Konfigurowanie wieloadyscyjności w Azure Stack Hub

Możesz skonfigurować Azure Stack Hub logowania użytkowników, którzy znajdują się w innych katalogach usługi Azure Active Directory (Azure AD), umożliwiając im korzystanie z usług w Azure Stack Hub. Te katalogi mają relację "gościa" z katalogiem Azure Stack Hub i są traktowane jako dzierżawy gościa usługi Azure AD.

Rozważmy na przykład ten scenariusz:

  • Jesteś administratorem usługi contoso.onmicrosoft.com, głównej dzierżawy usługi Azure AD, która zapewnia usługi zarządzania tożsamościami i dostępem do Azure Stack Hub.
  • Mary jest administratorem katalogu adatum.onmicrosoft.com dzierżawy usługi Azure AD gościa, w której znajdują się użytkownicy-goście.
  • Firma Mary (Adatum) korzysta z usług IaaS i PaaS firmy. Adatum chce zezwolić użytkownikom z katalogu gościa (adatum.onmicrosoft.com) na logowanie się i używanie Azure Stack Hub zasobów zabezpieczonych przez contoso.onmicrosoft.com.

Ten przewodnik zawiera kroki wymagane w kontekście tego scenariusza, aby włączyć lub wyłączyć wielodostępność w usłudze Azure Stack Hub dzierżawy katalogu gościa. Ty i Mary realizujemy ten proces, rejestrując lub wyrejestrowywując dzierżawę katalogu gościa, co włącza lub wyłącza logowanie Azure Stack Hub i korzystanie z usług przez użytkowników firmy Adatum.

Jeśli jesteś administratorem Dostawca rozwiązań w chmurze (CSP), możesz skonfigurować wielodostępną aplikację i zarządzać Azure Stack Hub.

Wymagania wstępne

Zanim zarejestrujesz lub wyrejestrujesz katalog gościa, Ty i Mary musicie wykonać kroki administracyjne dla odpowiednich dzierżaw usługi Azure AD: katalog macierzysty Azure Stack Hub (Contoso) i katalog gościa (Adatum):

Rejestrowanie katalogu gościa

Aby zarejestrować katalog gościa dla wielu usług, należy skonfigurować zarówno katalog macierzysty, Azure Stack Hub katalog gościa.

Konfigurowanie Azure Stack Hub katalogu

Jako administrator usługi contoso.onmicrosoft.com musisz najpierw dołąć dzierżawę katalogu gościa firmy Adatum do usługi Azure Stack Hub. Poniższy skrypt konfiguruje Azure Resource Manager akceptować logowania użytkowników i jednostki usługi w adatum.onmicrosoft.com dzierżawie:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurowanie katalogu gościa

Następnie Mary (administrator katalogu Firmy Adatum) musi zarejestrować Azure Stack Hub katalogu adatum.onmicrosoft.com gościa, uruchamiając następujący skrypt:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Ważne

Jeśli administrator Azure Stack Hub zainstaluje nowe usługi lub aktualizacje w przyszłości, może być konieczne uruchomienie tego skryptu ponownie.

Uruchom ten skrypt ponownie w dowolnym momencie, aby sprawdzić stan Azure Stack Hub aplikacji w katalogu.

Jeśli zauważysz problemy z tworzeniem maszyn wirtualnych w programie Dyski zarządzane (wprowadzone w aktualizacji 1808), dodano nowego dostawcę zasobów dysku, co wymaga ponownego uruchomienia tego skryptu.

Przekieruj użytkowników do logowania

Na koniec Mary może skierować użytkowników firmy Adatum z kontami do logowania, odwiedzając @adatum.onmicrosoft.com Azure Stack Hub portalu użytkowników. W przypadku systemów z wieloma węzłami adres URL portalu użytkowników jest sformatowany jako https://management.<region>.<FQDN> . W przypadku wdrożenia asdk adres URL to https://portal.local.azurestack.external .

Mary musi również skierować wszystkie obce podmioty zabezpieczeń (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com) do logowania się przy https://<user-portal-url>/adatum.onmicrosoft.com użyciu . Jeśli użytkownik nie określi dzierżawy katalogu w adresie URL, zostanie im wysłany do katalogu domyślnego i zostanie wyświetlony komunikat o błędzie z komunikatem o tym, że administrator nie wyraził /adatum.onmicrosoft.com zgody.

Wyrejestrowywuj katalog gościa

Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno katalog Azure Stack Hub home, jak i katalog gościa:

  1. Jako administrator katalogu gościa (Mary w tym scenariuszu), Unregister-AzsWithMyDirectoryTenant uruchom . Polecenie cmdlet odinstalowuje wszystkie Azure Stack Hub z nowego katalogu.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Jako administrator usługi Azure Stack Hub (w tym scenariuszu), uruchom Unregister-AzSGuestDirectoryTenant polecenie cmdlet:

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Ostrzeżenie

    Kroki wyłączania wielosieć muszą być wykonywane w kolejności. Krok #1 zakończy się niepowodzeniem, #2 krok zostanie ukończony jako pierwszy.

Pobieranie Azure Stack Hub kondycji tożsamości

Zastąp symbole zastępcze , i , a następnie wykonaj następujące <region> <domain> polecenie <homeDirectoryTenant> cmdlet jako Azure Stack Hub administratora.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Aktualizowanie uprawnień dzierżawy usługi Azure AD

Ta akcja wyczyści alert w Azure Stack Hub, co oznacza, że katalog wymaga aktualizacji. Uruchom następujące polecenie w folderze Azurestack-tools-master/identity:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skrypt monituje o poświadczenia administracyjne w dzierżawie usługi Azure AD i trwa kilka minut. Alert zostanie wyczyszony po uruchomieniu polecenia cmdlet .

Zarządzanie oparte na portalu nie jest obsługiwane w tej wersji

Zarządzanie wieloma usługami przy użyciu portalu administratora jest dostępne tylko dla wersji 2102 i nowszych. Wybierz nowszą wersję przy użyciu selektora w lewej górnej części strony.

Rejestrowanie katalogu gościa

Aby zarejestrować katalog gościa na potrzeby wielu usług, należy skonfigurować zarówno katalog macierzysty, Azure Stack Hub katalog gościa.

Konfigurowanie Azure Stack Hub katalogu

Pierwszym krokiem jest Azure Stack Hub systemu operacyjnego o katalogu gościa. W tym przykładzie katalog firmy Mary, Adatum, nosi nazwę adatum.onmicrosoft.com.

  1. Zaloguj się do portalu Azure Stack Hub i przejdź do strony Wszystkie usługi — katalogi.

    Zrzut ekranu przedstawiający listę katalogów.

  2. Wybierz pozycję Dodaj, aby rozpocząć proces dołączania. Wprowadź nazwę katalogu gościa "adatum.onmicrosoft.com", a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający sposób dodawania nowego katalogu.

  3. Katalog gościa jest wyświetlany w widoku listy ze stanem niezarejestrowany .

    Zrzut ekranu przedstawiający nowy katalog gościa ze stanem wyrejestrowany.

  4. Tylko Mary ma poświadczenia do uwierzytelnienia w katalogu gościa, więc musisz wysłać jej link, aby ukończyć rejestrację. Zaznacz pole adatum.onmicrosoft.com, a następnie wybierz pozycję Zarejestruj.

    Zrzut ekranu przedstawiający wybieranie katalogu do zarejestrowania.

  5. Zostanie otwarta nowa karta przeglądarki. Wybierz pozycję Kopiuj link w dolnej części strony i podaj go Mary.

  6. Jeśli masz poświadczenia dla katalogu gościa, możesz samodzielnie ukończyć rejestrację, wybierając pozycję Zaloguj się.

    Zrzut ekranu przedstawiający wybieranie logowania.

Konfigurowanie katalogu gościa

Mary otrzymała wiadomość e-mail z linkiem do zarejestrowania katalogu. Otwiera ona link w przeglądarce i potwierdza, Azure Active Directory i Azure Resource Manager punktu końcowego Azure Stack Hub systemu.

  1. Mary logowania się przy użyciu swoich poświadczeń administratora globalnego dla adatum.onmicrosoft.com.

    Uwaga

    Przed zalogowaniem upewnij się, że blokowanie wyskakujących okienek jest wyłączone.

    Zrzut ekranu przedstawiający logowanie się w celu zarządzania katalogiem.

  2. Mary sprawdza stan katalogu i widzi, że nie jest zarejestrowany.

    Zrzut ekranu przedstawiający wyrejestrowany katalog.

  3. Mary wybiera pozycję Zarejestruj, aby rozpocząć proces.

    Uwaga

    Wymagane obiekty dla Visual Studio Code mogą nie być możliwe do utworzenia i muszą używać programu PowerShell.

    Zrzut ekranu przedstawiający początkową rejestrację katalogu.

  4. Po zakończeniu procesu rejestracji Mary może przejrzeć wszystkie aplikacje utworzone w katalogu i sprawdzić ich stan.

    Zrzut ekranu przedstawiający zarejestrowany katalog.

  5. Mary pomyślnie zakończyła proces rejestracji i może teraz skierować użytkowników firmy Adatum z kontami do logowania się, odwiedzając @adatum.onmicrosoft.com Azure Stack Hub portalu użytkowników. W przypadku systemów z wieloma węzłami adres URL portalu użytkowników jest sformatowany jako https://portal.<region>.<FQDN> . W przypadku wdrożenia asdk adres URL to https://portal.local.azurestack.external .

Ważne

Zaktualizowanie stanu katalogu w portalu administracyjnym Azure Stack może potrwać do godziny.

Mary musi również skierować wszystkie podmioty zabezpieczeń obcych (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com) do logowania się przy https://<user-portal-url>/adatum.onmicrosoft.com użyciu . Jeśli użytkownik nie określi dzierżawy katalogu w adresie URL, zostanie wysłany do katalogu domyślnego i otrzyma komunikat o błędzie z komunikatem o tym, że /adatum.onmicrosoft.com administrator nie wyraził zgody.

