Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez les identifiants Azure et les abonnements Marketplace pour BlueXP

Contributeurs

Ajoutez et gérez des identifiants Azure pour que BlueXP dispose des autorisations dont il a besoin pour déployer et gérer des ressources cloud dans vos abonnements Azure. Si vous gérez plusieurs abonnements Azure Marketplace, vous pouvez les attribuer à différentes informations d'identification Azure à partir de la page informations d'identification.

Suivez les étapes indiquées sur cette page si vous devez utiliser plusieurs identifiants Azure ou plusieurs abonnements Azure Marketplace pour Cloud Volumes ONTAP.

Présentation

Il existe deux façons d'ajouter des abonnements et des informations d'identification Azure supplémentaires dans BlueXP.

  1. Associez des abonnements Azure supplémentaires à l'identité gérée Azure.

  2. Si vous souhaitez déployer Cloud Volumes ONTAP à l'aide de différentes informations d'identification Azure, accordez des autorisations Azure à l'aide d'un service principal et ajoutez ses informations d'identification à BlueXP.

Associez des abonnements Azure supplémentaires à une identité gérée

BlueXP vous permet de choisir les identifiants Azure et l'abonnement Azure dans lesquels vous souhaitez déployer Cloud Volumes ONTAP. Vous ne pouvez pas sélectionner un autre abonnement Azure pour le profil d'identité gérée à moins d'associer le "identité gérée" avec ces abonnements.

Description de la tâche

Une identité gérée est "Compte Azure initial" Lorsque vous déployez un connecteur depuis BlueXP. Lorsque vous avez déployé le connecteur, BlueXP a créé le rôle opérateur BlueXP et l'a affecté à la machine virtuelle Connector.

Étapes

  1. Connectez-vous au portail Azure.

  2. Ouvrez le service abonnements, puis sélectionnez l'abonnement dans lequel vous souhaitez déployer Cloud Volumes ONTAP.

  3. Sélectionnez contrôle d'accès (IAM).

    1. Sélectionnez Ajouter > Ajouter une affectation de rôle, puis ajoutez les autorisations :

      • Sélectionnez le rôle opérateur BlueXP.

        Remarque BlueXP Operator est le nom par défaut fourni dans la stratégie de connecteur. Si vous avez choisi un autre nom pour le rôle, sélectionnez-le à la place.

      • Attribuez l'accès à une machine virtuelle.

      • Sélectionnez l'abonnement dans lequel la machine virtuelle du connecteur a été créée.

      • Sélectionnez la machine virtuelle Connector.

      • Sélectionnez Enregistrer.

  4. Répétez ces étapes pour les abonnements supplémentaires.

Résultat

Lorsque vous créez un nouvel environnement de travail, vous devriez désormais pouvoir sélectionner plusieurs abonnements Azure pour le profil d'identité géré.

Capture d'écran indiquant la possibilité de sélectionner plusieurs abonnements Azure lors de la sélection d'un compte Microsoft Azure Provider.

Ajoutez des identifiants Azure supplémentaires à BlueXP

Lorsque vous déployez un connecteur depuis BlueXP, BlueXP active une identité gérée attribuée par le système sur la machine virtuelle qui dispose des autorisations requises. BlueXP sélectionne ces informations d'identification Azure par défaut lorsque vous créez un nouvel environnement de travail pour Cloud Volumes ONTAP.

Astuce Un jeu initial d'informations d'identification n'est pas ajouté si vous avez installé manuellement le logiciel du connecteur sur un système existant. "En savoir plus sur les identifiants et les autorisations Azure".

Si vous souhaitez déployer Cloud Volumes ONTAP à l'aide des informations d'identification différent Azure, vous devez accorder les autorisations requises en créant et en configurant une entité de service dans Microsoft Entra ID pour chaque compte Azure. Vous pouvez ensuite ajouter les nouvelles informations d'identification à BlueXP.

Accordez des autorisations Azure à l'aide d'un principal de service

BlueXP a besoin d'autorisations pour effectuer des actions dans Azure. Vous pouvez accorder les autorisations requises à un compte Azure en créant et en configurant un principal de service dans Microsoft Entra ID et en obtenant les informations d'identification Azure requises par BlueXP.

Description de la tâche

L'image suivante décrit comment BlueXP obtient les autorisations pour effectuer des opérations dans Azure. Un objet principal de service, lié à un ou plusieurs abonnements Azure, représente BlueXP dans un ID Microsoft Entra et est attribué à un rôle personnalisé qui autorise les autorisations requises.

