Configurar multienancy em Azure Stack Hub

Você pode configurar Azure Stack Hub para dar suporte a logins de usuários que residem em outros diretórios do Azure Active Directory (Azure AD), permitindo que eles usem serviços no Azure Stack Hub. Esses diretórios têm uma relação "convidado" com seu diretório Azure Stack Hub e são considerados locatários convidados do Azure AD.

Por exemplo, considere este cenário:

  • Você é o administrador de serviços do contoso.onmicrosoft.com locatário do Azure AD que fornece serviços de gerenciamento de identidade e acesso para Azure Stack Hub.
  • Mary é a administradora de diretórios adatum.onmicrosoft.com, o locatário convidado do Azure AD em que os usuários convidados estão localizados.
  • A empresa de Maria (Adatum) usa serviços de IaaS e PaaS de sua empresa. O Adatum deseja permitir que os usuários do adatum.onmicrosoft.com (diretório convidado) se Azure Stack Hub recursos protegidos pelo contoso.onmicrosoft.com.

Este guia fornece as etapas necessárias, no contexto desse cenário, para habilitar ou desabilitar a multi-locação no Azure Stack Hub para um locatário de diretório convidado. Você e Maria realizarão esse processo registrando ou desatndo o locatário do diretório convidado, o que habilita ou desabilita Azure Stack Hub e consumo de serviço por usuários do Adatum.

Se você for um Provedor de Soluções na Nuvem (CSP), terá outras maneiras de configurar e gerenciar um Azure Stack Hub .

Pré-requisitos

Antes de registrar ou registrar um diretório convidado, você e Maria devem concluir as etapas administrativas para seus respectivos locatários do Azure AD: o diretório de residência do Azure Stack Hub (Contoso) e o diretório convidado (Adatum):

Registrar um diretório convidado

Para registrar um diretório convidado para multienancy, você precisa configurar o diretório de Azure Stack Hub e o diretório convidado.

Configurar Azure Stack Hub diretório

Como administrador de serviços do contoso.onmicrosoft.com, você deve primeiro integrar o locatário do diretório convidado do Adatum Azure Stack Hub. O script a seguir configura Azure Resource Manager para aceitar logins de usuários e entidades de serviço no adatum.onmicrosoft.com locatário:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurar diretório convidado

Em seguida, Mary (administradora de diretórios do Adatum) deve Azure Stack Hub com o diretório convidado adatum.onmicrosoft.com, executando o seguinte script:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador Azure Stack Hub instalar novos serviços ou atualizações no futuro, talvez seja necessário executar esse script novamente.

Execute esse script novamente a qualquer momento para verificar o status do Azure Stack Hub aplicativos em seu diretório.

Se você observar problemas com a criação de VMs no Managed Disks (introduzido na atualização 1808), um novo provedor de recursos de disco foi adicionado, o que exige que esse script seja executado novamente.

Direcionar os usuários para entrar

Por fim, Maria pode direcionar os usuários do Adatum com contas para entrar visitando @adatum.onmicrosoft.com o @adatum.onmicrosoft.com Para sistemas multinode, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN> . Para uma implantação do ASDK, a URL é https://portal.local.azurestack.external .

Maria também deve direcionar quaisquer entidades estrangeiras (usuários no diretório Adatum sem o sufixo adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com . Se eles não especificarem o locatário de diretório na URL, eles serão enviados ao diretório padrão e receberão um erro informando que o administrador /adatum.onmicrosoft.com não consentiu.

Não registro de um diretório convidado

Se você não quiser mais permitir logins para Azure Stack Hub serviços de um locatário de diretório convidado, poderá ressarquir o diretório. Novamente, a página Azure Stack Hub diretório e o diretório convidado precisam ser configurados:

  1. Como administrador do diretório convidado (Mary neste cenário), execute Unregister-AzsWithMyDirectoryTenant . O cmdlet desinstala todos os Azure Stack Hub aplicativos do novo diretório.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Como administrador de serviços do Azure Stack Hub (neste cenário), execute o Unregister-AzSGuestDirectoryTenant cmdlet :

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Aviso

    As etapas para desabilitar a multilinha devem ser executadas na ordem. A etapa 1 falhará se a etapa 2 for concluída primeiro.

Recuperar Azure Stack Hub de segurança de identidade

Substitua os <region><domain> espaço reservados , e e execute <homeDirectoryTenant> o cmdlet a seguir como o Azure Stack Hub administrador.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar permissões de locatário do Azure AD

Essa ação limpa um alerta no Azure Stack Hub, indicando que um diretório requer uma atualização. Execute o seguinte comando na pasta Azurestack-tools-master/identity:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O script solicita credenciais administrativas no locatário do Azure AD e leva vários minutos para ser executado. O alerta é limpo depois que você executar o cmdlet.

Não há suporte para o gerenciamento baseado em portal para esta versão

O gerenciamento de multienalidade usando o portal do administrador só está disponível para as versões 2102 e posteriores. Selecione uma versão posterior usando o seletor na parte superior esquerda da página.

Registrar um diretório convidado

Para registrar um diretório convidado para multienancy, você precisa configurar o diretório de Azure Stack Hub e o diretório convidado.

Configurar Azure Stack Hub diretório

A primeira etapa é tornar seu Azure Stack Hub do sistema ciente do diretório convidado. Neste exemplo, o diretório da empresa de Maria, Adatum, é chamado adatum.onmicrosoft.com.

  1. Entre no portal do Azure Stack Hub administrador e acesse Todos os serviços – Diretórios.

    Screenshot that shows the list of directories.

  2. Selecione Adicionar para iniciar o processo de integração. Insira o nome do diretório convidado "adatum.onmicrosoft.com" e selecione Adicionar.

    Screenshot that shows how to add a new directory.

  3. O diretório convidado aparece na exibição de lista, com um status de não registro.

    Screenshot that shows the new guest directory with an unregistered status.

  4. Somente Maria tem as credenciais para autenticar no diretório convidado, portanto, você deve enviar a ela o link para concluir o registro. Marque a adatum.onmicrosoft.com de seleção e, em seguida, selecione Registrar.

    Screenshot that shows selecting a directory to register.

  5. Uma nova guia do navegador é aberta. Selecione Copiar link na parte inferior da página e forneça-o a Maria.

  6. Se você tiver as credenciais para o diretório convidado, poderá concluir o registro por conta própria selecionando Entrar.

    Screenshot that shows selecting sign in.

Configurar diretório convidado

Maria recebeu o email com o link para registrar o diretório. Ela abre o link em um navegador e confirma o Azure Active Directory e o Azure Resource Manager de extremidade do seu Azure Stack Hub sistema.

  1. Maria se ins signa ao usar suas credenciais de administrador global para adatum.onmicrosoft.com.

    Observação

    Certifique-se de que os bloqueadores pop-up estão desabilitados antes de entrar.

    Screenshot that shows signing in to manage a directory.

  2. Maria revisa o status do diretório e vê que ele não está registrado.

    Screenshot that shows an unregistered directory.

  3. Maria seleciona Registrar para iniciar o processo.

    Observação

    Os objetos necessários para Visual Studio Code podem não ser criados e devem usar o PowerShell.

    Screenshot that shows the starting directory registration.

  4. Depois que o processo de registro for concluído, Maria poderá revisar todos os aplicativos que foram criados no diretório e verificar seu status.

    Screenshot that shows a registered directory.

  5. Maria concluiu com êxito o processo de registro e agora pode direcionar os usuários do Adatum com contas para entrar visitando o @adatum.onmicrosoft.com@adatum.onmicrosoft.com Para sistemas multinode, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN> . Para uma implantação do ASDK, a URL é https://portal.local.azurestack.external .

Importante

Pode levar até uma hora para que o operador Azure Stack veja o status do diretório atualizado no portal de administração.

Maria também deve direcionar quaisquer entidades estrangeiras (usuários no diretório Adatum sem o sufixo adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com . Se eles não especificarem o locatário de diretório na URL, eles serão enviados ao diretório padrão e receberão um erro informando que o administrador /adatum.onmicrosoft.com não consentiu.

