Упражнение. Настройка идентификатора Microsoft Entra
Это упражнение позволяет создавать сущности, связанные с идентификатором Microsoft Entra и управлять ими, включая клиентов Microsoft Entra, пользователей и групп. Сначала создайте учетную запись пользователя и две группы в клиенте Microsoft Entra, связанном с подпиской, и добавьте пользователя в первую группу. Затем вы создадите другой клиент Microsoft Entra и учетную запись пользователя в этом клиенте. В завершение вы добавите учетную запись пользователя из второго клиента в качестве гостевой учетной записи в первом клиенте. В последующих упражнениях этого модуля вы реализуете интеграцию между экземпляром одного сервера База данных Azure для PostgreSQL и первым клиентом Microsoft Entra и предоставлением доступа к его содержимому двум ранее созданным группам.
В этом упражнении вы выполните следующие действия.
- Создайте объекты пользователей и групп Microsoft Entra в клиенте Microsoft Entra, связанном с подпиской Azure.
- Создайте дополнительный клиент Microsoft Entra и объект пользователя.
- Создайте и настройте гостевого пользователя Microsoft Entra в клиенте Microsoft Entra, связанном с подпиской Azure.
Необходимые компоненты
Для выполнения этого упражнения вам потребуется следующее:
- Учетная запись Azure с активной подпиской. Если у вас нет учетной записи Azure, создайте бесплатную учетную запись, прежде чем начинать работу. Для этого модуля рекомендуется использовать тестовую среду, например бесплатную учетную запись.
- Учетная запись Azure должна иметь разрешения для управления приложениями. Дополнительные сведения о ролях Entra и использовании принципа наименьшей привилегии см . в рекомендациях по ролям Microsoft Entra и встроенным ролям Microsoft Entra.
- Учетная запись Майкрософт или учетная запись Microsoft Entra с ролью глобального администратора в клиенте Microsoft Entra, связанном с подпиской Azure, и ролью владельца или участника в подписке Azure.
Предупреждение
Используйте тестовую среду, так как упражнения в этом модуле выполняют конфиденциальные операции, требующие повышенных прав администратора.
Создание объектов пользователей и групп Microsoft Entra в клиенте Microsoft Entra, связанном с подпиской Azure
Сначала вы создадите объекты пользователей и групп Microsoft Entra. После создания этих объектов необходимо настроить их членство в соответствующих группах. Чтобы ускорить выполнение настройки, используйте Azure CLI. Вы будете полагаться на объекты Microsoft Entra для проверки подлинности в База данных Azure для PostgreSQL экземпляре одного сервера в следующем упражнении этого модуля.
Запустите веб-браузер, перейдите на портал Azure и выполните вход, чтобы получить доступ к подписке Azure, которую вы будете использовать в этом модуле.
На портале Azure перейдите в область Cloud Shell, щелкнув соответствующий значок панели инструментов рядом с текстовым полем поиска.
При необходимости выберите Bash.
Примечание.
Если вы запускаете Azure Cloud Shell впервые и видите сообщение о том, что у вас нет подключенного хранилища, выберите подписку, которую вы используете в этом упражнении, а затем щелкните Создать хранилище.
В сеансе Bash на панели Azure Cloud Shell выполните следующую команду, чтобы определить доменное имя dns по умолчанию клиента Microsoft Entra, связанного с подпиской Azure:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Выполните следующую команду, чтобы создать пользователя Microsoft Entra в клиенте Microsoft Entra, связанном с подпиской Azure:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password <enter your password> \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Примечание.
Вы настроите эту учетную запись пользователя в качестве администратора Microsoft Entra База данных Azure для PostgreSQL экземпляра одного сервера в следующем упражнении.
Выполните следующую команду, чтобы определить значение атрибута userPrincipalName пользователя Microsoft Entra, созданного на предыдущем шаге:
echo $ADMIN | jq -r '.userPrincipalName'Примечание.
