各位辦公室白領們，不妨回想一下自己每天去公司上班時的一些細節。

為避免「閑雜人等」進入工作場所，我們需要證明自己是這家公司的員工才能進入，對吧！所有員工，無論所屬部門或職位，都必須先證明自己身份，例如刷員工卡、密碼鎖，或者高大上的指紋識別、面部識別，隨后才能進入公司。

然后呢，雖然可以在公司里四處游走了，但對于一些重要部門，例如財務、IT?機房等，也許還需要一些額外的身份驗證措施，證明你是這個部門的員工，或者你獲得了授權方能進入。當然，為方便起見很多公司都會在這些地方采用和進入大門時一樣的驗證機制，例如員工卡、指紋、面部識別。但嚴格來說，這些具體部門所使用的門禁和公司大門處的門禁需要兩個截然不同的「身份」。

這一套措施想必大家都很熟悉了。

那么，當公司的?IT?系統上云，托管到?Azure?平臺后，如何實施類似的機制，對公司的整體?IT?系統以及重要的系統進行有區別的身份驗證和訪問控制？

此時可以通過?Azure Active Directory（下文統一簡稱為?Azure AD）和?Azure?訂閱兩個機制來實現。

?

什么是?Azure Active Directory

Azure Active Directory (Azure AD)?是?Azure?提供的基于多租戶云的目錄和身份管理服務。Azure AD?包含整套身份管理功能，例如多重身份驗證、設備注冊、自助密碼管理、自助組管理、特權帳戶管理、基于角色的訪問控制、應用程序使用情況監視、多樣化審核以及安全監視和警報。這些功能可以幫助保護基于云的應用程序的安全，簡化?IT?流程，削減成本，以及確保實現公司的合規目標。

?

什么是?Azure 訂閱

訂閱是?Azure?一個重要的概念，它能賦予?Azure?賬戶對?Azure?服務和?Azure?傳統管理門戶的訪問權限。訂閱內含有各類可用的?Azure?資源，同時也是對用戶收取費用的最小單位。

?

我們可以將?Azure AD?理解為公司大門處的門禁。通常來說，任何公司只需要在大門設置這樣一個門禁，即可讓合法用戶進入公司內部，并將其他用戶拒之門外。使用?Azure?服務的企業，可以通過一個?Azure AD?為所有員工提供訪問?Azure?資源所需的憑據，只有提供有效憑據和正確密碼的用戶才能訪問?Azure?資源。

Azure?訂閱是在此基礎上對資源進行的一層額外劃分。例如我們可以針對不同部門建立不同的?Azure?訂閱，借此不僅可分別針對不同部門的資源使用情況進行收費，而且可在不同訂閱間進行必要的隔離。

舉個例子，某公司在?Azure?中部署了很多應用，其中有所有員工可以訪問的內部網站，也有只允許財務部門訪問的財務系統。公司里所有員工都擁有自己的?Azure AD?賬號，因此所有員工可以隨時訪問面向全體員工的內部網站。但只有財務部門的員工，或其他獲得了授權的用戶，才可以訪問財務系統。

?

那?Azure?訂閱和?Azure AD?之間有什么關系呢？每個?Azure?訂閱都與某個?Azure AD?實例存在信任關系。這意味著，此訂閱信任該目錄對用戶、服務和設備執行身份驗證。多個訂閱可以信任同一個目錄，但一個訂閱只能信任一個目錄。

那么這就產生了另一個問題：Azure AD?和?Azure?訂閱都可以有自己的管理員，這兩種管理員帳戶有何區別？

默認情況下，當我們注冊?Azure?賬號時，系統將為我們分配服務管理員角色。如果其他人需要使用同一個訂閱登錄和訪問服務，則可以將他們添加為協同管理員。服務管理員和協同管理員是?Azure?訂閱信任的?Azure AD?組織內部的工作或學校帳戶。

Azure AD?提供了一組不同的管理角色，用于管理目錄和標識相關的功能。例如，目錄的全局管理員可以將用戶和組添加到目錄，或者要求對用戶執行多重身份驗證。將為創建目錄的用戶分配全局管理員角色，而他們又可以向其他用戶分配管理員角色。

但必須注意，Azure?訂閱管理員和?Azure AD?目錄管理員是兩個不同的概念。Azure?訂閱管理員可管理?Azure中的資源，還可在?Azure?經典管理門戶中查看?Active Directory?擴展（因為?Azure?經典管理門戶是一種?Azure?資源）。Azure AD?管理員可以管理目錄中的屬性。

請注意，在由世紀互聯運營的中國版?Azure?服務中，Azure AD?暫未支持?Microsoft?賬戶或?Azure AD B2B?合作功能。由此最大的限制在于：當用戶分別創建兩個?Azure AD?目錄?AAA?和?BBB?并購買訂閱之后，還不能將兩個目錄相關聯。

對于需要多個?Azure AD?目錄相互關聯的客戶，建議部署的最佳實踐如下：

使用?admin@AAA.partner.onmschina.cn?賬號在?Azure?傳統管理門戶中創建BBB.partner.onmschina.cn?目錄，這樣可以讓?admin@AAA.partner.onmschina.cn?被添加為BBB.partner.onmschina.cn?目錄的來賓賬號。

為?BBB.partner.onmschina.cn?目錄添加管理賬號admin@BBB.partner.onmschina.cn，需要注意這時admin@BBB.partner.onmschina.cn?因為沒有相應的訂閱，無法成功登錄傳統管理門戶。

使用?EA?門戶，將?admin@BBB.partner.onmschina.cn?加到賬號列表內，并為其購買訂閱?BBB。

通過以上步驟，可以使?AAA?與?BBB?目錄分別擁有自己的管理賬號和訂閱。同時，由于admin@AAA.partner.onmschina.cn?賬號同時存在于?AAA?和?BBB?目錄里，客戶可以使用該賬號將兩個目錄里的賬號互相添加為來賓賬號，由此達到多目錄間相互關聯的目的。

?

立即訪問http://market.azure.cn

轉載于:https://www.cnblogs.com/zangdalei/p/7358162.html

總結

以上是生活随笔為你收集整理的Azure 进阶攻略 | 上云后的系统，「门禁」制度又该如何实现？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。