Não registro de um diretório convidado

Se você não quiser mais permitir logins para Azure Stack Hub serviços de um locatário de diretório convidado, poderá ressarquir o diretório. Novamente, a página Azure Stack Hub diretório e o diretório convidado precisam ser configurados:

Configurar diretório convidado

Maria não usa mais serviços em Azure Stack Hub e deve remover os objetos. Ela abre a URL novamente que recebeu por email para não fazer o registro do diretório. Antes de iniciar esse processo, Maria remove todos os recursos da Azure Stack Hub assinatura.

  1. Maria se insira usando suas credenciais de administrador global para adatum.onmicrosoft.com.

    Observação

    Certifique-se de que os bloqueadores pop-up estão desabilitados antes de entrar.

    Screenshot that shows selecting Sign In.

  2. Maria vê o status do diretório.

    Screenshot that shows a registered directory.

  3. Maria seleciona Não registro para iniciar a ação.

    Screenshot that shows selecing Unregister to unregister a directory.

  4. Quando o processo for concluído, o status será mostrado como Não registrado:

    Screenshot that shows a directory that has been unregistered.

    Maria ressaltou com êxito o registro do diretório adatum.onmicrosoft.com.

    Observação

    Pode levar até uma hora para mostrar o diretório como não registrado no portal Azure Stack administrador.

Configurar Azure Stack Hub diretório

Como um Azure Stack Hub, você pode remover o diretório convidado a qualquer momento, mesmo que Maria não tenha feito o registro anterior do diretório.

  1. Entre no portal do Azure Stack Hub administrador e acesse Todos os serviços – Diretórios.

    Screenshot that shows all directories.

  2. Marque a caixa de adatum.onmicrosoft.com diretório e, em seguida, selecione Remover.

    Screenshot that shows selecting Remove for a directory.

  3. Confirme a ação de exclusão digitando sim e selecionando Remover.

    Screenshot that shows how to remove a directory.

    Você removeu o diretório com êxito.

Gerenciando as atualizações necessárias

Azure Stack Hub atualizações podem introduzir suporte para novas ferramentas ou serviços que podem exigir uma atualização do diretório 1 ou convidado.

Como um Azure Stack Hub, você recebe um alerta no portal de administração que informa sobre uma atualização de diretório necessária. Você também pode determinar se uma atualização é necessária para diretórios de casa ou convidado exibindo o painel de diretórios no portal de administração. Cada listagem de diretórios mostra o tipo de diretório. O tipo pode ser um diretório de convidado ou de casa e seu status é mostrado.

Atualizar os diretórios Azure Stack Hub dados

Quando uma Azure Stack Hub de diretório é necessária, um status de Atualização Necessária é mostrado. Por exemplo:

Screenshot that shows a directory requiring an update.

Para atualizar o diretório, marque a caixa de seleção Nome do diretório e, em seguida, selecione Atualizar.

Atualizar o diretório convidado

Um Azure Stack Hub operador também deve informar ao proprietário do diretório convidado que ele precisa atualizar seu diretório usando a URL compartilhada para registro. O operador pode reend a URL, mas não é alterável.

Maria, a proprietária do diretório convidado, abre a URL que ela recebeu por email quando registrou o diretório:

  1. Maria se insira usando suas credenciais de administrador global para adatum.onmicrosoft.com. Certifique-se de que os bloqueadores pop-up estão desabilitados antes de entrar.

    Screenshot that shows selecting Sign In.

  2. Maria vê o status do diretório dizendo que uma atualização é necessária.

  3. A ação Atualizar está disponível para Que Maria atualize o diretório convidado. Pode levar até uma hora para mostrar o diretório como registrado no portal Azure Stack administrador.

Funcionalidades adicionais

Um Azure Stack Hub operador pode exibir as assinaturas associadas a um diretório. Além disso, cada diretório tem uma ação para gerenciar o diretório diretamente no portal do Azure. Para gerenciar, o diretório de destino deve ter permissões de gerenciamento no portal do Azure.

Próximas etapas