Přiřazení rolí smlouva Enterprise instančním objektům

  • Článek

Registraci smlouva Enterprise (EA) můžete spravovat na webu Azure Portal. Můžete vytvořit různé role pro správu organizace, zobrazení nákladů a vytváření předplatných. Tento článek vám pomůže automatizovat některé z těchto úloh pomocí azure PowerShellu a rozhraní REST API s instančními objekty Microsoft Entra ID.

Poznámka:

Pokud máte ve vaší organizaci více fakturačních účtů EA, musíte rolím EA udělit instanční objekty Microsoft Entra ID jednotlivě v každém fakturačním účtu EA.

Než začnete, ujistěte se, že znáte následující články:

Potřebujete způsob, jak volat rozhraní REST API. Mezi oblíbené způsoby dotazování rozhraní API patří:

Vytvoření a ověření instančního objektu

Pokud chcete automatizovat akce EA pomocí instančního objektu, musíte vytvořit identitu aplikace Microsoft Entra, která se pak může automaticky ověřit.

Postupujte podle kroků v těchto článcích a vytvořte a ověřte pomocí instančního objektu.

Tady je příklad stránky registrace aplikace.

Snímek obrazovky znázorňující registraci aplikace

Vyhledání ID instančního objektu a tenanta

Potřebujete ID objektu instančního objektu a ID tenanta. Tyto informace potřebujete pro operace přiřazení oprávnění dále v tomto článku. Všechny aplikace jsou zaregistrované v Microsoft Entra ID v tenantovi. Po dokončení registrace aplikace se vytvoří dva typy objektů:

  • Objekt aplikace – ID aplikace je to, co vidíte v části Podnikové aplikace. Nepoužívejte ID k udělení žádných rolí EA.
  • Instanční objekt – Instanční objekt je to, co vidíte v okně Podnikové registrace v Microsoft Entra ID. ID objektu slouží k udělení rolí EA instančnímu objektu.

  1. Otevřete Microsoft Entra ID a pak vyberte Podnikové aplikace.

  2. Najděte svou aplikaci v seznamu.

    Snímek obrazovky znázorňující ukázkovou podnikovou aplikaci

  3. Vyberte aplikaci a vyhledejte ID aplikace a ID objektu:

    Snímek obrazovky znázorňující ID aplikace a ID objektu pro podnikovou aplikaci

  4. Přejděte na stránku Přehled ID Microsoft Entra a vyhledejte ID tenanta.

    Snímek obrazovky znázorňující ID tenanta

Poznámka:

Hodnota VAŠEHO ID tenanta Microsoft Entra vypadá jako identifikátor GUID s následujícím formátem: aaaabbbb-0000-cccc-1111-dddd2222eeee.

Oprávnění, která se dají přiřadit k instančnímu objektu

Později v tomto článku udělíte oprávnění aplikaci Microsoft Entra jednat pomocí role EA. Instančnímu objektu můžete přiřadit pouze následující role a potřebujete ID definice role přesně tak, jak je znázorněno.

Role Povolené akce ID definice role
EnrollmentReader Čtenáři registrace můžou zobrazit data v oborech registrace, oddělení a účtu. Data obsahují poplatky za všechna předplatná v rámci rozsahů, včetně napříč tenanty. Může zobrazit zůstatek zálohy na Azure (dříve označovaný jako peněžní závazek) přidružený k registraci. 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e
Nákupčí EA Nákup objednávek rezervací a zobrazení transakcí rezervací Má všechna oprávnění EnrollmentReader, která mají všechna oprávnění DepartmentReader. Může zobrazit využití a poplatky napříč všemi účty a předplatnými. Může zobrazit zůstatek zálohy na Azure (dříve označovaný jako peněžní závazek) přidružený k registraci. da6647fb-7651-49ee-be91-c43c4877f0c4
DepartmentReader Stáhněte si podrobnosti o využití pro oddělení, které spravují. Může zobrazit využití a poplatky spojené s jejich oddělením. db609904-a47f-4794-9be8-9bd86fbffd8a
SubscriptionCreator Vytvořte nová předplatná v daném rozsahu účtu. a0bcee42-bf30-4d1b-926a-48d21664ef71
  • Roli EnrollmentReader může přiřadit instanční objekt pouze uživatel, který má roli zapisovače registrace. Role EnrollmentReader přiřazená k instančnímu objektu se na webu Azure Portal nezobrazuje. Vytváří se prostřednictvím kódu programu a je určen pouze pro programové použití.
  • Roli DepartmentReader může k instančnímu objektu přiřadit jenom uživatel, který má roli zapisovače registrace nebo zápisu oddělení.
  • Roli SubscriptionCreator může k instančnímu objektu přiřadit jenom uživatel, který je vlastníkem registračního účtu (správce EA). Role se nezobrazuje na webu Azure Portal. Vytváří se prostřednictvím kódu programu a je určen pouze pro programové použití.
  • Role nákupčího EA se na webu Azure Portal nezobrazuje. Vytváří se prostřednictvím kódu programu a je určen pouze pro programové použití.

