Konfigurowanie wielu dzierżaw w usłudze Azure Stack Hub
Usługę Azure Stack Hub można skonfigurować tak, aby obsługiwała logowania użytkowników znajdujących się w innych katalogach firmy Microsoft Entra, umożliwiając im korzystanie z usług w usłudze Azure Stack Hub. Te katalogi mają relację "gościa" z katalogiem usługi Azure Stack Hub i są traktowane jako dzierżawy gościa firmy Microsoft Entra.
Rozważmy na przykład ten scenariusz:
- Jesteś administratorem usługi contoso.onmicrosoft.com, głównej dzierżawy firmy Microsoft Entra, która zapewnia usługi zarządzania tożsamościami i dostępem do usługi Azure Stack Hub.
- Mary jest administratorem katalogu adatum.onmicrosoft.com, dzierżawą gościa Firmy Microsoft Entra, w której znajdują się użytkownicy-goście.
- Firma Mary's (Adatum) korzysta z usług IaaS i PaaS firmy. Adatum chce zezwolić użytkownikom z katalogu gościa (adatum.onmicrosoft.com) na logowanie się i używanie zasobów usługi Azure Stack Hub zabezpieczonych przez contoso.onmicrosoft.com.
Ten przewodnik zawiera kroki wymagane w kontekście tego scenariusza, aby włączyć lub wyłączyć wielodostępność w usłudze Azure Stack Hub dla dzierżawy katalogu gościa. Ty i Mary wykonasz ten proces, rejestrując lub wyrejestrując dzierżawę katalogu gościa, która włącza lub wyłącza logowania i użycie usług w usłudze Azure Stack Hub przez użytkowników usługi Adatum.
Jeśli jesteś Dostawca rozwiązań w chmurze (CSP), masz inne sposoby konfigurowania wielodostępnej usługi Azure Stack Hub i zarządzania nią.
Wymagania wstępne
Przed zarejestrowaniem lub wyrejestrowywaniem katalogu gościa należy wykonać kroki administracyjne dla odpowiednich dzierżaw firmy Microsoft Entra: katalogu macierzystego usługi Azure Stack Hub (Contoso) i katalogu gościa (Adatum):
Instalowanie i konfigurowanie programu PowerShell dla usługi Azure Stack Hub.
Pobierz narzędzia usługi Azure Stack Hub, a następnie zaimportuj moduły Connect and Identity:
Import-Module .\Identity\AzureStack.Identity.psm1
Rejestrowanie katalogu gościa
Aby zarejestrować katalog gościa dla wielu dzierżaw, należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa.
Konfigurowanie katalogu usługi Azure Stack Hub
Jako administrator usługi contoso.onmicrosoft.com musisz najpierw dołączyć dzierżawę katalogu gościa Adatum do usługi Azure Stack Hub. Poniższy skrypt konfiguruje usługę Azure Resource Manager tak, aby akceptowała logowania użytkowników i jednostek usługi w dzierżawie adatum.onmicrosoft.com:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Konfigurowanie katalogu gościa
Następnie Mary (administrator katalogu Adatum) musi zarejestrować usługę Azure Stack Hub w katalogu gościa adatum.onmicrosoft.com, uruchamiając następujący skrypt:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Ważne
Jeśli administrator usługi Azure Stack Hub zainstaluje nowe usługi lub aktualizacje w przyszłości, może być konieczne ponowne uruchomienie tego skryptu.
Uruchom ten skrypt ponownie w dowolnym momencie, aby sprawdzić stan aplikacji usługi Azure Stack Hub w katalogu.
Jeśli zauważysz problemy z tworzeniem maszyn wirtualnych w Dyski zarządzane (wprowadzonej w aktualizacji 1808), dodano nowego dostawcę zasobów dysku, co wymaga ponownego uruchomienia tego skryptu.
Kierowanie użytkowników do logowania
Na koniec Mary może kierować użytkowników aplikacji Adatum przy @adatum.onmicrosoft.com użyciu kont, aby się zalogować, odwiedzając portal użytkowników usługi Azure Stack Hub. W przypadku systemów wielowęźnych adres URL portalu użytkowników jest sformatowany jako https://portal.<region>.<FQDN>. W przypadku wdrożenia zestawu ASDK adres URL to https://portal.local.azurestack.external.
Mary musi również kierować wszystkich zagranicznych podmiotów zabezpieczeń (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com), aby zalogować się przy użyciu polecenia https://<user-portal-url>/adatum.onmicrosoft.com. Jeśli nie określą dzierżawy /adatum.onmicrosoft.com katalogu w adresie URL, są one wysyłane do katalogu domyślnego i otrzymują komunikat o błędzie informujący, że administrator nie wyraził zgody.
