Azure Lighthouse-arkitektur

Azure Lighthouse hjälper tjänsteleverantörer att förenkla kundengagemang och registrering samtidigt som delegerade resurser hanteras i stor skala med flexibilitet och precision. Auktoriserade användare, grupper och tjänstens huvudnamn kan arbeta direkt i samband med en kundprenumeration utan att ha ett konto i kundens Microsoft Entra-klientorganisation eller vara delägare i kundens klientorganisation. Den mekanism som används för att stödja den här åtkomsten kallas Azure-delegerad resurshantering.

Dricks

Azure Lighthouse kan också användas inom ett företag som har flera egna Microsoft Entra-klienter för att förenkla hanteringen mellan klientorganisationer.

I det här avsnittet beskrivs relationen mellan klientorganisationer i Azure Lighthouse och de resurser som skapats i kundens klientorganisation som aktiverar relationen.

Kommentar

Registrering av en kund till Azure Lighthouse kräver en distribution av ett konto som inte är gäst i kundens klientorganisation som har en roll med behörigheten Microsoft.Authorization/roleAssignments/write , till exempel Ägare, för prenumerationen som registreras (eller som innehåller de resursgrupper som registreras).

Delegeringsresurser som skapats i kundklientorganisationen

När en kunds prenumeration eller resursgrupp registreras i Azure Lighthouse skapas två resurser: registreringsdefinitionen och registreringstilldelningen. Du kan använda API:er och hanteringsverktyg för att komma åt dessa resurser eller arbeta med dem i Azure-portalen.

Registreringsdefinition

Registreringsdefinitionen innehåller information om Azure Lighthouse-erbjudandet (hantering av klient-ID och auktoriseringar som tilldelar inbyggda roller till specifika användare, grupper och/eller tjänstens huvudnamn i den hanterande klientorganisationen.

En registreringsdefinition skapas på prenumerationsnivå för varje delegerad prenumeration eller i varje prenumeration som innehåller en delegerad resursgrupp. När du använder API:er för att skapa en registreringsdefinition måste du arbeta på prenumerationsnivå. Om du till exempel använder Azure PowerShell måste du använda New-AzureRmDeployment innan du skapar en ny registreringsdefinition (New-AzManagedServicesDefinition) i stället för att använda New-AzureRmResourceGroupDeployment.

Registreringstilldelning

Registreringstilldelningen tilldelar registreringsdefinitionen till ett specifikt omfång, dvs. de registrerade prenumerationerna och/eller resursgrupperna.

En registreringstilldelning skapas i varje delegerat omfång, så den kommer antingen att finnas på prenumerationsgruppsnivå eller resursgruppsnivå, beroende på vad som registrerades.

Varje registreringstilldelning måste referera till en giltig registreringsdefinition på prenumerationsnivå, koppla auktoriseringarna för tjänsteleverantören till det delegerade omfånget och därmed bevilja åtkomst.

Logisk projektion

Azure Lighthouse skapar en logisk projektion av resurser från en klientorganisation till en annan klientorganisation. På så sätt kan auktoriserade tjänstleverantörsanvändare logga in på sin egen klientorganisation med behörighet att arbeta i delegerade kundprenumerationer och resursgrupper. Användare i tjänstleverantörens klientorganisation kan sedan utföra hanteringsåtgärder för sina kunders räkning, utan att behöva logga in på varje enskild kundklientorganisation.

När en användare, grupp eller tjänstens huvudnamn i tjänstleverantörens klientorganisation får åtkomst till resurser i en kunds klientorganisation tar Azure Resource Manager emot en begäran. Resource Manager autentiserar dessa begäranden, precis som för begäranden som görs av användare i kundens egen klientorganisation. För Azure Lighthouse gör den detta genom att bekräfta att två resurser – registreringsdefinitionen och registreringstilldelningen – finns i kundens klientorganisation. I så fall auktoriserar Resource Manager åtkomsten enligt den information som definieras av dessa resurser.

Aktivitet från användare i tjänstleverantörens klientorganisation spåras i aktivitetsloggen, som lagras i kundens klientorganisation. På så sätt kan kunden se vilka ändringar som har gjorts och av vem.

Så här fungerar Azure Lighthouse

På en hög nivå fungerar Azure Lighthouse så här för den hanterande klientorganisationen:

1. Identifiera de roller som dina grupper, tjänstens huvudnamn eller användare behöver för att hantera kundens Azure-resurser.
2. Ange den här åtkomsten och registrera kunden i Azure Lighthouse antingen genom att publicera ett erbjudande om hanterad tjänst till Azure Marketplace eller genom att distribuera en Azure Resource Manager-mall. Den här registreringsprocessen skapar de två resurser som beskrivs ovan (registreringsdefinition och registreringstilldelning) i kundens klientorganisation.
3. När kunden har registrerats loggar behöriga användare in på din hanteringsklientorganisation och utför uppgifter i det angivna kundomfånget (prenumeration eller resursgrupp) enligt den åtkomst som du definierade. Kunder kan granska alla åtgärder som vidtas och de kan ta bort åtkomst när som helst.

I de flesta fall är det bara en tjänstleverantör som hanterar specifika resurser för en kund, men det är möjligt för kunden att skapa flera delegeringar för samma prenumeration eller resursgrupp, vilket ger flera tjänsteleverantörer åtkomst. Det här scenariot möjliggör också ISV-scenarier som projicerar resurser från tjänstleverantörens klientorganisation till flera kunder.

Nästa steg

• Granska Azure CLI - och Azure PowerShell-kommandon för att arbeta med registreringsdefinitioner och registreringstilldelningar.
• Lär dig mer om förbättrade tjänster och scenarier för Azure Lighthouse.
• Läs mer om hur klienter, användare och roller fungerar med Azure Lighthouse.