استكشاف الهويات المدارة

  • 3 دقائق

يتمثل التحدي الشائع للمطورين في إدارة البيانات السرية وبيانات الاعتماد والشهادات والمفاتيح المستخدمة لتأمين الاتصال بين الخدمات. الهويات المُدارة تلغي حاجة المطورين إلى إدارة بيانات الاعتماد هذه.

بينما يمكن للمطورين تخزين البيانات السرية بأمان في Azure Key Vault، تحتاج الخدمات إلى طريقة للوصول إلى Azure Key Vault. توفر الهويات المدارة هوية مدارة تلقائيا في معرف Microsoft Entra للتطبيقات لاستخدامها عند الاتصال بالموارد التي تدعم مصادقة Microsoft Entra. يمكن للتطبيقات استخدام الهويات المدارة للحصول على رموز Microsoft Entra المميزة دون الحاجة إلى إدارة أي بيانات اعتماد.

أنواع الهويات المدارة

هناك نوعان من الهويات المدارة المدعومة:

  • يتم تمكينالهوية المُدارة المعينة من قبل النظام مباشرة على مثيل خدمة Azure. عند تمكين الهوية، ينشئ Azure هوية للمثيل في مستأجر Microsoft Entra الموثوق به بواسطة اشتراك المثيل. بعد إنشاء الهوية، يتم توفير بيانات الاعتماد على المثيل. ترتبط دورة حياة الهوية المعينة من قِبَل النظام مباشرة بمثيل خدمة Azure الذي تم تمكينه عليه. إذا تم حذف المثيل، يقوم Azure تلقائيا بتنظيف بيانات الاعتماد والهوية في معرف Microsoft Entra.
  • يتم إنشاء هوية مدارة معينة من قبل المستخدم كمورد Azure مستقل. من خلال عملية الإنشاء، ينشئ Azure هوية في مستأجر Microsoft Entra موثوق بها من قبل الاشتراك قيد الاستخدام. بعد إنشاء الهوية، يمكن تعيين الهوية لمثيل خدمة Azure واحد أو أكثر. تتم إدارة دورة حياة الهوية التي يُعينها المستخدم بشكل منفصل عن دورة حياة مثيلات خدمة Azure التي تم تعيينها إليه.

داخلياً، الهويات المدارة هي أساسيات خدمة من نوع خاص، والتي يتم تأمينها لاستخدامها فقط مع موارد Azure. عند حذف الهوية المُدارة، تتم إزالة أساس الخدمة المطابقة تلقائيًّا.

خصائص الهويات المدارة

يسلط الجدول التالي الضوء على بعض الاختلافات الرئيسية بين نوعي الهويات المدارة.

الخاصية الهوية المُدارة التي يُعيّنها النظام الهوية المُدارة التي يعيّنها المُستخدم
إنشاء تم إنشاؤها كجزء من مورد Azure (على سبيل المثال ، جهاز ظاهري Azure أو Azure App Service) تم إنشاؤها كمورد Azure
دورة الحياة دورة حياة مشتركة مع مورد Azure الذي تم إنشاء الهوية المدارة به. عند حذف المورد الرئيسي، يتم حذف الهوية المدارة أيضًا. دورة حياة مستقلة. يجب حذفها بشكل صريح.
المشاركة عبر موارد Azure لا يمكن مشاركته، لا يمكن إقرانه إلا بمورد Azure واحد. يمكن مشاركتها. يمكن إقران نفس المعرف المُدار المعين من قبل المستخدم بأكثر من مورد Azure واحد.

فيما يلي حالات الاستخدام الشائعة للهويات المدارة:

  • الهوية المُدارة التي يُعيّنها النظام

    • أحمال العمل المضمنة داخل مورد Azure واحد.
    • أحمال العمل التي تحتاج إلى هويات مستقلة.
    • على سبيل المثال، تطبيق يعمل على جهاز ظاهري واحد.

  • الهوية المُدارة التي يعيّنها المُستخدم

    • أحمال العمل التي تعمل على موارد متعددة ويمكن مشاركة هوية واحدة.
    • أحمال العمل التي تحتاج إلى مصادقة مسبقة لمورد آمن، كجزء من تدفق التزويد.
    • أحمال العمل حيث تتم إعادة تدوير الموارد بشكل متكرر، ولكن يجب أن تظل الأذونات متسقة.
    • على سبيل المثال، حمل العمل حيث تحتاج أجهزة افتراضية متعددة إلى الوصول إلى نفس المورد.

ما هي خدمات Azure التي تدعم الهويات المدارة؟

يمكن استخدام الهويات المدارة لموارد Azure للمصادقة على الخدمات التي تدعم مصادقة Microsoft Entra. للحصول على قائمة بخدمات Azure التي تدعم الهويات المدارة لميزة موارد Azure، قُم بزيارة الخدمات التي تُدعم الهويات المُدارة لموارد Azure.

تستخدم بقية هذه الوحدة أجهزة Azure الظاهرية في الأمثلة، ولكن يمكن تطبيق نفس المفاهيم والإجراءات المماثلة على أي مورد في Azure يدعم مصادقة Microsoft Entra.