مشاركة عبر

استخدام الهويات المدارة للوصول إلى شهادات Azure Key Vault

  • مقالة

تسمح الهوية المدارة التي تم إنشاؤها بواسطة معرف Microsoft Entra لمثيل Azure Front Door بالوصول بسهولة وأمان إلى موارد Microsoft Entra الأخرى المحمية، مثل Azure Key Vault. يدير Azure مورد الهوية، لذلك لا يتعين عليك إنشاء أي أسرار أو تدويرها. لمزيد من المعلومات حول الهويات المدارة، راجع ما هي الهويات المدارة لموارد Azure؟.

بمجرد تمكين الهوية المدارة ل Azure Front Door ومنح الأذونات المناسبة للوصول إلى Azure Key Vault، يستخدم Front Door الهوية المدارة فقط للوصول إلى الشهادات. إذا لم تقم بإضافة إذن الهوية المدارة إلى Key Vault الخاص بك، يفشل التشغيل التلقائي للشهادة المخصصة وإضافة شهادات جديدة دون أذونات إلى Key Vault. إذا قمت بتعطيل الهوية المدارة، فإن Azure Front Door يعود إلى استخدام تطبيق Microsoft Entra الأصلي المكون. لا يوصى بهذا الحل وسيتم إيقافه في المستقبل.

يمكنك منح نوعين من الهويات إلى ملف تعريف Azure Front Door:

  • ترتبط الهوية المعينة من قبل النظام بالخدمة الخاصة بك ويتم حذفها إذا تم حذف الخدمة. يمكن أن يكون للخدمة هوية واحدة فقط يعينها النظام.

  • الهوية المعينة من قبل المستخدم هي مورد Azure مستقل يمكن تعيينه إلى خدمتك. يمكن أن يكون للخدمة هويات متعددة يعينها المستخدم.

الهويات المدارة خاصة بالمستأجر Microsoft Entra حيث تتم استضافة اشتراك Azure الخاص بك. لا يتم تحديثها إذا تم نقل اشتراك إلى دليل مختلف. إذا تم نقل اشتراك، فستحتاج إلى إعادة إنشاء الهوية وإعادة تكوينها.

لديك أيضا خيار تكوين الوصول إلى Azure Key Vault باستخدام التحكم في الوصول استنادا إلى الدور (RBAC) أو نهج الوصول.

المتطلبات الأساسية

قبل أن تتمكن من إعداد الهوية المدارة ل Azure Front Door، يجب أن يكون لديك ملف تعريف Azure Front Door Standard أو Premium تم إنشاؤه. لإنشاء ملف تعريف Front Door جديد، راجع إنشاء Azure Front Door.

تمكين الهوية المُدارة

  1. انتقل إلى ملف تعريف Azure Front Door موجود. حدد Identity من ضمن Security في جزء القائمة على الجانب الأيسر.

    لقطة شاشة لزر الهوية ضمن إعدادات ملف تعريف Front Door.

  2. حدد إما النظام المعين أو هوية مدارة معينة من قبل المستخدم.

    • النظام المعين - يتم إنشاء هوية مدارة لدورة حياة ملف تعريف Azure Front Door ويتم استخدامها للوصول إلى Azure Key Vault.

    • تم تعيين المستخدم - يتم استخدام مورد هوية مدار مستقل للمصادقة على Azure Key Vault وله دورة حياته الخاصة.

    النظام المعين

    1. قم بتبديل الحالة إلى تشغيل ثم حدد حفظ.

      لقطة شاشة لصفحة تكوين الهوية المدارة المعينة من قبل النظام.

    2. تتم مطالبتك برسالة لتأكيد رغبتك في إنشاء هوية مدارة من قبل النظام لملف تعريف Front Door. حدد نعم للتأكيد.

      لقطة شاشة لرسالة تأكيد الهوية المدارة المعينة من قبل النظام.

    3. بمجرد إنشاء الهوية المدارة المعينة من قبل النظام وتسجيلها باستخدام معرف Microsoft Entra، يمكنك استخدام معرف الكائن (الأساسي) لمنح Azure Front Door حق الوصول إلى Azure Key Vault.

      لقطة شاشة للهوية المدارة المعينة من قبل النظام المسجلة مع معرف Microsoft Entra.

    المستخدم المعين

    يجب أن يكون لديك بالفعل هوية مدارة من قبل المستخدم تم إنشاؤها. لإنشاء هوية جديدة، راجع إنشاء هوية مدارة معينة من قبل المستخدم.

    1. في علامة التبويب تعيين المستخدم، حدد + إضافة لإضافة هوية مدارة معينة من قبل المستخدم.

