Artikel: Enterprise Cloud Readiness – was ist zu tun?

Artikel über “Enterprise Cloud Readiness – was ist zu tun?” auf DOAG Red Stack Magazin

Technisch betrachtet ist eine Cloud-Plattform im Handumdrehen eingeführt. Damit ein Unternehmen allerdings langfristig von ihr profitiert und nicht schneller, als es ihm lieb ist, mit ressourcenraubenden und kostspieligen Problemen konfrontiert wird, müssen neben den technischen auch die strategischen sowie organisatorischen Herausforderungen identifiziert und gemeistert werden.

Azure Governance with Management Groups, Blueprints and Policies – First steps before the implementation

To adopt Azure as your Enterprise cloud platform, you should start with Cloud Governance to starting work in a controlled and secure Environment. Azure provides several Services to do that, but you still have get your organizations requirements for governance, security and compliance, and configure this Services for your requirements.

Below you can find the main three Azure Services which Azure provides to build Governance in Azure and first steps from my experience to start with this Services before the implementation.

Azure Resource Organization with Management Groups

What is Azure Management Group and which goals can you reach with using of Management Groups:

If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure management groups provide a level of scope above subscriptions. You organize subscriptions into containers called “management groups” and apply your governance conditions to the management groups. All subscriptions within a management group automatically inherit the conditions applied to the management group. Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

For example, you can apply policies to a management group that limits the regions available for virtual machine (VM) creation. This policy would be applied to all management groups, subscriptions, and resources under that management group by only allowing VMs to be created in that region.

Source https://docs.microsoft.com/de-de/azure/governance/management-groups/index

 

First steps:

  • group your Governance, Compliance, and Security requirements top-down and divide it in max. 6 hierarchical levels
  • separate the organizational and operational responsibilities

 

Azure Policy structure with Initiatives and Effect Types

What is Azure Policy and which goals can you reach with using of these Policies:

Governance validates that your organization can achieve its goals through effective and efficient use of IT. It meets this need by creating clarity between business goals and IT projects.

Does your company experience a significant number of IT issues that never seem to get resolved? Good IT governance involves planning your initiatives and setting priorities on a strategic level to help manage and prevent issues. This strategic need is where Azure Policy comes in.

Azure Policy is a service in Azure that you use to create, assign and, manage policies. These policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service level agreements. Azure Policy meets this need by evaluating your resources for non-compliance with assigned policies. For example, you can have the policy to allow only a certain SKU size of virtual machines in your environment. Once this policy is implemented, new and existing resources are evaluated for compliance. With the right type of policy, existing resources can be brought into compliance. Later in this documentation, we’ll go over more details on how to create and implement policies with Azure Policy.

Source https://docs.microsoft.com/en-us/azure/governance/policy/overview

 

First steps:

  • verify your Governance, Compliance, and Security requirements from the first part
  • identify which type of effects (auditing or enforcing) make sense four your organization
  • group similar policies to Initiative even it’s only one, use the initiatives
  • start with auditing from top-down and enforcing from bottom-up
  • verify which initiatives/policies should be assigned over the management groups and which one over the Blueprints

 

Azure Blueprint structure for an initial and additional setup

What is Azure Policy and which goals can you reach with using of these Policies:

just as a blueprint allows an engineer or an architect to sketch a project’s design parameters, Azure Blueprints enables cloud architects and central information technology groups to define a repeatable set of Azure resources that implements and adheres to an organization’s standards, patterns, and requirements. Azure Blueprints makes it possible for development teams to rapidly build and stand up new environments with the trust they’re building within organizational compliance with a set of built-in components — such as networking — to speed up development and delivery.

Blueprints are a declarative way to orchestrate the deployment of various resource templates and other artifacts such as:

    • Role Assignments

    • Policy Assignments

    • Azure Resource Manager templates

    • Resource Groups

Source https://docs.microsoft.com/en-us/azure/governance/blueprints/overview

First steps:

  • Sketch your own Azure Environment Templates with organization’s standards, patterns, and requirements to reuse it in multiple Azure Subscriptions.
  • identify the initial Blueprints which contains the basic settings of each Azure subscription in your organization and then create additional blueprints for individual Services like ISO certified SQL Instance and etc.

