Использование привилегированной конечной точки в Azure Stack HubUse the privileged endpoint in Azure Stack Hub

Для повседневных задач управления оператору Azure Stack Hub следует использовать портал администрирования, PowerShell или API-интерфейсы Azure Resource Manager.As an Azure Stack Hub operator, you should use the administrator portal, PowerShell, or Azure Resource Manager APIs for most day-to-day management tasks. Но для выполнения некоторых менее распространенных операций понадобится использовать привилегированную конечную точку.However, for some less common operations, you need to use the privileged endpoint (PEP). Эта конечная точка является предварительно настроенной удаленной консолью PowerShell, которая предоставляет достаточно возможностей для нужной задачи.The PEP is a pre-configured remote PowerShell console that provides you with just enough capabilities to help you do a required task. Конечная точка использует PowerShell JEA (Just Enough Administration) для предоставления ограниченного набора командлетов.The endpoint uses PowerShell JEA (Just Enough Administration) to expose only a restricted set of cmdlets. Для доступа к привилегированной конечной точке и вызова ограниченного набора командлетов используется учетная запись с низким уровнем привилегий.To access the PEP and invoke the restricted set of cmdlets, a low-privileged account is used. Учетные записи администратора не требуются.No admin accounts are required. Для повышения безопасности запрещено выполнение скриптов.For additional security, scripting isn't allowed.

Привилегированную конечную точку можно использовать для следующих задач:You can use the PEP to perform these tasks:

  • задачи низкого уровня, такие как сбор журналов диагностики;Low-level tasks, such as collecting diagnostic logs.
  • различные задачи по интеграции центра обработки данных после развертывания для интегрированных систем, например добавление DNS-серверов перенаправления после развертывания, настройка интеграции Microsoft Graph, интеграции служб федерации Active Directory (AD FS), смена сертификатов и т. д.;Many post-deployment datacenter integration tasks for integrated systems, such as adding Domain Name System (DNS) forwarders after deployment, setting up Microsoft Graph integration, Active Directory Federation Services (AD FS) integration, certificate rotation, and so on.
  • взаимодействие со службой поддержки для получения временного доступа высокого уровня, например для глубокой диагностики интегрированной системы.To work with support to obtain temporary, high-level access for in-depth troubleshooting of an integrated system.

В привилегированной конечной точке регистрируется каждое действие (и его соответствующие выходные данные), выполняемое в сеансе PowerShell.The PEP logs every action (and its corresponding output) that you perform in the PowerShell session. Это обеспечивает полную прозрачность и аудит операций.This provides full transparency and complete auditing of operations. Эти файлы журналов можно сохранить для последующего аудита.You can keep these log files for future audits.

Примечание

В Пакете средств разработки Azure Stack (ASDK) некоторые команды, доступные в привилегированной конечной точке, можно выполнять непосредственно из сеанса PowerShell на узле пакета разработки.In the Azure Stack Development Kit (ASDK), you can run some of the commands available in the PEP directly from a PowerShell session on the development kit host. Тем не менее вы можете проверить некоторые операции с использованием привилегированной конечной точки, например сбор данных журналов, так как это единственный доступный метод для выполнения определенных операций в среде интегрированных систем.However, you may want to test some operations using the PEP, such as log collection, because this is the only method available to perform certain operations in an integrated systems environment.

Примечание

Можно также использовать оператор доступа к рабочей станции (ОАВ) для доступа к привилегированной конечной точке (PEP), порталу администрирования для сценариев поддержки и Azure Stack средства GitHub центра.You can also use the The Operator Access Workstation (OAW) to access the privileged endpoint (PEP), the Administrator portal for support scenarios, and Azure Stack Hub GitHub Tools. Дополнительные сведения см. в статье оператор Azure Stack Hub доступ к рабочей станции.For more information see Azure Stack Hub Operator Access Workstation.

Доступ к привилегированной конечной точкеAccess the privileged endpoint

Доступ к привилегированной конечной точке осуществляется через удаленный сеанс PowerShell на виртуальной машине, на которой размещается привилегированная конечная точка.You access the PEP through a remote PowerShell session on the virtual machine (VM) that hosts the PEP. В ASDK эта виртуальная машина называется AzS-ERCS01.In the ASDK, this VM is named AzS-ERCS01. Если вы используете интегрированную систему, в ней существуют три экземпляра привилегированной конечной точки на разных виртуальных машинах (префикс-ERCS01, префикс-ERCS02 или префикс-ERCS03), размещенных для обеспечения устойчивости на разных узлах.If you're using an integrated system, there are three instances of the PEP, each running inside a VM (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) on different hosts for resiliency.

Перед началом этой процедуры для интегрированной системы убедитесь в наличии доступа к привилегированной конечной точке по IP-адресу или DNS-имени.Before you begin this procedure for an integrated system, make sure you can access the PEP either by IP address or through DNS. После первоначального развертывания Azure Stack Hub доступ к привилегированной конечной точке можно получить только по IP-адресу, так как интеграция DNS еще не настроена.After the initial deployment of Azure Stack Hub, you can access the PEP only by IP address because DNS integration isn't set up yet. Поставщик OEM предоставит вам JSON-файл с именем AzureStackStampDeploymentInfo, содержащий IP-адреса привилегированных конечных точек.Your OEM hardware vendor will provide you with a JSON file named AzureStackStampDeploymentInfo that contains the PEP IP addresses.

Эти IP-адреса вы можете найти на портале администрирования Azure Stack Hub.You may also find the IP address in the Azure Stack Hub administrator portal. Откройте этот портал, например по адресу https://adminportal.local.azurestack.external.Open the portal, for example, https://adminportal.local.azurestack.external. Выберите Управление регионами > Свойства.Select Region Management > Properties.

При запуске привилегированной конечной точки вам нужно задать значение en-US для текущего языка и региональных параметров, в противном случае такие командлеты, как Test-AzureStack и Get-AzureStackLog, не будут работать должным образом.You will need set your current culture setting to en-US when running the privileged endpoint, otherwise cmdlets such as Test-AzureStack or Get-AzureStackLog will not work as expected.

Примечание

В целях безопасности подключаться к привилегированной конечной точке следует только с защищенной виртуальной машины, работающей на узле жизненного цикла оборудования, или с выделенного защищенного компьютера, например с рабочей станции с привилегированным доступом.For security reasons, we require that you connect to the PEP only from a hardened VM running on top of the hardware lifecycle host, or from a dedicated and secure computer, such as a Privileged Access Workstation. Изменять исходную конфигурацию узла жизненного цикла оборудования (включая установку нового программного обеспечения), а также использовать ее для подключения к привилегированной конечной точке нельзя.The original configuration of the hardware lifecycle host must not be modified from its original configuration (including installing new software) or used to connect to the PEP.

  1. Установите доверие.Establish the trust.

    • В интегрированной системе выполните указанную ниже команду из сеанса Windows PowerShell с повышенными правами, чтобы добавить PEP в качестве доверенного узла на защищенную виртуальную машину, работающую на узле жизненного цикла оборудования, или на рабочую станцию с привилегированным доступом.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate
      
    • Если вы используете ASDK, войдите на узел комплекта разработки.If you're running the ASDK, sign in to the development kit host.

  2. Откройте сеанс Windows PowerShell на защищенной виртуальной машине, работающей на узле жизненного цикла оборудования, или на рабочей станции с привилегированным доступом.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Выполните следующие команды, чтобы открыть удаленный сеанс на виртуальной машине, на которой размещается привилегированная конечная точка.Run the following commands to establish a remote session on the VM that hosts the PEP:

    • В интегрированной системе:On an integrated system:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

      Для параметра ComputerName можно указать IP-адрес или DNS-имя одной из виртуальных машин, на которых размещена привилегированная конечная точка.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

      Примечание

      Azure Stack Hub не выполняет удаленные вызовы при проверке учетных данных PEP.Azure Stack Hub doesn't make a remote call when validating the PEP credential. Для этого используется хранимый локально открытый ключ RSA.It relies on a locally-stored RSA public key to do that.

