各位办公室白领们,不妨回想一下自己每天去公司上班时的一些细节。

为避免「闲杂人等」进入工作场所,我们需要证明自己是这家公司的员工才能进入,对吧!所有员工,无论所属部门或职位,都必须先证明自己身份,例如刷员工卡、密码锁,或者高大上的指纹识别、面部识别,随后才能进入公司。

然后呢,虽然可以在公司里四处游走了,但对于一些重要部门,例如财务、IT 机房等,也许还需要一些额外的身份验证措施,证明你是这个部门的员工,或者你获得了授权方能进入。当然,为方便起见很多公司都会在这些地方采用和进入大门时一样的验证机制,例如员工卡、指纹、面部识别。但严格来说,这些具体部门所使用的门禁和公司大门处的门禁需要两个截然不同的「身份」。

这一套措施想必大家都很熟悉了。

那么,当公司的 IT 系统上云,托管到 Azure 平台后,如何实施类似的机制,对公司的整体 IT 系统以及重要的系统进行有区别的身份验证和访问控制?

此时可以通过 Azure Active Directory(下文统一简称为 Azure AD)和 Azure 订阅两个机制来实现。

什么是 Azure Active Directory

Azure Active Directory (Azure AD) 是 Azure 提供的基于多租户云的目录和身份管理服务。Azure AD 包含整套身份管理功能,例如多重身份验证、设备注册、自助密码管理、自助组管理、特权帐户管理、基于角色的访问控制、应用程序使用情况监视、多样化审核以及安全监视和警报。这些功能可以帮助保护基于云的应用程序的安全,简化 IT 流程,削减成本,以及确保实现公司的合规目标。

什么是 Azure 订阅

订阅是 Azure 一个重要的概念,它能赋予 Azure 账户对 Azure 服务和 Azure 传统管理门户的访问权限。订阅内含有各类可用的 Azure 资源,同时也是对用户收取费用的最小单位。

我们可以将 Azure AD 理解为公司大门处的门禁。通常来说,任何公司只需要在大门设置这样一个门禁,即可让合法用户进入公司内部,并将其他用户拒之门外。使用 Azure 服务的企业,可以通过一个 Azure AD 为所有员工提供访问 Azure 资源所需的凭据,只有提供有效凭据和正确密码的用户才能访问 Azure 资源。

Azure 订阅是在此基础上对资源进行的一层额外划分。例如我们可以针对不同部门建立不同的 Azure 订阅,借此不仅可分别针对不同部门的资源使用情况进行收费,而且可在不同订阅间进行必要的隔离。

举个例子,某公司在 Azure 中部署了很多应用,其中有所有员工可以访问的内部网站,也有只允许财务部门访问的财务系统。公司里所有员工都拥有自己的 Azure AD 账号,因此所有员工可以随时访问面向全体员工的内部网站。但只有财务部门的员工,或其他获得了授权的用户,才可以访问财务系统。

那 Azure 订阅和 Azure AD 之间有什么关系呢?每个 Azure 订阅都与某个 Azure AD 实例存在信任关系。这意味着,此订阅信任该目录对用户、服务和设备执行身份验证。多个订阅可以信任同一个目录,但一个订阅只能信任一个目录。

那么这就产生了另一个问题:Azure AD 和 Azure 订阅都可以有自己的管理员,这两种管理员帐户有何区别?

默认情况下,当我们注册 Azure 账号时,系统将为我们分配服务管理员角色。如果其他人需要使用同一个订阅登录和访问服务,则可以将他们添加为协同管理员。服务管理员和协同管理员是 Azure 订阅信任的 Azure AD 组织内部的工作或学校帐户。

Azure AD 提供了一组不同的管理角色,用于管理目录和标识相关的功能。例如,目录的全局管理员可以将用户和组添加到目录,或者要求对用户执行多重身份验证。将为创建目录的用户分配全局管理员角色,而他们又可以向其他用户分配管理员角色。

但必须注意,Azure 订阅管理员和 Azure AD 目录管理员是两个不同的概念。Azure 订阅管理员可管理 Azure中的资源,还可在 Azure 经典管理门户中查看 Active Directory 扩展(因为 Azure 经典管理门户是一种 Azure 资源)。Azure AD 管理员可以管理目录中的属性。

请注意,在由世纪互联运营的中国版 Azure 服务中,Azure AD 暂未支持 Microsoft 账户或 Azure AD B2B 合作功能。由此最大的限制在于:当用户分别创建两个 Azure AD 目录 AAA 和 BBB 并购买订阅之后,还不能将两个目录相关联。

对于需要多个 Azure AD 目录相互关联的客户,建议部署的最佳实践如下:

  1. 使用 admin@AAA.partner.onmschina.cn 账号在 Azure 传统管理门户中创建BBB.partner.onmschina.cn 目录,这样可以让 admin@AAA.partner.onmschina.cn 被添加为BBB.partner.onmschina.cn 目录的来宾账号。

  2. 为 BBB.partner.onmschina.cn 目录添加管理账号admin@BBB.partner.onmschina.cn,需要注意这时admin@BBB.partner.onmschina.cn 因为没有相应的订阅,无法成功登录传统管理门户。

  3. 使用 EA 门户,将 admin@BBB.partner.onmschina.cn 加到账号列表内,并为其购买订阅 BBB。

    通过以上步骤,可以使 AAA 与 BBB 目录分别拥有自己的管理账号和订阅。同时,由于admin@AAA.partner.onmschina.cn 账号同时存在于 AAA 和 BBB 目录里,客户可以使用该账号将两个目录里的账号互相添加为来宾账号,由此达到多目录间相互关联的目的。

    立即访问http://market.azure.cn

Azure 进阶攻略 | 上云后的系统,「门禁」制度又该如何实现?的更多相关文章

  1. Azure进阶攻略丨Azure网络通不通,PsPing&PaPing告诉你答案

    很多时候,为了解决一些问题,要查各种文档,很麻烦你造吗!做「伸手党」又容易被鄙视,这时候就需要用到[Azure 进阶攻略]啦!特此,我们推出关于 Azure 常用操作指南的系列文章,每篇涉及一个 Az ...

