【发布时间】:2021-08-03 13:00:19
【问题描述】:
Azure ARM 处理它通过 Azure AD 接收的请求的身份要求。请求用户应该是具有有效身份和授权角色的有效 Azure AD 用户。发出请求的 Azure 订阅应符合部署限制和计费政策。
有一个 Azure 租户角色与请求用户和订阅相关联。这些租户扮演什么角色,工作流程是什么?
【问题讨论】:
标签: azure azure-active-directory
【发布时间】:2021-08-03 13:00:19
【问题描述】:
我不确定在此上下文中 Azure 租户角色的确切含义,但您可以在租户范围内分配角色,这就是 ARM 模板文档所描述的内容。例如,您可以将所有者角色分配给租户范围内的用户,以便该用户是租户的所有者。至于租户和订阅的关系,多个订阅可以信任同一个 Azure AD 租户,但每个订阅只能信任一个租户。您可以通过登录并选择订阅,然后更改目录来associate a subscription with a tenant。使用全局管理员或用户管理员角色,您可以add or remove users from your tenant。
我相信您已经知道,Azure 租户是 Azure AD 的专用且受信任的实例。通常,每个租户代表一个组织。 “租户”和“目录”这两个词可以互换使用。租户是 Azure 中的一个帐户,带有子域和关联的 Azure Active Directory。要使用 Azure Active Directory,您需要成为系统内的租户。因此,租户基本上是在保护 .onmicrosoft.com 子域。届时,您将在 Azure AD 中注册一个帐户。
因此,在 ARM 模板的上下文中,您需要一个 Azure 租户来容纳您的用户并链接到您的订阅。
【讨论】:
-
参考文档docs.microsoft.com/en-us/azure/cloud-adoption-framework/govern/…,有两组租户,一组与用户相关联,另一组与订阅相关联。为什么图 9 中有两组租户?是不是因为订阅租户用户希望他们的订阅由另一个租户的用户管理?
租户代表 Azure Active Directory 中的组织。它是组织在注册 Azure、Microsoft Intune 或 Microsoft 365 等 Microsoft 云服务时收到并拥有的专用 Azure AD 服务实例。每个 Azure AD 租户都与其他 Azure AD 租户不同且独立。拥有 Azure AD 租户后,您可以定义应用程序并为其分配权限,以便它可以调用 REST API。您的组织可能已经有一个可用于您的应用程序的 Azure AD 租户。
在 Azure AD 中,用户被划分为租户。租户是一种逻辑构造,它代表通常与组织关联的 Azure AD 的安全专用实例。每个订阅都与一个 Azure AD 租户相关联。接下来,ARM 使用管理权限的 Azure RBAC(基于角色的访问控制)检查用户是否有足够的权限来访问资源。 Azure 角色指定用户可以对特定资源采取的一组权限。接下来,根据定义为允许对特定资源执行特定操作的 Azure 资源策略检查资源请求。接下来,ARM 检查资源组订阅中特定资源的 Azure 订阅限制。最后,在部署资源以通过 ARM 进行管理之前,将检查与订阅相关的财务承诺作为最终控制。
请查找以下 Microsoft 文档以供参考:-
谢谢你,
【讨论】: