Konfigurace víceklientské architektury ve službě Azure Stack Hub

Službu Azure Stack Hub můžete nakonfigurovat tak, aby podporovala přihlašování uživatelů, kteří se nacházejí v jiných adresářích Microsoft Entra, a umožnili jim tak používat služby ve službě Azure Stack Hub. Tyto adresáře mají vztah hosta s adresářem služby Azure Stack Hub a považují se za hosta tenantů Microsoft Entra.

Představte si například tento scénář:

• Jste správcem služby contoso.onmicrosoft.com, domovského tenanta Microsoft Entra, který poskytuje služby správy identit a přístupu ke službě Azure Stack Hub.
• Mary je správce adresáře adatum.onmicrosoft.com, hostovaného tenanta Microsoft Entra, kde se nacházejí uživatelé typu host.
• Společnost Mary (Adatum) používá služby IaaS a PaaS od vaší společnosti. Adatum chce uživatelům z adresáře hostů (adatum.onmicrosoft.com) povolit přihlášení a používání prostředků služby Azure Stack Hub zabezpečených contoso.onmicrosoft.com.

Tato příručka obsahuje požadované kroky v kontextu tohoto scénáře k povolení nebo zakázání víceklientské architektury ve službě Azure Stack Hub pro tenanta adresáře hostů. Vy a Mary tento proces provedete registrací nebo zrušením registrace tenanta adresáře hostů, který umožňuje nebo zakáže přihlašování a používání služeb služby Azure Stack Hub uživateli Adatum.

Pokud jste poskytovatel cloudových řešení (CSP), máte další způsoby konfigurace a správy služby Azure Stack Hub s více tenanty.

Požadavky

Než zaregistrujete nebo zrušíte registraci adresáře hostů, musíte vy a Mary provést kroky správy pro příslušné tenanty Microsoft Entra: domovský adresář služby Azure Stack Hub (Contoso) a adresář hostů (Adatum):

• Nainstalujte a nakonfigurujte PowerShell pro Azure Stack Hub.

• Stáhněte si nástroje služby Azure Stack Hub a pak naimportujte moduly Connect and Identity:

  Import-Module .\Identity\AzureStack.Identity.psm1
  

Registrace adresáře hostů

Pokud chcete zaregistrovat adresář hostů pro víceklientské architektury, musíte nakonfigurovat domovský adresář služby Azure Stack Hub i adresář hosta.

Konfigurace adresáře služby Azure Stack Hub

Jako správce služby contoso.onmicrosoft.com musíte nejprve nasadit tenanta adresáře hosta Adatum do služby Azure Stack Hub. Následující skript nakonfiguruje Azure Resource Manager tak, aby přijímal přihlašování od uživatelů a instančních objektů v tenantovi adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurace adresáře hosta

V dalším kroku musí Mary (správce adresáře Adatum) zaregistrovat službu Azure Stack Hub v adresáři hosta adatum.onmicrosoft.com spuštěním následujícího skriptu:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Důležité

Pokud správce služby Azure Stack Hub v budoucnu nainstaluje nové služby nebo aktualizace, možná budete muset tento skript spustit znovu.

Spusťte tento skript znovu a zkontrolujte stav aplikací služby Azure Stack Hub ve vašem adresáři.

Pokud zjistíte problémy s vytvářením virtuálních počítačů v Spravované disky (zavedeným v aktualizaci 1808), přidali jsme nového poskytovatele prostředků disku, který vyžaduje opětovné spuštění tohoto skriptu.

Nasměrovat uživatele, aby se přihlásili

Nakonec může Mary nasměrovat uživatele Adatum s @adatum.onmicrosoft.com účty, aby se přihlásili na portálu Azure Stack Hub User Portal. U systémů s více uzlu je adresa URL portálu User Portal naformátovaná jako https://portal.<region>.<FQDN>. Pro nasazení ASDK je https://portal.local.azurestack.externaladresa URL .

Marie musí také nasměrovat všechny cizí objekty (uživatele v adresáři Adatum bez přípony adatum.onmicrosoft.com), aby se přihlásili pomocí https://<user-portal-url>/adatum.onmicrosoft.com. Pokud v adrese URL nezadají /adatum.onmicrosoft.com tenanta adresáře, odešlou se do výchozího adresáře a zobrazí se chyba s oznámením, že správce nevyjádřel souhlas.

Zrušení registrace adresáře hosta

Pokud už nechcete povolit přihlašování ke službám Azure Stack Hubu z tenanta adresáře hosta, můžete zrušit registraci adresáře. Znovu je potřeba nakonfigurovat domovský adresář služby Azure Stack Hub i adresář hosta:

1. Jako správce adresáře hostů (Mary v tomto scénáři) spusťte Unregister-AzsWithMyDirectoryTenantpříkaz . Rutina odinstaluje všechny aplikace Azure Stack Hub z nového adresáře.