Když instančnímu objektu udělíte roli EA, musíte použít billingRoleAssignmentName požadovanou vlastnost. Parametr je jedinečný identifikátor GUID, který musíte zadat. Identifikátor GUID můžete vygenerovat pomocí příkazu New-Guid PowerShellu. K vygenerování jedinečného identifikátoru GUID nebo UUID Generátoru můžete také použít web Online GUID / UUID Generator .

Instanční objekt může mít pouze jednu roli.

Přiřazení oprávnění role registračního účtu k instančnímu objektu

  1. Přečtěte si přiřazení rolí – článek o rozhraní REST API. Když si přečtete článek, vyberte Vyzkoušet, abyste mohli začít pomocí instančního objektu.

    Snímek obrazovky s možností Vyzkoušet v článku Put

  2. Pomocí přihlašovacích údajů účtu se přihlaste k tenantovi pomocí přístupu k registraci, který chcete přiřadit.

  3. Jako součást požadavku rozhraní API zadejte následující parametry.

    • billingAccountName: Tento parametr je ID fakturačního účtu. Najdete ho na webu Azure Portal na stránce Přehled služby Cost Management a fakturace .

      Snímek obrazovky s ID fakturačního účtu

    • billingRoleAssignmentName: Tento parametr je jedinečný identifikátor GUID, který potřebujete zadat. Identifikátor GUID můžete vygenerovat pomocí příkazu New-Guid PowerShellu. K vygenerování jedinečného identifikátoru GUID nebo UUID Generátoru můžete také použít web Online GUID / UUID Generator .

    • api-version: Použijte verzi 2019-10-01-preview . V přiřazeních rolí použijte text ukázkové žádosti – Put – Příklady.

      Tělo požadavku má kód JSON se třemi parametry, které potřebujete použít.

      Parametr Kde ji najít
      properties.principalId Je to hodnota ID objektu. Viz Vyhledání instančního objektu a ID tenanta.
      properties.principalTenantId Viz Vyhledání instančního objektu a ID tenanta.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

      Název fakturačního účtu je stejný parametr, který jste použili v parametrech rozhraní API. Jedná se o ID registrace, které vidíte na webu Azure Portal.

      Všimněte si, že 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e je ID definice fakturační role pro EnrollmentReader.

  4. Výběrem možnosti Spustit spusťte příkaz.

    Snímek obrazovky znázorňující ukázkové přiřazení role s ukázkovými informacemi, které jsou připravené ke spuštění

    Odpověď 200 OK ukazuje, že instanční objekt byl úspěšně přidán.

Instanční objekt teď můžete použít k automatickému přístupu k rozhraním API EA. Instanční objekt má roli EnrollmentReader.

Přiřazení oprávnění role nákupčího EA k instančnímu objektu

Pro roli nákupčího EA použijte stejný postup pro čtenáře registrace. Zadejte , roleDefinitionIdpomocí následujícího příkladu:

"/providers/Microsoft.Billing/billingAccounts/1111111/billingRoleDefinitions/ da6647fb-7651-49ee-be91-c43c4877f0c4"

Přiřazení role čtenáře oddělení k instančnímu objektu

  1. Přečtěte si přiřazení rolí oddělení registrace – článek o rozhraní REST API. Při čtení článku vyberte Vyzkoušet.

    Snímek obrazovky znázorňující možnost Vyzkoušet v článku Přiřazení rolí oddělení registrace

  2. Pomocí přihlašovacích údajů účtu se přihlaste k tenantovi pomocí přístupu k registraci, který chcete přiřadit.

  3. Jako součást požadavku rozhraní API zadejte následující parametry.

    • billingAccountName: Tento parametr je ID fakturačního účtu. Najdete ho na webu Azure Portal na stránce Přehled služby Cost Management a fakturace .

      Snímek obrazovky s ID fakturačního účtu

    • billingRoleAssignmentName: Tento parametr je jedinečný identifikátor GUID, který potřebujete zadat. Identifikátor GUID můžete vygenerovat pomocí příkazu New-Guid PowerShellu. K vygenerování jedinečného identifikátoru GUID nebo UUID Generátoru můžete také použít web Online GUID / UUID Generator .

    • departmentName: Tento parametr je ID oddělení. ID oddělení můžete zobrazit na webu Azure Portal na stránce Správa nákladů a fakturace>.

      V tomto příkladu jsme použili oddělení ACE. ID příkladu je 84819.

      Snímek obrazovky s ukázkovým ID oddělení

    • api-version: Použijte verzi 2019-10-01-preview . Použijte ukázku v přiřazení rolí oddělení registrace – Put.

      Tělo požadavku má kód JSON se třemi parametry, které potřebujete použít.