Vorbereitung auf Microsoft Exam AZ-302 – Azure Solutions Architecture Expert

Ich bereite mich mit den folgenden Lernmaterial für diesen Prüfung vor und möchte denen die das auch geplant haben meine gesammelten Informationen zu Verfügung stellen. Ich wünsche allen viel Erfolg und hoffe das meine Inputs etwas dazu beitragen kann.

 

Prüfungsinhalt:

Determine Workload Requirements (15-20%)

Design for Identity and Security (5-10%)

Design a Business Continuity Strategy (15-20%)

Implement Workload and Security (5-10%)

Implement Authentication and Secure Data (5-10%)

Develop for the Cloud (50%)

Link Sammlung:

eLearning

https://www.udemy.com/az302-azure/

https://app.pluralsight.com/channels/details/acdf22f8-4ab6-4ec9-bbe4-acca6e48bc31

Microsoft Learn Portal

https://docs.microsoft.com/de-de/learn/

Microsoft Hands-on Lab

https://www.microsoft.com/handsonlabs

Azure Doc

https://docs.microsoft.com/de-de/azure/

Dokumente

https://www.microsoft.com/en-ca/learning/certification-exams.aspx?types=true

https://www.microsoft.com/en-ca/learning/online-proctored-exams.aspx

Allgemein

https://www.microsoft.com/en-us/learning/azure-solutions-architect.aspx#skillsandknowledge

https://www.microsoft.com/en-us/learning/exam-AZ-302.aspx

 

Einführung von Azure Cloud Plattform in einer zentralen IT Organisation – Teil 2

Bevor die Einführung einer Cloud Plattform gestartet werden kann, sind einige strategische sowie auch organisatorische Überlegungen evtl. auch Anpassungen notwendig. Die Allgemeine Überlegungen bei einer Cloud Einführung werde ich in einer seperaten Blog Eintrag verfassen.

Die Einführung von Azure Cloud Plattform in einer Organisation beinhaltet verschiedene Schritte, mit dem Bild unten möchte ich gerne einer der möglichen Vorgehenweise bei der Einführung aufzeigen. Diese Vorgehensweise kann ebenfalls auch bei der Einführung von anderen Cloud Plattformen adaptiert werden (die Farbigen blöcke werden evtl. anders benannt).

Die Liste der einzelne Themen ist nicht abschliessend.

kurze Erklärung zum Bild:

  • Weise Blöcke – Konzeptionelle Vorgehensweise und Gruppierung der farbigen Blöcke.
  • Farbigen Blöcke – Organisatorische und Technische Komponenten die bei der Einführung beachtet bzw. implementiert werden können

 

Azure Site Recovery Planner für VMware vCenter OnPremise

 

Azure Site Recovery Deployment Planner einsetzen

Azure Site Recovery bietet die Möglichkeit virtuelle sowie physische Maschinen nach Azure zu Replizieren, mit Azure Site Recovery Deployment Planner ist es möglich z.B. die Kompatibilität der Virtuellen Maschinen in einer VMware Umgebung nach Azure zu prüfen und eine Kostenschätzung nach definierten RPO zu erstellen. Dazu wird auch der Sizing von OnPremise Azure Site Recovery Infrastruktur vorgeschlagen.

Hinweise

  • Auf der Maschine welches für Report Generierung verwendet wird, muss MS Excel installiert sein.
  • Azure Storage Konto für den Datendurchsatz Test erstellen und Access Key bereithalten
  • VMware vSphere PowerCLI
  • vCenter Admin User

Profiling – Informationen aus der vCenter sammeln

Vorbereitung für das Profiling – VM Liste erstellen

Set-ExecutionPolicy –ExecutionPolicyset- AllSigned

Add-PSSnapin VMware.VimAutomation.Core

Connect-VIServer -Server <server name> -User name> -Password

Get-VM |  Select Name | Sort-Object -Property Name >  <outputfile.txt>

Outputfile Beispiel:

Name
----
vm001
vm002
vm003
vm004
vm005

Profiling starten

Beispiel 1 – Profile VMs for 30 days, and find the throughput from on-premises to Azure

ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt”  -NoOfDaysToProfile  30  -User vCenterUser1 -StorageAccountName  asrspfarm1 -StorageAccountKey Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==

Beispiel 2 – Profile VMs for 15 days

ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt” -NoOfDaysToProfile  15  -User vCenterUser1

Beispiel 3 – Profile VMs for 60 minutes for a quick test of the tool

ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt”  -NoOfMinutesToProfile 60  -User vCenterUser1

Beispiel 4 – Profile VMs for 2 hours for a proof of concept

ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt” -NoOfHoursToProfile 2 -User vCenterUser1

Report erstellen

Beispiel 1 –  Generate a report with default values when the profiled data is on the local drive

ASRDeploymentPlanner.exe -Operation GenerateReport -Virtualization VMware -Server vCenter1.contoso.com -Directory “E:\vCenter1_ProfiledData” -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt”

Beispiel 2 – Generate a report when the profiled data is on a remote server

ASRDeploymentPlanner.exe -Operation GenerateReport -Virtualization VMware -Server vCenter1.contoso.com -Directory “\\PS1-W2K12R2\vCenter1_ProfiledData” -VMListFile “\\PS1-W2K12R2\vCenter1_ProfiledData\ProfileVMList1.txt”

Beispiel 3 – Generate a report for 5-minute RPO

ASRDeploymentPlanner.exe -Operation GenerateReport -Virtualization VMware -Server vCenter1.contoso.com -Directory “E:\vCenter1_ProfiledData” -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt”  -DesiredRPO 5

Datendurchsatz von OnPremise nach Azure eruieren

ASRDeploymentPlanner.exe -Operation GetThroughput -Virtualization VMware -Directory  E:\vCenter1_ProfiledData -VMListFile E:\vCenter1_ProfiledData\ProfileVMList1.txt  -StorageAccountName  asrspfarm1 -StorageAccountKey by8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==

ADFS 4.0 und SWITCH edu-ID

SWITCH edu-ID IdP als zusätzliche Identity Provider im ADFS 4.0

Wie in einer der vorherigen Blogeintrag erwähnt, wird SWITCH edu-ID zu einer lebenslangen digitale Identität in das Hochschuleumfeld.

Sicherlich kennt Ihr das Problem, das in vielen Organisationen die Webanwendungen mit unterschiedlichen Sign-In Page daher kommen, das hat teils auch damit zu tun, dass die Identitätsattribute über verschiedene Identity Provider zur Verfügung gestellt werden.

Das ADFS (Active Directory Federation Service) von der Microsoft ermöglicht in einer Active Directory Umgebung die Nutzung von SAML Sign-In Protokoll, dazu auch noch die Möglichkeit den Benutzer eine einheitliche und nach Organisations Bedürfnissen angepasste Sign-In Page für Webanwendungen anzubieten und gleichzeitig den Identitätsattributen von verschiedenen Identity Provider an Applikationen über mehrere Protokolle und Token typen weiterzugeben.

Mehr zu ADFS 4.0 (Windows Server 2016):
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/whats-new-active-directory-federation-services-windows-server

Da der aktuelle Hochschulenweite Identity Federation mit SWITCHaai für die aktiven Hochschul angehörige eingeschränkt bleibt, bietet die SWITCH edu-ID die Möglichkeit ohne einen aktiven Mitgliedschaft an einer Hochschule, die von der Hochschulen freigegebene Ressourcen zu nutzen. Um den Zugang auf die Ressourcen über einen einheitliche Sign-In Page zu ermöglichen wäre eine möglichkeit die SWITCH edu-ID über das ADFS anzubieten. So können z. B. die interne Geschäftsapplikationen über das ADFS angebunden werden und als Sign-In Protokoll WS-FED und als Authentisierungstyp Kerberos oder NTLM nutzen, die Applikationen welche ohne eine aktive Mitgliedschaft angeboten werden, können über die SWITCH edu-ID mit SAML als Sign-In Protokoll und als Authentisierungstyp Form-Based angebunden werden.