Image conceptuelle qui affiche BlueXP obtention de l'authentification et de l'autorisation auprès de Microsoft Entra ID avant de pouvoir effectuer un appel d'API. Dans Active Directory, le rôle BlueXP définit les autorisations. Il est lié à un ou plusieurs abonnements Azure et à un objet principal de service qui représente l'application Cloud Manager.

Étapes

  1. Créez une application Microsoft Entra.

  2. Attribuez l'application à un rôle.

  3. Ajoutez des autorisations d'API de gestion de service Windows Azure.

  4. Obtenir l'ID de l'application et l'ID du répertoire.

  5. Créez un secret client.

Créez une application Microsoft Entra

Créez une application et un principal de service Microsoft Entra que BlueXP peut utiliser pour le contrôle d'accès basé sur des rôles.

Étapes

  1. Assurez-vous que vous disposez des autorisations dans Azure pour créer une application Active Directory et attribuer l'application à un rôle.

    Pour plus de détails, reportez-vous à "Documentation Microsoft Azure : autorisations requises"

  2. À partir du portail Azure, ouvrez le service Microsoft Entra ID.

    Affiche le service Active Directory dans Microsoft Azure.

  3. Dans le menu, sélectionnez enregistrements d'applications.

  4. Sélectionnez nouvel enregistrement.

  5. Spécifiez les détails de l'application :

    • Nom : saisissez un nom pour l'application.

    • Type de compte : sélectionnez un type de compte (tout fonctionne avec BlueXP).

    • URI de redirection: Vous pouvez laisser ce champ vide.

  6. Sélectionnez Enregistrer.

    Vous avez créé l'application AD et le principal de service.

Résultat

Vous avez créé l'application AD et le principal de service.

Attribuez l'application à un rôle

Vous devez lier l'entité de service à un ou plusieurs abonnements Azure et lui attribuer le rôle "opérateur BlueXP" personnalisé afin que BlueXP dispose d'autorisations dans Azure.

Étapes

  1. Création d'un rôle personnalisé :

    Notez que vous pouvez créer un rôle personnalisé Azure à l'aide du portail Azure, d'Azure PowerShell, de l'interface de ligne de commandes Azure ou de l'API REST. La procédure suivante explique comment créer le rôle à l'aide de l'interface de ligne de commandes Azure. Si vous préférez utiliser une autre méthode, reportez-vous à la section "Documentation Azure"

    1. Copier le contenu du "Autorisations de rôle personnalisées pour le connecteur" Et les enregistrer dans un fichier JSON.

    2. Modifiez le fichier JSON en ajoutant des identifiants d'abonnement Azure à l'étendue assignable.

      Vous devez ajouter l'ID de chaque abonnement Azure à partir duquel les utilisateurs créeront des systèmes Cloud Volumes ONTAP.

      Exemple

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. Utilisez le fichier JSON pour créer un rôle personnalisé dans Azure.

      Les étapes suivantes expliquent comment créer le rôle à l'aide de Bash dans Azure Cloud Shell.

      • Démarrer "Shell cloud Azure" Et choisissez l'environnement Bash.

      • Téléchargez le fichier JSON.

        Capture d'écran d'Azure Cloud Shell sur laquelle vous pouvez choisir de charger un fichier.

      • Pour créer le rôle personnalisé, utilisez l'interface de ligne de commandes Azure :

        az role definition create --role-definition Connector_Policy.json

        Vous devez maintenant avoir un rôle personnalisé appelé opérateur BlueXP que vous pouvez affecter à la machine virtuelle connecteur.

  2. Attribuez l'application au rôle :

    1. À partir du portail Azure, ouvrez le service abonnements.

    2. Sélectionnez l'abonnement.

    3. Sélectionnez contrôle d'accès (IAM) > Ajouter > Ajouter une affectation de rôle.

    4. Dans l'onglet role, sélectionnez le rôle BlueXP Operator et sélectionnez Next.

    5. Dans l'onglet membres, procédez comme suit :

      • Conserver utilisateur, groupe ou entité de service sélectionnée.

      • Sélectionnez Sélectionner membres.

        Capture d'écran du portail Azure affichant l'onglet membres lors de l'ajout d'un rôle à une application.

      • Recherchez le nom de l'application.

        Voici un exemple :

      Une capture d'écran du portail Azure affichant le formulaire d'affectation de rôle Add dans le portail Azure.

      • Sélectionnez l'application et sélectionnez Sélectionner.

      • Sélectionnez Suivant.

    6. Sélectionnez consulter + affecter.

      Le principal de service dispose désormais des autorisations Azure nécessaires pour déployer le connecteur.

    Si vous souhaitez déployer Cloud Volumes ONTAP à partir de plusieurs abonnements Azure, vous devez lier le principal de service à chacun de ces abonnements. BlueXP vous permet de sélectionner l'abonnement que vous souhaitez utiliser lors du déploiement de Cloud Volumes ONTAP.

