Azure Lighthouse-architectuur
Met Azure Lighthouse kunnen serviceproviders klantbetrokkenheid en onboarding-ervaringen vereenvoudigen, terwijl gedelegeerde resources op schaal worden beheerd met flexibiliteit en precisie. Geautoriseerde gebruikers, groepen en service-principals kunnen rechtstreeks in de context van een klantabonnement werken zonder een account in de Microsoft Entra-tenant van die klant te hebben of als mede-eigenaar van de tenant van de klant te zijn. Het mechanisme dat wordt gebruikt om deze toegang te ondersteunen, wordt gedelegeerd resourcebeheer van Azure genoemd.
Tip
Azure Lighthouse kan ook worden gebruikt binnen een onderneming die meerdere Eigen Microsoft Entra-tenants heeft om crosstenantbeheer te vereenvoudigen.
In dit onderwerp wordt de relatie tussen tenants in Azure Lighthouse en de resources besproken die zijn gemaakt in de tenant van de klant die die relatie mogelijk maken.
Notitie
Voor het onboarden van een klant naar Azure Lighthouse is een implementatie vereist door een niet-gastaccount in de tenant van de klant die een rol heeft met de Microsoft.Authorization/roleAssignments/write
machtiging, zoals Eigenaar, voor het abonnement dat wordt voorbereid (of die de resourcegroepen bevat die worden toegevoegd).
Resources delegeren die zijn gemaakt in de tenant van de klant
Wanneer het abonnement of de resourcegroep van een klant wordt toegevoegd aan Azure Lighthouse, worden er twee resources gemaakt: de registratiedefinitie en de registratietoewijzing. U kunt API's en beheerhulpprogramma's gebruiken om toegang te krijgen tot deze resources of om ermee te werken in Azure Portal.
Registratiedefinitie
De registratiedefinitie bevat de details van de Azure Lighthouse-aanbieding (de tenant-id beheren en de autorisaties die ingebouwde rollen toewijzen aan specifieke gebruikers, groepen en/of service-principals in de beherende tenant.
Er wordt een registratiedefinitie gemaakt op abonnementsniveau voor elk gedelegeerd abonnement of in elk abonnement dat een gedelegeerde resourcegroep bevat. Wanneer u API's gebruikt om een registratiedefinitie te maken, moet u op abonnementsniveau werken. Als u bijvoorbeeld Azure PowerShell gebruikt, moet u New-AzureRmDeployment gebruiken voordat u een nieuwe registratiedefinitie (New-AzManagedServicesDefinition) maakt in plaats van New-AzureRmResourceGroupDeployment.
Registratietoewijzing
Met de registratietoewijzing wordt de registratiedefinitie toegewezen aan een specifiek bereik: de onboarded abonnementen en/of resourcegroepen.
Er wordt een registratietoewijzing gemaakt in elk gedelegeerd bereik, dus deze bevindt zich op het niveau van de abonnementsgroep of op het niveau van de resourcegroep, afhankelijk van wat er is toegevoegd.
Elke registratietoewijzing moet verwijzen naar een geldige registratiedefinitie op abonnementsniveau, waarbij de autorisaties voor die serviceprovider worden gekoppeld aan het gedelegeerde bereik en zo toegang verleent.
Logische projectie
Azure Lighthouse maakt een logische projectie van resources van de ene tenant naar een andere tenant. Hierdoor kunnen geautoriseerde serviceprovidergebruikers zich aanmelden bij hun eigen tenant met autorisatie om te werken in gedelegeerde klantabonnementen en resourcegroepen. Gebruikers in de tenant van de serviceprovider kunnen vervolgens beheerbewerkingen uitvoeren namens hun klanten, zonder zich aan te melden bij elke afzonderlijke klanttenant.
Wanneer een gebruiker, groep of service-principal in de tenant van de serviceprovider toegang heeft tot resources in de tenant van een klant, ontvangt Azure Resource Manager een aanvraag. Resource Manager verifieert deze aanvragen, net zoals voor aanvragen van gebruikers binnen de eigen tenant van de klant. Voor Azure Lighthouse doet u dit door te bevestigen dat twee resources, de registratiedefinitie en de registratietoewijzing, aanwezig zijn in de tenant van de klant. Zo ja, dan autoriseert Resource Manager de toegang op basis van de informatie die door deze resources is gedefinieerd.
Activiteit van gebruikers in de tenant van de serviceprovider wordt bijgehouden in het activiteitenlogboek, dat is opgeslagen in de tenant van de klant. Hierdoor kan de klant zien welke wijzigingen zijn aangebracht en door wie.
Hoe Azure Lighthouse werkt
Op hoog niveau werkt Azure Lighthouse als volgt voor de beherende tenant:
- Identificeer de rollen die uw groepen, service-principals of gebruikers nodig hebben om de Azure-resources van de klant te beheren.
- Geef deze toegang op en onboarding van de klant naar Azure Lighthouse door een aanbieding voor beheerde services te publiceren naar Azure Marketplace of door een Azure Resource Manager-sjabloon te implementeren. Met dit onboardingproces worden de twee hierboven beschreven resources (registratiedefinitie en registratietoewijzing) gemaakt in de tenant van de klant.
- Zodra de klant is toegevoegd, melden geautoriseerde gebruikers zich aan bij uw beherende tenant en voeren ze taken uit op het opgegeven klantbereik (abonnement of resourcegroep) op basis van de toegang die u hebt gedefinieerd. Klanten kunnen alle uitgevoerde acties bekijken en ze kunnen de toegang op elk gewenst moment verwijderen.
In de meeste gevallen beheert slechts één serviceprovider specifieke resources voor een klant, maar kan de klant meerdere delegaties maken voor hetzelfde abonnement of dezelfde resourcegroep, zodat meerdere serviceproviders toegang hebben. Dit scenario maakt ook ISV-scenario's mogelijk die resources van de tenant van de serviceprovider projecteren naar meerdere klanten.
Volgende stappen
- Controleer de Azure CLI - en Azure PowerShell-opdrachten voor het werken met registratiedefinities en registratietoewijzingen.
- Meer informatie over verbeterde services en scenario's voor Azure Lighthouse.
- Meer informatie over de werking van tenants, gebruikers en rollen met Azure Lighthouse.