Architettura di Azure Lighthouse

Azure Lighthouse consente ai provider di servizi di semplificare l'engagement e l'onboarding dei clienti, gestendo le risorse delegate su larga scala con agilità e precisione. Gli utenti, i gruppi e le entità servizio autorizzati possono lavorare direttamente nel contesto di una sottoscrizione del cliente senza avere un account nel tenant di Azure Active Directory (Azure AD) del cliente o essere un co-proprietario del tenant del cliente. Il meccanismo usato per supportare questo accesso è denominato Gestione risorse delegata di Azure.

Diagramma che illustra la gestione delle risorse delegata di Azure.

Suggerimento

Azure Lighthouse può essere usato anche all'interno di un'organizzazione con più tenant di Azure AD personalizzati per semplificare la gestione tra tenant.

Questo argomento illustra la relazione tra tenant in Azure Lighthouse e le risorse create nel tenant del cliente che consentono tale relazione.

Nota

L'onboarding di un cliente in Azure Lighthouse richiede una distribuzione da parte di un account non guest nel tenant del cliente che dispone di un ruolo con l'autorizzazione Microsoft.Authorization/roleAssignments/write , ad esempio Proprietario, per la sottoscrizione in fase di onboarding (o che contiene i gruppi di risorse che vengono sottoposti a onboarding).

Risorse di delega create nel tenant del cliente

Quando viene eseguita l'onboarding della sottoscrizione o del gruppo di risorse di un cliente in Azure Lighthouse, vengono create due risorse: la definizione di registrazione e l'assegnazione di registrazione. È possibile usare API e strumenti di gestione per accedere a queste risorse o usarli nel portale di Azure.

Definizione di registrazione

La definizione di registrazione contiene i dettagli dell'offerta Azure Lighthouse (l'ID tenant di gestione e le autorizzazioni che assegnano ruoli predefiniti a utenti, gruppi e/o entità servizio specifici nel tenant di gestione.

Una definizione di registrazione viene creata a livello di sottoscrizione per ogni sottoscrizione delegata o in ogni sottoscrizione contenente un gruppo di risorse delegato. Quando si usano le API per creare una definizione di registrazione, è necessario lavorare a livello di sottoscrizione. Ad esempio, usando Azure PowerShell, è necessario usare New-AzureRmDeployment prima di creare una nuova definizione di registrazione (New-AzManagedServicesDefinition), anziché usare New-AzureRmResourceGroupDeployment.

Assegnazione di registrazione

L'assegnazione di registrazione assegna la definizione di registrazione a un ambito specifico, ovvero le sottoscrizioni di onboarding e/o i gruppi di risorse.

Un'assegnazione di registrazione viene creata in ogni ambito delegato, quindi sarà a livello di gruppo di sottoscrizioni o a livello di gruppo di risorse, a seconda di ciò che è stato eseguito l'onboarding.

Ogni assegnazione di registrazione deve fare riferimento a una definizione di registrazione valida a livello di sottoscrizione, legando le autorizzazioni per tale provider di servizi all'ambito delegato e concedendo così l'accesso.

Proiezione logica

Azure Lighthouse crea una proiezione logica delle risorse da un tenant a un altro tenant. Ciò consente agli utenti del provider di servizi autorizzati di accedere al proprio tenant con autorizzazione per lavorare nelle sottoscrizioni dei clienti delegate e nei gruppi di risorse. Gli utenti nel tenant del provider di servizi possono quindi eseguire operazioni di gestione per conto dei clienti, senza dover accedere a ogni singolo tenant del cliente.

Ogni volta che un utente, un gruppo o un'entità servizio nel tenant del provider di servizi accede alle risorse nel tenant di un cliente, Azure Resource Manager riceve una richiesta. Resource Manager autentica queste richieste, esattamente come per le richieste effettuate dagli utenti all'interno del proprio tenant del cliente. Per Azure Lighthouse, ciò avviene confermando che due risorse, ovvero la definizione di registrazione e l'assegnazione di registrazione, sono presenti nel tenant del cliente. In tal caso, Resource Manager autorizza l'accesso in base alle informazioni definite da tali risorse.

Diagramma che illustra la proiezione logica in Azure Lighthouse.

L'attività degli utenti nel tenant del provider di servizi viene rilevata nel log attività, archiviata nel tenant del cliente. Ciò consente al cliente di vedere quali modifiche sono state apportate e da chi.

Funzionamento di Azure Lighthouse

A livello generale, ecco come funziona Azure Lighthouse per il tenant di gestione:

  1. Identificare i ruoli che i gruppi, le entità servizio o gli utenti dovranno gestire le risorse di Azure del cliente.
  2. Specificare questo accesso e eseguire l'onboarding del cliente in Azure Lighthouse pubblicando un'offerta del servizio gestito per Azure Marketplace o distribuendo un modello di Resource Manager di Azure. Questo processo di onboarding crea le due risorse descritte in precedenza (definizione di registrazione e assegnazione di registrazione) nel tenant del cliente.
  3. Dopo aver eseguito l'onboarding del cliente, gli utenti autorizzati accedono al tenant di gestione ed eseguono attività nell'ambito del cliente specificato (sottoscrizione o gruppo di risorse) per ogni accesso definito. I clienti possono esaminare tutte le azioni eseguite e possono rimuovere l'accesso in qualsiasi momento.

Anche se nella maggior parte dei casi solo un provider di servizi gestirà risorse specifiche per un cliente, è possibile che il cliente crei più delega per la stessa sottoscrizione o gruppo di risorse, consentendo a più provider di servizi di avere accesso. Questo scenario consente anche scenari ISV che proiettano le risorse dal tenant del provider di servizi a più clienti.

Passaggi successivi