Cvičení – nastavení ID Microsoft Entra
Toto cvičení vás provede procesem vytváření a správy entit souvisejících s ID Microsoft Entra, včetně tenantů Microsoft Entra, uživatelů a skupin. Začnete vytvořením uživatelského účtu a dvou skupin v tenantovi Microsoft Entra přidruženém k vašemu předplatnému a přidáním uživatele do první skupiny. Pak vytvoříte dalšího tenanta Microsoft Entra a uživatelský účet v daném tenantovi. K závěru tohoto cvičení přidáte uživatelský účet z druhého tenanta jako účet hosta v prvním tenantovi. V dalších cvičeních tohoto modulu implementujete integraci mezi instancí jednoúčelového serveru Azure Database for PostgreSQL a prvním tenantem Microsoft Entra a udělíte přístup k jeho obsahu dvěma dříve vytvořeným skupinám.
V tomto cvičení:
- Vytvořte objekty uživatele a skupiny Microsoft Entra v tenantovi Microsoft Entra přidruženém k vašemu předplatnému Azure.
- Vytvořte dalšího tenanta Microsoft Entra a objekt uživatele.
- Vytvořte a nakonfigurujte uživatele typu host Microsoft Entra v tenantovi Microsoft Entra přidruženém k vašemu předplatnému Azure.
Požadavky
K provedení tohoto cvičení potřebujete:
Předplatné Azure.
Účet Microsoft nebo účet Microsoft Entra s rolí Globální Správa istrator v tenantovi Microsoft Entra přidruženém k předplatnému Azure a s rolí Vlastník nebo Přispěvatel v předplatném Azure.
Poznámka:
Cvičení v tomto modulu provádějí citlivé operace a vyžadují velmi vysoká oprávnění, proto by se měla provádět v izolovaném testovacím prostředí. Pokud k tomuto prostředí nemáte přístup, zvažte použití pro tento účel zkušební verze předplatného Azure.
Vytvoření objektů uživatele a skupiny Microsoft Entra v tenantovi Microsoft Entra přidruženém k vašemu předplatnému Azure
Začnete vytvořením objektů uživatele a skupiny Microsoft Entra. Po vytvoření objektů nakonfigurujete jejich příslušná členství ve skupinách. Ke zrychlení úloh konfigurace použijete Azure CLI. V dalším cvičení tohoto modulu budete spoléhat na objekty Microsoft Entra k ověření v instanci jednoúčelového serveru Azure Database for PostgreSQL.
Spusťte webový prohlížeč, přejděte na web Azure Portal a přihlaste se, abyste získali přístup k předplatnému Azure, které budete v tomto modulu používat.
Na webu Azure Portal otevřete Cloud Shell tak, že na panelu nástrojů vedle vyhledávacího textového pole vyberete jeho ikonu.
V případě potřeby vyberte Bash.
Poznámka:
Pokud azure Cloud Shell spouštíte poprvé a zobrazí se zpráva Nemáte připojené úložiště, vyberte předplatné, které v tomto cvičení používáte, a pak vyberte Vytvořit úložiště.
V relaci Bash v podokně Azure Cloud Shell spusťte následující příkaz, který identifikuje výchozí název domény DNS tenanta Microsoft Entra přidruženého k předplatnému Azure:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Spuštěním následujícího příkazu vytvořte uživatele Microsoft Entra v tenantovi Microsoft Entra přidruženém k předplatnému Azure:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password Pa55w.rd1234 \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Poznámka:
Tento uživatelský účet nakonfigurujete jako správce Microsoft Entra instance jednoúčelového serveru Azure Database for PostgreSQL v dalším cvičení.
Spuštěním následujícího příkazu identifikujte hodnotu atributu userPrincipalName uživatele Microsoft Entra, který jste vytvořili v předchozím kroku:
echo $ADMIN | jq -r '.userPrincipalName'Poznámka:
Tuto hodnotu zaznamenejte. Budete ho potřebovat v dalším cvičení tohoto modulu.
Spuštěním následujících příkazů přiřaďte nově vytvořenému uživateli roli Přispěvatel v předplatném Azure, které používáte pro cvičení v tomto modulu:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Poznámka:
Druhý příkaz vrátí ID vašeho výchozího předplatného. Pokud chcete použít jiné předplatné, musíte odpovídajícím způsobem nastavit hodnotu proměnné $SUBSCRIPTION_ID.