Запишите это значение. Оно понадобится вам в следующем упражнении этого модуля.
Выполните следующие команды, чтобы назначить созданному пользователю роль участника в подписке Azure, которую вы используете для упражнений в этом модуле.
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Примечание.
Вторая команда возвратит идентификатор подписки по умолчанию. Если вы планируете использовать другую подписку, необходимо соответствующим образом задать значение переменной $SUBSCRIPTION_ID.
Выполните следующую команду, чтобы создать пользователя Microsoft Entra в клиенте Microsoft Entra, связанном с подпиской Azure:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password <enter your password> \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Примечание.
Эта учетная запись пользователя будет настроена как не привилегированный пользователь Microsoft Entra с доступом к базе данных на База данных Azure для PostgreSQL экземпляре одного сервера в следующем упражнении.
Выполните следующую команду, чтобы создать группу Microsoft Entra в клиенте Microsoft Entra, связанном с подпиской Azure:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Примечание.
В следующем упражнении вы будете использовать эту группу для назначения разрешений для базы данных в экземпляре одиночного сервера Базы данных Azure для PostgreSQL.
Выполните следующую команду, чтобы добавить пользователя в группу.
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDВыполните следующую команду, чтобы назначить созданному пользователю роль участника в подписке Azure, которую вы используете для упражнений в этом модуле.
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Примечание.
Вы будете использовать это назначение ролей в следующем упражнении этого модуля.
Закройте область Cloud Shell.
Чтобы проверить результат этого упражнения, в портал Azure используйте текстовое поле поиска, служб и документов в начале страницы портал Azure для поиска идентификатора Microsoft Entra.
В списке результатов выберите идентификатор Microsoft Entra.
В колонке с свойствами клиента Microsoft Entra в вертикальном меню в разделах "Управление " выберите "Пользователи".
На пользователях | Убедитесь, что список пользователей содержит учетную запись пользователя, созданную ранее в этой задаче.
Вернитесь к колонке с свойствами клиента Microsoft Entra и в вертикальном меню в разделах "Управление " выберите "Группы".
В области Группы | Все группы убедитесь, что в списке групп есть учетная запись группы, созданная ранее в этой задаче.
Создание дополнительного клиента Microsoft Entra и объекта пользователя
В этой задаче вы создадите клиент Microsoft Entra и учетную запись пользователя в новом клиенте с помощью портал Azure. В следующей задаче вы настроите эту учетную запись пользователя в качестве гостевой учетной записи в первом клиенте.
В веб-браузере в колонке портал Azure отображаются свойства клиента Microsoft Entra, выберите "Управление клиентами" и нажмите кнопку "Создать".
На вкладке "Основы" колонки "Создание клиента" убедитесь, что выбран параметр идентификатора Microsoft Entra ID и нажмите кнопку >".
На вкладке Конфигурация в области Создание клиента укажите следующие параметры.
Параметр Значение Название организации Contoso Первоначальное доменное имя Любое допустимое DNS-имя, состоящее из строчных букв и цифр и начинающихся с буквы Страна или регион Название вашей страны или региона Нажмите кнопку Просмотр и создание и на вкладке Просмотр и создание в области Создание клиента нажмите Создать.
Если появится запрос Подтвердите, что вы не робот, введите указанный код и нажмите кнопку Отправить.
Дождитесь завершения подготовки, а затем выберите ссылку Contoso , чтобы перейти к колонке, отображающей свойства клиента Contoso Microsoft Entra.
В веб-браузере в колонке портал Azure отображается contoso | Колонка обзора клиента Contoso Microsoft Entra в вертикальном меню в разделах "Управление" выберите "Пользователи".
На пользователях | Все пользователи в колонке клиента Contoso — идентификатор Microsoft Entra ID, выберите +Создать пользователя, а затем нажмите кнопку "Создать пользователя".
