Hijerarhija organizacije

Grupi za upravljanje

Ako vaša organizacija ima mnogo Azure pretplata, možda će vam biti potreban način da efikasno upravljate pristupom, pravilima i usaglašenošću za te pretplate. Grupe za upravljanje pružaju oblast upravljanja iznad pretplata.

Imajte na umu da se može podržati 10.000 grupa za upravljanje u jednom direktorijumu, a stablo grupa za upravljanje može podržati do šest nivoa dubine.

Iz dokumentacije: Svaki direktorijum dobija jednu gornju grupu za upravljanje nazvanu korenska grupa za upravljanje. Korenska grupa za upravljanje je ugrađena u hijerarhiju da bi imala sve grupe za upravljanje i pretplate koje se preklapaju sa njom. Ova korenska grupa za upravljanje omogućava primenu globalnih pravila i dodela uloga Azure-a na nivou direktorijuma. Azure AD Globalni administrator mora da se uzdigne na Ulogu administratora pristupa korisnika ove korenske grupe inicijalno. Nakon uzdizanja pristupa, administrator može dodeliti bilo koju Azure ulogu drugim korisnicima ili grupama direktorijuma za upravljanje. Kao administrator, možete dodeliti svoj nalog kao vlasnika korenske grupe za upravljanje.

Korensku grupu za upravljanje nije moguće premestiti ili obrisati, za razliku od drugih grupa za upravljanje.

Grupe za upravljanje omogućavaju vam upravljanje na nivou preduzeća bez obzira na vrstu pretplata koje možda imate. Međutim, sve pretplate unutar jedne grupe za upravljanje moraju verovati istom Azure Active Directory (Azure AD) stanaru.

Azure pretplate

U Azure-u, pretplata služi kao logički kontejner za pružanje poslovnih ili tehničkih resursa. Ovaj kontejner čuva detalje resursa kao što su virtuelne mašine (VM), baze podataka, među ostalim. Prilikom kreiranja Azure resursa, poput VM-a, specificira se pretplata koja je povezana s njom. Ova struktura olakšava delegiranje pristupa, koristeći mehanizme kontrole pristupa zasnovane na ulogama.

Grupe resursa

Iz dokumentacije: Grupa resursa je kontejner koji drži povezane resurse za Azure rešenje. Grupa resursa može uključivati sve resurse za rešenje, ili samo one resurse koje želite da upravljate kao grupu. Generalno, dodajte resurse koji dele isti životni ciklus u istu grupu resursa kako biste ih lako mogli implementirati, ažurirati i brisati kao grupu.

Svi resursi moraju biti unutar grupe resursa i mogu pripadati samo jednoj grupi, a ako se grupa resursa obriše, svi resursi unutar nje takođe se brišu.

Administrativne jedinice

Iz dokumentacije: Administrativne jedinice vam omogućavaju da podelite svoju organizaciju na bilo koju jedinicu koju želite, a zatim dodelite specifičnim administratorima koji mogu upravljati samo članovima te jedinice. Na primer, mogli biste koristiti administrativne jedinice da delegirate dozvole administratorima svake škole na velikom univerzitetu, tako da mogu kontrolisati pristup, upravljati korisnicima i postavljati pravila samo u Školi inženjeringa.

Samo korisnici, grupe i uređaji mogu biti članovi administrativne jedinice.

Stoga će administrativna jedinica sadržati neke članove, a drugi principali će biti dodeljeni dozvole nad tom administrativnom jedinicom koje mogu koristiti za upravljanje članovima administrativne jedinice.

Azure vs Azure AD vs Azure AD Domain Services

Važno je napomenuti da je Azure AD usluga unutar Azure-a. Azure je Microsoftova oblak platforma, dok je Azure AD preduzeće identitetska usluga u Azure-u. Osim toga, Azure AD nije kao Windows Active Directory, to je identitetska usluga koja radi na potpuno drugačiji način. Ako želite da pokrenete Domain Controller u Azure-u za vaše Windows Active Directory okruženje, morate koristiti Azure AD Domain Services.

