Co jsou spravované identity pro prostředky Azure?

  • Článek

Běžnou výzvou pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných pro zabezpečení komunikace mezi službami. Spravované identity eliminují potřebu vývojářů spravovat tyto přihlašovací údaje.

I když vývojáři můžou bezpečně ukládat tajné kódy ve službě Azure Key Vault, potřebují služby způsob, jak získat přístup ke službě Azure Key Vault. Spravované identity nabízejí ve službě Microsoft Entra ID automaticky spravované identity aplikací používaných při připojování k prostředkům, které podporují ověřování službou Microsoft Entra. Aplikace mohou spravované identity používat k získání tokenů Microsoft Entra, aniž by musely spravovat přihlašovací údaje.

Následující video ukazuje, jak můžete používat spravované identity:

Tady jsou některé výhody používání spravovaných identit:

  • Přihlašovací údaje nemusíte spravovat. Přihlašovací údaje nejsou pro vás ani přístupné.
  • Spravované identity můžete použít k ověření u libovolného prostředku, který podporuje ověřování Microsoft Entra, včetně vlastních aplikací.
  • Spravované identity je možné bez dalších poplatků používat.

Poznámka:

Spravované identity prostředků Azure jsou novým názvem služby, která se dříve jmenovala Identita spravované služby (MSI).

Typy spravovaných identit

Existují dva typy spravovaných identit:

  • Systém je přiřazen. Některé prostředky Azure, jako jsou virtuální počítače, umožňují povolit spravovanou identitu přímo na prostředku. Když povolíte spravovanou identitu přiřazenou systémem:

    • Instanční objekt speciálního typu se vytvoří v ID Microsoft Entra pro identitu. Instanční objekt je svázán s životním cyklem daného prostředku Azure. Když se prostředek Azure odstraní, Azure automaticky odstraní instanční objekt za vás.
    • Z podstaty této identity vyplývá, že ji může k vyžadování tokenů z Microsoft Entra ID používat pouze daný prostředek Azure.
    • Spravovanou identitu autorizujete tak, aby měla přístup k jedné nebo více službám.
    • Název instančního objektu přiřazeného systémem je vždy stejný jako název prostředku Azure, pro který se vytvoří. V případě slotu nasazení je <app-name>/slots/<slot-name>název jeho identity přiřazené systémem .

  • Přiřazeno uživatelem. Spravovanou identitu můžete vytvořit také jako samostatný prostředek Azure. Můžete vytvořit spravovanou identitu přiřazenou uživatelem a přiřadit ji k jednomu nebo více prostředkům Azure. Když povolíte spravovanou identitu přiřazenou uživatelem:

    • Instanční objekt speciálního typu se vytvoří v ID Microsoft Entra pro identitu. Instanční objekt se spravuje odděleně od prostředků, které ho používají.
    • Identity přiřazené uživatelem můžou používat více prostředků.
    • Spravovanou identitu autorizujete tak, aby měla přístup k jedné nebo více službám.

Následující tabulka ukazuje rozdíly mezi dvěma typy spravovaných identit:

Vlastnost Spravovaná identita přiřazená systémem Spravovaná identita přiřazená uživatelem
Vytvoření Vytvořeno jako součást prostředku Azure (například Virtuální počítače Azure nebo služba Aplikace Azure). Vytvořeno jako samostatný prostředek Azure.
Životní cyklus Sdílený životní cyklus s prostředkem Azure, se kterým je spravovaná identita vytvořená.
Po odstranění nadřazeného prostředku se také odstraní spravovaná identita.		 Nezávislý životní cyklus.
Je nutné explicitně odstranit.
Sdílení napříč prostředky Azure Nejde sdílet.
Dá se přidružit jenom k jednomu prostředku Azure.		 Je možné sdílet.
Stejnou spravovanou identitu přiřazenou uživatelem je možné přidružit k více prostředkům Azure.
Běžné případy použití Úlohy obsažené v jednom prostředku Azure
Úlohy, které potřebují nezávislé identity
Například aplikace, která běží na jednom virtuálním počítači.		 Úlohy, které běží na více prostředcích a můžou sdílet jednu identitu.
Úlohy vyžadující předběžnou autorizaci k zabezpečenému prostředku v rámci toku zřizování.
Úlohy, ve kterých se prostředky recyklují často, ale oprávnění by měla zůstat konzistentní.
Například úloha, ve které více virtuálních počítačů potřebuje přístup ke stejnému prostředku.

Jak mám použít spravované identity prostředků Azure?

Spravované identity můžete použít pomocí následujících kroků:

  1. Vytvořte spravovanou identitu v Azure. Můžete si vybrat mezi spravovanou identitou přiřazenou systémem nebo spravovanou identitou přiřazenou uživatelem.
    1. Při použití spravované identity přiřazené uživatelem přiřadíte spravovanou identitu ke zdroji prostředku Azure, jako je virtuální počítač, aplikace logiky Azure nebo webová aplikace Azure.
  2. Autorizovat spravovanou identitu, aby měla přístup k cílové službě.
  3. Použijte spravovanou identitu pro přístup k prostředku. V tomto kroku můžete použít sadu Azure SDK s knihovnou Azure.Identity. Některé "zdrojové" prostředky nabízejí konektory, které vědí, jak používat spravované identity pro připojení. V takovém případě použijete identitu jako funkci tohoto "zdrojového" prostředku.

Které služby Azure tuto funkci podporují?

Spravované identity pro prostředky Azure je možné použít k ověřování ve službách, které podporují ověřování Microsoft Entra. Seznam podporovaných služeb Azure najdete ve službách, které podporují spravované identity pro prostředky Azure.

Které operace můžu provádět se spravovanými identitami?

Prostředky, které podporují spravované identity přiřazené systémem, umožňují:

Pokud místo toho zvolíte spravovanou identitu přiřazenou uživatelem:

Operace se spravovanými identitami je možné provádět pomocí šablony Azure Resource Manageru, webu Azure Portal, Azure CLI, PowerShellu a rozhraní REST API.

Další kroky