Usar o ponto de extremidade privilegiado no Hub Azure StackUse the privileged endpoint in Azure Stack Hub

Como um operador de Hub de Azure Stack, você deve usar o portal do administrador, o PowerShell ou as APIs do Azure Resource Manager para a maioria das tarefas de gerenciamento do dia a dia.As an Azure Stack Hub operator, you should use the administrator portal, PowerShell, or Azure Resource Manager APIs for most day-to-day management tasks. No entanto, para algumas operações menos comuns, você precisa usar o ponto de extremidade privilegiado (PEP).However, for some less common operations, you need to use the privileged endpoint (PEP). O PEP é um console do PowerShell remoto pré-configurado que fornece apenas recursos suficientes para ajudá-lo a realizar uma tarefa necessária.The PEP is a pre-configured remote PowerShell console that provides you with just enough capabilities to help you do a required task. O ponto de extremidade usa o PowerShell Jea (apenas administração suficiente) para expor apenas um conjunto restrito de cmdlets.The endpoint uses PowerShell JEA (Just Enough Administration) to expose only a restricted set of cmdlets. Para acessar o PEP e invocar o conjunto restrito de cmdlets, é usada uma conta com poucos privilégios.To access the PEP and invoke the restricted set of cmdlets, a low-privileged account is used. Nenhuma conta de administrador é necessária.No admin accounts are required. Para obter segurança adicional, não é permitido gerar scripts.For additional security, scripting isn't allowed.

Você pode usar o PEP para executar estas tarefas:You can use the PEP to perform these tasks:

  • Tarefas de nível baixo, como coletar logs de diagnóstico.Low-level tasks, such as collecting diagnostic logs.
  • Muitas tarefas de integração de datacenter pós-implantação para sistemas integrados, como adicionar encaminhadores de DNS (sistema de nomes de domínio) após a implantação, configurar a integração de Microsoft Graph, Serviços de Federação do Active Directory (AD FS) (AD FS), rotação de certificado e assim por diante.Many post-deployment datacenter integration tasks for integrated systems, such as adding Domain Name System (DNS) forwarders after deployment, setting up Microsoft Graph integration, Active Directory Federation Services (AD FS) integration, certificate rotation, and so on.
  • Para trabalhar com suporte para obter acesso temporário e de alto nível para solução de problemas detalhada de um sistema integrado.To work with support to obtain temporary, high-level access for in-depth troubleshooting of an integrated system.

O PEP registra todas as ações (e sua saída correspondente) que você executa na sessão do PowerShell.The PEP logs every action (and its corresponding output) that you perform in the PowerShell session. Isso fornece total transparência e auditoria completa de operações.This provides full transparency and complete auditing of operations. Você pode manter esses arquivos de log para auditorias futuras.You can keep these log files for future audits.

Observação

No Kit de Desenvolvimento do Azure Stack (ASDK), você pode executar alguns dos comandos disponíveis no PEP diretamente de uma sessão do PowerShell no host do kit de desenvolvimento.In the Azure Stack Development Kit (ASDK), you can run some of the commands available in the PEP directly from a PowerShell session on the development kit host. No entanto, talvez você queira testar algumas operações usando o PEP, como a coleta de log, porque esse é o único método disponível para executar determinadas operações em um ambiente de sistemas integrados.However, you may want to test some operations using the PEP, such as log collection, because this is the only method available to perform certain operations in an integrated systems environment.

Observação

Você também pode usar a estação de trabalho de acesso do operador (OAW) para acessar o ponto de extremidade privilegiado (PEP), o portal do administrador para cenários de suporte e as ferramentas GitHub do hub de Azure Stack.You can also use the The Operator Access Workstation (OAW) to access the privileged endpoint (PEP), the Administrator portal for support scenarios, and Azure Stack Hub GitHub Tools. Para obter mais informações, consulte Azure Stack estação de trabalho acesso de operador de Hub.For more information see Azure Stack Hub Operator Access Workstation.

Acessar o ponto de extremidade privilegiadoAccess the privileged endpoint

Você acessa o PEP por meio de uma sessão remota do PowerShell na VM (máquina virtual) que hospeda o PEP.You access the PEP through a remote PowerShell session on the virtual machine (VM) that hosts the PEP. No ASDK, essa VM é denominada AzS-ERCS01.In the ASDK, this VM is named AzS-ERCS01. Se você estiver usando um sistema integrado, há três instâncias do PEP, cada uma executando dentro de uma VM (prefix-ERCS01, prefix-ERCS02 ou prefix-ERCS03) em hosts diferentes para resiliência.If you're using an integrated system, there are three instances of the PEP, each running inside a VM (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) on different hosts for resiliency.

Antes de iniciar este procedimento para um sistema integrado, verifique se você pode acessar o PEP pelo endereço IP ou pelo DNS.Before you begin this procedure for an integrated system, make sure you can access the PEP either by IP address or through DNS. Após a implantação inicial do hub de Azure Stack, você pode acessar o PEP somente pelo endereço IP porque a integração de DNS ainda não está configurada.After the initial deployment of Azure Stack Hub, you can access the PEP only by IP address because DNS integration isn't set up yet. Seu fornecedor de hardware OEM fornecerá um arquivo JSON chamado AzureStackStampDeploymentInfo que contém os endereços IP PEP.Your OEM hardware vendor will provide you with a JSON file named AzureStackStampDeploymentInfo that contains the PEP IP addresses.

Você também pode encontrar o endereço IP no portal do administrador do hub de Azure Stack.You may also find the IP address in the Azure Stack Hub administrator portal. Abra o portal, por exemplo, https://adminportal.local.azurestack.external .Open the portal, for example, https://adminportal.local.azurestack.external. Selecione região gerenciamento > Propriedades.Select Region Management > Properties.

Você precisará definir sua configuração de cultura atual como en-US ao executar o ponto de extremidade privilegiado, caso contrário, cmdlets como Test-AzureStack ou Get-AzureStackLog não funcionarão conforme o esperado.You will need set your current culture setting to en-US when running the privileged endpoint, otherwise cmdlets such as Test-AzureStack or Get-AzureStackLog will not work as expected.

Observação

Por motivos de segurança, exigimos que você se conecte ao PEP somente de uma VM protegida em execução na parte superior do host de ciclo de vida do hardware ou de um computador dedicado e seguro, como uma estação de trabalho com acesso privilegiado.For security reasons, we require that you connect to the PEP only from a hardened VM running on top of the hardware lifecycle host, or from a dedicated and secure computer, such as a Privileged Access Workstation. A configuração original do host de ciclo de vida do hardware não deve ser modificada a partir de sua configuração original (incluindo a instalação de novo software) ou usada para se conectar ao PEP.The original configuration of the hardware lifecycle host must not be modified from its original configuration (including installing new software) or used to connect to the PEP.

  1. Estabeleça a relação de confiança.Establish the trust.

    • Em um sistema integrado, execute o seguinte comando em uma sessão elevada do Windows PowerShell para adicionar o PEP como um host confiável na VM protegida em execução no host de ciclo de vida do hardware ou na estação de trabalho de acesso privilegiado.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate
      
    • Se você estiver executando o ASDK, entre no host do kit de desenvolvimento.If you're running the ASDK, sign in to the development kit host.

  2. Na VM protegida em execução no host de ciclo de vida de hardware ou na estação de trabalho de acesso privilegiado, abra uma sessão do Windows PowerShell.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Execute os seguintes comandos para estabelecer uma sessão remota na VM que hospeda o PEP:Run the following commands to establish a remote session on the VM that hosts the PEP:

    • Em um sistema integrado:On an integrated system:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

      O ComputerName parâmetro pode ser o endereço IP ou o nome DNS de uma das VMs que hospeda o PEP.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

      Observação

      Azure Stack Hub não faz uma chamada remota ao validar a credencial PEP.Azure Stack Hub doesn't make a remote call when validating the PEP credential. Ele se baseia em uma chave pública RSA armazenada localmente para fazer isso.It relies on a locally-stored RSA public key to do that.

    • Se você estiver executando o ASDK:If you're running the ASDK:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

    Quando solicitado, use as seguintes credenciais:When prompted, use the following credentials:

    • Nome de usuário: Especifique a conta CloudAdmin, no formato < Azure Stack domínio do Hub > \cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (Para ASDK, o nome de usuário é azurestack\cloudadmin)(For ASDK, the user name is azurestack\cloudadmin)
    • Senha: Insira a mesma senha que foi fornecida durante a instalação para a conta de administrador de domínio AzureStackAdmin.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

    Observação

    Se não for possível se conectar ao ponto de extremidade ERCS, repita as etapas um e dois com outro endereço IP de VM ERCS.If you're unable to connect to the ERCS endpoint, retry steps one and two with another ERCS VM IP address.

  3. Depois de se conectar, o prompt será alterado para [endereço IP ou nome da VM ERCs]: PS> ou para [AZS-ercs01]: PS>, dependendo do ambiente.After you connect, the prompt will change to [IP address or ERCS VM name]: PS> or to [azs-ercs01]: PS>, depending on the environment. A partir daqui, execute Get-Command para exibir a lista de cmdlets disponíveis.From here, run Get-Command to view the list of available cmdlets.

    Você pode encontrar uma referência para cmdlets no em Azure Stack referência de ponto de extremidade com privilégios de HubYou can find a reference for cmdlets in at Azure Stack Hub privileged endpoint reference

    Muitos desses cmdlets são destinados apenas a ambientes de sistema integrados (como os cmdlets relacionados à integração do Datacenter).Many of these cmdlets are intended only for integrated system environments (such as the cmdlets related to datacenter integration). No ASDK, os seguintes cmdlets foram validados:In the ASDK, the following cmdlets have been validated:

    • Clear-HostClear-Host
    • Close-PrivilegedEndpointClose-PrivilegedEndpoint
    • Exit-PSSessionExit-PSSession
    • Get-AzureStackLogGet-AzureStackLog
    • Get-AzureStackStampInformationGet-AzureStackStampInformation
    • Get-CommandGet-Command
    • Get-FormatDataGet-FormatData
    • Get-HelpGet-Help
    • Get-ThirdPartyNoticesGet-ThirdPartyNotices
    • Measure-ObjectMeasure-Object
    • New-CloudAdminUserNew-CloudAdminUser
    • Out-DefaultOut-Default
    • Remove-CloudAdminUserRemove-CloudAdminUser
    • Select-ObjectSelect-Object
    • Set-CloudAdminUserPasswordSet-CloudAdminUserPassword
    • Test-AzureStackTest-AzureStack
    • Stop-AzureStackStop-AzureStack
    • Get-ClusterLogGet-ClusterLog

Como usar o ponto de extremidade privilegiadoHow to use the privileged endpoint

Como mencionado acima, o PEP é um ponto de extremidade Jea do PowerShell .As mentioned above, the PEP is a PowerShell JEA endpoint. Ao fornecer uma camada forte de segurança, um ponto de extremidade JEA reduz alguns dos recursos básicos do PowerShell, como o preenchimento de script ou de guia.While providing a strong security layer, a JEA endpoint reduces some of the basic PowerShell capabilities, such as scripting or tab completion. Se você tentar qualquer tipo de operação de script, a operação falhará com o erro ScriptsNotAllowed.If you try any type of script operation, the operation fails with the error ScriptsNotAllowed. Essa falha é um comportamento esperado.This failure is expected behavior.

Por exemplo, para obter a lista de parâmetros para um determinado cmdlet, execute o seguinte comando:For instance, to get the list of parameters for a given cmdlet, run the following command:

    Get-Command <cmdlet_name> -Syntax

Como alternativa, você pode usar o cmdlet Import-PSSession para importar todos os cmdlets PEP para a sessão atual em seu computador local.Alternatively, you can use the Import-PSSession cmdlet to import all the PEP cmdlets into the current session on your local machine. Os cmdlets e as funções do PEP agora estão disponíveis no computador local, junto com o preenchimento com Tab e, mais em geral, scripts.The cmdlets and functions of the PEP are now available on your local machine, together with tab completion and, more in general, scripting. Você também pode executar o módulo Get-Help para examinar as instruções do cmdlet.You can also run the Get-Help module to review cmdlet instructions.

Para importar a sessão PEP em seu computador local, execute as seguintes etapas:To import the PEP session on your local machine, do the following steps:

  1. Estabeleça a relação de confiança.Establish the trust.

    • Em um sistema integrado, execute o seguinte comando em uma sessão elevada do Windows PowerShell para adicionar o PEP como um host confiável na VM protegida em execução no host de ciclo de vida do hardware ou na estação de trabalho de acesso privilegiado.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'
      
    • Se você estiver executando o ASDK, entre no host do kit de desenvolvimento.If you're running the ASDK, sign in to the development kit host.

  2. Na VM protegida em execução no host de ciclo de vida de hardware ou na estação de trabalho de acesso privilegiado, abra uma sessão do Windows PowerShell.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Execute os seguintes comandos para estabelecer uma sessão remota na máquina virtual que hospeda o PEP:Run the following commands to establish a remote session on the virtual machine that hosts the PEP:

    • Em um sistema integrado:On an integrated system:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName <IP_address_of_ERCS> `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

      O ComputerName parâmetro pode ser o endereço IP ou o nome DNS de uma das VMs que hospeda o PEP.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

    • Se você estiver executando o ASDK:If you're running the ASDK:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName azs-ercs01 `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

    Quando solicitado, use as seguintes credenciais:When prompted, use the following credentials:

    • Nome de usuário: Especifique a conta CloudAdmin, no formato < Azure Stack domínio do Hub > \cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (Para ASDK, o nome de usuário é azurestack\cloudadmin.)(For ASDK, the user name is azurestack\cloudadmin.)

    • Senha: Insira a mesma senha que foi fornecida durante a instalação para a conta de administrador de domínio AzureStackAdmin.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

  3. Importe a sessão PEP para o computador local:Import the PEP session into your local machine:

    Import-PSSession $session
    
  4. Agora, você pode usar a conclusão de tabulação e criar scripts como de costume em sua sessão local do PowerShell com todas as funções e cmdlets do PEP, sem diminuir a postura de segurança do hub de Azure Stack.Now, you can use tab-completion and do scripting as usual on your local PowerShell session with all the functions and cmdlets of the PEP, without decreasing the security posture of Azure Stack Hub. Aproveite!Enjoy!

Fechar a sessão de ponto de extremidade privilegiadoClose the privileged endpoint session

Como mencionado anteriormente, o PEP registra cada ação (e sua saída correspondente) que você faz na sessão do PowerShell.As mentioned earlier, the PEP logs every action (and its corresponding output) that you do in the PowerShell session. Você deve fechar a sessão usando o Close-PrivilegedEndpoint cmdlet.You must close the session by using the Close-PrivilegedEndpoint cmdlet. Esse cmdlet fecha o ponto de extremidade corretamente e transfere os arquivos de log para um compartilhamento de arquivos externo para retenção.This cmdlet correctly closes the endpoint, and transfers the log files to an external file share for retention.

Para fechar a sessão de ponto de extremidade:To close the endpoint session:

  1. Crie um compartilhamento de arquivos externo acessível pelo PEP.Create an external file share that's accessible by the PEP. Em um ambiente do kit de desenvolvimento, você pode simplesmente criar um compartilhamento de arquivos no host do kit de desenvolvimento.In a development kit environment, you can just create a file share on the development kit host.

