Роли Azure Active Directory в разных подписках

Моя компания использует несколько разных продуктов в Azure по нескольким подпискам, а также Azure Active Directory для проверки подлинности.

Я бы хотел, чтобы наши ИТ-специалисты имели доступ ко всем продуктам определенных типов в зависимости от их роли. Например, администраторы баз данных должны иметь доступ ко всем базам данных SQL Azure, независимо от подписки или группы ресурсов.

Моя первая мысль заключалась в том, что это должно быть сделано в рамках ролей Azure AD, но я не понимаю, как это может применяться к конкретным типам продуктов. Если есть лучший способ сделать это вне ролей AD, я определенно хотел бы узнать больше.

Подобные вопросы задавались и раньше (например, Группы / роли Azure Active Directory), но я хотел проверить, есть ли обновленные решения.


azure azure-active-directory azure-security
person Britt Wescott    schedule 26.07.2018    source источник
comment
Я думаю, что роли Azure AD применимы только к материалам в Azure AD, а роли уровня приложения, конечно же, только к приложениям. Ответ Мартина, вероятно, лучший вариант.   -  person juunas    schedule 26.07.2018

Ответы (1)


arrow_upward
2
arrow_downward

Я не уверен, как ваш связанный ответ связан с вопросом. Я думаю, вам нужно сделать две вещи:

  1. Создайте группы Azure Active Directory для каждой ИТ-роли. Вы можете использовать на основе атрибутов членство в Azure Active Directory для автоматического добавления участников в группу на основе атрибута (например, роли).

  2. Перейдите по своим ресурсам Azure и предоставьте желаемое разрешение своим группам. например. g. с помощью PowerShell перебирайте ресурсы Azure для каждой подписки, и если тип ресурса - e. грамм. База данных SQL, предоставьте группе Azure AD требуемые разрешения.

person Martin Brandl    schedule 26.07.2018
comment
Я заменил эту ссылку еще одной, относящейся к созданию новых ролей AD. Этому 5 лет, поэтому я не был уверен, будет ли это по-прежнему рекомендуемым решением. - person Britt Wescott; 26.07.2018