Last Updated on 6 diciembre, 2018 by Pablo Ariel Di Loreto
Microsoft Azure presenta tiene, para poder operar, una lógica de suscripciones. Si bien el concepto de suscripción es bastante simple, cuando comenzamos a relacionar suscripciones con directorios y usuarios, puede que algunos profesionales sufran momentaneas confusiones :-).
Esta publicación busca dar un poco de claridad al tema, conceptualizando claramente que es una suscripción, qué es un directorio, y cómo interactúan entre si.
¡Esperamos que lo disfruten y estamos en contacto!
Tabla de Contenidos
Introducción
Objetivo y Alcance
Esta publicación tiene como objetivo recorrer los conceptos básicos (o que consideramos básicos) sobre Suscripciones y Directorios de Microsoft Azure, en pos que los administradores de ambas funcionalidades puedan tomar mejores decisiones sobre su administración y gestión.
El alcance de esta publicación está referido a los siguientes temas en alto nivel de profundidad:
- Conceptos básicos de suscripciones de Azure: que son, tipos, acceso administrativo.
- Conceptos básicos de directorios de Azure: que son, interacción con suscripciones, acceso administrativo.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Desarrollo
Conceptos básicos de Suscripción en Azure
¿Qué es una suscripción?
Antes de comenzar a trabajar con Azure, se necesita una suscripción. Una suscripción, por concepto, es una agrupación lógica de servicios que se relacionan con una Cuenta de Azure. Una cuenta puede tener una o varias suscripciones asociadas, pero los recursos de cada suscripción estarán aislados entre sí (es decir, no se pueden sumar suscripciones a una cuenta pensando que es «un todo»).
Tipos de Suscripciones en Azure
Existen diferentes tipos de suscripcones, a saber:
- Cuentas Gratuitas [Free accounts]: cada persona podrá crear hasta 1 suscripción gratuita que tendrá una validez de 30 días con un crédito de «regalo» durante ese período de tiempo, que suele rondar entre los USD 100 y USD 200 dólares según la región:
- Si se excede este crédito de regalo, la suscripción será suspendida hasta que se habilite explícitamente una tarjeta de crédito de donde realizar nuevos consumos. Luego de pasados los 30 días desde su apertura, la cuenta será deshabilitada y todos los recursos borrados salvo que se indique que se quiere continuar en un esquema de pay-as-you-go (pago por uso).
- Si el crédito no se excede y pasan más de 30 días, la cuenta llegará a su fin de «trial» y será deshabilitada y todos los recursos borrados salvo que se indique que se quiere continuar en un esquema de pay-as-you-go (pago por uso).
- Como vemos, en ninguno de los casos se hará uso de la tarjeta de crédito registrada al inicio de trial salvo que explícitamente el usuario lo acepte.
- Suscripciones MSDN [MSDN subscriptions]: para todo aquel que goce de una suscripción MSDN activa, tendrá crédito mensual (dependiendo del contrato) durante el tiempo que dicha suscripción esté activa:
- Si se excede el crédito mensual, la suscripción será deshabilitada hasta el inicio del próximo mes (donde el crédito vuelve a cargarse).
- En caso que quieras seguir usando los beneficios aunque se haya pasado del crédito asignado, deberá deshabilitar el límite de gasto y agregar una tarjeta de crédito. De esta forma el costo de los servicios se debitará de la tarjeta hasta que inicie nuevamente el ciclo, donde se podrá gozar del crédito mensual.
- Algunos de los servicios son descontados de la suscripción MSDN y no del crédito de Azure, como sucede en otro tipo de suscripciones. Por ejemplo: una máquina virtual con Windows quedará al valor de Linux, dado que la licencia de Windows Server se obtendrá de la suscripción MSDN en si misma. Lo mismo con equipos con SQL Server, donde los valores serán más bajos. Esto lo hace un escenario ideal para ambientes de desarrollo y de prueba.
- Cuentas BizSpark: Este programa es ideal para startups y tiene un beneficio de crédito mensual de USD 150 en crédito de Azure por cada una de las 5 cuentas de regalo que tiene el programa. Para aplicar a este beneficio de startups, se deben cumplir algunos requisitos específicos y pasar por un período de aprobación.
