Artikel über “Enterprise Cloud Readiness – was ist zu tun?” auf DOAG Red Stack Magazin
Technisch betrachtet ist eine Cloud-Plattform im Handumdrehen eingeführt. Damit ein Unternehmen allerdings langfristig von ihr profitiert und nicht schneller, als es ihm lieb ist, mit ressourcenraubenden und kostspieligen Problemen konfrontiert wird, müssen neben den technischen auch die strategischen sowie organisatorischen Herausforderungen identifiziert und gemeistert werden.
To adopt Azure as your Enterprise cloud platform, you should start with Cloud Governance to starting work in a controlled and secure Environment. Azure provides several Services to do that, but you still have get your organizations requirements for governance, security and compliance, and configure this Services for your requirements.
Below you can find the main three Azure Services which Azure provides to build Governance in Azure and first steps from my experience to start with this Services before the implementation.
What is Azure Management Group and which goals can you reach with using of Management Groups:
If your organization has many subscriptions, you may need a way to efficiently manage access, policies, and compliance for those subscriptions. Azure management groups provide a level of scope above subscriptions. You organize subscriptions into containers called “management groups” and apply your governance conditions to the management groups. All subscriptions within a management group automatically inherit the conditions applied to the management group. Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.
For example, you can apply policies to a management group that limits the regions available for virtual machine (VM) creation. This policy would be applied to all management groups, subscriptions, and resources under that management group by only allowing VMs to be created in that region.
Source https://docs.microsoft.com/de-de/azure/governance/management-groups/index
What is Azure Policy and which goals can you reach with using of these Policies:
Governance validates that your organization can achieve its goals through effective and efficient use of IT. It meets this need by creating clarity between business goals and IT projects.
Does your company experience a significant number of IT issues that never seem to get resolved? Good IT governance involves planning your initiatives and setting priorities on a strategic level to help manage and prevent issues. This strategic need is where Azure Policy comes in.
Azure Policy is a service in Azure that you use to create, assign and, manage policies. These policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service level agreements. Azure Policy meets this need by evaluating your resources for non-compliance with assigned policies. For example, you can have the policy to allow only a certain SKU size of virtual machines in your environment. Once this policy is implemented, new and existing resources are evaluated for compliance. With the right type of policy, existing resources can be brought into compliance. Later in this documentation, we’ll go over more details on how to create and implement policies with Azure Policy.
Source https://docs.microsoft.com/en-us/azure/governance/policy/overview
What is Azure Policy and which goals can you reach with using of these Policies:
just as a blueprint allows an engineer or an architect to sketch a project’s design parameters, Azure Blueprints enables cloud architects and central information technology groups to define a repeatable set of Azure resources that implements and adheres to an organization’s standards, patterns, and requirements. Azure Blueprints makes it possible for development teams to rapidly build and stand up new environments with the trust they’re building within organizational compliance with a set of built-in components — such as networking — to speed up development and delivery.
Blueprints are a declarative way to orchestrate the deployment of various resource templates and other artifacts such as:
• Role Assignments
• Policy Assignments
• Azure Resource Manager templates
• Resource Groups
Source https://docs.microsoft.com/en-us/azure/governance/blueprints/overview
Ich bereite mich mit den folgenden Lernmaterial für diesen Prüfung vor und möchte denen die das auch geplant haben meine gesammelten Informationen zu Verfügung stellen. Ich wünsche allen viel Erfolg und hoffe das meine Inputs etwas dazu beitragen kann.
Prüfungsinhalt:
Determine Workload Requirements (15-20%)
Design for Identity and Security (5-10%)
Design a Business Continuity Strategy (15-20%)
Implement Workload and Security (5-10%)
Implement Authentication and Secure Data (5-10%)
Develop for the Cloud (50%)
Link Sammlung:
eLearning
https://www.udemy.com/az302-azure/
https://app.pluralsight.com/channels/details/acdf22f8-4ab6-4ec9-bbe4-acca6e48bc31
Microsoft Learn Portal
https://docs.microsoft.com/de-de/learn/
Microsoft Hands-on Lab
https://www.microsoft.com/handsonlabs
Azure Doc
https://docs.microsoft.com/de-de/azure/
Dokumente
https://www.microsoft.com/en-ca/learning/certification-exams.aspx?types=true
https://www.microsoft.com/en-ca/learning/online-proctored-exams.aspx
Allgemein
https://www.microsoft.com/en-us/learning/azure-solutions-architect.aspx#skillsandknowledge
https://www.microsoft.com/en-us/learning/exam-AZ-302.aspx
Bevor die Einführung einer Cloud Plattform gestartet werden kann, sind einige strategische sowie auch organisatorische Überlegungen evtl. auch Anpassungen notwendig. Die Allgemeine Überlegungen bei einer Cloud Einführung werde ich in einer seperaten Blog Eintrag verfassen.