  2. Execute o cmdlet a seguir:Run the following cmdlet:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential
    

    O cmdlet usa os parâmetros na tabela a seguir:The cmdlet uses the parameters in the following table:

    ParâmetroParameter DescriçãoDescription TypeType NecessáriaRequired
    TranscriptsPathDestinationTranscriptsPathDestination Caminho para o compartilhamento de arquivos externo definido como "fileshareIP\sharefoldername"Path to the external file share defined as "fileshareIP\sharefoldername" StringString SimYes
    CredencialCredential Credenciais para acessar o compartilhamento de arquivosCredentials to access the file share SecureStringSecureString YesYes

Depois que os arquivos de log de transcrição são transferidos com êxito para o compartilhamento de arquivos, eles são automaticamente excluídos do PEP.After the transcript log files are successfully transferred to the file share, they're automatically deleted from the PEP.

Observação

Se você fechar a sessão PEP usando os cmdlets Exit-PSSession ou Exit apenas fechar o console do PowerShell, os logs de transcrição não transferirão para um compartilhamento de arquivos.If you close the PEP session by using the cmdlets Exit-PSSession or Exit, or you just close the PowerShell console, the transcript logs don't transfer to a file share. Eles permanecem no PEP.They remain in the PEP. Na próxima vez que você executar Close-PrivilegedEndpoint e incluir um compartilhamento de arquivos, os logs de transcrição da (s) sessão (ões) anterior também serão transferidos.The next time you run Close-PrivilegedEndpoint and include a file share, the transcript logs from the previous session(s) will also transfer. Não use Exit-PSSession ou Exit feche a sessão PEP; use Close-PrivilegedEndpoint em vez disso.Don't use Exit-PSSession or Exit to close the PEP session; use Close-PrivilegedEndpoint instead.

Desbloqueando o ponto de extremidade privilegiado para cenários de suporteUnlocking the privileged endpoint for support scenarios

Durante um cenário de suporte, o engenheiro de suporte da Microsoft pode precisar elevar a sessão do PowerShell de ponto de extremidade privilegiado para acessar os elementos internos da infraestrutura do hub de Azure Stack.During a support scenario, the Microsoft support engineer might need to elevate the privileged endpoint PowerShell session to access the internals of the Azure Stack Hub infrastructure. Esse processo às vezes é chamado informalmente de "quebrar o vidro" ou "desbloquear o PEP".This process is sometimes informally referred to as "break the glass" or "unlock the PEP". O processo de elevação da sessão PEP é uma etapa, duas pessoas, dois processos de autenticação da organização.The PEP session elevation process is a two step, two people, two organization authentication process. O procedimento de desbloqueio é iniciado pelo operador Hub de Azure Stack, que retém o controle de seu ambiente em todos os momentos.The unlock procedure is initiated by the Azure Stack Hub operator, who retains control of their environment at all times. O operador acessa o PEP e executa este cmdlet:The operator accesses the PEP and executes this cmdlet:

     Get-SupportSessionToken

O cmdlet retorna o token de solicitação de sessão de suporte, uma cadeia de caracteres alfanumérica muito longa.The cmdlet returns the support session request token, a very long alphanumeric string. Em seguida, o operador passa o token de solicitação para o engenheiro de suporte da Microsoft por meio de uma mídia de sua escolha (por exemplo, chat, email).The operator then passes the request token to the Microsoft support engineer via a medium of their choice (e.g., chat, email). O engenheiro de suporte da Microsoft usa o token de solicitação para gerar, se for válido, um token de autorização de sessão de suporte e enviá-lo de volta para o operador Hub de Azure Stack.The Microsoft support engineer uses the request token to generate, if valid, a support session authorization token and sends it back to the Azure Stack Hub operator. Na mesma sessão do PowerShell do PEP, o operador passa o token de autorização como entrada para este cmdlet:On the same PEP PowerShell session, the operator then passes the authorization token as input to this cmdlet:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Se o token de autorização for válido, a sessão do PowerShell do PEP será elevada fornecendo recursos de administração completos e acessibilidade completa na infraestrutura.If the authorization token is valid, the PEP PowerShell session is elevated by providing full admin capabilities and full reachability into the infrastructure.

