Azure 进阶攻略 | 上云后的系统,「门禁」制度又该如何实现?
各位办公室白领们,不妨回想一下自己每天去公司上班时的一些细节。
为避免「闲杂人等」进入工作场所,我们需要证明自己是这家公司的员工才能进入,对吧!所有员工,无论所属部门或职位,都必须先证明自己身份,例如刷员工卡、密码锁,或者高大上的指纹识别、面部识别,随后才能进入公司。
然后呢,虽然可以在公司里四处游走了,但对于一些重要部门,例如财务、IT 机房等,也许还需要一些额外的身份验证措施,证明你是这个部门的员工,或者你获得了授权方能进入。当然,为方便起见很多公司都会在这些地方采用和进入大门时一样的验证机制,例如员工卡、指纹、面部识别。但严格来说,这些具体部门所使用的门禁和公司大门处的门禁需要两个截然不同的「身份」。
这一套措施想必大家都很熟悉了。
那么,当公司的 IT 系统上云,托管到 Azure 平台后,如何实施类似的机制,对公司的整体 IT 系统以及重要的系统进行有区别的身份验证和访问控制?
此时可以通过 Azure Active Directory(下文统一简称为 Azure AD)和 Azure 订阅两个机制来实现。
什么是 Azure Active Directory
Azure Active Directory (Azure AD) 是 Azure 提供的基于多租户云的目录和身份管理服务。Azure AD 包含整套身份管理功能,例如多重身份验证、设备注册、自助密码管理、自助组管理、特权帐户管理、基于角色的访问控制、应用程序使用情况监视、多样化审核以及安全监视和警报。这些功能可以帮助保护基于云的应用程序的安全,简化 IT 流程,削减成本,以及确保实现公司的合规目标。
什么是 Azure 订阅
订阅是 Azure 一个重要的概念,它能赋予 Azure 账户对 Azure 服务和 Azure 传统管理门户的访问权限。订阅内含有各类可用的 Azure 资源,同时也是对用户收取费用的最小单位。
我们可以将 Azure AD 理解为公司大门处的门禁。通常来说,任何公司只需要在大门设置这样一个门禁,即可让合法用户进入公司内部,并将其他用户拒之门外。使用 Azure 服务的企业,可以通过一个 Azure AD 为所有员工提供访问 Azure 资源所需的凭据,只有提供有效凭据和正确密码的用户才能访问 Azure 资源。
Azure 订阅是在此基础上对资源进行的一层额外划分。例如我们可以针对不同部门建立不同的 Azure 订阅,借此不仅可分别针对不同部门的资源使用情况进行收费,而且可在不同订阅间进行必要的隔离。
举个例子,某公司在 Azure 中部署了很多应用,其中有所有员工可以访问的内部网站,也有只允许财务部门访问的财务系统。公司里所有员工都拥有自己的 Azure AD 账号,因此所有员工可以随时访问面向全体员工的内部网站。但只有财务部门的员工,或其他获得了授权的用户,才可以访问财务系统。
那 Azure 订阅和 Azure AD 之间有什么关系呢?每个 Azure 订阅都与某个 Azure AD 实例存在信任关系。这意味着,此订阅信任该目录对用户、服务和设备执行身份验证。多个订阅可以信任同一个目录,但一个订阅只能信任一个目录。
那么这就产生了另一个问题:Azure AD 和 Azure 订阅都可以有自己的管理员,这两种管理员帐户有何区别?
默认情况下,当我们注册 Azure 账号时,系统将为我们分配服务管理员角色。如果其他人需要使用同一个订阅登录和访问服务,则可以将他们添加为协同管理员。服务管理员和协同管理员是 Azure 订阅信任的 Azure AD 组织内部的工作或学校帐户。
Azure AD 提供了一组不同的管理角色,用于管理目录和标识相关的功能。例如,目录的全局管理员可以将用户和组添加到目录,或者要求对用户执行多重身份验证。将为创建目录的用户分配全局管理员角色,而他们又可以向其他用户分配管理员角色。
但必须注意,Azure 订阅管理员和 Azure AD 目录管理员是两个不同的概念。Azure 订阅管理员可管理 Azure中的资源,还可在 Azure 经典管理门户中查看 Active Directory 扩展(因为 Azure 经典管理门户是一种 Azure 资源)。Azure AD 管理员可以管理目录中的属性。
请注意,在由世纪互联运营的中国版 Azure 服务中,Azure AD 暂未支持 Microsoft 账户或 Azure AD B2B 合作功能。由此最大的限制在于:当用户分别创建两个 Azure AD 目录 AAA 和 BBB 并购买订阅之后,还不能将两个目录相关联。
对于需要多个 Azure AD 目录相互关联的客户,建议部署的最佳实践如下:
使用 admin@AAA.partner.onmschina.cn 账号在 Azure 传统管理门户中创建BBB.partner.onmschina.cn 目录,这样可以让 admin@AAA.partner.onmschina.cn 被添加为BBB.partner.onmschina.cn 目录的来宾账号。
为 BBB.partner.onmschina.cn 目录添加管理账号admin@BBB.partner.onmschina.cn,需要注意这时admin@BBB.partner.onmschina.cn 因为没有相应的订阅,无法成功登录传统管理门户。
使用 EA 门户,将 admin@BBB.partner.onmschina.cn 加到账号列表内,并为其购买订阅 BBB。
通过以上步骤,可以使 AAA 与 BBB 目录分别拥有自己的管理账号和订阅。同时,由于admin@AAA.partner.onmschina.cn 账号同时存在于 AAA 和 BBB 目录里,客户可以使用该账号将两个目录里的账号互相添加为来宾账号,由此达到多目录间相互关联的目的。
Azure 进阶攻略 | 上云后的系统,「门禁」制度又该如何实现?的更多相关文章
- Azure进阶攻略丨Azure网络通不通,PsPing&PaPing告诉你答案
很多时候,为了解决一些问题,要查各种文档,很麻烦你造吗!做「伸手党」又容易被鄙视,这时候就需要用到[Azure 进阶攻略]啦!特此,我们推出关于 Azure 常用操作指南的系列文章,每篇涉及一个 Az ...