- Pago-por-Uso [Pay-as-you-go]: Esta suscripción permite agregar una tarjeta de crédito a la cuenta de Azure, y de esta forma al cierre de cada mes (o 30 días de servicio) los costos se debitan de la misma. No hay límite o crédito de regalo.
- Enterprise agreements: Un contrato de tipo «EA» (Enterprise Agreement) está habilitado para ciertas empresas que tienen un contrato con Microsoft. De esta forma, se puede pre-cargar crédito anual en servicios de Azure, los cuales pueden ser consumidos durante el próximo año. En caso de excederse, se pagan dichos excedentes por períodos de facturación explícitos en los términos y condiciones. El crédito asignado anualmente puede ser utilizado para una o varias suscripciones bajo el mismo contrato EA, algo que NO puede hacerse bajo los otros modelos.
Acceso Administrativo a una Suscripción
La persona que crea una suscripción es el Administrador de Servicio, rol que tiene máximo permiso. Si otros necesitan acceso a la misma suscripción, se pueden agregar co-administradores.
Tanto para los administradores de servicio como para los co-administradores, se pueden utilizar cuentas Microsoft o de Azure, asociando el directorio a la suscripción en este último caso.
En resumen, el acceso administrativo a una suscripción puede darse por dos roles bien diferenciados:
- Service administrator: en forma predeterminada, es el usuario que generó la suscripción.
- Co-administrator: mismo acceso que el Service Administrator. No obstante, este rol no puede cambiar la asociación de una suscripción a un directorio de Azure.
Conceptos básicos de Directorio en Azure
¿Qué es un Directorio?
Un Directorio en Azure es un servicio de administración de identidades con capacidades multi-empresa de Microsoft, conocido como Azure AD (Azure Active Directory).
Si estás utilizando servicios como Office 365, Azure o Dynamics 365, ya estás utilizando un directorio en Azure que se crea automáticamente (aunque no lo veas claramente). Cuando se crea alguno de estos servicios, se elije un nombre que estará acompañando al «onmicrosoft.com». En este caso, el nombre (por ejemplo «algeiba.onmicrosoft.com») identifica el directorio de Azure sobre el cual corren esos servicios.
Este Directorio goza de todas las ventajas de Active Directory, pero en la nube y sin necesidad de tener servidores ejecutandolo (o por lo menos, servidores que debamos mantener nosotros). Además, incluye muchos servicios de administración y gestión de identidades como autenticación multi-factor, registración de dispositivos, auto-gestión de contraseñas, etc, que pueden ser administrados y gestionarlos desde el portal de Azure independientemente de la suscripción a la que esté asociada e, incluso, podemos gestionarlo sin suscripción activa (así como se lee!).
¿Ya tengo un Directorio? Pero… ¿cómo puede ser?
En caso que la suscripción de Azure haya sido creada con anterioridad a Octubre de 2013, la creación automática de un directorio no estaba contemplada como parte del proceso de generación de suscripción. En dicho caso, a partir de es fecha Azure realizó un «relleno» creando un directorio conocido como «Default Directory». Este relleno de directorio que finalizó en Octubre de 2013 fue parte de mejoras generales en el modelo de seguridad del servicio, y ayuda a ofrecer características de identidad organizacionales a todos los clientes asegurandose que el usuario pueda consumir sus recursos en su propio contexto. En conclusión: a partir de ese moento Azur eno se puede usar sin un directorio organizacional.
Muchos profesionales de IT se podrán preguntar: si yo en Office 365 tengo mi propio directorio e inclusive está sincronizado con ADDS, ¿puedo reutirlizarlo en mi suscripción de Azure? SI! Por supuesto! En este sentido tenemos que identificar dos posibles escenarios:
- Como hemos comentado antes, en un primer momento la cuenta principal de Azure solo podía ser una cuenta de tipo «Microsoft Account». Si este es tu caso, deberás autorizar a dicho usuario «Windows Live» que pueda administrar tu directorio de Office 365, y de este modo asociarlo a tu actual suscripción de Azure.
