Identitets- och åtkomsthantering i företagsskala för Azure VMware Solution
Den här artikeln bygger på den information som finns i identitets- och åtkomsthantering och Azure VMware Solution identitetsbegrepp.
Använd den här informationen för att undersöka designöverväganden och rekommendationer för identitets- och åtkomsthantering som är specifika för distributionen av Azure VMware Solution.
Identitetskraven för Azure VMware Solution varierar beroende på implementeringen i Azure. Informationen i den här artikeln baseras på de vanligaste scenarierna.
Designöverväganden
När du har distribuerat Azure VMware Solution innehåller den nya miljöns vCenter en inbyggd lokal användare med namnet cloudadmin
. Den här användaren tilldelas rollen CloudAdmin med flera behörigheter i vCenter Server. Du kan också skapa anpassade roller i din Azure VMware Solution miljö med principen om minsta behörighet med rollbaserad åtkomstkontroll (RBAC).
Designrekommendationer
Som en del av landningszonen för identitets- och åtkomsthantering i företagsskala distribuerar du en domänkontrollant för Active Directory Domain Services (AD DS) i identitetsprenumerationen.
Begränsa antalet användare som du tilldelar Rollen CloudAdmin. Använd anpassade roller och minsta behörighet för att tilldela användare till Azure VMware Solution.
Var försiktig när du roterar cloudadmin- och NSX-administratörslösenord.
Begränsa Azure VMware Solution rbac-behörigheter (rollbaserad åtkomstkontroll) i Azure till resursgruppen där den distribueras och de användare som behöver hantera Azure VMware Solution.
Konfigurera endast vSphere-behörigheter med anpassade roller på hierarkinivå om det behövs. Det är bättre att använda behörigheter i lämplig VM-mapp eller resurspool. Undvik att tillämpa vSphere-behörigheter på eller över datacenternivån.
Uppdatera Active Directory-platser och -tjänster för att dirigera Azure- och Azure VMware Solution AD DS-trafik till lämpliga domänkontrollanter.
Använd kommandot Kör i ditt privata moln för att:
Lägg till en AD DS-domänkontrollant som en identitetskälla för vCenter Server och NSX-T Data Center.
Ange livscykelåtgärd för
vsphere.local\CloudAdmins
gruppen.
Skapa grupper i Active Directory och använd RBAC för att hantera vCenter Server och NSX-T Data Center. Du kan skapa anpassade roller och tilldela Active Directory-grupper till de anpassade rollerna.
Nästa steg
Lär dig mer om nätverkstopologi och anslutning för ett Azure VMware Solution scenario i företagsskala. Granska designöverväganden och metodtips för nätverk och anslutning med Microsoft Azure och Azure VMware Solution.