Die Einführung von Azure Cloud Plattform in einer Organisation beinhaltet verschiedene Schritte, mit dem Bild unten möchte ich gerne einer der möglichen Vorgehenweise bei der Einführung aufzeigen. Diese Vorgehensweise kann ebenfalls auch bei der Einführung von anderen Cloud Plattformen adaptiert werden (die Farbigen blöcke werden evtl. anders benannt).
Die Liste der einzelne Themen ist nicht abschliessend.
kurze Erklärung zum Bild:
Azure Site Recovery bietet die Möglichkeit virtuelle sowie physische Maschinen nach Azure zu Replizieren, mit Azure Site Recovery Deployment Planner ist es möglich z.B. die Kompatibilität der Virtuellen Maschinen in einer VMware Umgebung nach Azure zu prüfen und eine Kostenschätzung nach definierten RPO zu erstellen. Dazu wird auch der Sizing von OnPremise Azure Site Recovery Infrastruktur vorgeschlagen.
Set-ExecutionPolicy –ExecutionPolicyset- AllSigned
Add-PSSnapin VMware.VimAutomation.Core
Connect-VIServer -Server <server name> -User name> -Password
Get-VM | Select Name | Sort-Object -Property Name > <outputfile.txt>
Outputfile Beispiel:
Name
----
vm001
vm002
vm003
vm004
vm005
Beispiel 1 – Profile VMs for 30 days, and find the throughput from on-premises to Azure
ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt” -NoOfDaysToProfile 30 -User vCenterUser1 -StorageAccountName asrspfarm1 -StorageAccountKey Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==
Beispiel 2 – Profile VMs for 15 days
ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt” -NoOfDaysToProfile 15 -User vCenterUser1
Beispiel 3 – Profile VMs for 60 minutes for a quick test of the tool
ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt” -NoOfMinutesToProfile 60 -User vCenterUser1
Beispiel 4 – Profile VMs for 2 hours for a proof of concept
ASRDeploymentPlanner.exe -Operation StartProfiling -Virtualization VMware -Directory “E:\vCenter1_ProfiledData” -Server vCenter1.contoso.com -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt” -NoOfHoursToProfile 2 -User vCenterUser1
Beispiel 1 – Generate a report with default values when the profiled data is on the local drive
ASRDeploymentPlanner.exe -Operation GenerateReport -Virtualization VMware -Server vCenter1.contoso.com -Directory “E:\vCenter1_ProfiledData” -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt”
Beispiel 2 – Generate a report when the profiled data is on a remote server
ASRDeploymentPlanner.exe -Operation GenerateReport -Virtualization VMware -Server vCenter1.contoso.com -Directory “\\PS1-W2K12R2\vCenter1_ProfiledData” -VMListFile “\\PS1-W2K12R2\vCenter1_ProfiledData\ProfileVMList1.txt”
Beispiel 3 – Generate a report for 5-minute RPO
ASRDeploymentPlanner.exe -Operation GenerateReport -Virtualization VMware -Server vCenter1.contoso.com -Directory “E:\vCenter1_ProfiledData” -VMListFile “E:\vCenter1_ProfiledData\ProfileVMList1.txt” -DesiredRPO 5
ASRDeploymentPlanner.exe -Operation GetThroughput -Virtualization VMware -Directory E:\vCenter1_ProfiledData -VMListFile E:\vCenter1_ProfiledData\ProfileVMList1.txt -StorageAccountName asrspfarm1 -StorageAccountKey by8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==
SWITCH edu-ID IdP als zusätzliche Identity Provider im ADFS 4.0
Wie in einer der vorherigen Blogeintrag erwähnt, wird SWITCH edu-ID zu einer lebenslangen digitale Identität in das Hochschuleumfeld.
Sicherlich kennt Ihr das Problem, das in vielen Organisationen die Webanwendungen mit unterschiedlichen Sign-In Page daher kommen, das hat teils auch damit zu tun, dass die Identitätsattribute über verschiedene Identity Provider zur Verfügung gestellt werden.
Das ADFS (Active Directory Federation Service) von der Microsoft ermöglicht in einer Active Directory Umgebung die Nutzung von SAML Sign-In Protokoll, dazu auch noch die Möglichkeit den Benutzer eine einheitliche und nach Organisations Bedürfnissen angepasste Sign-In Page für Webanwendungen anzubieten und gleichzeitig den Identitätsattributen von verschiedenen Identity Provider an Applikationen über mehrere Protokolle und Token typen weiterzugeben.