      لقطة شاشة لصفحة تكوين الهوية المدارة المعينة من قبل المستخدم.

    2. ابحث عن الهوية المدارة المعينة من قبل المستخدم وحددها. ثم حدد Add لإضافة الهوية المدارة للمستخدم إلى ملف تعريف Azure Front Door.

      لقطة شاشة لصفحة إضافة هوية مدارة معينة من قبل المستخدم.

    3. ترى اسم الهوية المدارة المعينة من قبل المستخدم التي حددتها تظهر في ملف تعريف Azure Front Door.

      لقطة شاشة لإضافة هوية مدارة معينة من قبل المستخدم تمت إضافتها إلى ملف تعريف Front Door.

تكوين إذن الوصول إلى Key Vault

  • التحكم في الوصول المستند إلى الدور - امنح Azure Front Door حق الوصول إلى Azure Key Vault الخاص بك باستخدام التحكم الدقيق في الوصول باستخدام Azure Resource Manager.
  • نهج الوصول - التحكم في الوصول إلى Azure Key Vault الأصلي لمنح Azure Front Door حق الوصول إلى Azure Key Vault.

لمزيد من المعلومات، راجع التحكم في الوصول المستند إلى دور Azure (Azure RBAC) مقابل نهج الوصول.

التحكم في الوصول استنادًا إلى الدور (RBAC)

  1. انتقل إلى Azure Key Vault. حدد Access control (IAM) من ضمن Settings ثم حدد + Add. حدد Add role assignment من القائمة المنسدلة.

    لقطة شاشة لصفحة التحكم في الوصول (IAM) ل Key Vault.

  2. في صفحة إضافة تعيين دور، ابحث عن Key Vault Secret User في مربع البحث. ثم حدد Key Vault Secret User من نتائج البحث.

    لقطة شاشة لصفحة إضافة تعيين دور ل Key Vault.

  3. حدد علامة التبويب Members ثم حدد Managed identity. حدد + Select members لإضافة الهوية المدارة إلى تعيين الدور.

    لقطة شاشة لعلامة تبويب الأعضاء لصفحة إضافة تعيين دور ل Key Vault.

  4. حدد الهوية المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم المقترنة ب Azure Front Door ثم حدد تحديد لإضافة الهوية المدارة إلى تعيين الدور.

    لقطة شاشة لصفحة الأعضاء المحددة لصفحة إضافة تعيين دور ل Key Vault.

  5. حدد Review + assign لإعداد تعيين الدور.

    لقطة شاشة لصفحة المراجعة والتعيين لصفحة إضافة تعيين دور ل Key Vault.

نهج الوصول

  1. انتقل إلى Azure Key Vault. حدد Access policies من ضمن Settings ثم حدد + Create.

    لقطة شاشة لصفحة نهج الوصول ل Key Vault.

  2. في علامة التبويب أذونات في صفحة إنشاء نهج وصول، حدد قائمة والحصول على ضمن أذونات سرية. ثم حدد التالي لتكوين علامة التبويب الأساسية.

    لقطة شاشة لعلامة تبويب الأذونات لنهج الوصول إلى Key Vault.

  3. في علامة التبويب Principal، الصق معرف الكائن (الأساسي) إذا كنت تستخدم هوية مدارة من قبل النظام أو أدخل اسما إذا كنت تستخدم هوية إدارة معينة من قبل المستخدم. ثم حدد علامة التبويب Review + create . يتم تخطي علامة تبويب التطبيق منذ تحديد Azure Front Door لك بالفعل.

    لقطة شاشة لعلامة التبويب الرئيسية لنهج الوصول إلى Key Vault.

  4. راجع إعدادات نهج الوصول ثم حدد إنشاء لإعداد نهج الوصول.

    لقطة شاشة لعلامة تبويب المراجعة والإنشاء لنهج الوصول إلى Key Vault.

تحقق من الوصول

  1. انتقل إلى ملف تعريف Azure Front Door الذي قمت بتمكين الهوية المدارة وحدد Secrets من ضمن Security.

    لقطة شاشة للوصول إلى الأسرار من ضمن إعدادات ملف تعريف Front Door.

  2. تأكد من ظهور الهوية المدارة ضمن عمود دور Access للشهادة المستخدمة في Front Door. إذا كنت تقوم بإعداد الهوية المدارة لأول مرة، فستحتاج إلى إضافة شهادة إلى Front Door لمشاهدة هذا العمود.

    لقطة شاشة ل Azure Front Door باستخدام الهوية المدارة للوصول إلى الشهادة في Key Vault.

الخطوات التالية