Principali

Azure podržava različite vrste principala:

• Korisnik: Obična osoba sa pristupnim podacima.

• Grupa: Grupa principala koja se upravlja zajedno. Dozvole dodeljene grupama se nasleđuju od njenih članova.

• Servisni princip/Enterprise aplikacije: To je identitet kreiran za korišćenje sa aplikacijama, hostovanim uslugama i automatizovanim alatima za pristup Azure resursima. Pristup je ograničen ulogama dodeljenim servisnom principu, dajući vam kontrolu nad kojim resursima se može pristupiti i na kojem nivou. Iz sigurnosnih razloga, uvek se preporučuje korišćenje servisnih principala sa automatizovanim alatima umesto dozvoljavanja prijave sa korisničkim identitetom.

Prilikom kreiranja servisnog principa možete birati između autentikacije lozinkom ili autentikacije sertifikatom.

• Ako izaberete autentikaciju lozinkom (podrazumevano), sačuvajte generisanu lozinku jer je nećete moći ponovo pristupiti.

• Ako izaberete autentikaciju sertifikatom, pobrinite se da aplikacija ima pristup privatnom ključu.

• Upravljani identitet (Metadata Creds): Upravljani identiteti u Azure Active Directory pružaju rešenje za automatsko upravljanje identitetom aplikacija. Ovi identiteti se koriste od strane aplikacija u svrhu povezivanja sa resursima kompatibilnim sa Azure Active Directory (Azure AD) autentikacijom. Korišćenjem upravljanih identiteta, aplikacije mogu osigurati Azure AD token-e eliminisanjem potrebe za direktnim rukovanjem pristupnim podacima. Postoje dva tipa upravljanih identiteta:

• Sistemski dodeljeni. Neke Azure usluge vam dozvoljavaju da omogućite upravljani identitet direktno na instanci usluge. Kada omogućite sistemski dodeljeni upravljani identitet, identitet se kreira u Azure AD. Identitet je vezan za životni ciklus te instance usluge. Kada se resurs obriše, Azure automatski briše identitet za vas. Po dizajnu, samo taj Azure resurs može koristiti ovaj identitet za zahtevanje tokena od Azure AD.

• Korisnički dodeljeni. Takođe možete kreirati upravljani identitet kao samostalni Azure resurs. Možete kreirati korisnički dodeljeni upravljan identitet i dodeliti ga jednoj ili više instanci Azure usluge (više resursa). Za korisnički dodeljene upravljane identitete, identitet se upravlja odvojeno od resursa koji ga koriste.

Uloge i Dozvole

Uloge se dodeljuju principalsima na opsegu: principal -[IMA ULOGU]->(opseg)

Uloge dodeljene grupama se nasleđuju od svih članova grupe.

Zavisno od opsega na koji je uloga dodeljena, uloga se može naslediti na ostale resurse unutar kontejnera opsega. Na primer, ako korisnik A ima ulogu na pretplati, imaće tu ulogu na svim grupama resursa unutar pretplate i na svim resursima unutar grupe resursa.

Klasične Uloge

Ugrađene uloge

Iz dokumentacije: Azure role-based access control (Azure RBAC) ima nekoliko Azure ugrađenih uloga koje možete dodeliti korisnicima, grupama, servisnim principima i upravljanim identitetima. Dodeljivanje uloga je način na koji kontrolišete pristup Azure resursima. Ako ugrađene uloge ne zadovoljavaju specifične potrebe vaše organizacije, možete kreirati svoje Azure prilagođene uloge.

Ugrađene uloge se primenjuju samo na resurse za koje su namenjene, na primer pogledajte ova 2 primera ugrađenih uloga nad resursima za računanje:

Ove uloge se takođe mogu dodeliti nad logičkim kontejnerima (kao što su upravljačke grupe, pretplate i grupe resursa) i principali koji su pogođeni će ih imati nad resursima unutar tih kontejnera.

• Pronađite ovde listu svih Azure ugrađenih uloga.

