Identiteits- en toegangsbeheer op ondernemingsniveau voor Azure VMware Solution
Dit artikel bouwt voort op de informatie in Identiteits- en toegangsbeheer en Azure VMware Solution identiteitsconcepten.
Gebruik deze informatie om ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer te onderzoeken die specifiek zijn voor de implementatie van Azure VMware Solution.
Identiteitsvereisten voor Azure VMware Solution variëren afhankelijk van de implementatie in Azure. De informatie in dit artikel is gebaseerd op de meest voorkomende scenario's.
Overwegingen bij het ontwerpen
Nadat u Azure VMware Solution hebt geïmplementeerd, bevat het vCenter van de nieuwe omgeving een ingebouwde lokale gebruiker met de naam cloudadmin
. Deze gebruiker is toegewezen aan de rol CloudAdmin met verschillende machtigingen in vCenter Server. U kunt ook aangepaste rollen maken in uw Azure VMware Solution-omgeving met behulp van het principe van minimale bevoegdheden met op rollen gebaseerd toegangsbeheer (RBAC).
Ontwerpaanbeveling
Als onderdeel van de landingszone voor identiteits- en toegangsbeheer op enterprise-schaal implementeert u een AD DS-domeincontroller (Active Directory Domain Services) in het identiteitsabonnement.
Beperk het aantal gebruikers dat u de rol CloudAdmin toewijst. Gebruik aangepaste rollen en minimale bevoegdheden om gebruikers toe te wijzen aan Azure VMware Solution.
Wees voorzichtig bij het roteren van cloudadmin- en NSX-beheerderswachtwoorden.
Beperk Azure VMware Solution machtigingen voor op rollen gebaseerd toegangsbeheer (RBAC) in Azure tot de resourcegroep waarin deze is geïmplementeerd en de gebruikers die Azure VMware Solution moeten beheren.
Configureer alleen vSphere-machtigingen met aangepaste rollen op het niveau van de hiërarchie, indien nodig. Het is beter om machtigingen toe te passen op de juiste VM-map of resourcegroep. Vermijd de toepassing van vSphere-machtigingen op of boven het datacenterniveau.
Active Directory-sites en -services bijwerken om Azure- en Azure VMware Solution AD DS-verkeer naar de juiste domeincontrollers te leiden.
Gebruik de opdracht Uitvoeren in uw privécloud om het volgende te doen:
Voeg een AD DS-domeincontroller toe als een identiteitsbron voor vCenter Server en NSX-T Data Center.
Geef de levenscyclusbewerking op voor de
vsphere.local\CloudAdmins
groep.
Maak groepen in Active Directory en gebruik RBAC om vCenter Server en NSX-T Data Center te beheren. U kunt aangepaste rollen maken en Active Directory-groepen toewijzen aan de aangepaste rollen.
Volgende stappen
Meer informatie over netwerktopologie en connectiviteit voor een Azure VMware Solution scenario op ondernemingsniveau. Bekijk ontwerpoverwegingen en best practices voor netwerken en connectiviteit met Microsoft Azure en Azure VMware Solution.