      Parametr Kde ji najít
      properties.principalId Je to hodnota ID objektu. Viz Vyhledání instančního objektu a ID tenanta.
      properties.principalTenantId Viz Vyhledání instančního objektu a ID tenanta.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountName}/billingRoleDefinitions/db609904-a47f-4794-9be8-9bd86fbffd8a

      Název fakturačního účtu je stejný parametr, který jste použili v parametrech rozhraní API. Jedná se o ID registrace, které vidíte na webu Azure Portal.

      ID db609904-a47f-4794-9be8-9bd86fbffd8a definice fakturační role je určené pro čtenáře oddělení.

  4. Výběrem možnosti Spustit spusťte příkaz.

    Snímek obrazovky znázorňující ukázkové přiřazení rolí oddělení registrace – Vložte ho do vyzkoušení REST s ukázkovými informacemi připravenými ke spuštění.

    Odpověď 200 OK ukazuje, že instanční objekt byl úspěšně přidán.

Instanční objekt teď můžete použít k automatickému přístupu k rozhraním API EA. Instanční objekt má roli DepartmentReader.

Přiřazení role tvůrce předplatného k instančnímu objektu

  1. Přečtěte si přiřazení rolí registračního účtu – článek put . Když ho přečtete, vyberte Vyzkoušet a přiřaďte k instančnímu objektu roli tvůrce předplatného.

    Snímek obrazovky znázorňující možnost Vyzkoušet v článku Přiřazení rolí registračního účtu

  2. Pomocí přihlašovacích údajů účtu se přihlaste k tenantovi pomocí přístupu k registraci, který chcete přiřadit.

  3. Jako součást požadavku rozhraní API zadejte následující parametry. Přečtěte si článek o přiřazení rolí registračního účtu – Put – Parametry identifikátoru URI.

    • billingAccountName: Tento parametr je ID fakturačního účtu. Najdete ho na webu Azure Portal na stránce Přehled služby Cost Management a fakturace.

      Snímek obrazovky s ID fakturačního účtu

    • billingRoleAssignmentName: Tento parametr je jedinečný identifikátor GUID, který potřebujete zadat. Identifikátor GUID můžete vygenerovat pomocí příkazu New-Guid PowerShellu. K vygenerování jedinečného identifikátoru GUID nebo UUID Generátoru můžete také použít web Online GUID/UUID Generator .

    • enrollmentAccountName: Tento parametr je ID účtu. Id účtu pro název účtu najdete na webu Azure Portal na stránce Správa nákladů a fakturace .

      V tomto příkladu jsme použili .GTM Test Account ID je 196987.

      Snímek obrazovky s ID účtu

    • api-version: Použijte verzi 2019-10-01-preview . Použijte ukázku u přiřazení rolí oddělení registrace – Put – Příklady.

      Tělo požadavku má kód JSON se třemi parametry, které potřebujete použít.

      Parametr Kde ji najít
      properties.principalId Je to hodnota ID objektu. Viz Vyhledání instančního objektu a ID tenanta.
      properties.principalTenantId Viz Vyhledání instančního objektu a ID tenanta.
      properties.roleDefinitionId /providers/Microsoft.Billing/billingAccounts/{BillingAccountID}/enrollmentAccounts/{enrollmentAccountID}/billingRoleDefinitions/a0bcee42-bf30-4d1b-926a-48d21664ef71

      Název fakturačního účtu je stejný parametr, který jste použili v parametrech rozhraní API. Jedná se o ID registrace, které vidíte na webu Azure Portal.

      ID a0bcee42-bf30-4d1b-926a-48d21664ef71 definice fakturační role je určené pro roli tvůrce předplatného.

  4. Výběrem možnosti Spustit spusťte příkaz.

    Snímek obrazovky znázorňující možnost Vyzkoušet v přiřazení rolí registračního účtu – článek Put

    Odpověď 200 OK ukazuje, že instanční objekt byl úspěšně přidán.

Instanční objekt teď můžete použít k automatickému přístupu k rozhraním API EA. Instanční objekt má roli SubscriptionCreator.

Ověření přiřazení rolí instančního objektu

Přiřazení rolí instančního objektu se na webu Azure Portal nezobrazují. Můžete zobrazit přiřazení rolí registračního účtu, včetně role tvůrce předplatného, s přiřazeními fakturačních rolí – Výpis podle registračního účtu – ROZHRANÍ REST API (fakturace Azure). Pomocí rozhraní API ověřte, že přiřazení role proběhlo úspěšně.

Odstraňování potíží

Musíte identifikovat a použít ID objektu podnikové aplikace, kde jste udělili roli EA. Pokud použijete ID objektu z jiné aplikace, volání rozhraní API selžou. Ověřte, že používáte správné ID objektu podnikové aplikace.

Pokud se při volání rozhraní API zobrazí následující chyba, pravděpodobně nesprávně používáte hodnotu ID instančního objektu umístěné v registracích aplikací. Pokud chcete tuto chybu vyřešit, ujistěte se, že používáte ID instančního objektu z podnikových aplikací, ne registrace aplikací.

The provided principal Tenant Id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx and principal Object Id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx are not valid

Další kroky

Začněte s fakturačním účtem smlouva Enterprise.