Доступк к Azure через учетную запись организации (Organizational Account)

Для управления и доступа к ресурсам Azure изначально можно было использовать только Microsoft Account (LiveID), но какое-то время назад была добавлена поддержка учетной записи организации (Organizational Account). Organizational Account обсулживаются службой Azure Active Directory, а это обеспечивает расширенные функции управления данными учетными записями в рамках вашей организации (для которой создается выделенная Azure Active Directory). Например, Organizational Account, так же как и Microsoft Account (LiveID), поддерживают двухфакторную аутентификацию. Но для Organizational Account требование использовать мультифакторную аутентификацию может быть задано как обязательное, т.е. зайти на портал управления Azure пользователь сможет только выполнив все шаги двухфакторной верификации. 

Мне достаточно часто задают вопрос относительно предоставления доступа к управлению системой, развернутой в Azure. Не всегда предоставление доступа на основе Microsoft Account (LiveID) для реальной системы подходит, т.к. администраторам сложнее контролировать как применяемые меры безопасности, так и права пользователей\сотрудников. Например, сотрудник может уволиться или его аккаунт будет взломан (далеко не все включают для своего аккаунта двухфакторную аутентификацию), в этом улчае необходимо приостановить доступ по данной учтеной записи к облачной системе, чтобы никакие действия не могли быть выполнены ни через портал, ни через API. 

Organizational Account как раз решает большинство вопросов (централизованное управление дсотупом, повышенные настройки безопасности и т.п.). Более подробная информация об управление аккаунтами и подписками в Azure представлена в  MSDN статье Manage Accounts, Subscriptions, and Administrative Roles.

А далее будет пошаговая инструкция заведения Organizational Account и привязки его в Azure. Никаких дополнительных затрат создание Organizational Account не требует.

Organizational Account и привязки его в Azure

1. Зайдите на страницу Sign up for Azure as an organization и выберите Sign up now.

2. Далее будет предложено выполнить вход с использованием Microsoft Account (LiveID) или Organizational Account. Выбирайте Organizational Account.

3. Отроектся страница, где будет предложено создать Organizational Account и определить Azure Active Directory. Поле DOMAIN NAME как раз определяет название Azure Active Directory (полное имя будет <указанное значение>.onmicrosoft.com), в которую будет добавлен создаваемый пользователь и которой вы сможете управлять в дальнейшем. В данном примере DOMAIN NAME определено как dxrussia (а полное имя как dxrussia.onmicrosoft.com, которое и является префиксом для полного имени пользователя).

Вам необходимо будет указать номер мобильного телефона для верификации, на указанный номер телефона придет СМС с кодом.

image

2. Далее будет предложено создать аккаунт в Azure на созданного на предыдущем шаге пользователя ( natale@dxrussia.onmicrosoft.com ).

Необходимо будет указать для верификации данные банковской карты и поставить галочку напротив I agree to the Windows Azure Agreement, Offer Details and Privacy Policy, если согласны с условиями использования Azure.

image

3. Собственно, вот и все - теперь созданы:

  • Учетная запись организации (Organizational Account)
  • Ваша Azure Active Directory
  • Аккаунт в Azure
  • Подписка Azure, привязанная к аккаунту.

image

Настройка двухфакторной аутентификации для Organizational Account

А теперь, чтобы никто-никто не проник к нам в Azure, давайте настроим для нашей учетной записи мультифакторную аутентификацию.

Причечание: включение мультифакторной аутентификации для учетных записей является платной услугой.

1. Для этого необходимо зайти на портал управления Azure - https://manage.windowsazure.com.

Кстати, когда выполните вход, обратите внимание, что адрес будет иметь вид https://manage.windowsazure.com/ <Название вашей Azure Active Directpory>.onmicrosoft.com. В данном примере это https://manage.windowsazure.com/**dxrussia.onmicrosoft.com**\#Workspaces/All/dashboard.

2.  Перейдите во вкладку Azure Active Directory, в секции Configure You Directory выберите пункт Enable Multi-Factor Authentication.

image

3. Теперь перейдите во вкладку Users и нажмите кнопку Manage Multi-Factor Auth внизу страницы. Отроект страница с настройками двухфакторной аутентификации для пользователей вашей Azure Active Directory.

Включите двухфакторную аутентификацию (Enable) для пользователей.

image

4. Теперь снова зайдите на портал управления Azure, т.к. настройки безопасности были изменены, то система попросит определить удобный способ для дополнительной верификации учетной записи.

image

5. Собственно, предлагаю настроить =) По умолчанию выставлено “Позвоните мне”, я предпочла все-таки получать код через СМС.

image

6. Следущий шаг – это проверка работоспособности выбранного способа подтверждения. Мне на телефон пришла СМС с кодом.

image

7. Теперь еще раз заходим на портал. Вводим логин ( natale@dxrussia.onmicrosoft.com ) и пароль.

image

8. И теперь код, пришедший в СМС.

image

9. На портале теперь можно увидеть, что пояивлся новый провайдер – Multi-Factor Auth Provider.

image

10. Еще раз обращу внимание, что включение мультифакторной аутентификации для учетных записей является платной услугой. Расценки приведены здесь. Сумма начисляется\списывается с общего счета за Azure ресурсы.

Есть два способа оплаты:

  • Per user (неограниченное количетсво аутентификаций для пользователя) – это $2\месяц на пользователя.
  • Per Authentication - $2\10 аутентфикаций

Кроме того, двухфакторная аутентификация может использоваться при доступе пользователя и к другим ресрусам и приложениям, а не только для управления ресурсами Azure.

image