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
   $tenantARMEndpoint = "https://management.local.azurestack.external"
   
   ## Replace the value below with the guest directory tenant.
   $guestDirectoryTenantName = "adatum.onmicrosoft.com"
   
   Unregister-AzsWithMyDirectoryTenant `
    -TenantResourceManagerEndpoint $tenantARMEndpoint `
    -DirectoryTenantName $guestDirectoryTenantName `
    -Verbose 
   

2. Jako správce služby Azure Stack Hub (v tomto scénáři) spusťte rutinu Unregister-AzSGuestDirectoryTenant :

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
   $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
   
   ## Replace the value below with the Azure Stack Hub directory
   $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
   
   ## Replace the value below with the guest directory tenant. 
   $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
   
   ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
   $ResourceGroupName = "system.local"
   
   Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
    -DirectoryTenantName $azureStackDirectoryTenant `
    -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
    -ResourceGroupName $ResourceGroupName
   

   Upozorňující

   Kroky k zakázání víceklientské architektury musí být provedeny v pořadí. Krok 1 selže, pokud se krok 2 dokončí jako první.

Načtení sestavy stavu identity ve službě Azure Stack Hub

<region>Nahraďte symboly a <domain>zástupné symboly a <homeDirectoryTenant> pak spusťte následující rutinu jako správce služby Azure Stack Hub.

$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Aktualizace oprávnění tenanta Microsoft Entra

Tato akce vymaže výstrahu ve službě Azure Stack Hub, která indikuje, že adresář vyžaduje aktualizaci. Ve složce Azurestack-tools-master/identity spusťte následující příkaz:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skript vás vyzve k zadání přihlašovacích údajů správce v tenantovi Microsoft Entra a spuštění trvá několik minut. Výstraha se po spuštění rutiny vymaže.

Registrace adresáře hostů

Pokud chcete zaregistrovat adresář hostů pro víceklientské architektury, musíte nakonfigurovat domovský adresář služby Azure Stack Hub i adresář hosta.

Konfigurace adresáře služby Azure Stack Hub

Prvním krokem je, aby systém Služby Azure Stack Hub věděl o adresáři hosta. V tomto příkladu se adresář společnosti Mary Adatum nazývá adatum.onmicrosoft.com.

1. Přihlaste se k portálu pro správu služby Azure Stack Hub a přejděte na Všechny služby – Adresáře.

   

2. Výběrem možnosti Přidat zahájíte proces onboardingu. Zadejte název adresáře hosta adatum.onmicrosoft.com a pak vyberte Přidat.

   

3. Adresář hostů se zobrazí v zobrazení seznamu se stavem zrušení registrace.

   

4. Pouze Mary má přihlašovací údaje pro ověření v adresáři hostů, takže musíte poslat odkaz k dokončení registrace. Zaškrtněte políčko adatum.onmicrosoft.com a pak vyberte Zaregistrovat.

   

5. Otevře se na nová karta prohlížeče. V dolní části stránky vyberte Kopírovat odkaz a zadejte ho Mary.

6. Pokud máte přihlašovací údaje pro adresář hostů, můžete registraci dokončit sami výběrem možnosti Přihlásit se.

   

Konfigurace adresáře hosta

Mary obdržela e-mail s odkazem pro registraci adresáře. Otevře odkaz v prohlížeči a potvrdí ID Microsoft Entra a koncový bod Azure Resource Manageru vašeho systému Azure Stack Hub.

1. Mary se přihlásí pomocí přihlašovacích údajů správce pro adatum.onmicrosoft.com.

   Poznámka:

   Před přihlášením se ujistěte, že blokování automaticky otevíraných oken je zakázané.

   

2. Mary zkontroluje stav adresáře a uvidí, že není zaregistrovaný.

   

3. Mary vybere Zaregistrovat a zahájí proces.

   Poznámka:

   Požadované objekty pro Visual Studio Code nemusí být možné vytvořit a musí používat PowerShell.

   

4. Po dokončení procesu registrace může Mary zkontrolovat všechny aplikace vytvořené v adresáři a zkontrolovat jejich stav.

   

5. Mary úspěšně dokončila proces registrace a teď může nasměrovat uživatele Adatum s @adatum.onmicrosoft.com účty, aby se přihlásili přes uživatelský portál služby Azure Stack Hub. U systémů s více uzlu je adresa URL portálu User Portal naformátovaná jako https://portal.<region>.<FQDN>. Pro nasazení ASDK je https://portal.local.azurestack.externaladresa URL .

Důležité

Zobrazení stavu adresáře na portálu pro správu může trvat až jednu hodinu.