    • При использовании ASDK:If you're running the ASDK:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

    При появлении запроса используйте следующие учетные данные:When prompted, use the following credentials:

    • Имя пользователя. Укажите учетную запись CloudAdmin в формате <домен Azure Stack Hub>\cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (Для ASDK имя пользователя — azurestack\cloudadmin).(For ASDK, the user name is azurestack\cloudadmin)
    • Пароль. Введите пароль, который использовался во время установки учетной записи администратора домена AzureStackAdmin.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

    Примечание

    Если не удается подключиться к конечной точке ERCS, повторите шаги 1 и 2 с другим IP-адресом виртуальной машины ERCS.If you're unable to connect to the ERCS endpoint, retry steps one and two with another ERCS VM IP address.

  3. После подключения запрос изменится на [IP-адрес или имя виртуальной машины ERCS]: PS> или на [azs-ercs01]: PS> (в зависимости от среды).After you connect, the prompt will change to [IP address or ERCS VM name]: PS> or to [azs-ercs01]: PS>, depending on the environment. Теперь запустите командлет Get-Command, чтобы просмотреть список доступных командлетов.From here, run Get-Command to view the list of available cmdlets.

    См. сведения о командлетах в справочнике по привилегированной конечной точке Azure Stack HubYou can find a reference for cmdlets in at Azure Stack Hub privileged endpoint reference

    Многие из этих командлетов предназначены только для сред интегрированных систем (например, командлеты, относящиеся к интеграции центра обработки данных).Many of these cmdlets are intended only for integrated system environments (such as the cmdlets related to datacenter integration). В ASDK проверены следующие командлеты:In the ASDK, the following cmdlets have been validated:

    • Clear-Host;Clear-Host
    • Close-PrivilegedEndpoint;Close-PrivilegedEndpoint
    • Exit-PSSession;Exit-PSSession
    • Get-AzureStackLog;Get-AzureStackLog
    • Get-AzureStackStampInformation;Get-AzureStackStampInformation
    • Get-Command;Get-Command
    • Get-FormatData;Get-FormatData
    • Get-HelpGet-Help
    • Get-ThirdPartyNotices;Get-ThirdPartyNotices
    • Measure-Object;Measure-Object
    • New-CloudAdminUser;New-CloudAdminUser
    • Out-Default;Out-Default
    • Remove-CloudAdminUser;Remove-CloudAdminUser
    • Select-Object;Select-Object
    • Set-CloudAdminUserPassword;Set-CloudAdminUserPassword
    • Test-AzureStackTest-AzureStack
    • Stop-AzureStack;Stop-AzureStack
    • Get-ClusterLog.Get-ClusterLog

Как использовать привилегированную конечную точкуHow to use the privileged endpoint

Как упоминалось выше, привилегированная конечная точка — это конечная точка PowerShell JEA.As mentioned above, the PEP is a PowerShell JEA endpoint. Обеспечивая надежный уровень защиты, конечная точка JEA сокращает некоторые основные возможности PowerShell, например использование сценариев или выполнение нажатием клавиши TAB.While providing a strong security layer, a JEA endpoint reduces some of the basic PowerShell capabilities, such as scripting or tab completion. При попытке выполнить операцию скрипта любого типа она завершается с ошибкой ScriptsNotAllowed.If you try any type of script operation, the operation fails with the error ScriptsNotAllowed. Такая ошибка считается нормальным поведением.This failure is expected behavior.

Например, чтобы получить список параметров для определенного командлета, выполните приведенную ниже команду.For instance, to get the list of parameters for a given cmdlet, run the following command:

    Get-Command <cmdlet_name> -Syntax

Кроме того, можно использовать командлет Import-PSSession, чтобы импортировать все командлеты привилегированной конечной точки в текущий сеанс на локальном компьютере.Alternatively, you can use the Import-PSSession cmdlet to import all the PEP cmdlets into the current session on your local machine. Все командлеты и функции привилегированной конечной точки будут доступны на локальном компьютере, включая выполнение нажатием клавиши TAB и, в самых общих чертах, использование скриптов.The cmdlets and functions of the PEP are now available on your local machine, together with tab completion and, more in general, scripting. Кроме того, для просмотра инструкций командлета можете выполнить модуль Get-Help .You can also run the Get-Help module to review cmdlet instructions.

