Ich bin neu in azur und las über den Authentifizierungsteil. Es gibt zwei Portal-Klassiker und ARM. Ich möchte wissen, auf wie viele Arten ein Benutzer in azure authentifiziert werden kann. Gibt es eine andere Art der Autorisierung mit dem klassischen Portal und dem ARM-Portal?Arten der Authentifizierung in Azurblau?
Ein Benutzer authentifiziert sich bei Azure mit einem Abonnement. Danach empfiehlt es sich, mithilfe von Azure Portal (https://portal.azure.com) neue Dienste zu erstellen, und die neuen Dienste werden mithilfe der ARM-Architektur (Azure Resource Manager) erstellt. Mit der vorherigen Version (a.k.a classic) können Benutzer Dienste basierend auf ASM (Azure Services Manager) erstellen.
Mit einer Subskription können Benutzer mithilfe von REST-APIs, Powershell, Azure Cli, Azure Portal und Azure SDK authentifiziert werden.
Authentication zu mir ist der Prozess der Identifizierung, wer du bist und Authorization ist, was du tun kannst.
Damit wird sowohl im alten Portal (das nur klassische Ressourcen unterstützt) als auch im neuen Portal (das sowohl klassische als auch ARM-Ressourcen unterstützt) die Authentifizierung über Azure AD durchgeführt. Wie in einem der Kommentare erwähnt, muss jeder Benutzer, der auf das Portal zugreifen möchte, über einen Eintrag in der entsprechenden Azure AD verfügen (dies kann ein natives Azure AD-Konto sein, das über ein Microsoft-Konto oder eine AD-Föderation bezogen wird). Ohne dies kann ein Benutzer nicht auf das Portal zugreifen.
Jetzt kommt der Autorisierungsteil.
Das neue Portal basiert auf Role-based access control (RBAC), die granularen Zugriff auf Ressourcen bietet. Es gibt viele vordefinierte Rollen (Owner, Contributor, Reader) oder Sie können eigene benutzerdefinierte Rollen erstellen und den Benutzern Rollen zuweisen. Sobald sich ein Benutzer anmeldet, kann er nur Vorgänge ausführen, die in der Rolle erlaubt sind. Wenn ein Benutzer versucht, eine Operation auszuführen, wird dies von der Rolle nicht zugelassen (z. B. wenn ein Benutzer in der Leserrolle ist, aber versucht, Speicherkontoschlüssel aufzulisten), wird ihm der Fehler "Zugriff verweigert" angezeigt.
Das alte Portal hat auch Rollen, aber diese Rollen sind vordefiniert und ihr Umfang ist im Vergleich zu RBAC-Rollen nicht granular. Soweit ich weiß, gibt es im alten Portal nur 3 Rollen - Subscription Admin, Subscription Co-Admin und Account Admin. Wenn ich mich nicht irre, kann das alte Portal nur von einem Benutzer aufgerufen werden, wenn es sich um Subscription Admin oder Co-Admin handelt. In ähnlicher Weise sollte ein Account-Portal (um Rechnungen anzusehen) ein Subscription-Admin oder Account-Admin sein. Sobald ein Benutzer jedoch in das Portal gelangt, kann er alles tun. Mit anderen Worten, innerhalb des alten Portals sind ein Abonnement-Administrator und ein Co-Administrator identisch. Sie können Ressourcen erstellen, sie aktualisieren und sogar löschen. Sie können im alten Portal keine feinkörnige Kontrolle wie im neuen Portal haben.
Können Sie bitte beschreiben, was Sie mit 'anderer Art der Autorisierung mit Classic Portal und ARM Portal 'meinen? –
Nein. Ja. Das * Portal * arbeitet mit Microsoft-Konten und/oder AD-Föderation mit Ihrer On-Premise-AD. Es unterstützt auch die Zwei-Form-Authentifizierung. Alle funktionieren über Portalversionen hinweg. Die * Dienste * bieten eine Vielzahl von Authentifizierungsmethoden - einige sind integriert, andere über Code aktiviert. –
Die Authentifizierungsmethoden * sind in der Azure-Site * dokumentiert. –