Wyrejestrowywanie katalogu gościa
Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa:
Jako administrator katalogu gościa (Mary w tym scenariuszu) uruchom polecenie
Unregister-AzsWithMyDirectoryTenant. Polecenie cmdlet odinstalowuje wszystkie aplikacje usługi Azure Stack Hub z nowego katalogu.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -VerboseJako administrator usługi Azure Stack Hub (w tym scenariuszu
Unregister-AzSGuestDirectoryTenant) uruchom polecenie cmdlet:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupNameOstrzeżenie
Kroki wyłączania wielu dzierżaw należy wykonać w podanej kolejności. Krok 1 kończy się niepowodzeniem, jeśli krok 2 został ukończony jako pierwszy.
Pobieranie raportu kondycji tożsamości usługi Azure Stack Hub
Zastąp <region>symbole zastępcze , <domain>i <homeDirectoryTenant> , a następnie wykonaj następujące polecenie cmdlet jako administrator usługi Azure Stack Hub.
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Aktualizowanie uprawnień dzierżawy usługi Microsoft Entra
Ta akcja czyści alert w usłudze Azure Stack Hub wskazujący, że katalog wymaga aktualizacji. Uruchom następujące polecenie z folderu Azurestack-tools-master/identity :
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
Skrypt wyświetla monit o podanie poświadczeń administracyjnych w dzierżawie firmy Microsoft Entra i może potrwać kilka minut. Alert jest czyszczy po uruchomieniu polecenia cmdlet.
Zarządzanie oparte na portalu nie jest obsługiwane w tej wersji
Zarządzanie wieloma dzierżawami przy użyciu portalu administratora jest dostępne tylko w wersjach 2102 i nowszych. Wybierz nowszą wersję przy użyciu selektora w lewej górnej części strony.
Rejestrowanie katalogu gościa
Aby zarejestrować katalog gościa dla wielu dzierżaw, należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa.
Konfigurowanie katalogu usługi Azure Stack Hub
Pierwszym krokiem jest uświadomienie systemowi usługi Azure Stack Hub katalogu gościa. W tym przykładzie katalog firmy Mary's, Adatum, nosi nazwę adatum.onmicrosoft.com.
Zaloguj się do portalu administratora usługi Azure Stack Hub i przejdź do pozycji Wszystkie usługi — katalogi.
Wybierz pozycję Dodaj , aby rozpocząć proces dołączania. Wprowadź nazwę katalogu gościa "adatum.onmicrosoft.com", a następnie wybierz pozycję Dodaj.
Katalog gościa zostanie wyświetlony w widoku listy ze stanem wyrejestrowanym.
Tylko Mary ma poświadczenia do uwierzytelniania w katalogu gościa, więc musisz wysłać jej link, aby ukończyć rejestrację. Zaznacz pole wyboru adatum.onmicrosoft.com, a następnie wybierz pozycję Zarejestruj.
Zostanie otwarta nowa karta przeglądarki Wybierz pozycję Kopiuj link w dolnej części strony i podaj go Mary.
Jeśli masz poświadczenia dla katalogu gościa, możesz ukończyć rejestrację samodzielnie, wybierając pozycję Zaloguj.
Konfigurowanie katalogu gościa
Mary otrzymała wiadomość e-mail z linkiem do zarejestrowania katalogu. Otwiera link w przeglądarce i potwierdza identyfikator Microsoft Entra oraz punkt końcowy usługi Azure Resource Manager systemu Azure Stack Hub.
Mary loguje się przy użyciu poświadczeń administratora dla adatum.onmicrosoft.com.
Uwaga
Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.
Mary przegląda stan katalogu i widzi, że nie jest zarejestrowany.
Mary wybiera pozycję Zarejestruj , aby rozpocząć proces.
Uwaga
Wymagane obiekty dla programu Visual Studio Code mogą nie być w stanie utworzyć i muszą używać programu PowerShell.
Po zakończeniu procesu rejestracji Mary może przejrzeć wszystkie aplikacje utworzone w katalogu i sprawdzić ich stan.
Mary pomyślnie ukończyła proces rejestracji i może teraz kierować użytkowników aplikacji Adatum przy @adatum.onmicrosoft.com użyciu kont, aby się zalogować, odwiedzając portal użytkowników usługi Azure Stack Hub. W przypadku systemów wielowęźnych adres URL portalu użytkowników jest sformatowany jako
https://portal.<region>.<FQDN>. W przypadku wdrożenia zestawu ASDK adres URL tohttps://portal.local.azurestack.external.
