighthouse kunnen ook worden gebruikt binnen een onderneming die meerdere eigen Azure AD-tenants heeft om het beheer tussen tenants te vereenvoudigen.

In dit onderwerp wordt de relatie tussen tenants in Azure Lighthouse en de resources die zijn gemaakt in de tenant van de klant die die relatie mogelijk maken, besproken.

Delegeringsbronnen die zijn gemaakt in de tenant van de klant

Wanneer het abonnement of de resourcegroep van een klant wordt onboardd voor Azure Lighthouse, worden er twee resources gemaakt: de registratiedefinitie en de registratietoewijzing. U kunt API's en beheerhulpprogramma's gebruiken om toegang te krijgen tot deze resources of met deze resources werken in Azure Portal.

Registratiedefinitie

De registratiedefinitie bevat de details van de Azure Lighthouse-aanbieding (de tenant-id voor beheer en de autorisaties die ingebouwde rollen toewijzen aan specifieke gebruikers, groepen en/of service-principals in de beherende tenant.

Er wordt een registratiedefinitie gemaakt op abonnementsniveau voor elk gedelegeerd abonnement of in elk abonnement dat een gedelegeerde resourcegroep bevat. Wanneer u API's gebruikt om een registratiedefinitie te maken, moet u op abonnementsniveau werken. Als u bijvoorbeeld Azure PowerShell gebruikt, moet u New-AzureRmDeployment gebruiken voordat u een nieuwe registratiedefinitie(New-AzManagedServicesDefinition)maakt in plaats van New-AzureRmResourceGroupDeployment te gebruiken.

Registratietoewijzing

Met de registratietoewijzing wordt de registratiedefinitie toegewezen aan een specifiek bereik, dat wil zeggen, het abonnement(en) en/of de resourcegroep(s) die zijn onboarded.

Er wordt een registratietoewijzing gemaakt in elk gedelegeerd bereik, zodat deze zich op het niveau van de abonnementsgroep of op het niveau van de resourcegroep zal hebben, afhankelijk van wat er is onboarding is gedaan.

Elke registratietoewijzing moet verwijzen naar een geldige registratiedefinitie op abonnementsniveau, waarbij de autorisaties voor die serviceprovider aan het gedelegeerde bereik worden overgedragen en dus toegang wordt verleend.

Logische projectie

Azure Lighthouse maakt een logische projectie van resources van de ene tenant naar een andere tenant. Hierdoor kunnen gebruikers van geautoriseerde serviceproviders zich aanmelden bij hun eigen tenant met autorisatie om te werken in gedelegeerde klantabonnementen en resourcegroepen. Gebruikers in de tenant van de serviceprovider kunnen vervolgens beheerbewerkingen uitvoeren namens hun klanten, zonder dat ze zich bij elke afzonderlijke klant-tenant moeten aanmelden.

Wanneer een gebruiker, groep of service-principal in de tenant van de serviceprovider toegang heeft tot resources in de tenant van een klant, ontvangt Azure Resource Manager een aanvraag. Resource Manager worden deze aanvragen geverifieerd, net als bij aanvragen van gebruikers binnen de eigen tenant van de klant. Voor Azure Lighthouse doet het dit door te bevestigen dat twee resources, de registratiedefinitie en de registratietoewijzing, aanwezig zijn in de tenant van de klant. Als dit het Resource Manager, wordt de toegang geautoriseerd op basis van de informatie die door deze resources is gedefinieerd.

Diagram met de logische projectie in Azure Lighthouse.

Activiteit van gebruikers in de tenant van de serviceprovider wordt bijgeslagen in het activiteitenlogboek, dat is opgeslagen in de tenant van de klant. Hierdoor kan de klant zien welke wijzigingen zijn aangebracht en door wie.

Hoe Azure Lighthouse werkt

Op hoog niveau werkt Azure Lighthouse voor de tenant die het beheer heeft:

Identificeer de rollen die uw groepen, service-principals of gebruikers nodig hebben om de Azure-resources van de klant te beheren.
Geef deze toegang op en onboard de klant voor Azure Lighthouse door een Managed Service-aanbiedingte publiceren naar Azure Marketplace of door een sjabloon voor Azure Resource Manager implementeren. Dit onboardingproces maakt de twee resources die hierboven worden beschreven (registratiedefinitie en registratietoewijzing) in de tenant van de klant.
Nadat de onboarding van de klant is uitgevoerd, melden gemachtigde gebruikers zich aan bij uw tenant voor beheer en voeren ze taken uit op het opgegeven klantbereik (abonnement of resourcegroep) volgens de toegang die u hebt gedefinieerd. Klanten kunnen alle ondernomen acties bekijken en ze kunnen de toegang op elk moment verwijderen.

Hoewel in de meeste gevallen slechts één serviceprovider specifieke resources voor een klant beheert, is het mogelijk voor de klant om meerdere delegaties te maken voor hetzelfde abonnement of dezelfde resourcegroep, zodat meerdere serviceproviders toegang hebben. Dit scenario maakt ook ISV-scenario's mogelijk waarbij resources worden geprojecteerd van de tenant van de serviceprovider naar meerdere klanten.

Volgende stappen

Bekijk Azure CLI- en Azure Powershell-opdrachten voor het werken met registratiedefinities en registratietoewijzingen.
Meer informatie over verbeterde services en scenario's voor Azure Lighthouse.
Meer informatie over hoe tenants, gebruikers en rollen werken met Azure Lighthouse.