Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo baseia-se nas informações encontradas em Gerenciamento de identidade e acesso e conceitos de identidade da Solução VMware do Azure.
Use essas informações para examinar considerações de design e recomendações para gerenciamento de identidade e acesso específico para a implantação da Solução VMware do Azure.
Os requisitos de identidade para a Solução VMware do Azure variam de acordo com sua implementação no Azure. As informações fornecidas neste artigo baseiam-se nos cenários mais comuns.
Considerações de design
Depois de implantar a Solução VMware do Azure, o vCenter do novo ambiente contém um usuário local interno chamado cloudadmin. Esse usuário é atribuído à função CloudAdmin com várias permissões no vCenter Server. Você também pode criar funções personalizadas em seu ambiente da Solução VMware do Azure usando o princípio de menor privilégio com RBAC (controle de acesso baseado em função).
Recomendações de design
Como parte da zona de chegada em escala empresarial para o gerenciamento de identidade e acesso, implemente um controlador de domínio dos Serviços de Domínio do Active Directory na assinatura de identidade.
Limite o número de usuários atribuídos à função CloudAdmin. Use funções personalizadas e privilégios mínimos para atribuir usuários à Solução VMware do Azure.
Tenha cuidado ao girar as senhas de administrador do cloudadmin e do NSX.
Limite as permissões de controle de acesso baseado em função (RBAC) da Solução VMware do Azure no Azure ao grupo de recursos onde ele é implantado e aos usuários que precisam gerenciar a Solução VMware do Azure.
Configure apenas as permissões do vSphere com funções personalizadas no nível da hierarquia, se necessário. É melhor aplicar permissões na pasta VM apropriada ou no pool de recursos. Evite a aplicação de permissões do vSphere no nível do datacenter ou acima dele.
Atualize os Sites e Serviços do Ative Directory para direcionar o tráfego do Azure e do Azure VMware Solution AD DS para os controladores de domínio apropriados.
Use o comando Executar em sua nuvem privada para:
Adicione um controlador de domínio do AD DS como uma fonte de identidade para o vCenter Server e NSX-T Data Center.
Executar operação do ciclo de vida no grupo
vsphere.local\CloudAdmins.
Crie grupos no Ative Directory e use o RBAC para gerenciar o vCenter Server e NSX-T Data Center. Você pode criar funções personalizadas e atribuir grupos do Ative Directory às funções personalizadas.
Próximos passos
Saiba mais sobre topologia de rede e conectividade para um cenário de escala empresarial da Solução VMware do Azure. Examine as considerações de design e as práticas recomendadas sobre rede e conectividade com o Microsoft Azure e a Solução VMware do Azure.