Arquitetura do Azure Lighthouse

  • Artigo

O Azure Lighthouse ajuda os prestadores de serviços a simplificar o envolvimento do cliente e as experiências de integração, ao mesmo tempo que gere recursos delegados em escala com agilidade e precisão. Os usuários, grupos e entidades de serviço autorizados podem trabalhar diretamente no contexto de uma assinatura de cliente sem ter uma conta no locatário do Microsoft Entra desse cliente ou ser coproprietário do locatário do cliente. O mecanismo usado para dar suporte a esse acesso é chamado de gerenciamento de recursos delegados do Azure.

Diagram illustrating Azure delegated resource management.

Gorjeta

O Azure Lighthouse também pode ser usado em uma empresa que tenha vários locatários do Microsoft Entra próprios para simplificar o gerenciamento entre locatários.

Este tópico discute a relação entre locatários no Azure Lighthouse e os recursos criados no locatário do cliente que habilitam essa relação.

Nota

A integração de um cliente ao Azure Lighthouse requer uma implantação por uma conta não convidada no locatário do cliente que tenha uma função com a permissão, como Proprietário, para a Microsoft.Authorization/roleAssignments/write assinatura que está sendo integrada (ou que contém os grupos de recursos que estão sendo integrados).

Recursos de delegação criados no locatário do cliente

Quando a assinatura ou o grupo de recursos de um cliente é integrado ao Azure Lighthouse, dois recursos são criados: a definição de registro e a atribuição de registro. Você pode usar APIs e ferramentas de gerenciamento para acessar esses recursos ou trabalhar com eles no portal do Azure.

Definição de registo

A definição de registro contém os detalhes da oferta do Azure Lighthouse (a ID do locatário de gerenciamento e as autorizações que atribuem funções internas a usuários, grupos e/ou entidades de serviço específicos no locatário de gerenciamento.

Uma definição de registro é criada no nível de assinatura para cada assinatura delegada ou em cada assinatura que contém um grupo de recursos delegados. Ao usar APIs para criar uma definição de registro, você precisará trabalhar no nível da assinatura. Por exemplo, usando o Azure PowerShell, você precisará usar New-AzureRmDeployment antes de criar uma nova definição de registro (New-AzManagedServicesDefinition), em vez de usar New-AzureRmResourceGroupDeployment.

Atribuição de registo

A atribuição de registro atribui a definição de registro a um escopo específico, ou seja, a(s) assinatura(s) integrada(s) e/ou grupo(s) de recursos.

Uma atribuição de registro é criada em cada escopo delegado, portanto, será no nível do grupo de assinatura ou no nível do grupo de recursos, dependendo do que foi integrado.

Cada atribuição de registo deve fazer referência a uma definição de registo válida ao nível da subscrição, vinculando as autorizações desse prestador de serviços ao âmbito delegado e, por conseguinte, concedendo acesso.

Projeção lógica

O Azure Lighthouse cria uma projeção lógica de recursos de um locatário para outro locatário. Isso permite que os usuários autorizados do provedor de serviços entrem em seu próprio locatário com autorização para trabalhar em assinaturas de clientes delegados e grupos de recursos. Os usuários no locatário do provedor de serviços podem executar operações de gerenciamento em nome de seus clientes, sem precisar entrar em cada locatário de cliente individual.

Sempre que um usuário, grupo ou entidade de serviço no locatário do provedor de serviços acessa recursos no locatário de um cliente, o Gerenciador de Recursos do Azure recebe uma solicitação. O Resource Manager autentica essas solicitações, assim como faz para solicitações feitas por usuários dentro do próprio locatário do cliente. Para o Azure Lighthouse, ele faz isso confirmando que dois recursos — a definição de registro e a atribuição de registro — estão presentes no locatário do cliente. Em caso afirmativo, o Resource Manager autoriza o acesso de acordo com as informações definidas por esses recursos.

Diagram illustrating the logical projection in Azure Lighthouse.

A atividade dos usuários no locatário do provedor de serviços é rastreada no log de atividades, que é armazenado no locatário do cliente. Isso permite que o cliente veja quais alterações foram feitas e por quem.

Como funciona o Azure Lighthouse

Em um alto nível, veja como o Azure Lighthouse funciona para o locatário de gerenciamento:

  1. Identifique as funções que seus grupos, entidades de serviço ou usuários precisarão para gerenciar os recursos do Azure do cliente.
  2. Especifique esse acesso e integre o cliente ao Azure Lighthouse publicando uma oferta de Serviço Gerenciado no Azure Marketplace ou implantando um modelo do Azure Resource Manager. Esse processo de integração cria os dois recursos descritos acima (definição de registro e atribuição de registro) no locatário do cliente.
  3. Depois que o cliente for integrado, os usuários autorizados entrarão no locatário de gerenciamento e executarão tarefas no escopo do cliente especificado (assinatura ou grupo de recursos) de acordo com o acesso que você definiu. Os clientes podem rever todas as ações tomadas e podem remover o acesso a qualquer momento.

Embora na maioria dos casos apenas um provedor de serviços gerencie recursos específicos para um cliente, é possível que o cliente crie várias delegações para a mesma assinatura ou grupo de recursos, permitindo que vários provedores de serviços tenham acesso. Esse cenário também permite cenários de ISV que projetam recursos do locatário do provedor de serviços para vários clientes.

Próximos passos