Condividi tramite


Gestione delle identità e degli accessi su scala aziendale per la soluzione Azure VMware

Questo articolo si basa sulle informazioni disponibili in Gestione delle identità e degli accessi e concetti relativi all'identità della soluzione Azure VMware.

Usare queste informazioni per esaminare le considerazioni di progettazione e le raccomandazioni per la gestione delle identità e degli accessi specifica per la distribuzione della soluzione Azure VMware.

I requisiti di identità per la soluzione Azure VMware variano in base all'implementazione in Azure. Le informazioni fornite in questo articolo si basano sugli scenari più comuni.

Considerazioni sulla progettazione

Dopo aver distribuito la soluzione Azure VMware, il nuovo ambiente vCenter contiene un utente locale predefinito denominato cloudadmin. Questo utente viene assegnato al ruolo CloudAdmin con diverse autorizzazioni nel server vCenter. È anche possibile creare ruoli personalizzati nell'ambiente della soluzione Azure VMware usando il principio dei privilegi minimi con il controllo degli accessi in base al ruolo.

Consigli per la progettazione

  • Come parte della zona di destinazione per la gestione delle identità e degli accessi su scala aziendale, implementare un controller di dominio di Active Directory Domain Services (AD DS) nell'ambiente dedicato all'identità.

  • Limitare il numero di utenti assegnati al ruolo CloudAdmin. Usare ruoli personalizzati e privilegi minimi per assegnare utenti alla soluzione Azure VMware.

  • Prestare attenzione quando si modificano le password degli amministratori cloudadmin e NSX.

  • Limitare le autorizzazioni del controllo degli accessi in base al ruolo della soluzione Azure VMware solo al gruppo di risorse in cui è distribuito e riservarle agli utenti che devono gestire la soluzione Azure VMware.

  • Configurare solo le autorizzazioni vSphere con ruoli personalizzati a livello di gerarchia, se necessario. È consigliabile applicare le autorizzazioni nella cartella o nel pool di risorse della macchina virtuale appropriato . Evitare l'applicazione delle autorizzazioni vSphere a livello di data center o superiore.

  • Aggiornare Siti e servizi di Active Directory per indirizzare il traffico di Active Directory Domain Services della soluzione Azure e Azure VMware ai controller di dominio appropriati.

  • Usare il comando Esegui nel cloud privato per:

    • Aggiungere un controller di dominio di AD DS come origine delle identità per il server vCenter e il Data Center NSX-T.

    • Eseguire operazioni di ciclo di vita sul gruppo vsphere.local\CloudAdmins.

  • Creare gruppi in Active Directory e usare RBAC per gestire vCenter Server e NSX-T Data Center. È possibile creare ruoli personalizzati e assegnare gruppi di Active Directory ai ruoli personalizzati.

Passaggi successivi

Informazioni sulla topologia di rete e sulla connettività per uno scenario su scala aziendale della soluzione Azure VMware. Esaminare le considerazioni di progettazione e le procedure consigliate per la rete e la connettività con Microsoft Azure e la soluzione Azure VMware.