Mehr zu ADFS 4.0 (Windows Server 2016):
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/whats-new-active-directory-federation-services-windows-server
Da der aktuelle Hochschulenweite Identity Federation mit SWITCHaai für die aktiven Hochschul angehörige eingeschränkt bleibt, bietet die SWITCH edu-ID die Möglichkeit ohne einen aktiven Mitgliedschaft an einer Hochschule, die von der Hochschulen freigegebene Ressourcen zu nutzen. Um den Zugang auf die Ressourcen über einen einheitliche Sign-In Page zu ermöglichen wäre eine möglichkeit die SWITCH edu-ID über das ADFS anzubieten. So können z. B. die interne Geschäftsapplikationen über das ADFS angebunden werden und als Sign-In Protokoll WS-FED und als Authentisierungstyp Kerberos oder NTLM nutzen, die Applikationen welche ohne eine aktive Mitgliedschaft angeboten werden, können über die SWITCH edu-ID mit SAML als Sign-In Protokoll und als Authentisierungstyp Form-Based angebunden werden.
Beispiellayout:
SWITCHaai/edu-ID IdP Konfiguration:
ADFS als SWITCHaai Ressource auf der Resource Registry Seite (https:/rr.aai.switch.ch/) einrichten
Ein Hinweis noch um SWITCH edu-ID zuzulassen:
ADFS 4.0 Konfiguration:
Neu mit ADFS 4.0 können auch Metadata Files mit mehreren Entity Einträge in einem File eingelesen werden, dafür wird der folgende Befehl verwendet:
Add-AdfsClaimsProviderTrust -Name “SWITCH edu-ID” -MetadataUrl https://metadata.aai.switch.ch/entities/eduid -AcceptanceTransformRulesFile .\DefaultAcceptanceRules.txt -AutoUpdateEnabled $true -MonitoringEnabled $true
Mit diesem Befehl wird der IDP von SWITCH edu-ID aus der Metadata File im ADFS als ClaimsProviderTrust erstellt.
ClaimTrustProvider auslesen:
Get-AdfsClaimsProviderTrust | ft Name, Identifier
Beispiel für eine AcceptanceRules.txt File:
@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass trough Name ID"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] == "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"] => issue(claim = c);
@RuleName = "principalName to UPN"
c:[Type == "urn:oid:2.16.756.1.2.5.1.1.1"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "givenname to Given Name"
c:[Type == "urn:oid:2.5.4.42"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "sn to Surname"
c:[Type == "urn:oid:2.5.4.4"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "displayName to Display Name"
c:[Type == "urn:oid:2.16.840.1.113730.3.1.241"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "mail to E-Mail Address"
c:[Type == "urn:oid:0.9.2342.19200300.100.1.3"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
ADFS 4.0 Test:
Auf der ADFS Home Realm Discovery (HRD) Page wird zusätzlich zu Active Directory der SWITCH edu-ID IdP angeboten.
HRD: https://adfs.domain.ch/adfs/ls/idpinitiatedsignon
Um die Display Name der IdP auf der ADFS HRD Page anzupassen, muss die Display name der Claims Provider Trust auf der ADFS Server angepasst werden.
