Unternehmensweite Identitäts- und Zugriffsverwaltung für Azure VMware Solution
Dieser Artikel baut auf den Informationen unter Identitäts- und Zugriffsverwaltung und Azure VMware Solution-Identitätskonzepte auf.
Verwenden Sie diese Informationen, um Entwurfsüberlegungen und -empfehlungen für die Identitäts- und Zugriffsverwaltung zu untersuchen, die für die Bereitstellung von Azure VMware Solution spezifisch sind.
Die Identitätsanforderungen für Azure VMware Solution variieren je nach Implementierung in Azure. Die in diesem Artikel bereitgestellten Informationen basieren auf den gängigsten Szenarien.
Überlegungen zum Entwurf
Nachdem Sie Azure VMware Solution bereitgestellt haben, enthält das vCenter der neuen Umgebung einen integrierten lokalen Benutzer namens cloudadmin. Dieser Benutzer wird der CloudAdmin-Rolle mit mehreren Berechtigungen in vCenter Server zugewiesen. Sie können auch benutzerdefinierte Rollen in Ihrer Azure VMware Solution-Umgebung erstellen, indem Sie das Prinzip der geringsten Rechte mit rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) verwenden.
Entwurfsempfehlungen
Stellen Sie im Rahmen der unternehmensweiten Zielzone für die Identitäts- und Zugriffsverwaltung einen Active Directory Domain Services-Domänencontroller (AD DS) im Identitätsabonnement bereit.
Begrenzen Sie die Anzahl der Benutzer, denen Sie die Rolle „CloudAdmin“ zuweisen. Verwenden Sie benutzerdefinierte Rollen und die geringsten Rechte, um Azure VMware Solution Benutzer zuzuweisen.
Seien Sie vorsichtig, wenn Sie Cloudadministrator- und NSX-Administratorkennwörter rotieren.
Beschränken Sie RBAC-Berechtigungen (Role-Based Access Control, rollenbasierte Zugriffssteuerung) in Azure auf die Ressourcengruppe, in der die Bereitstellung erfolgt, und auf die Benutzer, die Azure VMware Solution verwalten müssen.
Konfigurieren Sie vSphere-Berechtigungen mit benutzerdefinierten Rollen auf Hierarchieebene nur bei Bedarf. Es ist besser, Berechtigungen auf den entsprechenden VM-Ordner oder Ressourcenpool anzuwenden. Vermeiden Sie die Anwendung von vSphere-Berechtigungen auf oder über der Rechenzentrumsebene.
Aktualisieren Sie Active Directory-Standorte und -Dienste, um Azure- und AD DS-Datenverkehr von Azure VMware Solution an die entsprechenden Domänencontroller weiterzuleiten.
Verwenden Sie den Ausführungsbefehl in Ihrer privaten Cloud für Folgendes:
Fügen Sie einen AD DS-Domänencontroller als Identitätsquelle für vCenter Server und NSX-T Data Center hinzu.
Bereitstellen des Lebenszyklusvorgangs für die
vsphere.local\CloudAdmins-Gruppe.
Erstellen Sie Gruppen in Active Directory und verwenden Sie RBAC zum Verwalten von vCenter Server und NSX-T Data Center. Sie können benutzerdefinierte Rollen erstellen und den benutzerdefinierten Rollen Active Directory-Gruppen zuweisen.
Nächste Schritte
Erfahren Sie mehr über die Netzwerktopologie und -konnektivität für ein unternehmensweites Azure VMware Solution-Szenario. Untersuchen Sie Entwurfsüberlegungen und bewährte Methoden für Netzwerke und Konnektivität mit Microsoft Azure und Azure VMware Solution.