• Pronađite ovde listu svih Azure AD ugrađenih uloga.

Prilagođene Uloge

Azure takođe omogućava kreiranje prilagođenih uloga sa dozvolama koje korisniku trebaju.

Odbijena Dozvola

• Da bi principali imao pristup resursu, potrebno je da mu bude eksplicitno dodeljena uloga (na bilo koji način) dodeljujući mu tu dozvolu.

• Eksplicitna odbijena dodela uloge ima prednost nad ulogom koja dodeljuje dozvolu.

Globalni Administrator

Korisnici sa ulogom Globalnog Administratora imaju mogućnost da 'povećaju' do Upravnika pristupa korisnika Azure ulozi do korenske upravljačke grupe. To znači da će Globalni Administrator moći da upravlja pristupom svim Azure pretplatama i upravljačkim grupama. Ovo povećanje može biti izvršeno na kraju stranice: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

Azure Politike

Azure politike su skup pravila i propisa u Microsoft Azuru, usluzi računarstva u oblaku, koje pomažu u upravljanju i sprovođenju organizacionih standarda i proceni usaglašenosti u velikoj meri. Ove politike sprovode različita pravila nad vašim Azure resursima, osiguravajući da ti resursi ostanu usaglašeni sa korporativnim standardima i ugovorima o nivou usluge.

Azure politike su ključne za upravljanje i bezbednost u oblaku, pomažući da se osigura da se resursi koriste na pravilan i efikasan način, i da se usaglase sa spoljnim propisima i internim pravilima. Neki primeri:

1. Osiguravanje Usaglašenosti sa Određenim Azure Regionima: Ova politika osigurava da se svi resursi implementiraju u određenim Azure regionima. Na primer, kompanija može želeti da osigura da se svi njeni podaci čuvaju u Evropi radi usaglašenosti sa GDPR-om.

2. Sprovođenje Standarda Imenovanja: Politike mogu sprovesti konvencije imenovanja za Azure resurse. Ovo pomaže u organizaciji i lakoj identifikaciji resursa na osnovu njihovih imena, što je korisno u velikim okruženjima.

3. Ograničavanje Određenih Tipova Resursa: Ova politika može ograničiti kreiranje određenih tipova resursa. Na primer, politika može biti postavljena da spreči kreiranje skupih tipova resursa, poput određenih veličina VM-ova, radi kontrole troškova.

4. Sprovođenje Politika Označavanja: Oznake su parovi ključ-vrednost povezani sa Azure resursima koji se koriste za upravljanje resursima. Politike mogu naterati da određene oznake moraju biti prisutne, ili imati određene vrednosti, za sve resurse. Ovo je korisno za praćenje troškova, vlasništva ili kategorizacije resursa.

5. Ograničavanje Javnog Pristupa Resursima: Politike mogu osigurati da određeni resursi, poput skladišnih naloga ili baza podataka, nemaju javne krajnje tačke, osiguravajući da su dostupni samo unutar mreže organizacije.

6. Automatsko Primenjivanje Bezbednosnih Postavki: Politike se mogu koristiti za automatsko primenjivanje bezbednosnih postavki na resurse, poput primene određene grupe sigurnosnih mreža na sve VM-ove ili osiguravanja da svi skladišni nalozi koriste enkripciju.

Imajte na umu da se Azure politike mogu povezati sa bilo kojim nivoom Azure hijerarhije, ali se obično koriste u korenskoj upravljačkoj grupi ili u drugim upravljačkim grupama.

Opseg Dozvola

U Azure-u dozvole se mogu dodeliti bilo kom delu hijerarhije. To uključuje upravljačke grupe, pretplate, grupe resursa i pojedinačne resurse. Dozvole se nasleđuju od sadržanih resursa entiteta gde su dodeljene.

Ova hijerarhijska struktura omogućava efikasno i skalabilno upravljanje pristupnim dozvolama.