Ajoutez des autorisations d'API de gestion de service Windows Azure

Le principal de service doit disposer d'autorisations « API de gestion des services Windows Azure ».

Étapes

  1. Dans le service Microsoft Entra ID, sélectionnez enregistrements d'applications et sélectionnez l'application.

  2. Sélectionnez autorisations API > Ajouter une autorisation.

  3. Sous Microsoft API, sélectionnez Azure Service Management.

    Capture d'écran du portail Azure affichant les autorisations de l'API de gestion de services Azure.

  4. Sélectionnez accéder à Azure Service Management en tant qu'utilisateurs de l'organisation, puis sélectionnez Ajouter des autorisations.

    Une capture d'écran du portail Azure montrant l'ajout des API de gestion de services Azure.

Obtenir l'ID de l'application et l'ID du répertoire

Lorsque vous ajoutez le compte Azure à BlueXP, vous devez fournir l'ID d'application (client) et l'ID de répertoire (tenant) de l'application. BlueXP utilise les ID pour se connecter par programmation.

Étapes

  1. Dans le service Microsoft Entra ID, sélectionnez enregistrements d'applications et sélectionnez l'application.

  2. Copiez l'ID application (client) et l'ID Directory (tenant).

    Capture d'écran affichant l'ID de l'application (client) et de l'annuaire (locataire) pour une application dans Microsoft Entra IDy.

    Lorsque vous ajoutez le compte Azure à BlueXP, vous devez fournir l'ID d'application (client) et l'ID de répertoire (tenant) de l'application. BlueXP utilise les ID pour se connecter par programmation.

Créez un secret client

Vous devez créer un secret client, puis fournir à BlueXP la valeur du secret afin que BlueXP puisse l'utiliser pour s'authentifier auprès de Microsoft Entra ID.

Étapes

  1. Ouvrez le service Microsoft Entra ID.

  2. Sélectionnez enregistrements d'applications et sélectionnez votre application.

  3. Sélectionnez certificats et secrets > Nouveau secret client.

  4. Fournissez une description du secret et une durée.

  5. Sélectionnez Ajouter.

  6. Copier la valeur du secret client.

    Capture d'écran du portail Azure montrant un secret client pour le principal de service Microsoft Entra.

    BlueXP peut maintenant utiliser un code client pour s'authentifier auprès de Microsoft Entra ID.

Résultat

Votre principal de service est maintenant configuré et vous devez avoir copié l'ID de l'application (client), l'ID du répertoire (tenant) et la valeur du secret client. Vous devez saisir ces informations dans BlueXP lorsque vous ajoutez un compte Azure.

Ajoutez les identifiants à BlueXP

Une fois que vous avez mis à disposition un compte Azure avec les autorisations requises, vous pouvez ajouter les informations d'identification pour ce compte à BlueXP. Cette étape vous permet de lancer Cloud Volumes ONTAP à l'aide de différentes identifiants Azure.

Avant de commencer

Si vous venez de créer ces identifiants dans votre fournisseur cloud, il vous faudra quelques minutes pour les utiliser. Attendez quelques minutes avant d'ajouter les informations d'identification à BlueXP.

Avant de commencer

Vous devez créer un connecteur avant de pouvoir modifier les paramètres BlueXP. "Apprenez à créer un connecteur".

Étapes

  1. Dans le coin supérieur droit de la console BlueXP, sélectionnez l'icône Paramètres, puis sélectionnez informations d'identification.

    Capture d'écran affichant l'icône Paramètres dans le coin supérieur droit de la console BlueXP.

  2. Sélectionnez Ajouter des informations d'identification et suivez les étapes de l'assistant.

    1. Emplacement des informations d'identification : sélectionnez Microsoft Azure > connecteur.

    2. Définir les informations d'identification : saisissez les informations relatives à l'entité de service Microsoft Entra qui accorde les autorisations requises :

      • ID de l'application (client)

      • ID du répertoire (locataire)

      • Secret client

    3. Abonnement Marketplace : associez un abonnement Marketplace à ces identifiants en vous abonnant maintenant ou en sélectionnant un abonnement existant.

    4. Révision : confirmez les détails des nouvelles informations d'identification et sélectionnez Ajouter.

Résultat

Vous pouvez maintenant passer à différents ensembles d'informations d'identification à partir de la page Détails et informations d'identification "lors de la création d'un nouvel environnement de travail"

Une capture d'écran qui montre la sélection entre les informations d'identification après avoir sélectionné Modifier les informations d'identification dans la page Détails informations d'identification.

