(0) exportieren Drucken
Alle erweitern
5 von 10 fanden dies hilfreich - Dieses Thema bewerten.

Verwalten von Konten, Abonnements und Administratorrollen

Letzte Aktualisierung: Februar 2014

In diesem Thema werden Windows Azure-Konten, -Abonnements und -Administratorrollen für Benutzer erläutert, die zum Verwalten von Diensten Zugriff auf Windows Azure benötigen. Mithilfe dieser Features können Sie den Zugriff auf Ressourcen, die Nutzung und Abrechnungsinformationen für Dienste steuern, die Sie unter Windows Azure erstellen und ausführen. Verwechseln Sie diesen Zugriff nicht mit dem Gewähren des Zugriffs auf Endbenutzer des Diensts.

In diesem Thema

noteHinweis
In diesem Thema wird nicht erläutert, wie Sie die Registrierung für ein Windows Azure-Konto durchführen. Informationen zu den Windows Azure-Kaufoptionen finden Sie in den Themen zu den Kaufoptionen, zur kostenlosen Testversion und den Angeboten für Mitglieder (für Mitglieder von MSDN, Microsoft Partner Network und BizSpark sowie anderen Microsoft-Programmen).

Mit einem Windows Azure-Konto wird bestimmt, wie die Nutzung von Windows Azure berichtet wird und wer der Kontoadministrator ist.

Abonnements helfen Ihnen dabei, den Zugriff auf die Ressourcen des Cloud-Diensts zu organisieren. Außerdem sind sie nützlich für die Steuerung, wie die Ressourcenauslastung gemeldet, abgerechnet und bezahlt wird. Jedes Abonnement kann über eine andere Abrechnungs- und Zahlungseinrichtung verfügen. Sie können also je nach Abteilung, Projekt, regionaler Niederlassung usw. unterschiedliche Abonnements und Tarife verwenden. Jeder Cloud-Dienst gehört zu einem Abonnement, und für programmgesteuerte Vorgänge ist ggf. die Abonnement-ID erforderlich.

Konten und Abonnements werden im Kontocenter erstellt. Die Person, die das Konto erstellt, ist der Kontoadministrator für alle Abonnements, die unter diesem Konto erstellt werden. Diese Person ist auch der standardmäßige Dienstadministrator für das Abonnement.

In Verbindung mit Azure-Konten und -Abonnements gibt es drei Rollen:

 

Administratorrolle Limit Zusammenfassung

Kontoadministrator

1 pro Windows Azure-Konto

Autorisiert für den Zugriff auf das Kontocenter (Abonnements erstellen, Abonnements kündigen, Abrechnung für ein Abonnement ändern, Dienstadministrator ändern usw.)

Dienstadministrator

1 pro Windows Azure-Abonnement

Autorisiert für den Zugriff auf das Windows Azure-Verwaltungsportal für alle Abonnements des Kontos. Standardmäßig entspricht dies dem Kontoadministrator beim Erstellen eines Abonnements.

Co-Administrator

200 pro Abonnement (zusätzlich zum Dienstadministrator)

Wie Dienstadministrator, kann jedoch die Zuordnung von Abonnements zu Windows Azure-Verzeichnissen nicht ändern.

Der Kontoadministrator für ein Abonnement ist der einzige Benutzer mit Zugriff auf das Kontocenter. Der Kontoadministrator hat keinen Zugriff auf die anderen Dienste dieses Abonnements. Dazu muss die Person auch der Dienstadministrator oder ein Co-Administrator sein. Aus Sicherheitsgründen kann der Kontoadministrator für ein Abonnement nur per Anruf beim Windows Azure-Support geändert werden. Der Kontoadministrator kann den Dienstadministrator für ein Abonnement im Kontocenter jederzeit problemlos neu zuweisen.

Der Dienstadministrator ist der erste Co-Administrator für ein Abonnement. Wie andere Co-Administratoren auch, verfügt der Dienstadministrator über das Windows Azure-Verwaltungsportal über Verwaltungszugriff auf die Cloud-Ressourcen und Tools wie Visual Studio, andere SDKs und Befehlszeilentools wie PowerShell. Außerdem kann der Dienstadministrator andere Co-Administratoren hinzufügen und entfernen.

Wichtige Unterschiede zwischen dem Dienstadministrator und den Co-Administratoren:

  • Co-Administratoren können den Dienstadministrator nicht aus dem Windows Azure-Verwaltungsportal löschen. Nur der Kontoadministrator kann diese Zuweisung im Kontocenter ändern.

  • Der Dienstadministrator ist als einziger Benutzer berechtigt, die Zuordnung eines Abonnements zu einem Verzeichnis im Windows Azure-Verwaltungsportal zu ändern.

Der Zugriff auf Windows Azure beginnt mit einer Benutzer-ID. Dabei handelt es sich um eine Kombination aus E-Mail-Adresse und Kennwort, die von Azure zum Authentifizieren von Benutzern verwendet wird. Benutzer-IDs liegen in zwei Formen vor: als Microsoft-Konten oder als Organisationskonten.

  • Microsoft-Konten haben das Format <benutzer>@outlook.com, <benutzer>@hotmail.com oder <benutzer>@live.com.

  • Organisationskonten haben beispielsweise das Format "judy@contoso.onmicrosoft.com" oder "judy@contoso.com". Anstelle von "Contoso" kann ein beliebiger Domänenname stehen.

Organisationskonten unterscheiden sich von Microsoft-Konten, weil als Quelle dafür Windows Azure Active Directory dient. Da Organisationskonten aus Windows Azure Active Directory heraus erstellt werden, haben Sie bei der Verwaltung mehr Möglichkeiten. Beispielsweise können Organisationskonten um die mehrstufige Authentifizierung erweitert werden, bei der Benutzer als Nachweis ihrer Identität zusätzliche Informationen eingeben müssen.

Halten Sie sich also an die allgemeine Regel, Organisationskonten zu verwenden, wenn Sie den Administratorzugriff auf Azure zuweisen müssen. Jedes Windows Azure-Abonnement verfügt über ein Standardverzeichnis, das Sie zum Erstellen von Organisationskonten nutzen können.

Das Windows Azure-Verwaltungsportal und die meisten Clienttools für Dienste, z. B. Visual Studio oder PowerShell, unterstützen die kontobasierte Authentifizierung. Dies ist ein tokenbasiertes Authentifizierungsschema, bei dem der Benutzer lediglich seine Benutzer-ID eingeben muss. Die kontobasierte Authentifizierung für Windows Azure ist bei Verwendung von Tools auf einem Client jedoch eine relativ neue Funktion. Bisher konnte die Authentifizierung nur durchgeführt werden, indem für ein Abonnement auf dem Client ein Verwaltungszertifikat vorlag. Diese zertifikatbasierte Authentifizierung umfasst den Zugriff auf eine spezielle Website mithilfe der Benutzer-ID, um eine Abonnementdatei herunterzuladen (bisher als publishsettings-Datei bezeichnet). Diese Datei enthält Informationen zu den Abonnements, auf die Sie zugreifen können, und zu den dazugehörigen Zertifikaten. Anschließend wird in den Tools auf die Datei oder die Zertifikate verwiesen. Sie können das Zertifikat auch selbst erstellen, in das Windows Azure-Verwaltungsportal hochladen und dann genauso darauf verweisen.

Diese Methode ist kompliziert, fehleranfällig und erfordert eine Public Key-Infrastruktur (PKI), um ausreichende Sicherheit zu bieten.

Die zertifikatbasierte Authentifizierung für Verwaltungsfunktionen wird weiterhin unterstützt – und einige Azure-Dienste benötigen sie ggf. noch –, aber diese Vorgehensweise ist komplizierter und weniger sicher als die kontobasierte Verwaltung. Außerdem kann diese zertifikatbasierte Authentifizierung für Dienstverwaltungsfunktionen leicht mit der zertifikatbasierten Authentifizierung verwechselt werden, bei der Programme und Personen Dienste während der Ausführung verwenden können.

Wählen Sie für Dienstverwaltungsfunktionen daher nach Möglichkeit anstelle der zertifikatbasierten Authentifizierung immer die kontobasierte Authentifizierung.

ImportantWichtig
Die kontobasierte Authentifizierung basiert auf Token, die von einem Authentifizierungsanbieter ausgegeben werden. Dabei bestimmt der Authentifizierungsanbieter die Lebensdauer des Tokens, also beispielsweise einen Tag oder mehrere Wochen. Wenn das Token abgelaufen ist, muss sich ein Benutzer wieder anmelden. Falls Sie dauerhaften Clientzugriff auf Dienstverwaltungsfunktionen benötigen – beispielsweise für integrierte Bereitstellungsskripts oder Codeprojekte mit langer Laufzeit –, ist möglicherweise die zertifikatbasierte Verwaltung die richtige Wahl.

Weitere Informationen finden Sie in den Windows Azure SDK-Versionshinweisen.

Im Allgemeinen gilt, dass Sie sich desto eingehender mit Richtlinien und Methoden beschäftigen müssen, je mehr Administratoren Sie haben. Auch wenn der Umfang bei Ihnen noch gering ist und nur wenige Administratoren vorhanden sind, können Sie das Wachstum besser bewältigen, wenn Sie sich in Bezug auf die Abonnement- und Kontoverwaltung an die bewährten Methoden halten.

Verwenden Sie für alle Administratorrollen Organisationskonten. So können Sie die Leistungsstärke von Windows Azure Active Directory besser bändigen. Sie können Verzeichnisse verwenden, um Benutzer zu verwalten, und die Zuweisung je nach Bedarf Ihres Unternehmens delegieren. Weitere Informationen finden Sie unter Windows Azure Active Directory.

Verwenden Sie immer den Domänennamen, mit dem Sie angemeldet sind, wenn Sie die Zuweisung einer Administratorrolle hinzufügen oder ändern. Wenn Sie beispielsweise ein Kontoadministrator der Domäne contoso.onmicrosoft.com sind und den Dienstadministrator für ein Abonnement neu zuweisen, sollten Sie ihn mit einer Benutzer-ID in der Domäne contoso.onmicrosoft.com hinzufügen. Verfahren Sie genauso, wenn Sie im Windows Azure-Verwaltungsportal Co-Administratoren hinzufügen.

Erstellen Sie ein anderes Abonnement für jeden Dienst, und geben Sie jedem Abonnement einen eindeutigen Namen. Auf diese Weise können Sie die Nutzung anzeigen und den Zugriff auf jeden Dienst präzise steuern.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.