Ważne
Wyświetlanie stanu katalogu zaktualizowanego w portalu administracyjnym może potrwać do jednej godziny.
Mary musi również kierować wszystkich zagranicznych podmiotów zabezpieczeń (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com), aby zalogować się przy użyciu polecenia https://<user-portal-url>/adatum.onmicrosoft.com. Jeśli nie określą dzierżawy /adatum.onmicrosoft.com katalogu w adresie URL, są one wysyłane do katalogu domyślnego i otrzymują komunikat o błędzie informujący, że administrator nie wyraził zgody.
Wyrejestrowywanie katalogu gościa
Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa:
Konfigurowanie katalogu gościa
Mary nie korzysta już z usług w usłudze Azure Stack Hub i musi usunąć obiekty. Ponownie otworzy adres URL, który otrzymał za pośrednictwem poczty e-mail, aby wyrejestrować katalog. Przed rozpoczęciem tego procesu Mary usuwa wszystkie zasoby z subskrypcji usługi Azure Stack Hub.
Mary loguje się przy użyciu poświadczeń administratora dla adatum.onmicrosoft.com.
Uwaga
Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.
Mary widzi stan katalogu.
Mary wybiera Wyrejestruj, aby rozpocząć akcję.
Po zakończeniu procesu stan jest wyświetlany jako Niezarejestrowany:
Mary pomyślnie wyrejestrowała katalog adatum.onmicrosoft.com.
Uwaga
Wyświetlenie katalogu jako niezarejestrowanych w portalu administracyjnym usługi Azure Stack może potrwać do jednej godziny.
Konfigurowanie katalogu usługi Azure Stack Hub
Jako operator usługi Azure Stack Hub możesz usunąć katalog gościa w dowolnym momencie, nawet jeśli mary nie wyrejestrowała wcześniej katalogu.
Zaloguj się do portalu administratora usługi Azure Stack Hub i przejdź do pozycji Wszystkie usługi — katalogi.
Zaznacz pole wyboru adatum.onmicrosoft.com katalogu, a następnie wybierz pozycję Usuń.
Potwierdź akcję usuwania, wpisując tak i wybierając pozycję Usuń.
Pomyślnie usunięto katalog.
Zarządzanie wymaganymi aktualizacjami
Aktualizacje usługi Azure Stack Hub mogą wprowadzać obsługę nowych narzędzi lub usług, które mogą wymagać aktualizacji katalogu macierzystego lub gościa.
Jako operator usługi Azure Stack Hub otrzymujesz alert w portalu administracyjnym informujący o wymaganej aktualizacji katalogu. Można również określić, czy aktualizacja jest wymagana dla katalogów domowych lub gościa, wyświetlając okienko katalogów w portalu administracyjnym. Każda lista katalogów zawiera typ katalogu. Typ może być katalogiem głównym lub gościem, a jego stan jest wyświetlany.
Aktualizowanie katalogów usługi Azure Stack Hub
Gdy wymagana jest aktualizacja katalogu usługi Azure Stack Hub, zostanie wyświetlony stan Wymagane aktualizacji. Na przykład:
Aby zaktualizować katalog, zaznacz pole wyboru Nazwa katalogu, a następnie wybierz pozycję Aktualizuj.
Aktualizowanie katalogu gościa
Operator usługi Azure Stack Hub powinien również poinformować właściciela katalogu gościa o konieczności zaktualizowania katalogu przy użyciu adresu URL udostępnionego do rejestracji. Operator może ponownie wysłać adres URL, ale nie zmienia się.
Mary, właściciel katalogu gościa, otwiera adres URL otrzymany za pośrednictwem poczty e-mail, gdy zarejestrowała katalog:
Mary loguje się przy użyciu poświadczeń administratora dla adatum.onmicrosoft.com. Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.
Mary widzi stan katalogu z informacją, że wymagana jest aktualizacja.
Akcja Aktualizuj jest dostępna dla Mary, aby zaktualizować katalog gościa. Wyświetlenie katalogu w portalu administracyjnym usługi Azure Stack może potrwać do jednej godziny.
Dodatkowe możliwości
Operator usługi Azure Stack Hub może wyświetlać subskrypcje skojarzone z katalogiem. Ponadto każdy katalog ma akcję zarządzania katalogiem bezpośrednio w witrynie Azure Portal. Aby zarządzać, katalog docelowy musi mieć uprawnienia do zarządzania w witrynie Azure Portal.