Для управления и доступа к ресурсам Azure изначально можно было использовать только Microsoft Account (LiveID), но какое-то время назад была добавлена поддержка учетной записи организации (Organizational Account). Organizational Account обслуживаются службой Azure Active Directory, а это обеспечивает расширенные функции управления данными учетными записями в рамках вашей организации (для которой создается выделенная Azure Active Directory). Например, Organizational Account, так же как и Microsoft Account (LiveID), поддерживают двухфакторную аутентификацию. Но для Organizational Account требование использовать мультифакторную аутентификацию может быть задано как обязательное, т.е. зайти на портал управления Azure пользователь сможет только выполнив все шаги двухфакторной верификации..png)
Увеличить
Мне достаточно часто задают вопрос относительно предоставления доступа к управлению системой, развернутой в Azure. Не всегда предоставление доступа на основе Microsoft Account (LiveID) для реальной системы подходит, т.к. администраторам сложнее контролировать как применяемые меры безопасности, так и права пользователей\сотрудников. Например, сотрудник может уволиться или его аккаунт будет взломан (далеко не все включают для своего аккаунта двухфакторную аутентификацию), в этом случае необходимо приостановить доступ по данной учтённой записи к облачной системе, чтобы никакие действия не могли быть выполнены ни через портал, ни через API.
Organizational Account как раз решает большинство вопросов (централизованное управление доступом, повышенные настройки безопасности и т.п.). Более подробная информация об управление аккаунтами и подписками в Azure представлена в статье MSDN Manage Accounts, Subscriptions, and Administrative Roles.
А далее будет пошаговая инструкция заведения Organizational Account и привязки его к Azure и включения для аккаунта двухфакторной аутентификации.
Organizational Account и привязки его в Azure
1. Зайдите на страницу Sign up for Azure as an organization и выберите Sign up now.
2. Далее будет предложено выполнить вход с использованием Microsoft Account (LiveID) или Organizational Account. Выбирайте Organizational Account.
3. Откроется страница, где будет предложено создать Organizational Account и определить Azure Active Directory. Поле DOMAIN NAME как раз определяет название Azure Active Directory (полное имя будет <указанное значение>.onmicrosoft.com), в которую будет добавлен создаваемый пользователь и которой вы сможете управлять в дальнейшем. В данном примере DOMAIN NAME определено как dxrussia (а полное имя как dxrussia.onmicrosoft.com, которое и является префиксом для полного имени пользователя).
Вам необходимо будет указать номер мобильного телефона для верификации, на указанный номер телефона придет СМС с кодом..png)
4. Далее будет предложено создать аккаунт в Azure на созданного на предыдущем шаге пользователя (natale@dxrussia.onmicrosoft.com).
Необходимо будет указать для верификации данные банковской карты и поставить галочку напротив I agree to the Windows Azure Agreement, Offer Details and Privacy Policy, если согласны с условиями использования Azure..png)
5. Собственно, вот и все — теперь созданы:
- Учетная запись организации (Organizational Account)
- Ваша Azure Active Directory
- Аккаунт в Azure
- Подписка Azure, привязанная к аккаунту.
.png)
Настройка двухфакторной аутентификации для Organizational Account
А теперь, чтобы никто-никто не проник к нам в Azure, давайте настроим для нашей учетной записи мультифакторную аутентификацию.
Примечание: включение мультифакторной аутентификации для учетных записей является платной услугой (см. пункт 10 в конце статьи).
1. Для этого необходимо зайти на портал управления Azure — https://manage.windowsazure.com/.
Кстати, когда выполните вход, обратите внимание, что адрес будет иметь вид manage.windowsazure.com/<Название вашей Azure Active Directpory>.onmicrosoft.com. В данном примере это manage.windowsazure.com/dxrussia.onmicrosoft.com#Workspaces/All/dashboard.
2. Перейдите во вкладку Azure Active Directory, в секции Configure You Directory выберите пункт Enable Multi-Factor Authentication..png)
Увеличить
3. Теперь перейдите во вкладку Users и нажмите кнопку Manage Multi-Factor Auth внизу страницы. Откроется страница с настройками двухфакторной аутентификации для пользователей вашей Azure Active Directory.
Включите двухфакторную аутентификацию (Enable) для пользователей..png)
Увеличить
4. Теперь снова зайдите на портал управления Azure, т.к. настройки безопасности были изменены, то система попросит определить удобный способ для дополнительной верификации учетной записи..png)
5. Собственно, предлагаю настроить =) По умолчанию выставлено “Позвоните мне”, я предпочла все-таки получать код через СМС..png)
Увеличить
6. Следующий шаг – это проверка работоспособности выбранного способа подтверждения. Мне на телефон пришла СМС с кодом..png)
Увеличить
7. Теперь еще раз заходим на портал. Вводим логин (natale@dxrussia.onmicrosoft.com) и пароль..png)
8. И теперь код, пришедший в СМС..png)
9. На портале теперь можно увидеть, что появился новый провайдер – Multi-Factor Auth Provider..png)
Увеличить
10. Еще раз обращу внимание, что включение мультифакторной аутентификации для учетных записей является платной услугой. Расценки приведены здесь. Сумма начисляется\списывается с общего счета за Azure-ресурсы.
Есть два способа оплаты:
- Per user (неограниченное количество аутентификаций для пользователя) – это $2\месяц на пользователя.
- Per Authentication — $2\10 аутентификаций
Кроме того, двухфакторная аутентификация может использоваться при доступе пользователя и к другим ресурсам и приложениям, а не только для управления ресурсами Azure..png)
Увеличить
Кстати, более подробно про управление мультифакторной аутентификацией можно прочитать в статье моего коллеги — Обзор мультифакторной аутентификации в облаке Microsoft Azure.