Чтобы импортировать сеанс привилегированной конечной точки на локальный компьютер, выполните следующие действия.To import the PEP session on your local machine, do the following steps:

  1. Установите доверие.Establish the trust.

    • В интегрированной системе выполните указанную ниже команду из сеанса Windows PowerShell с повышенными правами, чтобы добавить PEP в качестве доверенного узла на защищенную виртуальную машину, работающую на узле жизненного цикла оборудования, или на рабочую станцию с привилегированным доступом.On an integrated system, run the following command from an elevated Windows PowerShell session to add the PEP as a trusted host on the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'
      
    • Если вы используете ASDK, войдите на узел комплекта разработки.If you're running the ASDK, sign in to the development kit host.

  2. Откройте сеанс Windows PowerShell на защищенной виртуальной машине, работающей на узле жизненного цикла оборудования, или на рабочей станции с привилегированным доступом.On the hardened VM running on the hardware lifecycle host or the Privileged Access Workstation, open a Windows PowerShell session. Выполните следующие команды для создания удаленного сеанса на виртуальной машине, на которой размещается привилегированная конечная точка.Run the following commands to establish a remote session on the virtual machine that hosts the PEP:

    • В интегрированной системе:On an integrated system:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName <IP_address_of_ERCS> `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

      Для параметра ComputerName можно указать IP-адрес или DNS-имя одной из виртуальных машин, на которых размещена привилегированная конечная точка.The ComputerName parameter can be either the IP address or the DNS name of one of the VMs that hosts the PEP.

    • При использовании ASDK:If you're running the ASDK:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName azs-ercs01 `
         -ConfigurationName PrivilegedEndpoint -Credential $cred
      

    При появлении запроса используйте следующие учетные данные:When prompted, use the following credentials:

    • Имя пользователя. Укажите учетную запись CloudAdmin в формате <домен Azure Stack Hub>\cloudadmin.User name: Specify the CloudAdmin account, in the format <Azure Stack Hub domain>\cloudadmin. (При использовании ASDK имя пользователя — azurestack\cloudadmin.)(For ASDK, the user name is azurestack\cloudadmin.)

    • Пароль. Введите пароль, который использовался во время установки учетной записи администратора домена AzureStackAdmin.Password: Enter the same password that was provided during installation for the AzureStackAdmin domain administrator account.

  3. Импортируйте сеанс привилегированной конечной точки на локальный компьютер.Import the PEP session into your local machine:

    Import-PSSession $session
    
  4. Теперь можно использовать выполнение нажатием клавиши Tab и запускать сценарии обычным образом в локальном сеансе PowerShell, располагая всеми функциями и командлетами привилегированной конечной точки и не снижая уровень безопасности Azure Stack Hub.Now, you can use tab-completion and do scripting as usual on your local PowerShell session with all the functions and cmdlets of the PEP, without decreasing the security posture of Azure Stack Hub. Вот и все!Enjoy!

Закрытие сеанса привилегированной конечной точкиClose the privileged endpoint session

Как упоминалось ранее, в привилегированной конечной точке регистрируется каждое действие (и его соответствующие выходные данные), которое вы выполняете в сеансе PowerShell.As mentioned earlier, the PEP logs every action (and its corresponding output) that you do in the PowerShell session. Сеанс следует закрыть с помощью командлета Close-PrivilegedEndpoint.You must close the session by using the Close-PrivilegedEndpoint cmdlet. Этот командлет закрывает конечную точку надлежащим образом, а также передает файлы журнала во внешнюю общую папку для хранения.This cmdlet correctly closes the endpoint, and transfers the log files to an external file share for retention.

Чтобы закрыть сеанс конечной точки:To close the endpoint session:

  1. Создайте внешний файловый ресурс, доступный из привилегированной конечной точки.Create an external file share that's accessible by the PEP. В среде комплекта разработки можно просто создать общую папку на узле комплекта разработки.In a development kit environment, you can just create a file share on the development kit host.

