Arquitetura do Farol de Azure

O Azure Lighthouse ajuda os prestadores de serviços a simplificar o envolvimento do cliente e as experiências de embarque, ao mesmo tempo que gere recursos delegados em escala com agilidade e precisão. Os utilizadores, grupos e diretores de serviço autorizados podem trabalhar diretamente no contexto de uma subscrição de clientes sem ter uma conta no inquilino Azure Ative Directory (Azure AD) do cliente ou ser coproprietário do inquilino do cliente. O mecanismo utilizado para apoiar este acesso chama-se Azure delegado de gestão de recursos.

Diagrama que ilustra a gestão de recursos delegada do Azure.

Dica

O Farol de Azure também pode ser usado dentro de uma empresa que tem vários inquilinos AD AZure por si só para simplificar a gestão de inquilinos cruzados.

Este tema discute a relação entre inquilinos no Farol de Azure, e os recursos criados no inquilino do cliente que permitem essa relação.

Recursos de delegação criados no inquilino do cliente

Quando a subscrição ou grupo de recursos de um cliente é a bordo do Farol de Azure, são criados dois recursos: a definição de registo e a atribuição de registo. Pode utilizar APIs e ferramentas de gestão para aceder a estes recursos, ou trabalhar com eles no portal Azure.

Definição de registo

A definição de registo contém os detalhes da oferta do Farol Azure (o ID do inquilino gerente e as autorizações que atribuem funções incorporadas a utilizadores, grupos e/ou diretores de serviços específicos no arrendatário gerente.

Uma definição de registo é criada ao nível de subscrição de cada subscrição delegada, ou em cada subscrição que contenha um grupo de recursos delegado. Ao utilizar APIs para criar uma definição de registo, terá de trabalhar ao nível da subscrição. Por exemplo, usando a Azure PowerShell, terá de utilizar New-AzureRmDeployment antes de criar uma nova definição de registo(New-AzManagedServicesDefinition),em vez de utilizar o New-AzureRmResourceGroupDeployment.

Atribuição de registo

A cessão de registo atribui a definição de registo a um âmbito específico, ou seja, ao(s) subscrição(s) e/ou grupo de recursos.

É criada uma atribuição de registo em cada âmbito delegado, pelo que será ao nível do grupo de subscrição ou ao nível do grupo de recursos, dependendo do que foi iniciado.

Cada cessão de registo deve fazer referência a uma definição de registo válida ao nível da subscrição, atando as autorizações desse prestador de serviços ao âmbito delegado e, assim, concedendo acesso.

Projeção lógica

O Farol de Azure cria uma projeção lógica de recursos de um inquilino para outro inquilino. Isto permite que os utilizadores autorizados do prestador de serviços inscrevam-se no seu próprio inquilino com autorização para trabalhar em assinaturas de clientes delegados e grupos de recursos. Os utilizadores do arrendatário do prestador de serviços podem então realizar operações de gestão em nome dos seus clientes, sem terem de se inscrever em cada cliente inquilino individual.

Sempre que um utilizador, grupo ou principal de serviço no inquilino do prestador de serviços acede a recursos no inquilino de um cliente, o Azure Resource Manager recebe um pedido. O Gestor de Recursos autentica estes pedidos, tal como acontece com os pedidos feitos pelos utilizadores dentro do próprio inquilino do cliente. Para o Farol Azure, fá-lo confirmando que dois recursos - a definição de registo e a atribuição de registo - estão presentes no inquilino do cliente. Em caso afirmativo, o Gestor de Recursos autoriza o acesso de acordo com a informação definida por esses recursos.

Diagrama ilustrando a projeção lógica no Farol de Azure.

A atividade dos utilizadores do arrendatário do prestador de serviços é rastreada no registo de atividades, que é armazenado no arrendatário do cliente. Isto permite ao cliente ver que alterações foram feitas e por quem.

Como funciona o Farol de Azure

A um nível elevado, é assim que funciona o Farol de Azure:

  1. Identifique as funções que os seus grupos, diretores de serviço ou utilizadores precisarão para gerir os recursos Azure do cliente.
  2. Especifique este acesso e embarque no Farol Azure, quer publicando uma oferta de Serviço Gerido ao Azure Marketplace,quer através da implementação de um modelo de Gestor de Recursos Azure. Este processo de embarque cria os dois recursos acima descritos (definição de registo e atribuição de registo) no arrendatário do cliente.
  3. Uma vez que o cliente tenha sido acedido, os utilizadores autorizados inscrevem-se no seu inquilino gerente e executam tarefas no âmbito especificado do cliente (subscrição ou grupo de recursos) de acordo com o acesso que definiu. Os clientes podem rever todas as ações tomadas, e podem remover o acesso a qualquer momento.

Embora na maioria dos casos apenas um prestador de serviços esteja a gerir recursos específicos para um cliente, é possível para o cliente criar várias delegações para o mesmo grupo de subscrição ou recursos, permitindo que vários prestadores de serviços tenham acesso. Este cenário também permite cenários ISV que projetam recursos do inquilino do prestador de serviços a vários clientes.

Passos seguintes