我是azure的新手,正在阅读有关身份验证部分的内容。有两个门户经典和ARM。我想知道用户在azure中可以通过多少方式进行身份验证。对于经典门户和ARM门户,有任何不同的授权方式吗?
答案 0 :(得分:2)
Authentication对我来说就是确定你是谁以及你可以做Authorization的过程。
有了这个,在旧门户(仅支持经典资源)和新门户(支持经典和ARM资源)中,身份验证都通过Azure AD完成。正如其中一条评论中所述,任何尝试访问门户网站的用户都必须在相应的Azure AD中拥有记录(可以是本机Azure AD帐户,通过Microsoft帐户或AD联盟提供)。如果没有这个,用户就无法访问任何一个门户网站。
现在是授权部分。
新门户建立在Role-based access control (RBAC)之上,提供对资源的精细访问。有许多预定义角色(所有者,贡献者,读者),或者您可以创建自己的自定义角色并为用户分配角色。用户登录后,他们将只能执行角色中允许的操作。如果用户尝试执行操作,则该角色不允许该操作(例如,用户处于“读者”角色但尝试列出存储帐户密钥),他们将显示“拒绝访问”#34 ;错误。
旧门户网站也有角色,但这些角色是预定义的,与RBAC角色相比,它们的范围并不精细。据我所知,旧门户网站中只有3个角色可用 - Subscription Admin,Subscription Co-Admin和Account Admin。如果我没有弄错的话,只有用户可以访问旧门户,如果他们是订阅管理员或共同管理员。类似地,帐户门户(查看帐单等)用户应该是订阅管理员或帐户管理员。但是,一旦用户进入门户网站,他们就可以做任何事情。换句话说,在旧门户内部,订阅管理员和共同管理员是相同的。他们可以创建资源,更新资源甚至删除它们。您无法像在新门户网站中那样在旧门户网站中实现细粒度控制。
答案 1 :(得分:1)
用户将使用订阅在Azure上进行身份验证。之后,建议使用Azure门户(https://portal.azure.com)创建新服务,并使用ARM(Azure资源管理器)体系结构创建新服务。以前的版本(a.k.a classic)允许用户基于ASM(Azure服务管理器)创建服务。
通过订阅,可以使用REST API,Powershell,Azure Cli,Azure门户,Azure SDK对用户进行身份验证。