- Si tu cuenta principal de Azure ya es una cuenta organizacional, no deberías hacer nada! Los administradores de servicio de Azure tienen administración completa del directorio asociado :-).
Directorios de Azure (AD) y Suscripciones
En este apartado vamos a simplificar la respusta a una pregunta… ¿los servicios de Azure AD (o sea de mi directorio de Azure) dependen de mi suscripción de Azure? Muy bien, la respuesta es un rotundo NO. Pero ahora no daremos más datos al respecto, para ello será el capítulo «Directorios y Suscripciones: ¿hasta qué punto interactúan?» dentro de esta publicación.
Acceso Administrativo a un Directorio
Lo primero que vamos a decir en este apartado es que podemos tener Azure AD sin una suscripción activa de Azure (ya lo hemos comentado antes). No afirmación, esta aclaración no es del todo precisa: en realidad si vamos a necesitar una suscripción si queremos administrar el módulo de Azure AD desde una interfaz gráfica de Azure, pero puede que la misma esté vencida. Vamos a ejemplificarlo:
- Tenemos una suscripción de EMS (Enterprise Mobility Suite) que incluye Azure AD Premium, pero no hemos comprado ninguna suscripción de Azure.
- Para administrar la suscripción debemos ser capaces de consumir servicios en el portal de Azure.
- En caso que debamos consumir algunos servicios del portal legacy (manage.windowsazure.com) no podremos acceder, dado que no tenemos suscripción.
- En este caso, debemos iniciar un trial gratuito, de esta forma tendremos acceso al portal y a la consola de Azure AD. Cuando vence el trial de la suscripción de Azure, no debemos renovarlo: de esta forma mantenemos acceso al portal y a las funcionalidades de Azure AD.
En el caso que querramos administrar Azure AD desde PowerShell o desde Office 365, no vamos a necesitar tener dicha suscripción «trial» ni activa ni vencida.
Habiendo aclarado el primero punto, también comentamos que Azure AD tiene roles administrativos distintos que una suscripción de Azure: los administradores de una suscripción de Azure y los administradores del servicio de Azure AD son roles diferenciados. El por qué es simple: no depende de una suscripción de Azure en si mismo. Importantes puntos a tener en cuenta en este sentido:
- El usuario que creó el directorio es asignado como Administrador Global (rol máximo en Azure AD) y puede asignar otros administradores a usuarios del directorio o fuera del directorio con una cuenta Microsoft.
- Ahora bien el administrador de una suscripción de Azure puede administrar recursos de Azure y ver la extensión de Azure Active Directory desde el portal, dado que dicha extensión es un recurso de Azure.
- Ahora bien, solamente los Administradores del Directorio pueden administrar propiedades del directorio.
Conclusiones. Directorios y Suscripciones: ¿hasta qué punto interactúan?
Cada suscripción de Azure tiene una relación de confianza con una instancia de Azure Active Directory (o «Directorio de Azure»). La relación es de un Directorio a una o muchas suscripciones. Esto no funciona en biceversa: una suscripción no puede tener más de 1 relación de confianza con 1 directorio específico.
Esta relación de confianza sirve para autenticar usuarios, servicios y dispositivos. Esta relación de confianza es un tanto distnta a la que una suscripción puede tener con todos los otros recursos de Azure (por ejemplo WebApps, SQL Database, etc), dado que estos últimos recursos nombrados (y el resto de una suscripción) son como «hijos» de la suscripción. Si la suscripción expira, todos sus «hijos» expiran y dejan de brindar servicio. Ahora bien, en el caso del Directorio de Azure el mismo sigue operando, dado que puede tener relación y estar asociado a otras suscripciones, y dicho directorio sigue administrando a sus usuarios y otros objetos.
Referencias y Links
No aplica para esta publicación.
Acerca del Autor
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 26/03/2019 - 30 marzo, 2019
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 06/02/2019 - 12 febrero, 2019
- [Evento] Microsoft Azure | Modernización de Apps con la Nube de Azure – 20/12/2018 - 22 diciembre, 2018