- Azure进阶攻略丨共享访问签名是个什么东东?
Azure 进阶攻略]一经推出便受到了广大粉丝的热情追捧,大家纷纷表示涨了姿势,并希望能了解更多的攻略~根据大家的投票结果,本期,小编将为大家讲解“如何生成 Shared Access Signatu ...
- Azure进阶攻略 | 数据库上云:零停机、自动化
小明最近挺忙,刚刚在外地找了个新工作,正在忙着搬家.多年积攒的家当很多,根本不能潇洒地「说走就走」,于是他联系了搬家公司.专业的就是不一样,不费什么事,就把所有东西打包.运输.拆包到位了.抵达新城市的 ...
- Azure进阶攻略 | 下载还是在浏览器直接打开,MIME说了算!
多年来,从一开始的网络菜鸟发展成 Azure 云专家,想必你一定学到了很多知识.不知道在这个过程中你自己是否遇到过,或者被人问到过类似下面这样的问题: 同样是直接点击网页上提供的 .mp4 视频文件链 ...
- Azure进阶攻略 | 该如何唤醒你?因内核超时而沉睡的Linux虚拟机!
周五下午,当你收拾好东西准备下班,奔赴 Happy Hour 时,突然接到开发团队的电话: 对方:伙计救命啊,我在搭建开发环境,但 Azure 上的 Linux 虚拟机无法启动! 你(心里想着:你要加 ...
- Azure 进阶攻略 | 电脑跑分你会,但虚拟机存储性能跑分的正确姿势你造吗?
想学生时代,小编最爱做的就是研究电脑硬件,然后给自己.朋友和童鞋装机.装好后呢?当然要第一时间跑分了!各种跑分软件运行一遍,不断优化,不断测试.终于得到一个满意成绩,截图分享到网上显摆一下.当年为啥就 ...
- Azure进阶攻略 | VS2015和Azure,想要在一起其实很容易
下雨天,巧克力和音乐很配…… 大冬天,男神和捧在手里的奶茶很配…… 「驴牌」的包包,和女神的全部衣服都配…… 对于「王首富」,容易实现的小目标和一个亿是绝配…… …… 醒醒吧!!这些事情和每天只会写代 ...
- Azure进阶攻略 | 你的程序也能察言观色?这个真的可以有!
前段时间有个网站曾经火爆微博和朋友圈:颜龄机器人.只要随便上传一张包含人面孔的照片,这个网站就可以分析图片,并判断照片中人物的年龄.化妆.美颜 P 图.帽子墨镜之类的配饰,几乎都没法影响这个网站的检测 ...
- Azure 进阶攻略 | 文件完整性,你打算如何证明?
假设你是一位独立软件开发者,通过自己的网站提供软件下载.网站完全托管在 Azure 中,并且软件下载也是通过 Azure Blob 存储和 Azure CDN 服务提供的. 这做法真不错,不需要自己管 ...
随机推荐
- EA888发动机系列
EA888发动机是一个发动机系列,有很多型号,比如从二代机开始,二代机叫做Evolution 2,简称EVO2,分别有CEA:1.8T 横置:CCU:1.8T 纵置:CGM:2.0T横置,CRH:2. ...
- SprimgMVC学习笔记(九)—— RESTful支持
一.什么是restful? Restful就是一个资源定位及资源操作的风格,其核心是面向资源.不是标准也不是协议,只是一种风格.基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制.RES ...
- Luogu P1471 方差 线段树
那是上上周...也是重构了四遍...后来GG了...今天又拾起,搞了搞终于过了... 好吧就是个线段树,公式懒得推了https://www.cnblogs.com/Jackpei/p/10693561 ...
- 洛谷1026(字符串dp)
常规dp.看到数据很小就直接暴力了,没有预处理.kmp好像过分了-- #include <cstdio> #include <cstring> #include <ios ...
- jq自定义鼠标右键菜单
效果: 代码: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <t ...
- 理解 Spring 事务原理
转载:https://www.jianshu.com/p/4312162b1458 一.事务的基本原理 Spring事务的本质其实就是数据库对事务的支持,没有数据库的事务支持,spring是无法提供事 ...
- VS2015+NUnit+OpenCover 完成单元测试代码覆盖率测试
1.VS2015+NUnit+OpenCover 完成单元测试代码覆盖率测试 https://download.csdn.net/download/qq_39441918/10522539 2.*注意 ...
- tomcat入门(一)几种常见的使用tomcat部署项目的方式
1.常规方式部署 直接把web项目复制到tomcat安装目录下的%Tomcat_Home%/webapps/{web项目} 2.使用控制台进行部署 若一个web应用结构为D:\workspace\We ...
- RTT之柿饼UI
console.log("strings")//向单片机通过串口发送日志提示信息 this.setData({label1: { value : "Hello RT-Th ...
- (转)python学习链接
原文:http://www.cnblogs.com/spykids/category/782491.html http://www.cnblogs.com/alex3714/category/7707 ...