Observação

Todas as operações e os cmdlets executados em uma sessão PEP com privilégios elevados devem ser executados sob uma supervisão estrita do engenheiro de suporte da Microsoft.All the operations and cmdlets executed in an elevated PEP session must be performed under strict supervision of the Microsoft support engineer. A falha em fazer isso pode resultar em um tempo de inatividade sério, perda de dados e pode exigir uma reimplantação completa do ambiente de Hub de Azure Stack.Failure to do so could result in serious downtime, data loss and could require a full redeployment of the Azure Stack Hub environment.

Depois que a sessão de suporte é encerrada, é muito importante fechar a sessão PEP com privilégios elevados usando o cmdlet Close-PrivilegedEndpoint , conforme explicado na seção acima.Once the support session is terminated, it is very important to close back the elevated PEP session by using the Close-PrivilegedEndpoint cmdlet as explained in the section above. Uma sessão PEP é encerrada, o token de desbloqueio não é mais válido e não pode ser reutilizado para desbloquear a sessão PEP novamente.One the PEP session is terminated, the unlock token is no longer valid and cannot be reused to unlock the PEP session again. Uma sessão PEP com privilégios elevados tem uma validade de 8 horas, após a qual, se não for encerrada, a sessão de PEP elevada será bloqueada automaticamente para uma sessão PEP normal.An elevated PEP session has a validity of 8 hours, after which, if not terminated, the elevated PEP session will automatically lock back to a regular PEP session.

Conteúdo dos tokens de ponto de extremidade privilegiadosContent of the privileged endpoint tokens

Os tokens de solicitação e autorização de sessão de suporte do PEP aproveitam a criptografia para proteger o acesso e garantir que apenas tokens autorizados possam desbloquear a sessão PEP.The PEP support session request and authorization tokens leverage cryptography to protect access and ensure that only authorized tokens can unlock the PEP session. Os tokens são projetados para garantir criptograficamente que um token de resposta só possa ser aceito pela sessão PEP que gerou o token de solicitação.The tokens are designed to cryptographically guarantee that a response token can only be accepted by the PEP session that generated the request token. Os tokens PEP não contêm qualquer tipo de informação que possa identificar exclusivamente um ambiente de Hub de Azure Stack ou um cliente.PEP tokens do not contain any kind of information that could uniquely identify an Azure Stack Hub environment or a customer. Eles são completamente anônimos.They are completely anonymous. Abaixo dos detalhes do conteúdo de cada token, são fornecidos.Below the details of the content of each token are provided.

Token de solicitação de sessão de suporteSupport session request token

O token de solicitação de sessão de suporte do PEP é composto por três objetos:The PEP support session request token is composed of three objects:

  • Uma ID de sessão gerada aleatoriamente.A randomly generated Session ID.
  • Um certificado autoassinado, gerado com a finalidade de ter um par de chaves pública/privada única.A self-signed certificate, generated for the purpose of having a one-time public/private key pair. O certificado não contém nenhuma informação no ambiente.The certificate does not contain any information on the environment.
  • Um carimbo de data/hora que indica a expiração do token de solicitação.A time stamp that indicates the request token expiration.

O token de solicitação é então criptografado com a chave pública da nuvem do Azure na qual o ambiente de Hub de Azure Stack está registrado.The request token is then encrypted with the public key of the Azure cloud against which the Azure Stack Hub environment is registered to.

Token de resposta de autorização de sessão de suporteSupport session authorization response token

O token de resposta de autorização de suporte do PEP é composto por dois objetos:The PEP support authorization response token is composed of two objects:

  • A ID de sessão gerada aleatoriamente extraída do token de solicitação.The randomly generated session ID extracted from the request token.
  • Um carimbo de data/hora que indica a expiração do token de resposta.A time stamp that indicates the response token expiration.

O token de resposta é criptografado com o certificado autoassinado contido no token de solicitação.The response token is then encrypted with the self-signed certificate contained in the request token. O certificado autoassinado foi descriptografado com a chave privada associada à nuvem do Azure na qual o ambiente de Hub de Azure Stack está registrado.The self-signed certificate was decrypted with the private key associated with the Azure cloud against which the Azure Stack Hub environment is registered to.

Próximas etapasNext steps