Gérer les identifiants existants

Gérez les informations d'identification Azure que vous avez déjà ajoutées à BlueXP en associant un abonnement Marketplace, en modifiant des informations d'identification et en les supprimant.

Associez un abonnement Azure Marketplace à vos identifiants

Après avoir ajouté vos informations d'identification Azure à BlueXP, vous pouvez associer un abonnement Azure Marketplace à ces informations d'identification. L'abonnement vous permet de créer un système Cloud Volumes ONTAP avec paiement à l'utilisation et d'utiliser d'autres services BlueXP.

Deux scénarios peuvent vous être associés à un abonnement Azure Marketplace une fois que vous avez déjà ajouté les informations d'identification à BlueXP :

  • Vous n'avez pas associé d'abonnement lorsque vous avez initialement ajouté les informations d'identification à BlueXP.

  • Vous souhaitez modifier l'abonnement Azure Marketplace associé aux informations d'identification Azure.

    Le remplacement de l'abonnement Marketplace actuel par un nouvel abonnement modifie l'abonnement Marketplace pour tous les environnements de travail Cloud Volumes ONTAP existants et tous les nouveaux environnements de travail.

Avant de commencer

Vous devez créer un connecteur avant de pouvoir modifier les paramètres BlueXP. "Découvrez comment".

Étapes

  1. Dans le coin supérieur droit de la console BlueXP, sélectionnez l'icône Paramètres, puis sélectionnez informations d'identification.

  2. Sélectionnez le menu d'action correspondant à un ensemble d'informations d'identification, puis sélectionnez abonnement associé.

    Vous devez sélectionner les informations d'identification associées à un connecteur. Vous ne pouvez pas associer un abonnement Marketplace aux informations d'identification associées à BlueXP.

    Capture d'écran du menu d'action pour un ensemble d'informations d'identification existantes.

  3. Pour associer les informations d'identification à un abonnement existant, sélectionnez l'abonnement dans la liste déroulante et sélectionnez associer.

  4. Pour associer les informations d'identification à un nouvel abonnement, sélectionnez Ajouter un abonnement > Continuer et suivez les étapes dans Azure Marketplace :

    1. Si vous y êtes invité, connectez-vous à votre compte Azure.

    2. Sélectionnez s'abonner.

    3. Remplissez le formulaire et sélectionnez s'abonner.

    4. Une fois le processus d'abonnement terminé, sélectionnez configurer le compte maintenant.

      Vous serez redirigé vers le site Web BlueXP.

    5. À partir de la page attribution d'abonnement :

      • Sélectionnez les comptes BlueXP avec lesquels vous souhaitez associer cet abonnement.

      • Dans le champ remplacer l'abonnement existant, choisissez si vous souhaitez remplacer automatiquement l'abonnement existant pour un compte par ce nouvel abonnement.

        BlueXP remplace l'abonnement existant pour toutes les informations d'identification du compte par ce nouvel abonnement. Si un ensemble d'informations d'identification n'a jamais été associé à un abonnement, ce nouvel abonnement ne sera pas associé à ces informations d'identification.

      Pour tous les autres comptes, vous devez associer manuellement l'abonnement en répétant ces étapes.

      • Sélectionnez Enregistrer.

        La vidéo suivante explique comment vous abonner à Azure Marketplace :

    Abonnez-vous à BlueXP depuis Azure Marketplace

Modifier les informations d'identification

Modifiez vos informations d'identification Azure dans BlueXP en modifiant les informations d'identification de votre service Azure. Par exemple, vous devrez peut-être mettre à jour le secret client si un nouveau secret a été créé pour l'application principale du service.

Étapes

  1. Dans le coin supérieur droit de la console BlueXP, sélectionnez l'icône Paramètres, puis sélectionnez informations d'identification.

  2. Sur la page informations d'identification du compte, sélectionnez le menu d'action correspondant à un ensemble d'informations d'identification, puis sélectionnez Modifier les informations d'identification.

  3. Effectuez les modifications requises, puis sélectionnez appliquer.

Supprimer les informations d'identification

Si vous n'avez plus besoin d'un ensemble d'informations d'identification, vous pouvez les supprimer de BlueXP. Vous ne pouvez supprimer que les informations d'identification qui ne sont pas associées à un environnement de travail.

Étapes

  1. Dans le coin supérieur droit de la console BlueXP, sélectionnez l'icône Paramètres, puis sélectionnez informations d'identification.

  2. Sur la page informations d'identification du compte, sélectionnez le menu d'action correspondant à un ensemble d'informations d'identification, puis sélectionnez Supprimer les informations d'identification.

  3. Sélectionnez Supprimer pour confirmer.