تشغيل خدمة كمستخدم أو مجموعة في Active Directory
في مجموعة Windows Server المستقلة، يمكنك تشغيل خدمة كمستخدم أو مجموعة Active Directory باستخدام سياسة RunAs. بشكل افتراضي، يتم تشغيل تطبيقات Service Fabric ضمن الحساب الذي يتم تشغيل عملية Fabric.exe تحته. إن تشغيل التطبيقات تحت حسابات مختلفة، حتى في بيئة مستضافة مشتركة، يجعلها أكثر أمانًا من بعضها البعض. لاحظ أن هذا يستخدم Active Directory محليا داخل مجالك وليس معرف Microsoft Entra. يمكنك أيضًا تشغيل خدمة حساب الخدمة المدار للمجموعة (gMSA).
باستخدام مستخدم نطاق أو مجموعة، يمكنك بعد ذلك الوصول إلى موارد أخرى في النطاق (على سبيل المثال، مشاركات الملفات) التي تم منحها أذونات.
يوضح المثال التالي مستخدم Active Directory يسمى TestUser مع تشفير كلمة مرور نطاقه باستخدام شهادة تسمى MyCert. يمكنك استخدام أمر Invoke-ServiceFabricEncryptText PowerShell لإنشاء نص التشفير السري. راجع إدارة الأسرار في تطبيقات نسيج الخدمة للحصول على التفاصيل.
يجب نشر المفتاح الخاص للشهادة لفك تشفير كلمة المرور إلى الجهاز المحلي باستخدام طريقة خارج النطاق (في Azure، هذا عبر Azure Resource Manager). بعد ذلك، عندما يقوم نسيج الخدمة بنشر حزمة الخدمة على الجهاز، فإنه قادر على فك تشفير السر و (جنبا إلى جنب مع اسم المستخدم) المصادقة باستخدام Active Directory لتشغيله ضمن بيانات الاعتماد هذه.
<Principals>
<Users>
<User Name="TestUser" AccountType="DomainUser" AccountName="Domain\User" Password="[Put encrypted password here using MyCert certificate]" PasswordEncrypted="true" />
</Users>
</Principals>
<Policies>
<DefaultRunAsPolicy UserRef="TestUser" />
<SecurityAccessPolicies>
<SecurityAccessPolicy ResourceRef="MyCert" PrincipalRef="TestUser" GrantRights="Full" ResourceType="Certificate" />
</SecurityAccessPolicies>
</Policies>
<Certificates>
إشعار
إذا قمت بتطبيق سياسة RunAs على إحدى الخدمات وصرح بيان الخدمة بموارد نقطة النهاية مع بروتوكول HTTP، فيجب عليك أيضًا تحديد سياسة الوصول إلى الأمان . لمزيد من المعلومات، راجع تعيين نهج وصول أمان لنقاط نهاية HTTP وHTTPS.
كخطوة تالية، اقرأ المقالات التالية: