Esporta (0) Stampa
Espandi tutto
15 di 30 hanno valutato il contenuto utile: - Valuta questo argomento

Gestire account, sottoscrizioni e ruoli amministrativi

Aggiornamento: febbraio 2014

In questo argomento vengono illustrati gli account, le sottoscrizioni e i ruoli amministrativi di Windows Azure per gli utenti che necessitano di accedervi al fine di gestire servizi. Queste funzionalità consentono di controllare l'accesso alle risorse, all'utilizzo e alle informazioni di fatturazione per i servizi creati ed eseguiti in Windows Azure. Si tratta di un tipo di accesso da non confondere con quello consentito agli utenti finali del servizio.

Contenuto dell'argomento

noteNota
In questo argomento non viene illustrata la procedura di iscrizione a un account Windows Azure. Per informazioni sulle opzioni di acquisto di Windows Azure, vedere le pagine relative alle opzioni di acquisto, alla versione di valutazione gratuita e alle offerte per i membri (per i membri di MSDN, Microsoft Partner Network, BizSpark e altri programmi Microsoft).

Un account Windows Azure determina la modalità di segnalazione dell'utilizzo di Windows Azure e le caratteristiche dell'amministratore.

Le sottoscrizioni consentono di organizzare l'accesso alle risorse dei servizi cloud e controllare la modalità di segnalazione, fatturazione e pagamento dell'utilizzo delle risorse. Ogni sottoscrizione può essere caratterizzata da una configurazione di fatturazione e pagamento diversa, pertanto è possibile disporre di sottoscrizioni e piani diversi a seconda del reparto, del progetto, della filiale regionale e così via. Ogni servizio cloud appartiene a una sottoscrizione e per le operazioni programmatiche potrebbe essere necessario l'ID sottoscrizione.

Account e sottoscrizioni vengono creati nel Centro account. La persona che crea l'account è l'amministratore dell'account per tutte le sottoscrizioni create al suo interno, nonché l'amministratore del servizio predefinito per tale sottoscrizione.

Sono disponibili tre ruoli relativi agli account e alle sottoscrizioni Azure:

 

Ruolo amministrativo Limite Riepilogo

Amministratore dell'account

1 per account Windows Azure

Autorizzato ad accedere al Centro account (creare e annullare sottoscrizioni, modificare la fatturazione di una sottoscrizione, cambiare l'amministratore del servizio e altro ancora)

Amministratore del servizio

1 per sottoscrizione Windows Azure

Autorizzato ad accedere al portale di gestione di Windows Azure per tutte le sottoscrizioni dell'account. Per impostazione predefinita, coincide con l'amministratore dell'account quando viene creata una sottoscrizione.

Coamministratore

200 per sottoscrizione (oltre all'amministratore del servizio)

Come l'amministratore del servizio, ma non può modificare l'associazione di sottoscrizioni a directory di Windows Azure.

L'amministratore dell'account per una sottoscrizione è l'unica persona autorizzata ad accedere al Centro account. L'amministratore dell'account non dispone dell'accesso ad altri servizi all'interno della sottoscrizione. Per potervi accedere, deve essere anche amministratore del servizio o coamministratore. Per motivi di sicurezza, l'amministratore dell'account di una sottoscrizione può essere cambiato solo contattando il supporto Windows Azure. L'amministratore dell'account può agevolmente riassegnare l'amministratore del servizio a una sottoscrizione nel Centro account in qualsiasi momento.

L'amministratore del servizio è il primo coamministratore per una sottoscrizione. In modo analogo ad altri coamministratori, l'amministratore del servizio può accedere alla gestione di risorse cloud tramite il portale di gestione Azure Windows e strumenti quali Visual Studio, altri SDK e strumenti da riga di comando come PowerShell. L'amministratore del servizio può inoltre aggiungere e rimuovere altri coamministratori.

Differenze cruciali tra l'amministratore del servizio e i coamministratori:

  • I coamministratori non possono eliminare l'amministratore del servizio dal portale di gestione di Windows Azure. Solo l'amministratore dell'account può modificare tale assegnazione nel Centro account.

  • L'amministratore del servizio è l'unico utente autorizzato a modificare l'associazione di una sottoscrizione a una directory nel portale di gestione di Windows Azure.

L'accesso a Windows Azure ha inizio con un ID utente, ovvero una combinazione di indirizzo di posta elettronica e password utilizzata da Azure per l'autenticazione degli utenti. Sono disponibili due tipi di ID utente: account Microsoft e account aziendali.

  • Il formato degli account Microsoft può essere <utente>@outlook.com <utente>@hotmail.com o <utente>@live.com.