Spuštěním následujícího příkazu vytvořte uživatele Microsoft Entra v tenantovi Microsoft Entra přidruženém k předplatnému Azure:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password Pa55w.rd1234 \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Poznámka:
Tento uživatelský účet nakonfigurujete jako neprivilegovaný uživatel Microsoft Entra s přístupem k databázi na instanci jednoúčelového serveru Azure Database for PostgreSQL v dalším cvičení.
Spuštěním následujícího příkazu vytvořte skupinu Microsoft Entra v tenantovi Microsoft Entra přidruženém k předplatnému Azure:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Poznámka:
Tuto skupinu použijete k přiřazení oprávnění k databázi na instanci jednoúčelového serveru Azure Database for PostgreSQL v dalším cvičení.
Spuštěním následujícího příkazu přidejte uživatele do skupiny:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDSpuštěním následujícího příkazu přiřaďte nově vytvořenému uživateli roli Přispěvatel v předplatném Azure, které používáte pro cvičení v tomto modulu:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Poznámka:
Toto přiřazení role budete spoléhat v dalším cvičení tohoto modulu.
Zavřete podokno Cloud Shellu.
Pokud chcete ověřit výsledek tohoto cvičení, použijte na webu Azure Portal textové pole Hledat prostředky, služby a dokumenty na začátku stránky webu Azure Portal a vyhledejte ID Microsoft Entra.
V seznamu výsledků vyberte Microsoft Entra ID.
V okně, ve kterém se zobrazují vlastnosti vašeho tenanta Microsoft Entra, vyberte ve svislé nabídce v části Spravovat uživatele.
Na uživatelích | Okno Všichni uživatelé ověřte, že seznam uživatelů obsahuje uživatelský účet, který jste vytvořili dříve v této úloze.
Vraťte se do okna s vlastnostmi vašeho tenanta Microsoft Entra a v vertikální nabídce v oddílech Spravovat vyberte Skupiny.
Ve skupinách | Okno Všechny skupiny ověřte, že seznam skupin obsahuje účet skupiny, který jste vytvořili dříve v této úloze.
Vytvoření dalšího tenanta Microsoft Entra a objektu uživatele
V této úloze vytvoříte tenanta Microsoft Entra a uživatelský účet v novém tenantovi pomocí webu Azure Portal. V další úloze nakonfigurujete tento uživatelský účet jako uživatelský účet typu host v prvním tenantovi.
Ve webovém prohlížeči v okně webu Azure Portal zobrazující vlastnosti vašeho tenanta Microsoft Entra vyberte Spravovat tenanty a pak vyberte + Vytvořit.
Na kartě Základy v okně Vytvořit tenanta se ujistěte, že je vybraná možnost Microsoft Entra ID, a vyberte Další: Konfigurace >.
Na kartě Konfigurace okna Vytvořit tenanta zadejte následující nastavení:
Nastavení Hodnota Název organizace Contoso Počáteční název domény Libovolný platný název DNS skládající se z malých písmen a číslic a začínající písmenem Země/oblast Název vaší země nebo oblasti Vyberte Zkontrolovat a vytvořit a na kartě Zkontrolovat a vytvořit v okně Vytvořit tenanta vyberte Vytvořit.
Pokud se zobrazí výzva, v nápovědě nám prokážete, že nejste robot, zadejte zadaný kód a pak vyberte Odeslat.
Počkejte, až se zřizování dokončí, a pak výběrem odkazu Contoso přejděte do okna s vlastnostmi tenanta Microsoft Microsoft Entra společnosti Contoso.
Ve webovém prohlížeči se v okně webu Azure Portal zobrazující contoso | Okno Přehled tenanta Microsoft Entra společnosti Contoso v vertikální nabídce v oddílech Spravovat vyberte Uživatelé.
Na uživatelích | Okno Všichni uživatelé tenanta Contoso – Microsoft Entra ID, vyberte + Nový uživatel a pak vyberte Vytvořit nového uživatele.
