Azure Lighthouse arkitektur

Artikel
09/27/2021
3 minuter för att läsa

Azure Lighthouse hjälper tjänstleverantörer att förenkla kundengagemang och registrering av upplevelser, samtidigt som de hanterar delegerade resurser i stor skala med flexibilitet och precision. Auktoriserade användare, grupper och tjänsthuvudnamn kan arbeta direkt i kontexten för en kundprenumeration utan att ha ett konto i kundens klientorganisation Azure Active Directory (Azure AD) eller vara medägare av kundens klientorganisation. Den mekanism som används för att stödja den här åtkomsten kallas Azure-delegerad resurshantering.

Diagram som illustrerar Azure-delegerad resurshantering.

Tips

Azure Lighthouse kan också användas i ett företag som har flera Azure AD-klientorganisationsklienter för att förenkla hanteringen av flera klienter.

I det här avsnittet beskrivs relationen mellan klienter i Azure Lighthouse och de resurser som skapas i kundens klientorganisation som möjliggör relationen.

Delegeringsresurser som skapats i kundklientorganisationen

När en kunds prenumeration eller resursgrupp registreras för Azure Lighthouse skapas två resurser: registreringsdefinitionen och registreringstilldelningen. Du kan använda API:er och hanteringsverktyg för att få åtkomst till dessa resurser eller arbeta med dem i Azure Portal.

Registreringsdefinition

Registreringsdefinitionen innehåller information om Azure Lighthouse-erbjudandet (hanterande klientorganisations-ID och de auktoriseringar som tilldelar inbyggda roller till specifika användare, grupper och/eller tjänsthuvudnamn i den hanterande klientorganisationen.

En registreringsdefinition skapas på prenumerationsnivå för varje delegerad prenumeration eller i varje prenumeration som innehåller en delegerad resursgrupp. När du använder API:er för att skapa en registreringsdefinition måste du arbeta på prenumerationsnivå. Om du till exempel använder Azure PowerShell måste du använda New-AzureRmDeployment innan du skapar en ny registreringsdefinition (New-AzManagedServicesDefinition), i stället för att använda New-AzureRmResourceGroupDeployment.

Registreringstilldelning

Registreringstilldelningen tilldelar registreringsdefinitionen till ett specifikt omfång, det vill säga de registrerade prenumerationerna och/eller resursgrupper.

En registreringstilldelning skapas i varje delegerat omfång, så den kommer antingen att vara på prenumerationsgruppsnivå eller resursgruppsnivå, beroende på vad som har registrerats.

Varje registreringstilldelning måste referera till en giltig registreringsdefinition på prenumerationsnivå, vilket binder auktoriseringarna för den tjänstleverantören till det delegerade omfånget och därmed beviljar åtkomst.

Logisk projektion

Azure Lighthouse skapar en logisk projektion av resurser från en klientorganisation till en annan klientorganisation. På så sätt kan behöriga tjänstleverantörsanvändare logga in på sin egen klientorganisation med behörighet att arbeta i delegerade kundprenumerationer och resursgrupper. Användare i tjänstleverantörens klientorganisation kan sedan utföra hanteringsåtgärder åt sina kunder, utan att behöva logga in på varje enskild kundklientorganisation.

När en användare, grupp eller tjänstens huvudnamn i tjänstleverantörens klientorganisation har åtkomst till resurser i en kunds klientorganisation, Azure Resource Manager tar emot en begäran. Resource Manager autentiserar dessa begäranden, precis som för begäranden som görs av användare i kundens egen klientorganisation. För Azure Lighthouse detta genom att bekräfta att två resurser – registreringsdefinitionen och registreringstilldelningen – finns i kundens klientorganisation. I så fall Resource Manager auktoriserar åtkomsten enligt informationen som definierats av dessa resurser.

Diagram som illustrerar den logiska projektionen i Azure Lighthouse.

Aktivitet från användare i tjänstleverantörens klient spåras i aktivitetsloggen, som lagras i kundens klientorganisation. På så sätt kan kunden se vilka ändringar som har gjorts och av vem.

Så Azure Lighthouse fungerar

På en hög nivå ser du hur Azure Lighthouse fungerar för den hanterande klientorganisationen:

Identifiera de roller som dina grupper, tjänstens huvudnamn eller användare behöver för att hantera kundens Azure-resurser.
Ange den här åtkomsten och registrera kunden för Azure Lighthouse genom att antingen publicera ett erbjudande för hanterad tjänst till Azure Marketplace, eller genom att distribuera en Azure Resource Manager mall. Den här registreringsprocessen skapar de två resurser som beskrivs ovan (registreringsdefinition och registreringstilldelning) i kundens klientorganisation.
När kunden har introducerats loggar behöriga användare in på din hanterande klientorganisation och utför uppgifter i det angivna kundomfånget (prenumeration eller resursgrupp) enligt den åtkomst som du har definierat. Kunder kan granska alla åtgärder som vidtas och de kan ta bort åtkomst när som helst.

I de flesta fall hanterar endast en tjänstleverantör specifika resurser för en kund, men det är möjligt för kunden att skapa flera delegeringar för samma prenumeration eller resursgrupp, vilket ger flera tjänstleverantörer åtkomst. Det här scenariot möjliggör även ISV-scenarier som projicerar resurser från tjänstleverantörens klientorganisation till flera kunder.

Nästa steg

Granska Azure CLI- och Azure Powershell-kommandon för att arbeta med registreringsdefinitioner och registreringstilldelningar.
Lär dig mer om förbättrade tjänster och scenarier för Azure Lighthouse.
Läs mer om hur klienter, användare och roller fungerar med Azure Lighthouse.