Azure 进阶攻略 | 上云后的系统,「门禁」制度又该如何实现?
各位辦公室白領(lǐng)們,不妨回想一下自己每天去公司上班時(shí)的一些細(xì)節(jié)。
為避免「閑雜人等」進(jìn)入工作場(chǎng)所,我們需要證明自己是這家公司的員工才能進(jìn)入,對(duì)吧!所有員工,無論所屬部門或職位,都必須先證明自己身份,例如刷員工卡、密碼鎖,或者高大上的指紋識(shí)別、面部識(shí)別,隨后才能進(jìn)入公司。
然后呢,雖然可以在公司里四處游走了,但對(duì)于一些重要部門,例如財(cái)務(wù)、IT?機(jī)房等,也許還需要一些額外的身份驗(yàn)證措施,證明你是這個(gè)部門的員工,或者你獲得了授權(quán)方能進(jìn)入。當(dāng)然,為方便起見很多公司都會(huì)在這些地方采用和進(jìn)入大門時(shí)一樣的驗(yàn)證機(jī)制,例如員工卡、指紋、面部識(shí)別。但嚴(yán)格來說,這些具體部門所使用的門禁和公司大門處的門禁需要兩個(gè)截然不同的「身份」。
這一套措施想必大家都很熟悉了。
那么,當(dāng)公司的?IT?系統(tǒng)上云,托管到?Azure?平臺(tái)后,如何實(shí)施類似的機(jī)制,對(duì)公司的整體?IT?系統(tǒng)以及重要的系統(tǒng)進(jìn)行有區(qū)別的身份驗(yàn)證和訪問控制?
此時(shí)可以通過?Azure Active Directory(下文統(tǒng)一簡(jiǎn)稱為?Azure AD)和?Azure?訂閱兩個(gè)機(jī)制來實(shí)現(xiàn)。
?
什么是?Azure Active Directory
Azure Active Directory (Azure AD)?是?Azure?提供的基于多租戶云的目錄和身份管理服務(wù)。Azure AD?包含整套身份管理功能,例如多重身份驗(yàn)證、設(shè)備注冊(cè)、自助密碼管理、自助組管理、特權(quán)帳戶管理、基于角色的訪問控制、應(yīng)用程序使用情況監(jiān)視、多樣化審核以及安全監(jiān)視和警報(bào)。這些功能可以幫助保護(hù)基于云的應(yīng)用程序的安全,簡(jiǎn)化?IT?流程,削減成本,以及確保實(shí)現(xiàn)公司的合規(guī)目標(biāo)。
?
什么是?Azure 訂閱
訂閱是?Azure?一個(gè)重要的概念,它能賦予?Azure?賬戶對(duì)?Azure?服務(wù)和?Azure?傳統(tǒng)管理門戶的訪問權(quán)限。訂閱內(nèi)含有各類可用的?Azure?資源,同時(shí)也是對(duì)用戶收取費(fèi)用的最小單位。
?
我們可以將?Azure AD?理解為公司大門處的門禁。通常來說,任何公司只需要在大門設(shè)置這樣一個(gè)門禁,即可讓合法用戶進(jìn)入公司內(nèi)部,并將其他用戶拒之門外。使用?Azure?服務(wù)的企業(yè),可以通過一個(gè)?Azure AD?為所有員工提供訪問?Azure?資源所需的憑據(jù),只有提供有效憑據(jù)和正確密碼的用戶才能訪問?Azure?資源。
Azure?訂閱是在此基礎(chǔ)上對(duì)資源進(jìn)行的一層額外劃分。例如我們可以針對(duì)不同部門建立不同的?Azure?訂閱,借此不僅可分別針對(duì)不同部門的資源使用情況進(jìn)行收費(fèi),而且可在不同訂閱間進(jìn)行必要的隔離。
舉個(gè)例子,某公司在?Azure?中部署了很多應(yīng)用,其中有所有員工可以訪問的內(nèi)部網(wǎng)站,也有只允許財(cái)務(wù)部門訪問的財(cái)務(wù)系統(tǒng)。公司里所有員工都擁有自己的?Azure AD?賬號(hào),因此所有員工可以隨時(shí)訪問面向全體員工的內(nèi)部網(wǎng)站。但只有財(cái)務(wù)部門的員工,或其他獲得了授權(quán)的用戶,才可以訪問財(cái)務(wù)系統(tǒng)。
?
那?Azure?訂閱和?Azure AD?之間有什么關(guān)系呢?每個(gè)?Azure?訂閱都與某個(gè)?Azure AD?實(shí)例存在信任關(guān)系。這意味著,此訂閱信任該目錄對(duì)用戶、服務(wù)和設(shè)備執(zhí)行身份驗(yàn)證。多個(gè)訂閱可以信任同一個(gè)目錄,但一個(gè)訂閱只能信任一個(gè)目錄。
那么這就產(chǎn)生了另一個(gè)問題:Azure AD?和?Azure?訂閱都可以有自己的管理員,這兩種管理員帳戶有何區(qū)別?
默認(rèn)情況下,當(dāng)我們注冊(cè)?Azure?賬號(hào)時(shí),系統(tǒng)將為我們分配服務(wù)管理員角色。如果其他人需要使用同一個(gè)訂閱登錄和訪問服務(wù),則可以將他們添加為協(xié)同管理員。服務(wù)管理員和協(xié)同管理員是?Azure?訂閱信任的?Azure AD?組織內(nèi)部的工作或?qū)W校帳戶。
Azure AD?提供了一組不同的管理角色,用于管理目錄和標(biāo)識(shí)相關(guān)的功能。例如,目錄的全局管理員可以將用戶和組添加到目錄,或者要求對(duì)用戶執(zhí)行多重身份驗(yàn)證。將為創(chuàng)建目錄的用戶分配全局管理員角色,而他們又可以向其他用戶分配管理員角色。
但必須注意,Azure?訂閱管理員和?Azure AD?目錄管理員是兩個(gè)不同的概念。Azure?訂閱管理員可管理?Azure中的資源,還可在?Azure?經(jīng)典管理門戶中查看?Active Directory?擴(kuò)展(因?yàn)?Azure?經(jīng)典管理門戶是一種?Azure?資源)。Azure AD?管理員可以管理目錄中的屬性。
請(qǐng)注意,在由世紀(jì)互聯(lián)運(yùn)營(yíng)的中國版?Azure?服務(wù)中,Azure AD?暫未支持?Microsoft?賬戶或?Azure AD B2B?合作功能。由此最大的限制在于:當(dāng)用戶分別創(chuàng)建兩個(gè)?Azure AD?目錄?AAA?和?BBB?并購買訂閱之后,還不能將兩個(gè)目錄相關(guān)聯(lián)。
對(duì)于需要多個(gè)?Azure AD?目錄相互關(guān)聯(lián)的客戶,建議部署的最佳實(shí)踐如下:
使用?admin@AAA.partner.onmschina.cn?賬號(hào)在?Azure?傳統(tǒng)管理門戶中創(chuàng)建BBB.partner.onmschina.cn?目錄,這樣可以讓?admin@AAA.partner.onmschina.cn?被添加為BBB.partner.onmschina.cn?目錄的來賓賬號(hào)。
為?BBB.partner.onmschina.cn?目錄添加管理賬號(hào)admin@BBB.partner.onmschina.cn,需要注意這時(shí)admin@BBB.partner.onmschina.cn?因?yàn)闆]有相應(yīng)的訂閱,無法成功登錄傳統(tǒng)管理門戶。
使用?EA?門戶,將?admin@BBB.partner.onmschina.cn?加到賬號(hào)列表內(nèi),并為其購買訂閱?BBB。
通過以上步驟,可以使?AAA?與?BBB?目錄分別擁有自己的管理賬號(hào)和訂閱。同時(shí),由于admin@AAA.partner.onmschina.cn?賬號(hào)同時(shí)存在于?AAA?和?BBB?目錄里,客戶可以使用該賬號(hào)將兩個(gè)目錄里的賬號(hào)互相添加為來賓賬號(hào),由此達(dá)到多目錄間相互關(guān)聯(lián)的目的。
?
立即訪問http://market.azure.cn
轉(zhuǎn)載于:https://www.cnblogs.com/zangdalei/p/7358162.html
總結(jié)
以上是生活随笔為你收集整理的Azure 进阶攻略 | 上云后的系统,「门禁」制度又该如何实现?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
