Azure Lighthouse 体系结构

  • 项目

Azure Lighthouse 帮助服务提供商简化客户参与和载入体验,同时灵活精确地管理大规模委派资源。 授权用户、组和服务主体可直接在客户订阅的上下文中工作,而无需具有该客户的 Microsoft Entra 租户中的帐户或成为该客户的租户的共同所有者。 用于支持此访问的机制称为 Azure 委派资源管理。

Diagram illustrating Azure delegated resource management.

提示

还可在具有多个其自己的 Microsoft Entra 租户的企业中使用 Azure Lighthouse,以简化跨租户管理。

本主题讨论 Azure Lighthouse 中租户之间的关系,以及在客户租户中创建的支持这种关系的资源。

注意

将客户加入 Azure Lighthouse 需要由客户租户中的非来宾帐户进行部署,该帐户对于正在加入的订阅(或包含正在加入的资源组的订阅)拥有具备 Microsoft.Authorization/roleAssignments/write 权限的角色,如所有者

在客户租户中创建的委派资源

当客户的订阅或资源组加入 Azure Lighthouse 时,将创建两个资源:注册定义和注册分配。 可以使用 API 和管理工具访问这些资源,或在 Azure 门户中使用它们。

注册定义

注册定义包含 Azure Lighthouse 产品/服务的详细信息(管理租户 ID 以及向管理租户中的特定用户、组和/或服务主体分配内置角色的授权)。

在订阅级别为每个委派订阅或在包含委派资源组的每个订阅中创建注册定义。 使用 API 创建注册定义时,需要在订阅级别工作。 例如,使用 Azure PowerShell,需要在创建新的注册定义 (New-AzManagedServicesDefinition) 之前使用 New-AzureRmDeployment,而不是使用 New-AzureRmResourceGroupDeployment。

注册分配

注册分配将注册定义分配给特定范围,即加入的订阅和/或资源组。

注册分配在每个委派范围中创建,因此它将位于订阅组级别或资源组级别,具体取决于加入的内容。

每个注册分配都必须在订阅级别引用有效的注册定义,将该服务提供商的授权捆绑到委派范围,从而授予访问权限。

逻辑投影

Azure Lighthouse 创建从一个租户到另一个租户的资源逻辑投影。 这样,授权服务提供商用户可登录到他们自己的租户,并获得在委派的客户订阅和资源组中工作的授权。 然后,该服务提供商租户中的用户可以代表其客户执行管理操作,而无需登录每个单独的客户租户。

只要该服务提供商租户中的用户、组或服务主体访问客户租户中的资源,Azure 资源管理器就会收到请求。 资源管理器对这些请求进行身份验证,就像对客户自己的租户中的用户发出的请求进行身份验证一样。 对于 Azure Lighthouse,它通过确认客户租户中存在两个资源(注册定义和注册分配)来实现这一点。 如果是这样,资源管理器会根据这些资源定义的信息授权访问权限。

Diagram illustrating the logical projection in Azure Lighthouse.

服务提供商租户中用户的活动会在活动日志中进行跟踪,该日志存储在客户的租户中。 这样,客户便可以查看所做的更改以及做出更改的人员

Azure Lighthouse 的工作原理

概括而言,Azure Lighthouse 为管理租户工作的原理如下:

  1. 确定你的组、服务主体或用户在管理客户的 Azure 资源时所需的角色
  2. 通过向 Azure 市场发布托管服务产品/服务部署 Azure 资源管理器模板,指定此访问权限并将客户加入 Azure Lighthouse。 此加入过程在客户的租户中创建上述两个资源(注册定义和注册分配)。
  3. 客户加入后,授权用户登录你的管理租户,根据你定义的访问权限在指定的客户范围(订阅或资源组)内执行任务。 客户可以查看执行的所有操作,并可以随时删除访问权限。

虽然在大多数情况下,只有一个服务提供商为客户管理特定资源,但客户可以为同一订阅或资源组创建多个委派,从而允许多个服务提供商具有访问权限。 此场景还支持将资源从服务提供商的租户投射到多个客户的 ISV 场景。

后续步骤