Condividi tramite


Architettura di Azure Lighthouse

Azure Lighthouse aiuta i provider di servizi a semplificare l'engagement dei clienti e le esperienze di onboarding gestendo al contempo le risorse delegate su larga scala con agilità e precisione. Gli utenti, i gruppi e le entità servizio autorizzati possono lavorare direttamente nel contesto della sottoscrizione di un cliente senza avere un account nel tenant Microsoft Entra di tale cliente o essere comproprietario del tenant del cliente. Il meccanismo usato per supportare questo accesso è denominato Gestione risorse delegate di Azure.

Diagramma che illustra la gestione delle risorse delegate di Azure.

Suggerimento

Azure Lighthouse può essere usato anche all'interno di un'azienda con più tenant Microsoft Entra propri per semplificare la gestione tra tenant.

Questo argomento illustra la relazione tra i tenant in Azure Lighthouse e le risorse create nel tenant del cliente che abilitano tale relazione.

Nota

L'onboarding di un cliente in Azure Lighthouse richiede una distribuzione da parte di un account non guest nel tenant del cliente che ha un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write, ad esempio Proprietario, per la sottoscrizione di cui viene eseguito l'onboarding (o che contiene i gruppi di risorse di cui viene eseguito l'onboarding).

Risorse di delega create nel tenant del cliente

Quando viene eseguito l'onboarding della sottoscrizione o del gruppo di risorse di un cliente in Azure Lighthouse, vengono create due risorse: la definizione di registrazione e l'assegnazione di registrazione. È possibile usare API e strumenti di gestione per accedere a queste risorse o usarle nel portale di Azure.

Definizione di registrazione

La definizione di registrazione contiene i dettagli dell'offerta di Azure Lighthouse, l'ID tenant di gestione e le autorizzazioni che assegnano ruoli predefiniti a utenti, gruppi e/o entità servizio specifici nel tenant di gestione.

Viene creata una definizione di registrazione a livello di sottoscrizione per ogni sottoscrizione delegata o in ogni sottoscrizione che contiene un gruppo di risorse delegato. Quando si usano le API per creare una definizione di registrazione, è necessario lavorare a livello di sottoscrizione. Ad esempio, usando Azure PowerShell, è necessario usare New-AzureRmDeployment prima di creare una nuova definizione di registrazione (New-AzManagedServicesDefinition), anziché usare New-AzureRmResourceGroupDeployment.

Assegnazione di registrazione

L'assegnazione di registrazione assegna la definizione di registrazione a un ambito specifico, ovvero le sottoscrizioni e/o i gruppi di risorse di cui è stato eseguito l'onboarding.

Un'assegnazione di registrazione viene creata in ogni ambito delegato, quindi sarà a livello di gruppo di sottoscrizioni o a livello di gruppo di risorse, a seconda di ciò di cui è stato eseguito l'onboarding.

Ogni assegnazione di registrazione deve fare riferimento a una definizione di registrazione valida a livello di sottoscrizione, legando le autorizzazioni per tale provider di servizi all'ambito delegato e concedendo così l'accesso.

Proiezione logica

Azure Lighthouse crea una proiezione logica di risorse da un tenant a un altro tenant. In questo modo, gli utenti autorizzati del provider di servizi accedono al proprio tenant con l'autorizzazione a lavorare nelle sottoscrizioni delegate di clienti e nei gruppi di risorse. Gli utenti nel tenant del provider di servizi possono quindi eseguire operazioni di gestione per conto dei clienti, senza dover accedere a ogni singolo tenant del cliente.

Ogni volta che un utente, un gruppo o un'entità servizio nel tenant del provider di servizi accede alle risorse nel tenant di un cliente, Azure Resource Manager riceve una richiesta. Resource Manager autentica queste richieste così come autentica le richieste effettuate dagli utenti all'interno del tenant del cliente. In Azure Lighthouse ciò avviene confermando che due risorse, la definizione di registrazione e l'assegnazione di registrazione, sono presenti nel tenant del cliente. In tal caso, Resource Manager autorizza l'accesso in base alle informazioni definite da tali risorse.

Diagramma che illustra la proiezione logica in Azure Lighthouse.

L'attività degli utenti nel tenant del provider di servizi viene rilevata nel log attività, archiviato nel tenant del cliente. In questo modo il cliente può vedere quali modifiche sono state apportate e da chi.

Funzionamento di Azure Lighthouse

A livello generale, ecco come funziona Azure Lighthouse per il tenant di gestione:

  1. Identificare i ruoli necessari a gruppi, entità servizio o utenti affinché possano gestire le risorse di Azure del cliente.
  2. Specificare questo accesso ed eseguire l'onboarding del cliente in Azure Lighthouse pubblicando un'offerta di servizio gestito in Azure Marketplace o distribuendo un modello di Azure Resource Manager. Questo processo di onboarding crea le due risorse descritte in precedenza (definizione di registrazione e assegnazione di registrazione) nel tenant del cliente.
  3. Dopo aver eseguito l'onboarding del cliente, gli utenti autorizzati accedono al tenant di gestione ed eseguono attività nell'ambito del cliente specificato (sottoscrizione o gruppo di risorse) in base all'accesso definito. I clienti possono esaminare tutte le azioni eseguite e possono rimuovere l'accesso in qualsiasi momento.

Anche se nella maggior parte dei casi un solo provider di servizi gestirà risorse specifiche per un cliente, è possibile che il cliente crei più deleghe per la stessa sottoscrizione o gruppo di risorse, consentendo a più provider di servizi di avere accesso. Questo scenario abilita anche scenari ISV che proiettano le risorse dal tenant del provider di servizi a più clienti.

Passaggi successivi