V okně Vytvořit nového uživatele zadejte následující nastavení a ponechte ostatní nastavení s výchozími hodnotami:
Nastavení Hodnota Jméno uživatele contosouser1 Název contosouser1 Heslo si vytvořím Povoleno Počáteční heslo Pa55w.rd1234 Pomocí ikony Kopírovat do schránky vedle rozevíracího seznamu Uživatelské jméno zaznamenáte hodnotu atributu hlavního názvu uživatele contosouser1. Budete ho potřebovat později v těchto a následných cvičeních.
V okně Nový uživatel vyberte Vytvořit.
Na uživatelích | Okno Všichni uživatelé tenanta Contoso – Microsoft Entra ID , zkontrolujte seznam uživatelských účtů a ověřte, že se nový uživatelský účet úspěšně vytvořil.
Poznámka:
Tento uživatelský účet nakonfigurujete jako neprivilegovaný uživatel Microsoft Entra s přístupem k databázi na instanci jednoúčelového serveru Azure Database for PostgreSQL v dalším cvičení.
Vytvoření a konfigurace uživatele typu host Microsoft Entra v tenantovi Microsoft Entra přidruženém k vašemu předplatnému Azure
K závěru tohoto cvičení použijete Azure Portal ke konfiguraci uživatelského účtu v tenantovi Contoso Microsoft Entra jako uživatele typu host v tenantovi Adatum Microsoft Entra, vytvoření nové skupiny v tomto tenantovi a přidání uživatele typu host do této skupiny.
Ve webovém prohlížeči se v okně webu Azure Portal zobrazující contoso | Okno Přehled tenanta Microsoft Entra společnosti Contoso na panelu nástrojů v pravém horním rohu vyberte ikonu Předplatná vedle ikony Cloud Shellu a pak vyberte odkaz Přepnout adresář .
V okně Adresáře a předplatná vyberte položku představujícího tenanta Microsoft Entra přidruženého k předplatnému Azure, které používáte ve cvičeních tohoto modulu, a pak vyberte Přepnout.
Poznámka:
Tím se relace automaticky přepne do tenanta Microsoft Entra přidruženého k předplatnému Azure, které používáte ve cvičeních tohoto modulu.
Na webu Azure Portal pomocí textového pole Hledat prostředky, služby a dokumenty na začátku stránky webu Azure Portal vyhledejte ID Microsoft Entra a v seznamu výsledků vyberte Microsoft Entra ID.
V okně, ve kterém se zobrazují vlastnosti vašeho tenanta Microsoft Entra, vyberte ve svislé nabídce v části Spravovat uživatele.
Na uživatelích | Okno Všichni uživatelé , vyberte + Nový uživatel a pak vyberte Pozvat externího uživatele.
V okně Pozvat externího uživatele se ujistěte, že je vybraná možnost Pozvat uživatele , zadejte následující nastavení a ponechte ostatní nastavení s výchozími hodnotami, vyberte Zkontrolovat a pozvat a pak vyberte Pozvat:
Nastavení Hodnota E-mailová adresa Hodnota atributu hlavního názvu uživatele contosouser1 , který jste si poznamenali dříve v tomto úkolu Zobrazované jméno contosouser1 Zpráva s pozvánkou Vítá vás Adatum Vraťte se do okna zobrazující vlastnosti vašeho tenanta Microsoft Entra a pak v vertikální nabídce v oddílech Spravovat vyberte Skupiny.
Ve skupinách | Okno Všechny skupiny vyberte adatumgroup1.
V okně adatumgroup1 vyberte Členy.
Na adatumgroup1 | V okně Členové vyberte + Přidat členy.
V okně Přidat členy zadejte do textového pole Hledat contosouser1.
V seznamu výsledků vyberte položku contosouser1 a pak vyberte Vybrat.
Výsledky
Blahopřejeme! Dokončili jste první cvičení tohoto modulu. Toto cvičení jste zahájili vytvořením uživatele a skupiny v tenantovi Microsoft Entra přidruženém k vašemu předplatnému Azure a následným přidáním uživatele do skupiny. Dále jste vytvořili dalšího tenanta Microsoft Entra a uživatele v daném tenantovi Microsoft Entra. Nakonec jste tento uživatel nakonfigurovali jako uživatele typu host v tenantovi Microsoft Entra přidruženém k vašemu předplatnému Azure, vytvořili v něm další skupinu a přidali do něj uživatele typu host.