Marie musí také nasměrovat všechny cizí objekty (uživatele v adresáři Adatum bez přípony adatum.onmicrosoft.com), aby se přihlásili pomocí https://<user-portal-url>/adatum.onmicrosoft.com. Pokud v adrese URL nezadají /adatum.onmicrosoft.com tenanta adresáře, odešlou se do výchozího adresáře a zobrazí se chyba s oznámením, že správce nevyjádřel souhlas.

Zrušení registrace adresáře hosta

Pokud už nechcete povolit přihlašování ke službám Azure Stack Hubu z tenanta adresáře hosta, můžete zrušit registraci adresáře. Znovu je potřeba nakonfigurovat domovský adresář služby Azure Stack Hub i adresář hosta:

Konfigurace adresáře hosta

Mary už nepoužívá služby ve službě Azure Stack Hub a musí objekty odebrat. Znovu otevře adresu URL, kterou přijala e-mailem, aby adresář odregistrovala. Před zahájením tohoto procesu Mary odebere všechny prostředky z předplatného služby Azure Stack Hub.

1. Mary se přihlásí pomocí přihlašovacích údajů správce pro adatum.onmicrosoft.com.

   Poznámka:

   Před přihlášením se ujistěte, že blokování automaticky otevíraných oken je zakázané.

   

2. Mary vidí stav adresáře.

   

3. Mary vybere zrušit registraci a zahájí akci.

   

4. Po dokončení procesu se stav zobrazí jako Nezaregistrováno:

   

   Mary úspěšně zruší registraci adresáře adatum.onmicrosoft.com.

   Poznámka:

   Zobrazení adresáře, který není zaregistrovaný na portálu pro správu služby Azure Stack, může trvat až jednu hodinu.

Konfigurace adresáře služby Azure Stack Hub

Jako operátor služby Azure Stack Hub můžete adresář hosta kdykoli odebrat, i když Mary předtím adresář neodregistroval.

1. Přihlaste se k portálu pro správu služby Azure Stack Hub a přejděte na Všechny služby – Adresáře.

   

2. Zaškrtněte políčko adatum.onmicrosoft.com adresář a pak vyberte Odebrat.

   

3. Potvrďte akci odstranění zadáním ano a výběrem možnosti Odebrat.

   

   Adresář jste úspěšně odebrali.

Správa požadovaných aktualizací

Aktualizace služby Azure Stack Hub můžou zavádět podporu nových nástrojů nebo služeb, které můžou vyžadovat aktualizaci domovského adresáře nebo adresáře hostů.

Jako operátor služby Azure Stack Hub se na portálu pro správu zobrazí upozornění, které vás informuje o požadované aktualizaci adresáře. Pokud chcete zjistit, jestli se aktualizace vyžaduje pro domovské adresáře nebo adresáře hostů, můžete si prohlédnout podokno adresářů na portálu pro správu. Každý seznam adresářů zobrazuje typ adresáře. Typ může být domovský nebo hostovaný adresář a zobrazí se jeho stav.

Aktualizace adresářů služby Azure Stack Hub

Když se vyžaduje aktualizace adresáře služby Azure Stack Hub, zobrazí se stav Požadováno aktualizace. Příklad:

Chcete-li aktualizovat adresář, zaškrtněte políčko Název adresáře a pak vyberte Aktualizovat.

Aktualizace adresáře hosta

Operátor služby Azure Stack Hub by měl také informovat vlastníka adresáře hosta, že musí aktualizovat svůj adresář pomocí adresy URL sdílené pro registraci. Operátor může adresu URL znovu odeslat, ale nezmění se.

Mary, vlastník adresáře hostů, otevře adresu URL, kterou obdržela e-mailem při registraci adresáře:

1. Mary se přihlásí pomocí přihlašovacích údajů správce pro adatum.onmicrosoft.com. Před přihlášením se ujistěte, že blokování automaticky otevíraných oken je zakázané.

   

2. Mary vidí stav adresáře, který říká, že je požadována aktualizace.

3. Akce Aktualizace je k dispozici pro Mary k aktualizaci adresáře hostů. Zobrazení adresáře zaregistrovaného na portálu pro správu služby Azure Stack může trvat až jednu hodinu.

Další možnosti

Operátor služby Azure Stack Hub může zobrazit předplatná přidružená k adresáři. Každý adresář má navíc akci pro správu adresáře přímo na webu Azure Portal. Ke správě musí mít cílový adresář oprávnění ke správě na webu Azure Portal.

Další kroky

• Správa delegovaných poskytovatelů
• Klíčové koncepty služby Azure Stack Hub
• Správa využití a fakturace pro Azure Stack Hub jako poskytovatele cloudových řešení
• Přidání tenanta pro využití a fakturaci do služby Azure Stack Hub