Azure中的身份驗證類型？

Question

我是azure的新手，正在閱讀有關認證部分。有兩個門戶經典和ARM。我想知道用戶可以通過多少種方式在azure中進行身份驗證。是否有與Classic門戶和ARM門戶有任何不同的授權方式？

Answer 1

用戶將使用訂閱在Azure上進行身份驗證。之後，建議使用Azure Portal（https://portal.azure.com）創建新服務，並使用ARM（Azure資源管理器）體系結構創建新服務。以前的版本（a.k.a classic）允許用戶基於ASM（Azure服務管理器）創建服務。

通過訂閱，用戶可以使用REST API，Powershell，Azure Cli，Azure Portal和Azure SDK進行身份驗證。

Answer 2

Authentication對我來說是識別你是誰的過程，Authorization是你可以做的。由此，無論是舊門戶（僅支持經典資源）還是新門戶（既支持傳統資源，又支持ARM資源），通過Azure AD進行身份驗證。正如其中一條評論所述，任何試圖訪問該門戶的用戶都必須在相應的Azure AD中擁有一條記錄（可能是通過Microsoft帳戶或AD聯合來源的本地Azure AD帳戶）。沒有這個，用戶不能訪問任何一個門戶。

現在來授權部分。

新門戶建立在Role-based access control (RBAC)之上，它提供對資源的精細訪問。有許多預定義角色（Owner，Contributor，Reader），或者您可以創建自己的自定義角色併爲用戶分配角色。一旦用戶登錄，他們將只能執行角色允許的操作。如果用戶嘗試執行操作，角色不允許（例如，用戶處於讀者角色但嘗試列出存儲帳戶密鑰），則會顯示「拒絕訪問」錯誤。

舊門戶也具有角色，但是這些角色是預定義的，並且與RBAC角色相比，它們的範圍並非精細。就我所知，在舊門戶中只有3個角色可用 - Subscription Admin,Subscription Co-Admin和Account Admin。如果我沒有弄錯，舊門戶只能由訂閱管理員或共同管理員訪問。同樣的賬戶門戶（查看賬單等）用戶應該是Subscription管理員或賬戶管理員。但是，一旦用戶進入門戶網站，他們可以做所有事情。換句話說，在舊門戶中，訂閱管理員和共同管理員是相同的。他們可以創建資源，更新它們，甚至刪除它們。舊門戶中的細粒度控制無法像新門戶中那樣進行。