Share via

Identitets- och åtkomsthantering i företagsskala för Azure VMware Solution

  • Artikel

Den här artikeln bygger på den information som finns i identitets- och åtkomsthantering och Azure VMware Solution identitetsbegrepp.

Använd den här informationen för att undersöka designöverväganden och rekommendationer för identitets- och åtkomsthantering som är specifika för distributionen av Azure VMware Solution.

Identitetskraven för Azure VMware Solution varierar beroende på implementeringen i Azure. Informationen i den här artikeln baseras på de vanligaste scenarierna.

Designöverväganden

När du har distribuerat Azure VMware Solution innehåller den nya miljöns vCenter en inbyggd lokal användare med namnet cloudadmin. Den här användaren tilldelas rollen CloudAdmin med flera behörigheter i vCenter Server. Du kan också skapa anpassade roller i din Azure VMware Solution miljö med principen om minsta behörighet med rollbaserad åtkomstkontroll (RBAC).

Designrekommendationer

  • Som en del av landningszonen för identitets- och åtkomsthantering i företagsskala distribuerar du en domänkontrollant för Active Directory Domain Services (AD DS) i identitetsprenumerationen.

  • Begränsa antalet användare som du tilldelar Rollen CloudAdmin. Använd anpassade roller och minsta behörighet för att tilldela användare till Azure VMware Solution.

  • Var försiktig när du roterar cloudadmin- och NSX-administratörslösenord.

  • Begränsa Azure VMware Solution rbac-behörigheter (rollbaserad åtkomstkontroll) i Azure till resursgruppen där den distribueras och de användare som behöver hantera Azure VMware Solution.

  • Konfigurera endast vSphere-behörigheter med anpassade roller på hierarkinivå om det behövs. Det är bättre att använda behörigheter i lämplig VM-mapp eller resurspool. Undvik att tillämpa vSphere-behörigheter på eller över datacenternivån.

  • Uppdatera Active Directory-platser och -tjänster för att dirigera Azure- och Azure VMware Solution AD DS-trafik till lämpliga domänkontrollanter.

  • Använd kommandot Kör i ditt privata moln för att:

    • Lägg till en AD DS-domänkontrollant som en identitetskälla för vCenter Server och NSX-T Data Center.

    • Ange livscykelåtgärd för vsphere.local\CloudAdmins gruppen.

  • Skapa grupper i Active Directory och använd RBAC för att hantera vCenter Server och NSX-T Data Center. Du kan skapa anpassade roller och tilldela Active Directory-grupper till de anpassade rollerna.

Nästa steg

Lär dig mer om nätverkstopologi och anslutning för ett Azure VMware Solution scenario i företagsskala. Granska designöverväganden och metodtips för nätverk och anslutning med Microsoft Azure och Azure VMware Solution.

Nätverkstopologi och anslutning