Azure RBAC vs ABAC

RBAC (upravljanje pristupom zasnovano na ulogama) je ono što smo već videli u prethodnim sekcijama: Dodeljivanje uloge principalu da mu omogući pristup nad resursom. Međutim, u nekim slučajevima možda želite da pružite detaljnije upravljanje pristupom ili simplify upravljanje stotinama dodeljenih uloga.

Azure ABAC (upravljanje pristupom zasnovano na atributima) nadograđuje Azure RBAC dodavanjem uslova dodeljivanja uloga zasnovanih na atributima u kontekstu specifičnih akcija. Uslov dodeljivanja uloge je dodatna provera koju možete opciono dodati svom dodeljivanju uloge da biste pružili detaljnije upravljanje pristupom. Uslov filtrira dozvole dodeljene kao deo definicije uloge i dodeljivanja uloge. Na primer, možete dodati uslov koji zahteva da objekat ima određenu oznaku da bi pročitao objekat. Ne možete eksplicitno odbijati pristup određenim resursima korišćenjem uslova.

Podrazumevana korisnička dozvola

Osnovni korisnik će imati neke podrazumevane dozvole za enumeraciju nekih delova AzureAD:

• Čitanje svih korisnika, grupa, aplikacija, uređaja, uloga, pretplata i njihovih javnih svojstava

• Pozivanje gostiju (može se isključiti)

• Kreiranje sigurnosnih grupa

• Čitanje ne-skrivenih članstava u grupama

• Dodavanje gostiju u vlasničke grupe

• Kreiranje nove aplikacije (može se isključiti)

• Dodavanje do 50 uređaja u Azure (može se isključiti)

Možete videti punu listu podrazumevanih dozvola korisnika u dokumentaciji. Takođe, obratite pažnju da u toj listi možete videti i listu podrazumevanih dozvola gostiju.

Upravljanje privilegovanim identitetom (PIM)

Upravljanje privilegovanim identitetom (PIM) u Azure-u je alat koji upravlja, kontroliše i nadgleda privilegovani pristup u Azure Active Directory-u i Azure-u. Poboljšava bezbednost pružajući privilegovani pristup tačno u određeno vreme i vremenski ograničen, sprovodeći odobravajuće tokove rada i zahtevajući dodatnu autentifikaciju. Ovaj pristup minimizira rizik neovlašćenog pristupa osiguravajući da se povišene dozvole dodeljuju samo kada je potrebno i za određeni period.

Autentifikacioni tokeni

Postoje tri vrste tokena korišćenih u OIDC:

• Pristupni tokeni: Klijent predstavlja ovaj token serveru resursa da bi pristupio resursima. Može se koristiti samo za određenu kombinaciju korisnika, klijenta i resursa i ne može se opozvati do isteka - podrazumevano je 1 sat. Detekcija je niska korišćenjem ovoga.

• ID tokeni: Klijent prima ovaj token od servera autorizacije. Sadrži osnovne informacije o korisniku. Povezan je sa određenom kombinacijom korisnika i klijenta.

• Osvežavajući tokeni: Dodeljeni klijentu sa pristupnim tokenom. Koriste se za dobijanje novih pristupnih i ID tokena. Povezan je sa određenom kombinacijom korisnika i klijenta i može se opozvati. Podrazumevani rok trajanja je 90 dana za neaktivne osvežavajuće tokene i bez roka trajanja za aktivne tokene.

Proverite sledeću stranicu da biste saznali različite načine za zahtevanje pristupnih tokena i prijavu sa njima:

Najčešći API endpointovi su:

• Azure Resource Manager (ARM): management.azure.com

• Microsoft Graph: graph.microsoft.com (Azure AD Graph koji je zastareo je graph.windows.net)

Reference

• https://learn.microsoft.com/en-us/azure/governance/management-groups/overview

• https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/organize-subscriptions

• https://abouttmc.com/glossary/azure-subscription/#:~:text=An%20Azure%20subscription%20is%20a,the%20subscription%20it%20belongs%20to.

• https://learn.microsoft.com/en-us/azure/role-based-access-control/overview#how-azure-rbac-determines-if-a-user-has-access-to-a-resource