В колонке "Создание нового пользователя " укажите следующие параметры, оставив другие параметры со значениями по умолчанию:
Параметр Значение User name contosouser1 Имя. contosouser1 Разрешить мне создать пароль Включен Первоначальный пароль Введите <password>Используйте значок копирования в буфер обмена рядом с раскрывающимся списком имени пользователя, чтобы записать значение атрибута имени субъекта-пользователя contosouser1. Оно понадобится позже в этом и последующих упражнениях.
В области Новый пользователь нажмите Создать.
На пользователях | Все пользователи в колонке клиента Contoso — Microsoft Entra ID, просмотрите список учетных записей пользователей и убедитесь, что новая учетная запись пользователя была создана успешно.
Примечание.
Эта учетная запись пользователя будет настроена как не привилегированный пользователь Microsoft Entra с доступом к базе данных на База данных Azure для PostgreSQL экземпляре одного сервера в следующем упражнении.
Создание и настройка гостевого пользователя Microsoft Entra в клиенте Microsoft Entra, связанном с подпиской Azure
Чтобы завершить это упражнение, вы будете использовать портал Azure для настройки учетной записи пользователя в клиенте Contoso Microsoft Entra в качестве гостевого пользователя в клиенте Adatum Microsoft Entra, создайте новую группу в этом клиенте и добавьте гостевого пользователя в эту группу.
В веб-браузере в колонке портал Azure отображается contoso | Колонка обзора клиента Contoso Microsoft Entra на панели инструментов в правом верхнем углу выберите значок "Подписки" рядом с значком Cloud Shell, а затем щелкните ссылку "Переключить каталог".
В колонке каталогов и подписок выберите запись, представляющую клиент Microsoft Entra, связанный с подпиской Azure, которую вы используете в упражнениях этого модуля, а затем нажмите кнопку Switch.
Примечание.
Это автоматически переключит сеанс на клиент Microsoft Entra, связанный с подпиской Azure, которую вы используете в упражнениях этого модуля.
В портал Azure используйте текстовое поле поиска ресурсов, служб и документов в начале страницы портал Azure для поиска идентификатора Microsoft Entra ID и в списке результатов выберите идентификатор Microsoft Entra.
В колонке с свойствами клиента Microsoft Entra в вертикальном меню в разделах "Управление " выберите "Пользователи".
На пользователях | В колонке "Все пользователи" выберите +Создать пользователя, а затем выберите "Пригласить внешнего пользователя".
В колонке "Пригласить внешнего пользователя" убедитесь, что выбран параметр "Пригласить пользователя", укажите следующие параметры при выходе из других параметров со значениями по умолчанию, выберите "Рецензирование и приглашение", а затем выберите "Пригласить".
Параметр Значение Адрес электронной почты Значение атрибута имени субъекта-пользователя contosouser1 , записанного ранее в этой задаче Показать имя contosouser1 Сообщение приглашения Добро пожаловать в Adatum Вернитесь к колонке, где отображаются свойства клиента Microsoft Entra, а затем в вертикальном меню в разделах "Управление " выберите "Группы".
В области Группы | Все группы выберите adatumgroup1.
В области adatumgroup1 выберите Участники.
В области adatumgroup1 | Участники нажмите + Добавить участников.
В области Добавление участников в текстовом поле Поиск введите contosouser1.
В списке результатов выберите запись contosouser1 и нажмите кнопку Выбрать.
Результаты
Поздравляем! Вы выполнили первое упражнение этого модуля. Вы начали это упражнение, создав пользователя и группу в клиенте Microsoft Entra, связанном с подпиской Azure, а затем добавив пользователя в группу. Затем вы создали другой клиент Microsoft Entra и пользователя в этом клиенте Microsoft Entra. Наконец, вы настроили этого пользователя в качестве гостевого пользователя в клиенте Microsoft Entra, связанном с подпиской Azure, создали другую группу в этом клиенте и добавили в него гостевого пользователя.