  2. Выполните следующий командлет:Run the following cmdlet:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential
    

    Этот командлет использует параметры, описанные в следующей таблице.The cmdlet uses the parameters in the following table:

    ПараметрParameter ОписаниеDescription ТипType ОбязательноRequired
    TranscriptsPathDestinationTranscriptsPathDestination Путь к внешней общей папке, который определен как "IP-адрес_общей_папки\имя_общей_папки"Path to the external file share defined as "fileshareIP\sharefoldername" СтрокаString ДаYes
    Учетные данныеCredential Учетные данные для доступа к общей папке.Credentials to access the file share SecureStringSecureString ДаYes

После того как файлы журнала расшифровки успешно переданы в общую папку, они автоматически удаляются из привилегированной конечной точки.After the transcript log files are successfully transferred to the file share, they're automatically deleted from the PEP.

Примечание

Если завершить сеанс привилегированной конечной точки, используя командлеты Exit-PSSession либо Exit, или просто закрыть консоль PowerShell, журналы расшифровки не будут перенесены в файловый ресурс.If you close the PEP session by using the cmdlets Exit-PSSession or Exit, or you just close the PowerShell console, the transcript logs don't transfer to a file share. Они останутся в привилегированной конечной точке.They remain in the PEP. При следующем запуске командлета Close-PrivilegedEndpoint и добавлении общей папки журналы расшифровки из предыдущих сеансов будут также перенесены.The next time you run Close-PrivilegedEndpoint and include a file share, the transcript logs from the previous session(s) will also transfer. Для закрытия сеанса PEP используйте Close-PrivilegedEndpoint, но не Exit-PSSession или Exit.Don't use Exit-PSSession or Exit to close the PEP session; use Close-PrivilegedEndpoint instead.

Разблокировка привилегированной конечной точки для сценариев поддержкиUnlocking the privileged endpoint for support scenarios

Во время сценария поддержки специалисту службы технической поддержки Майкрософт может потребоваться повысить уровень сеанса PowerShell привилегированной конечной точки, чтобы получить доступ к внутренним компонентам инфраструктуры концентратора Azure Stack.During a support scenario, the Microsoft support engineer might need to elevate the privileged endpoint PowerShell session to access the internals of the Azure Stack Hub infrastructure. Этот процесс иногда называется «прервать стекло» или «разблокирование PEP».This process is sometimes informally referred to as "break the glass" or "unlock the PEP". Процесс повышения уровня сеанса PEP — это два этапа — два человека, два — процесс проверки подлинности организации.The PEP session elevation process is a two step, two people, two organization authentication process. Процедура разблокировки инициируется оператором Azure Stack Hub, который постоянно управляет средой.The unlock procedure is initiated by the Azure Stack Hub operator, who retains control of their environment at all times. Оператор обращается к PEP и выполняет этот командлет:The operator accesses the PEP and executes this cmdlet:

     Get-SupportSessionToken

Командлет возвращает маркер запроса на поддержку сеанса, очень длинную буквенно-цифровую строку.The cmdlet returns the support session request token, a very long alphanumeric string. Затем оператор передает маркер запроса инженеру службы поддержки Майкрософт по своему усмотрению (например, к разговору, электронной почте).The operator then passes the request token to the Microsoft support engineer via a medium of their choice (e.g., chat, email). Инженер службы поддержки Майкрософт использует маркер запроса для создания маркера авторизации сеанса поддержки и отправки его обратно в оператор концентратора Azure Stack.The Microsoft support engineer uses the request token to generate, if valid, a support session authorization token and sends it back to the Azure Stack Hub operator. В том же сеансе PEP PowerShell оператор передает маркер авторизации в качестве входных данных для этого командлета:On the same PEP PowerShell session, the operator then passes the authorization token as input to this cmdlet:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Если маркер авторизации является допустимым, сеанс PEP PowerShell повышается за счет предоставления полного доступа к инфраструктуре для администраторов и полной доступности.If the authorization token is valid, the PEP PowerShell session is elevated by providing full admin capabilities and full reachability into the infrastructure.