  2. Azure进阶攻略丨共享访问签名是个什么东东?

    Azure 进阶攻略]一经推出便受到了广大粉丝的热情追捧,大家纷纷表示涨了姿势,并希望能了解更多的攻略~根据大家的投票结果,本期,小编将为大家讲解“如何生成 Shared Access Signatu ...

  3. Azure进阶攻略 | 数据库上云:零停机、自动化

    小明最近挺忙,刚刚在外地找了个新工作,正在忙着搬家.多年积攒的家当很多,根本不能潇洒地「说走就走」,于是他联系了搬家公司.专业的就是不一样,不费什么事,就把所有东西打包.运输.拆包到位了.抵达新城市的 ...

  4. Azure进阶攻略 | 下载还是在浏览器直接打开,MIME说了算!

    多年来,从一开始的网络菜鸟发展成 Azure 云专家,想必你一定学到了很多知识.不知道在这个过程中你自己是否遇到过,或者被人问到过类似下面这样的问题: 同样是直接点击网页上提供的 .mp4 视频文件链 ...

  5. Azure进阶攻略 | 该如何唤醒你?因内核超时而沉睡的Linux虚拟机!

    周五下午,当你收拾好东西准备下班,奔赴 Happy Hour 时,突然接到开发团队的电话: 对方:伙计救命啊,我在搭建开发环境,但 Azure 上的 Linux 虚拟机无法启动! 你(心里想着:你要加 ...

  6. Azure 进阶攻略 | 电脑跑分你会,但虚拟机存储性能跑分的正确姿势你造吗?

    想学生时代,小编最爱做的就是研究电脑硬件,然后给自己.朋友和童鞋装机.装好后呢?当然要第一时间跑分了!各种跑分软件运行一遍,不断优化,不断测试.终于得到一个满意成绩,截图分享到网上显摆一下.当年为啥就 ...

  7. Azure进阶攻略 | VS2015和Azure,想要在一起其实很容易

    下雨天,巧克力和音乐很配…… 大冬天,男神和捧在手里的奶茶很配…… 「驴牌」的包包,和女神的全部衣服都配…… 对于「王首富」,容易实现的小目标和一个亿是绝配…… …… 醒醒吧!!这些事情和每天只会写代 ...

  8. Azure进阶攻略 | 你的程序也能察言观色?这个真的可以有!

    前段时间有个网站曾经火爆微博和朋友圈:颜龄机器人.只要随便上传一张包含人面孔的照片,这个网站就可以分析图片,并判断照片中人物的年龄.化妆.美颜 P 图.帽子墨镜之类的配饰,几乎都没法影响这个网站的检测 ...

  9. Azure 进阶攻略 | 文件完整性,你打算如何证明?

    假设你是一位独立软件开发者,通过自己的网站提供软件下载.网站完全托管在 Azure 中,并且软件下载也是通过 Azure Blob 存储和 Azure CDN 服务提供的. 这做法真不错,不需要自己管 ...

随机推荐

  1. C++的一种业务分发方案(另类的工厂模式)

    在C++中,传统的业务分发.总要写一大串的switch-case,并且每次添加新业务时.都要在原有的switch-case里加一个分支,这就违反了设计模式中的开放封闭原则. 下面这样的方案,就全然去除 ...

  2. [Groovy] Private fields and methods are not private in groovy

    如题,, 具体介绍请参看: http://refaktor.blogspot.com/2012/07/private-fields-and-methods-are-not.html

  3. maven 打包 包含xml

    <build> <finalName>dc-exam</finalName> <!-- 包含xml文件 --> <resources> &l ...

  4. stringstream的用法

    stringstream的基本用法 stringstream是字符串流.它将流与存储在内存中的string对象绑定起来. 在多种数据类型之间实现自动格式化. 1.stringstream对象的使用 # ...

  5. rent bike问题(二分+贪心)

    题目描述: A group of n schoolboys decided to ride bikes. As nobody of them has a bike, the boys need to ...

  6. day_09 函数及参数

    1.定义:把功能封装起来,方便下次直接调用 2.语法:def 关键词开头,空格之后接函数名称和圆括号(). def 函数名(形参) 函数体 3.参数:圆括号用来接收参数.若传入多个参数,参数之间用逗号 ...

  7. Linux链接器脚本详解

    /* GNU linker script for STM32F405 */ /* Specify the memory areas */ MEMORY { FLASH (rx) : ORIGIN = ...

  8. 【ACM】蛇形填数 - 逻辑怪

    蛇形填数 时间限制:3000 ms  |  内存限制:65535 KB 难度:3   描述 在n*n方陈里填入1,2,...,n*n,要求填成蛇形.例如n=4时方陈为:10 11 12 19 16 1 ...

  9. 转 Comparison of Red Hat and Oracle Linux kernel versions and release strings

    Originally derived from Red Hat Enterprise Linux (RHEL), Oracle Linux (OL) contains minor difference ...

  10. Linux IPC 共享内存

    共享内存 共享内存(shared memory)是最简单的Linux进程间通信方式之一. 使用共享内存,不同进程可以对同一块内存进行读写. 由于所有进程对共享内存的访问就和访问自己的内存空间一样,而不 ...