Wyrejestruj katalog gościa

Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno Azure Stack Hub home, jak i katalog gościa:

Konfigurowanie katalogu gościa

Mary nie używa już usług na Azure Stack Hub i musi usunąć obiekty. Ponownie otwiera adres URL otrzymany za pośrednictwem poczty e-mail, aby wyrejestrować katalog. Przed rozpoczęciem tego procesu Mary usuwa wszystkie zasoby z Azure Stack Hub subskrypcji.

  1. Mary logowania się przy użyciu swoich poświadczeń administratora globalnego dla adatum.onmicrosoft.com.

    Uwaga

    Przed zalogowaniem upewnij się, że blokowanie wyskakujących okienek jest wyłączone.

    Zrzut ekranu przedstawiający wybieranie opcji Zaloguj.

  2. Mary widzi stan katalogu.

    Zrzut ekranu przedstawiający zarejestrowany katalog.

  3. Mary wybiera pozycję Wyrejestruj, aby uruchomić akcję.

    Zrzut ekranu przedstawiający sekwencjonowanie wyrejestrowania w celu wyrejestrowania katalogu.

  4. Po zakończeniu procesu stan będzie wyświetlany jako Nie zarejestrowano:

    Zrzut ekranu przedstawiający wyrejestrowany katalog.

    Mary pomyślnie wyrejestrowała katalog z adatum.onmicrosoft.com.

    Uwaga

    Wyświetlanie katalogu jako nierejestrowanych w portalu administracyjnym może potrwać Azure Stack godzinie.

Konfigurowanie Azure Stack Hub katalogu

Jako Azure Stack Hub możesz usunąć katalog gościa w dowolnym momencie, nawet jeśli Mary nie wyrejestrowała wcześniej katalogu.

  1. Zaloguj się do portalu Azure Stack Hub i przejdź do strony Wszystkie usługi — Katalogi.

    Zrzut ekranu przedstawiający wszystkie katalogi.

  2. Zaznacz pole adatum.onmicrosoft.com katalogu, a następnie wybierz pozycję Usuń.

    Zrzut ekranu przedstawiający wybieranie opcji Usuń dla katalogu.

  3. Potwierdź akcję usuwania, wpisując tak i wybierając pozycję Usuń.

    Zrzut ekranu przedstawiający sposób usuwania katalogu.

    Katalog został pomyślnie usunięty.

Zarządzanie wymaganymi aktualizacjami

Azure Stack Hub wprowadzono obsługę nowych narzędzi lub usług, które mogą wymagać aktualizacji katalogu macierzystego lub gościa.

Jako Azure Stack Hub w portalu administracyjnym otrzymasz alert informący o wymaganej aktualizacji katalogu. Możesz również określić, czy aktualizacja jest wymagana dla katalogów domowych, czy gości, wyświetlając okienko katalogów w portalu administracyjnym. Każda lista katalogów zawiera typ katalogu. Typ może być katalogiem macierzystym lub katalogiem gościa, a jego stan jest wyświetlany.

Aktualizowanie Azure Stack Hub katalogów

Gdy wymagana Azure Stack Hub katalogu jest wymagana aktualizacja katalogu, wyświetlany jest stan Wymagana aktualizacja. Na przykład:

Zrzut ekranu przedstawiający katalog wymagający aktualizacji.

Aby zaktualizować katalog, zaznacz pole wyboru Nazwa katalogu, a następnie wybierz pozycję Aktualizuj.

Aktualizowanie katalogu gościa

Operator Azure Stack Hub powinien również poinformować właściciela katalogu gościa, że musi zaktualizować swój katalog przy użyciu adresu URL udostępnionego na potrzeby rejestracji. Operator może ponownie wysłać adres URL, ale nie zmienia się.

Mary, właścicielka katalogu gościa, otwiera adres URL otrzymany za pośrednictwem poczty e-mail podczas rejestrowania katalogu:

  1. Mary logowania się przy użyciu swoich poświadczeń administratora globalnego dla adatum.onmicrosoft.com. Przed zalogowaniem upewnij się, że blokowanie wyskakujących okienek jest wyłączone.

    Zrzut ekranu przedstawiający wybieranie opcji Zaloguj.

  2. Mary widzi stan katalogu z informacją, że wymagana jest aktualizacja.

  3. Akcja Aktualizuj jest dostępna dla Mary w celu zaktualizowania katalogu gościa. Wyświetlanie katalogu zarejestrowanego w portalu administracyjnym usługi Azure Stack może potrwać Azure Stack godzinie.

Dodatkowe możliwości

Operator Azure Stack Hub może wyświetlać subskrypcje skojarzone z katalogiem. Ponadto każdy katalog ma akcję do zarządzania katalogiem bezpośrednio w Azure Portal. Aby zarządzać katalogiem docelowym, musi mieć uprawnienia do zarządzania w Azure Portal.

Następne kroki