Beispiellayout:

SWITCHaai/edu-ID IdP Konfiguration:

ADFS als SWITCHaai Ressource auf der Resource Registry Seite (https:/rr.aai.switch.ch/) einrichten

Ein Hinweis noch um SWITCH edu-ID zuzulassen:

ADFS 4.0 Konfiguration:

Neu mit ADFS 4.0 können auch Metadata Files mit mehreren Entity Einträge in einem File eingelesen werden, dafür wird der folgende Befehl verwendet:

Add-AdfsClaimsProviderTrust -Name “SWITCH edu-ID” -MetadataUrl https://metadata.aai.switch.ch/entities/eduid -AcceptanceTransformRulesFile .\DefaultAcceptanceRules.txt -AutoUpdateEnabled $true -MonitoringEnabled $true

Mit diesem Befehl wird der IDP von SWITCH edu-ID aus der Metadata File im ADFS als ClaimsProviderTrust erstellt.

ClaimTrustProvider auslesen:

Get-AdfsClaimsProviderTrust | ft Name, Identifier

Beispiel für eine AcceptanceRules.txt File:

@RuleTemplate = "PassThroughClaims"

@RuleName = "Pass trough Name ID"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] == "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"] => issue(claim = c);
@RuleName = "principalName to UPN"
c:[Type == "urn:oid:2.16.756.1.2.5.1.1.1"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "givenname to Given Name"
c:[Type == "urn:oid:2.5.4.42"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "sn to Surname"
c:[Type == "urn:oid:2.5.4.4"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "displayName to Display Name"
c:[Type == "urn:oid:2.16.840.1.113730.3.1.241"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "mail to E-Mail Address"
c:[Type == "urn:oid:0.9.2342.19200300.100.1.3"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);

ADFS 4.0 Test:

Auf der ADFS Home Realm Discovery (HRD) Page wird zusätzlich zu Active Directory der SWITCH edu-ID IdP angeboten.

HRD: https://adfs.domain.ch/adfs/ls/idpinitiatedsignon

Um die Display Name der IdP auf der ADFS HRD Page anzupassen, muss die Display name der Claims Provider Trust auf der ADFS Server angepasst werden.

Azure und Office365 über PowerShell

Installierte PowerShell Module auslesen:

Get-command -Module *Modulname*

Installation Powershell Gallery Module:

Install-Module -Name PowerShellGet -Force

Nützliche PowerShell Module für die Verwaltung von Azure und Office 365

Installation Azure Resource Manager Module:

Install-Module -Name AzureRM

Install-Module -Name AzureAD

Install-Module -Name MSOnline

Optional -Force

Installation überprüfen:

Get-Module -ListAvailable *Azure*

Anmeldung auf die Online Diensten

Azure Resource Manager:

Connect-AzureRmAccount

O365 Services:

$UserCredential = Get-Credential
Connect-MsolService -Credential $UserCredential

Azure AD:

$UserCredential = Get-Credential
Connect-azureAD -Credential $UserCredential

Nützliche PowerShell Befehle für die Verwaltung von Azure und Office 365

Office365 Benutzer Informationen einblenden lassen:

Get-MsolUser

Get-MsolUser -UnlicensedUsersOnly

Get-MsolUser | Where-Object {$_.UsageLocation -eq $Null}

Get-MsolUser -UserPrincipalName "upn@tenant.onmicosoft.com" | Select-Object *

Get-MsolUser | Where-Object {$_.City -eq "Zurich"}

Get-MolUser -UserPrincipalName <UPN of user account> | Select DisplayName,BlockCredential

Get-MsolUser | Select-Object DisplayName, Department, UsageLocation

Azure AD Benutzer Informationen einblenden lassen:

Get-AzureADUser

Get-AzureADUser | Where-Object {$_.UsageLocation -eq $Null}

Get-AzureADUser -ObjectID "upn@tenant.onmicosoft.com" | Select-Object * | More

Get-AzureADUser | Where-Object {$_.City -eq "Zurich"}

Azure CLI Befehle

Nach Ressourcen suchen:

az resource list -n uniqname

Nach Ressourcen in einer Ressourcegruppe suchen:

az resource list --resource-group RG1

Ressourcengruppe erstellen:

az group create --name NAME --location westeurope

Appservice Plan erstellen:

az appservice plan create --name NAME --resourcegroup RG Group -- sku SKU --is-linux