  • Il formato degli account aziendali può essere, ad esempio, judy@contoso.onmicrosoft.com oppure judy@contoso.com. "Contoso" può essere qualsiasi nome di dominio.

Gli account aziendali sono diversi rispetto agli account Microsoft, poiché vengono originati da Active Directory di Windows Azure. Poiché gli account aziendali vengono creati da Active Directory di Windows Azure, sono disponibili varie opzioni per poterli gestire. Ad esempio, gli account aziendali possono essere integrati con l'autenticazione a più fattori, che richiede l'immissione di ulteriori informazioni da parte dell'utente per la verifica dell'identità.

Pertanto, in generale, è consigliabile utilizzare gli account aziendali qualora fosse necessario assegnare l'accesso amministrativo ad Azure. Ogni sottoscrizione Windows Azure dispone di una directory predefinita che è possibile utilizzare per creare account aziendali.

Il portale di gestione di Windows Azure e la maggior parte degli strumenti client per servizi, come Visual Studio o PowerShell, supportano l'autenticazione basata su account. Si tratta di uno schema di autenticazione basata su token che richiede semplicemente l'immissione dell'ID utente. Tuttavia, l'autenticazione basata su account per Windows Azure in caso di utilizzo di strumenti in esecuzione in un client è una funzionalità relativamente recente. In precedenza, l'unico metodo per eseguire l'autenticazione consisteva nel disporre di un certificato di gestione per una sottoscrizione nel client. Questa autenticazione basata su certificati prevede l'accesso a uno speciale sito Web con l'ID utente per scaricare un file di sottoscrizione (precedentemente noto come file publishsettings) contenente informazioni sulle sottoscrizioni accessibili e sui relativi certificati, nonché la possibilità di fare riferimento a tale file o ai certificati dagli strumenti. È inoltre possibile creare autonomamente il certificato, caricarlo nel portale di gestione di Windows Azure e farvi riferimento in modo analogo.

Questo metodo è complicato, soggetto a errori e richiede un'infrastruttura a chiave pubblica (PKI) adeguatamente sicura.

L'autenticazione basata su certificati per le funzioni di gestione è comunque supportata (e richiesta per alcuni servizi Azure), ma si tratta di un metodo più complicato e meno sicuro rispetto alla gestione basata su account. È piuttosto frequente confondere questo tipo di autenticazione basata su certificati per le funzioni di gestione del servizio con l'autenticazione basata su certificati che consente a programmi e utenti di utilizzare i servizi mentre sono in esecuzione.

Per tali motivi, scegliere l'autenticazione basata su account rispetto a quella basata su certificati per le funzioni di gestione del servizio laddove possibile.

ImportantImportante
L'autenticazione basata su account utilizza i token emessi da un provider di autenticazione che sceglie la durata del token (da un giorno a diverse settimane). Alla scadenza del token, l'utente dovrà eseguire nuovamente l'accesso. Se è necessario l'accesso client persistente alle funzioni di gestione del servizio, ad esempio per progetti di codice o script di distribuzione integrati di lunga durata, la gestione basata su certificati potrebbe essere la soluzione ideale.

Vedere le note sulla versione di Windows Azure SDK.

In genere, un numero elevato di amministratori si traduce nella necessità di aderire in modo più rigoroso a linee guida e procedure consigliate. Anche se i servizi attuali sono ridotti e caratterizzati da un numero esiguo di amministratori, nel momento in cui si espanderanno, l'aderenza alle procedure consigliate per la gestione di sottoscrizioni e account consentirà di garantire linearità nelle operazioni.

Utilizzare account aziendali per tutti i ruoli amministrativi. In questo modo sarà possibile sfruttare il pieno potenziale di Active Directory di Windows Azure per la governance. È possibile utilizzare directory per gestire utenti e delegare l'assegnazione in base alle esigenze dell'azienda. Per ulteriori informazioni, vedere Active Directory di Windows Azure.

Ogni volta che si aggiunge o si modifica l'assegnazione di un ruolo amministrativo, utilizzare lo stesso nome di dominio con cui è stato eseguito l'accesso. Ad esempio, se l'amministratore dell'account nel dominio contoso.onmicrosoft.com riassegna l'amministratore del servizio per una sottoscrizione, aggiungere quest'ultimo con un ID utente nel dominio contoso.onmicrosoft.com. Agire allo stesso modo in caso di aggiunta di coamministratori nel portale di gestione di Windows Azure.

Creare una sottoscrizione diversa per ogni servizio e assegnare un nome univoco a ciascuna sottoscrizione. In questo modo sarà possibile visualizzare l'utilizzo e controllare l'accesso a ogni servizio in modo granulare.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2014 Microsoft. Tutti i diritti riservati.