Примечание

Все операции и командлеты, выполняемые в сеансе PEP с повышенными привилегиями, должны выполняться в рамках тщательного контроля специалиста службы технической поддержки Майкрософт.All the operations and cmdlets executed in an elevated PEP session must be performed under strict supervision of the Microsoft support engineer. Несоблюдение этого требования может привести к серьезным простоям, потери данных и потребовать полного повторного развертывания среды центра Azure Stack.Failure to do so could result in serious downtime, data loss and could require a full redeployment of the Azure Stack Hub environment.

После завершения сеанса поддержки очень важно закрыть сеанс PEP с повышенными привилегиями с помощью командлета Close-привилежедендпоинт , как описано в разделе выше.Once the support session is terminated, it is very important to close back the elevated PEP session by using the Close-PrivilegedEndpoint cmdlet as explained in the section above. Один из сеансов PEP завершается, маркер разблокировки больше не действителен и не может быть использован повторно, чтобы снова разблокировать сеанс PEP.One the PEP session is terminated, the unlock token is no longer valid and cannot be reused to unlock the PEP session again. Сеанс PEP с повышенными правами имеет срок действия 8 часов, после чего сеанс с повышенными правами PEP автоматически блокируется в обычном сеансе PEP.An elevated PEP session has a validity of 8 hours, after which, if not terminated, the elevated PEP session will automatically lock back to a regular PEP session.

Содержимое маркеров привилегированной конечной точкиContent of the privileged endpoint tokens

Маркеры запроса и авторизации сеанса поддержки PEP используют шифрование для защиты доступа и гарантируют, что только авторизованные маркеры могут разблокировать сеанс PEP.The PEP support session request and authorization tokens leverage cryptography to protect access and ensure that only authorized tokens can unlock the PEP session. Токены предназначены для криптографической гарантии того, что маркер ответа может быть принят только сеансом PEP, создавшим маркер запроса.The tokens are designed to cryptographically guarantee that a response token can only be accepted by the PEP session that generated the request token. Маркеры PEP не содержат сведений, которые могут однозначно идентифицировать среду Azure Stack центра или клиента.PEP tokens do not contain any kind of information that could uniquely identify an Azure Stack Hub environment or a customer. Они полностью анонимны.They are completely anonymous. Ниже приведены подробные сведения о содержимом каждого токена.Below the details of the content of each token are provided.

Маркер запроса поддержки сеансаSupport session request token

Маркер запроса сеанса поддержки PEP состоит из трех объектов:The PEP support session request token is composed of three objects:

  • Идентификатор сеанса, сформированный случайным образом.A randomly generated Session ID.
  • Самозаверяющий сертификат, созданный для создания пары, состоящую из открытого и закрытого ключей.A self-signed certificate, generated for the purpose of having a one-time public/private key pair. Сертификат не содержит никаких сведений о среде.The certificate does not contain any information on the environment.
  • Метка времени, указывающая на истечение срока действия маркера запроса.A time stamp that indicates the request token expiration.

Затем маркер запроса шифруется открытым ключом облака Azure, для которого зарегистрирована среда Azure Stack Hub.The request token is then encrypted with the public key of the Azure cloud against which the Azure Stack Hub environment is registered to.

Токен ответа для авторизации поддержки сеансаSupport session authorization response token

Маркер ответа поддержки PEP состоит из двух объектов:The PEP support authorization response token is composed of two objects:

  • Созданный случайным образом идентификатор сеанса, извлеченный из маркера запроса.The randomly generated session ID extracted from the request token.
  • Метка времени, указывающая срок действия маркера ответа.A time stamp that indicates the response token expiration.

Затем маркер отклика шифруется с помощью самозаверяющего сертификата, содержащегося в маркере запроса.The response token is then encrypted with the self-signed certificate contained in the request token. Самозаверяющий сертификат был расшифрован с помощью закрытого ключа, связанного с облаком Azure, для которого зарегистрирована среда центра Azure Stack.The self-signed certificate was decrypted with the private key associated with the Azure cloud against which the Azure Stack Hub environment is registered to.

Дальнейшие действияNext steps