Installierte PowerShell Module auslesen:
Get-command -Module *Modulname*
Installation Powershell Gallery Module:
Install-Module -Name PowerShellGet -Force
Nützliche PowerShell Module für die Verwaltung von Azure und Office 365
Installation Azure Resource Manager Module:
Install-Module -Name AzureRM
Install-Module -Name AzureAD
Install-Module -Name MSOnline
Optional -Force
Installation überprüfen:
Get-Module -ListAvailable *Azure*
Anmeldung auf die Online Diensten
Azure Resource Manager:
Connect-AzureRmAccount
O365 Services:
$UserCredential = Get-Credential
Connect-MsolService -Credential $UserCredential
Azure AD:
$UserCredential = Get-Credential
Connect-azureAD -Credential $UserCredential
Nützliche PowerShell Befehle für die Verwaltung von Azure und Office 365
Office365 Benutzer Informationen einblenden lassen:
Get-MsolUser
Get-MsolUser -UnlicensedUsersOnly
Get-MsolUser | Where-Object {$_.UsageLocation -eq $Null}
Get-MsolUser -UserPrincipalName "upn@tenant.onmicosoft.com" | Select-Object *
Get-MsolUser | Where-Object {$_.City -eq "Zurich"}
Get-MolUser -UserPrincipalName <UPN of user account> | Select DisplayName,BlockCredential
Get-MsolUser | Select-Object DisplayName, Department, UsageLocation
Azure AD Benutzer Informationen einblenden lassen:
Get-AzureADUser
Get-AzureADUser | Where-Object {$_.UsageLocation -eq $Null}
Get-AzureADUser -ObjectID "upn@tenant.onmicosoft.com" | Select-Object * | More
Get-AzureADUser | Where-Object {$_.City -eq "Zurich"}
Azure CLI Befehle
Nach Ressourcen suchen:
az resource list -n uniqname
Nach Ressourcen in einer Ressourcegruppe suchen:
az resource list --resource-group RG1
Ressourcengruppe erstellen:
az group create --name NAME --location westeurope
Appservice Plan erstellen:
az appservice plan create --name NAME --resourcegroup RG Group -- sku SKU --is-linux
WebApp für Container erstellen:
az webapp create --resource-group RGGroup --plan APPPlan --name NAMEContainer --deployment-container-image-name microsoft/azure-appservices-go-quickstart
Ich habe mich mit den folgenden Lernmaterial für diesen Prüfung vorbereitet und mit 781 Punkten bestanden und möchte denen die das auch vorhaben meine gesammelten Informationen zu Verfügung stellen. Laut Microsoft ist das einer der wenige Zertifizierung welche so viele interessante und doch verschiedene Themen abgehandelt werden. Ich wünsche allen viel Erfolg und hoffe das meine Inputs etwas dazu beitragen kann.
Link Sammlung:
eLearning
https://www.udemy.com/70534-azure/
https://app.pluralsight.com/paths/skills/microsoft-azure-solutions-architect
Dokumente
https://www.microsoft.com/en-ca/learning/certification-exams.aspx?types=true
https://www.microsoft.com/en-ca/learning/online-proctored-exams.aspx
Allgemein
Die Vision: Eine digitale Identität, welche das gesamte Leben gilt und an allen Hochschulen – als Mitarbeitende, Studierende und Weiterbildungsteilnehme – genutzt werden kann.
Die bekannt und aktuell verwendete digitale Identität «SWITCHaai» steht nur bei einer Anstellung oder Immatrikulation an einer Hochschule zu Verfügung und wird beim Austritt oder Exmatrikulation aufgelöst. Die neue digitale Identität «SWITCH edu-ID» hat keinen Ablauf. Sie wird nicht mehr dezentral in den einzelnen Hochschulen erzeugt, sondern die einzelnen Hochschulen können die von der SWITCH zur Verfügung gestellten Identität mit Hochschul-Attributen ergänzen.
Die Vorteile liegen auf der Hand: Bspw. bei einem Studiengang welche in Zusammenarbeit von mehreren Hochschulen angeboten (z.B. «Kooperationsmaster»), kann sich der Studierende mit einer Identität an den IT-Infrastrukturen beider Hochschulen authentisieren und diese nutzen. SWITCH edu-ID steht in einer Basis-Variante für jeden (auch ausserhalb der Hochschulen) kostenlos zu Verfügung.
Bei der Einführung von Identity Management Lösungen wird immer wieder der Scope am Anfang zu breit gefasst, dies hat evtl. mit dem zu tun weil sobald man sich mit den betroffenen IdM Prozesse und Systeme auseinander setzt, tauchen Themen wie Federation, SSO, Rollenmanagement, Self Service etc. auf. Alle diesen Themen sind sehr relevant für eine Erfolgreiche Einführung von Identity Management in einer Organisation, doch wo soll man Anfangen damit in einer realistischen Zeitspanne der Basis eingeführt und die erste Resultate sichtbar werden.
Was ist der Basis?
Basis einer Identity Management Einführung ist die Provisionierung von Konten in den Zielsystemen welche für die Endbenutzer Zugriff zu Verfügung stehen. Sobald diese einwandfrei funktioniert können die erweiterte Identity Management Themen wie Federation, SSO, Business Rollen Management, RBAC und Self-Service schrittweise implementiert werden. Teile der erweiterte Identity Management Themen werden schon während der Basis Implementierung mit aufgebaut, aber noch nicht voll umfänglich. Bei der Einführung von Identity Management oder ähnliche Themen macht es sicher Sinn die Unterthemen in Form einer RoadMap mit Abhängigkeiten und Priorisierung darzustellen und auf das basierend die Projekte zu initiieren und zu steuern.
Beispiel IDM RoadMap:
