Konfigurace víceklientské architektury ve službě Azure Stack Hub

Službu Azure Stack Hub můžete nakonfigurovat tak, aby podporovala přihlášení od uživatelů, kteří se nacházejí v jiných adresářích Microsoft Entra, a umožnilo jim používat služby ve službě Azure Stack Hub. Tyto adresáře mají s vaším adresářem služby Azure Stack Hub vztah hosta a považují se za hosta Microsoft Entra tenanty.

Představte si například tento scénář:

• Jste správcem služby contoso.onmicrosoft.com, což je tenant domovského Microsoft Entra, který poskytuje služby správy identit a přístupu ke službě Azure Stack Hub.
• Mary je správcem adresáře adatum.onmicrosoft.com, tenanta hosta Microsoft Entra, kde se nacházejí uživatelé typu host.
• Mary's company (Adatum) využívá služby IaaS a PaaS od vaší společnosti. Adatum chce uživatelům z adresáře hosta (adatum.onmicrosoft.com) povolit přihlášení a používání prostředků služby Azure Stack Hub zabezpečených contoso.onmicrosoft.com.

Tato příručka obsahuje kroky potřebné v kontextu tohoto scénáře k povolení nebo zakázání víceklientské architektury ve službě Azure Stack Hub pro tenanta adresáře hostů. Vy a Mary tento proces provedete registrací nebo zrušením registrace tenanta adresáře hosta, který uživatelům Adatum povolí nebo zakáže přihlášení ke službě Azure Stack Hub a využívání služeb.

Pokud jste poskytovatel cloudových řešení (CSP), máte další způsoby , jak nakonfigurovat a spravovat službu Azure Stack Hub s více tenanty.

Požadavky

Před registrací nebo zrušením registrace adresáře hostů musíte vy a Mary provést kroky správy pro příslušné tenanty Microsoft Entra: domovský adresář služby Azure Stack Hub (Contoso) a adresář hostů (Adatum):

• Nainstalujte a nakonfigurujte PowerShell pro Službu Stack Hub.

• Stáhněte si nástroje Služby Azure Stack Hub a naimportujte moduly Connect a Identity:

  Import-Module .\Identity\AzureStack.Identity.psm1
  

Registrace adresáře hostů

Pokud chcete zaregistrovat adresář hosta pro víceklientské prostředí, musíte nakonfigurovat jak domovský adresář Služby Azure Stack Hub, tak adresář hosta.

Konfigurace adresáře služby Azure Stack Hub

Jako správce služby contoso.onmicrosoft.com musíte nejprve nasadit tenanta adresáře hosta Adatum do služby Azure Stack Hub. Následující skript nakonfiguruje Azure Resource Manager tak, aby přijímal přihlášení od uživatelů a instančních objektů v tenantovi adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurace adresáře hosta

Dále musí Mary (správce adresáře Adatum) zaregistrovat Službu Azure Stack Hub v adresáři hosta adatum.onmicrosoft.com spuštěním následujícího skriptu:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Důležité

Pokud správce služby Azure Stack Hub v budoucnu nainstaluje nové služby nebo aktualizace, možná budete muset tento skript spustit znovu.

Kdykoli znovu spusťte tento skript a zkontrolujte stav aplikací služby Azure Stack Hub ve vašem adresáři.

Pokud si všimnete problémů s vytvářením virtuálních počítačů v Spravované disky (zavedených v aktualizaci 1808), byl přidán nový poskytovatel prostředků disku, který vyžaduje opětovné spuštění tohoto skriptu.

Nasměrovat uživatele, aby se přihlásili

Nakonec může Mary nasměrovat uživatele Adatum s @adatum.onmicrosoft.com účty, aby se přihlásili, a to tak, že navštívíte uživatelský portál služby Azure Stack Hub. V systémech s více uzly je adresa URL portálu user portal naformátovaná jako https://portal.<region>.<FQDN>. Pro nasazení ASDK je https://portal.local.azurestack.externaladresa URL .

Mary musí také nasměrovat všechny cizí objekty zabezpečení (uživatele v adresáři Adatum bez přípony adatum.onmicrosoft.com) k přihlášení pomocí https://<user-portal-url>/adatum.onmicrosoft.com. Pokud v adrese URL nezadá /adatum.onmicrosoft.com tenanta adresáře, odešle se do výchozího adresáře a zobrazí se chyba s informací, že správce nesouhlasil.

Zrušení registrace adresáře hosta

Pokud už nechcete povolit přihlášení ke službám Azure Stack Hubu z tenanta adresáře hosta, můžete registraci adresáře zrušit. Opět je potřeba nakonfigurovat domovský adresář služby Azure Stack Hub i adresář hostů:

1. Jako správce adresáře hostů (v tomto scénáři Mary) spusťte Unregister-AzsWithMyDirectoryTenantpříkaz . Rutina odinstaluje všechny aplikace Služby Azure Stack Hub z nového adresáře.

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
   $tenantARMEndpoint = "https://management.local.azurestack.external"
   
   ## Replace the value below with the guest directory tenant.
   $guestDirectoryTenantName = "adatum.onmicrosoft.com"
   
   Unregister-AzsWithMyDirectoryTenant `
    -TenantResourceManagerEndpoint $tenantARMEndpoint `
    -DirectoryTenantName $guestDirectoryTenantName `
    -Verbose 
   

2. Jako správce služby Azure Stack Hub (vy v tomto scénáři) spusťte rutinu Unregister-AzSGuestDirectoryTenant :

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
   $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
   
   ## Replace the value below with the Azure Stack Hub directory
   $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
   
   ## Replace the value below with the guest directory tenant. 
   $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
   
   ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
   $ResourceGroupName = "system.local"
   
   Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
    -DirectoryTenantName $azureStackDirectoryTenant `
    -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
    -ResourceGroupName $ResourceGroupName
   

   Upozornění

   Postup zakázání víceklientské architektury musí být proveden v pořadí. Krok č. 1 selže, pokud je krok č. 2 dokončen jako první.

Načtení sestavy stavu identity služby Azure Stack Hub

<region>Nahraďte zástupné symboly , <domain>a <homeDirectoryTenant> pak jako správce služby Azure Stack Hub spusťte následující rutinu.

$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Aktualizace oprávnění tenanta Microsoft Entra

Tato akce vymaže upozornění ve službě Azure Stack Hub, které indikuje, že adresář vyžaduje aktualizaci. Ze složky Azurestack-tools-master/identity spusťte následující příkaz:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skript vás vyzve k zadání přihlašovacích údajů správce v tenantovi Microsoft Entra a spuštění trvá několik minut. Po spuštění rutiny se upozornění vymaže.

Registrace adresáře hostů

Pokud chcete zaregistrovat adresář hosta pro víceklientské prostředí, musíte nakonfigurovat jak domovský adresář Služby Azure Stack Hub, tak adresář hosta.

Konfigurace adresáře služby Azure Stack Hub

Prvním krokem je, aby váš systém Azure Stack Hub věděl o adresáři hosta. V tomto příkladu se adresář z Mary's company, Adatum, nazývá adatum.onmicrosoft.com.

1. Přihlaste se k portálu pro správu služby Azure Stack Hub a přejděte na Všechny služby – Adresáře.

   

2. Vyberte Přidat a zahajte proces onboardingu. Zadejte název adresáře hosta "adatum.onmicrosoft.com" a pak vyberte Přidat.

   

3. Adresář hosta se zobrazí v zobrazení seznamu se stavem Zrušení registrace.

   

4. Přihlašovací údaje k ověření v adresáři hostů má pouze Mary, takže k dokončení registrace jí musíte poslat odkaz. Zaškrtněte políčko adatum.onmicrosoft.com a pak vyberte Zaregistrovat.

   

5. Otevře se nová karta prohlížeče. V dolní části stránky vyberte Kopírovat odkaz a poskytněte ho Mary.

6. Pokud máte přihlašovací údaje k adresáři hostů, můžete registraci dokončit sami výběrem možnosti Přihlásit se.

   

Konfigurace adresáře hosta

Mary obdržela e-mail s odkazem pro registraci adresáře. Otevře odkaz v prohlížeči a potvrdí ID Microsoft Entra a koncový bod Azure Resource Manager vašeho systému Azure Stack Hub.

1. Mary se přihlásí pomocí přihlašovacích údajů globálního správce pro adatum.onmicrosoft.com.

   Poznámka

   Před přihlášením se ujistěte, že blokování automaticky otevíraných oken je zakázané.

   

2. Mary zkontroluje stav adresáře a zjistí, že adresář není zaregistrovaný.

   

3. Mary vybere Zaregistrovat a zahájí proces.

   Poznámka

   Požadované objekty pro Visual Studio Code nemusí být možné vytvořit a musí používat PowerShell.

   

4. Po dokončení procesu registrace může Mary zkontrolovat všechny aplikace vytvořené v adresáři a zkontrolovat jejich stav.

   

5. Mary úspěšně dokončila proces registrace a teď může uživatele Adatum s @adatum.onmicrosoft.com účty nasměrovat k přihlášení pomocí uživatelského portálu služby Azure Stack Hub. V systémech s více uzly je adresa URL portálu user portal naformátovaná jako https://portal.<region>.<FQDN>. Pro nasazení ASDK je https://portal.local.azurestack.externaladresa URL .

Důležité

Aktualizace stavu adresáře na portálu pro správu může operátorovi služby Azure Stack trvat až jednu hodinu.

Mary musí také nasměrovat všechny cizí objekty zabezpečení (uživatele v adresáři Adatum bez přípony adatum.onmicrosoft.com) k přihlášení pomocí https://<user-portal-url>/adatum.onmicrosoft.com. Pokud v adrese URL nezadá /adatum.onmicrosoft.com tenanta adresáře, odešle se do výchozího adresáře a zobrazí se chyba s informací, že správce nesouhlasil.

Zrušení registrace adresáře hosta

Pokud už nechcete povolit přihlášení ke službám Azure Stack Hubu z tenanta adresáře hosta, můžete registraci adresáře zrušit. Opět je potřeba nakonfigurovat domovský adresář služby Azure Stack Hub i adresář hostů:

Konfigurace adresáře hosta

Mary už nepoužívá služby ve službě Azure Stack Hub a musí objekty odebrat. Znovu otevře adresu URL, kterou obdržela e-mailem, aby zrušila registraci adresáře. Před zahájením tohoto procesu Mary odebere všechny prostředky z předplatného služby Azure Stack Hub.

1. Mary se přihlásí pomocí přihlašovacích údajů globálního správce pro adatum.onmicrosoft.com.

   Poznámka

   Před přihlášením se ujistěte, že blokování automaticky otevíraných oken je zakázané.

   

2. Mary vidí stav adresáře.

   

3. Mary vybere Zrušit registraci a spustí akci.

   

4. Po dokončení procesu se zobrazí stav Není zaregistrováno:

   

   Mary úspěšně zrušila registraci adresáře adatum.onmicrosoft.com.

   Poznámka

   Zobrazení adresáře jako nezaregistrované na portálu pro správu Služby Azure Stack může trvat až jednu hodinu.

Konfigurace adresáře služby Azure Stack Hub

Jako operátor služby Azure Stack Hub můžete adresář hostů kdykoli odebrat, a to i v případě, že Mary předtím neregistrovala adresář.

1. Přihlaste se k portálu pro správu služby Azure Stack Hub a přejděte na Všechny služby – Adresáře.

   

2. Zaškrtněte políčko adatum.onmicrosoft.com adresář a pak vyberte Odebrat.

   

3. Potvrďte akci odstranění tak, že zadáte ano a vyberete Odebrat.

   

   Adresář jste úspěšně odebrali.

Správa požadovaných aktualizací

Aktualizace služby Azure Stack Hub můžou zavést podporu nových nástrojů nebo služeb, které můžou vyžadovat aktualizaci domovského adresáře nebo adresáře hosta.

Jako operátor služby Azure Stack Hub se na portálu pro správu zobrazí upozornění, které vás informuje o požadované aktualizaci adresáře. Zobrazením podokna adresářů na portálu pro správu můžete také zjistit, jestli se vyžaduje aktualizace pro domovské adresáře nebo adresáře hosta. Každý výpis adresáře zobrazuje typ adresáře. Typ může být domovský adresář nebo adresář hosta a zobrazí se jeho stav.

Aktualizace adresářů služby Azure Stack Hub

Pokud se vyžaduje aktualizace adresáře služby Azure Stack Hub, zobrazí se stav Vyžaduje se aktualizace . Příklad:

Pokud chcete adresář aktualizovat, zaškrtněte políčko Název adresáře a pak vyberte Aktualizovat.

Aktualizace adresáře hosta

Operátor služby Azure Stack Hub by také měl informovat vlastníka adresáře hostů, že musí aktualizovat adresář pomocí adresy URL sdílené pro registraci. Operátor může adresu URL znovu odeslat, ale nezmění se.

Mary, vlastník adresáře hostů, otevře adresu URL, kterou obdržela e-mailem při registraci adresáře:

1. Mary se přihlásí pomocí přihlašovacích údajů globálního správce pro adatum.onmicrosoft.com. Před přihlášením se ujistěte, že blokování automaticky otevíraných oken je zakázané.

   

2. Mary uvidí stav adresáře s informací, že se vyžaduje aktualizace.

3. Akce Aktualizovat je k dispozici pro Mary, aby aktualizovala adresář hosta. Zobrazení adresáře jako zaregistrovaného na portálu pro správu Služby Azure Stack může trvat až jednu hodinu.

Další funkce

Operátor služby Azure Stack Hub může zobrazit předplatná přidružená k adresáři. Kromě toho má každý adresář akci pro správu adresáře přímo v Azure Portal. Ke správě musí mít cílový adresář oprávnění ke správě v Azure Portal.

Další kroky

• Správa delegovaných poskytovatelů
• Klíčové koncepty služby Azure Stack Hub
• Správa využití a fakturace služby Azure Stack Hub jako poskytovatele cloudových řešení
• Přidání tenanta pro využití a fakturaci do služby Azure Stack Hub