Arquitetura do Azure Lighthouse

O Azure Lighthouse ajuda os provedores de serviços a simplificar as experiências de envolvimento e de integração do cliente e a gerenciar recursos delegados em escala com agilidade e precisão. Usuários autorizados, grupos e entidades de serviço podem trabalhar diretamente no contexto de uma assinatura do cliente sem ter uma conta no locatário do Microsoft Entra desse cliente ou ser um co-proprietário do locatário do cliente. O mecanismo usado para dar suporte a esse acesso é chamado de gerenciamento de recursos delegado do Azure.

Diagrama que ilustra o gerenciamento de recursos delegado do Azure.

Dica

O Azure Lighthouse também pode ser usado dentro de uma empresa que tem vários locatários próprios do Microsoft Entra para simplificar o gerenciamento entre locatários.

Este tópico discute a relação entre locatários no Azure Lighthouse e os recursos criados no locatário do cliente que habilitam essa relação.

Observação

A integração de um cliente no Azure Lighthouse exige uma implantação por uma conta do locatário do cliente que não seja convidada e que tenha a permissão Microsoft.Authorization/roleAssignments/write, como Proprietário, para a assinatura que será integrada (ou que contém os grupos de recursos que serão integrados).

Recursos de delegação criados no locatário do cliente

Quando a assinatura ou o grupo de recursos de um cliente é integrado ao Azure Lighthouse, dois recursos são criados: a definição de registro e a atribuição de registro. Você pode usar APIs e ferramentas de gerenciamento para acessar esses recursos ou trabalhar com eles no portal do Azure.

Definição de registro

A definição de registro contém os detalhes da oferta do Azure Lighthouse (a ID de locatário de gerenciamento e as autorizações que atribuem funções internas a usuários específicos, grupos e/ou entidades de serviço no locatário de gerenciamento).

Uma definição de registro é criada no nível da assinatura para cada assinatura delegada ou em cada assinatura que contém um grupo de recursos delegado. Ao usar APIs para criar uma definição de registro, você precisará trabalhar no nível da assinatura. Por exemplo, ao usar o Azure PowerShell, você precisará usar New-AzureRmDeployment antes de criar uma definição de registro (New-AzManagedServicesDefinition), em vez de usar New-AzureRmResourceGroupDeployment.

Atribuição de registro

A atribuição de registro atribui a definição de registro a um escopo específico, ou seja, às assinaturas integradas e/ou grupos de recursos.

Uma atribuição de registro é criada em cada escopo delegado. Portanto, ela estará no nível do grupo de assinaturas ou no nível do grupo de recursos, dependendo do que foi integrado.

Cada atribuição de registro deve fazer referência a uma definição de registro válida no nível da assinatura, unindo as autorizações desse provedor de serviços ao escopo delegado e, portanto, concedendo acesso.

Projeção lógica

O Azure Lighthouse cria uma projeção lógica de recursos de um locatário para outro. Isso permite que os usuários autorizados do provedor de serviços entrem em seu próprio locatário com autorização para trabalhar em assinaturas de clientes e grupos de recursos delegados. Os usuários no locatário do provedor de serviços podem realizar operações de gerenciamento em nome de seus clientes, sem precisar entrar em cada locatário individual do cliente.

Sempre que um usuário, um grupo ou uma entidade de serviço no locatário do provedor de serviços acessa recursos no locatário de um cliente, o Azure Resource Manager recebe uma solicitação. O Resource Manager autentica essas solicitações, assim como faz para solicitações feitas por usuários no próprio locatário do cliente. Para o Azure Lighthouse, ele faz isso confirmando que dois recursos estão presentes no locatário do cliente: a definição de registro e a atribuição de registro. Nesse caso, o Resource Manager autoriza o acesso de acordo com as informações definidas por esses recursos.

Diagrama que ilustra a projeção lógica do Azure Lighthouse.

A atividade de usuários no locatário do provedor de serviços é controlada no log de atividades, que é armazenado no locatário do cliente. Isso permite que o cliente veja quais alterações foram feitas e por quem.

Como o Azure Lighthouse funciona

Em um alto nível, é assim que o Azure Lighthouse funciona para o locatário de gerenciamento:

  1. Identifique as funções de que seus grupos, entidades de serviço ou usuários precisarão para gerenciar os recursos do Azure do cliente.
  2. Especifique esse acesso e integre o cliente ao Azure Lighthouse publicando uma oferta de Serviço Gerenciado no Azure Marketplace ou implantando um modelo do Azure Resource Manager. Esse processo de integração cria os dois recursos descritos acima (definição de registro e atribuição de registro) no locatário do cliente.
  3. Depois da integração do cliente, os usuários autorizados poderão conectar-se ao seu locatário de gerenciamento e realizar tarefas no escopo do cliente determinado (assinatura ou grupo de recursos), com base no acesso que você definiu. Os clientes podem examinar todas as ações realizadas e remover o acesso a qualquer momento.

Embora, na maioria dos casos, apenas um provedor de serviços gere recursos específicos para um cliente, é possível que o cliente crie várias delegações para a mesma assinatura ou grupo de recursos, permitindo que vários provedores de serviços tenham acesso. Esse cenário também permite cenários de ISV que projetam recursos do locatário do provedor de serviços para vários clientes.

Próximas etapas