WebApp für Container erstellen:

az webapp create --resource-group RGGroup --plan APPPlan --name NAMEContainer --deployment-container-image-name microsoft/azure-appservices-go-quickstart

Vorbereitung auf Microsoft Exam 70-535 – Architecting Microsoft Azure Solutions

Ich habe mich mit den folgenden Lernmaterial für diesen Prüfung vorbereitet und mit 781 Punkten bestanden und möchte denen die das auch vorhaben meine gesammelten Informationen zu Verfügung stellen. Laut Microsoft ist das einer der wenige Zertifizierung welche so viele interessante und doch verschiedene Themen abgehandelt werden. Ich wünsche allen viel Erfolg und hoffe das meine Inputs etwas dazu beitragen kann.

Link Sammlung:

eLearning

https://www.udemy.com/70534-azure/

https://app.pluralsight.com/paths/skills/microsoft-azure-solutions-architect

Dokumente

https://www.microsoft.com/en-ca/learning/certification-exams.aspx?types=true

https://www.microsoft.com/en-ca/learning/online-proctored-exams.aspx

Allgemein

https://www.mssqltips.com/sqlservertip/5265/exam-material-for-the-microsoft-70535-architecting-microsoft-azure-solutions/

https://www.microsoft.com/en-us/learning/exam-70-535.aspx

SWITCH edu-ID – die neue Authentisierungslösung für Schweizer Hochschulen

Die Vision: Eine digitale Identität, welche das gesamte Leben gilt und an allen Hochschulen – als Mitarbeitende, Studierende und Weiterbildungsteilnehme – genutzt werden kann.

Die bekannt und aktuell verwendete digitale Identität «SWITCHaai» steht nur bei einer Anstellung oder Immatrikulation an einer Hochschule zu Verfügung und wird beim Austritt oder Exmatrikulation aufgelöst. Die neue digitale Identität «SWITCH edu-ID» hat keinen Ablauf. Sie wird nicht mehr dezentral in den einzelnen Hochschulen erzeugt, sondern die einzelnen Hochschulen können die von der SWITCH zur Verfügung gestellten Identität mit Hochschul-Attributen ergänzen.

Die Vorteile liegen auf der Hand: Bspw. bei einem Studiengang welche in Zusammenarbeit von mehreren Hochschulen angeboten (z.B. «Kooperationsmaster»), kann sich der Studierende mit einer Identität an den IT-Infrastrukturen beider Hochschulen authentisieren und diese nutzen. SWITCH edu-ID steht in einer Basis-Variante für jeden (auch ausserhalb der Hochschulen) kostenlos zu Verfügung.

Projektscope und Vorgehen bei Einführung von Identity Management

Bei der Einführung von Identity Management Lösungen wird immer wieder der Scope am Anfang zu breit gefasst, dies hat evtl. mit dem zu tun weil sobald man sich mit den betroffenen IdM Prozesse und Systeme auseinander setzt, tauchen Themen wie Federation, SSO, Rollenmanagement, Self Service etc. auf. Alle diesen Themen sind sehr relevant für eine Erfolgreiche Einführung von Identity Management in einer Organisation, doch wo soll man Anfangen damit in einer realistischen Zeitspanne der Basis eingeführt und die erste Resultate sichtbar werden.

Was ist der Basis?

Basis einer Identity Management Einführung ist die Provisionierung von Konten in den Zielsystemen welche für die Endbenutzer Zugriff zu Verfügung stehen. Sobald diese einwandfrei funktioniert können die erweiterte Identity Management Themen wie Federation, SSO, Business Rollen Management, RBAC und Self-Service schrittweise implementiert werden. Teile der erweiterte Identity Management Themen werden schon während der Basis Implementierung mit aufgebaut, aber noch nicht voll umfänglich. Bei der Einführung von Identity Management oder ähnliche Themen macht es sicher Sinn die Unterthemen in Form einer RoadMap mit Abhängigkeiten und Priorisierung darzustellen und auf das basierend die Projekte zu initiieren und zu steuern.

 Beispiel IDM RoadMap: