Co jsou spravované identity pro prostředky Azure?

Běžnou výzvou pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných k zabezpečení komunikace mezi službami. Spravované identity eliminují potřebu vývojářů spravovat tyto přihlašovací údaje.

I když vývojáři můžou tajné kódy bezpečně ukládat v Azure Key Vault, potřebují služby způsob, jak získat přístup k Azure Key Vault. Spravované identity poskytují automaticky spravovanou identitu v Azure Active Directory pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Azure Active Directory (Azure AD). Aplikace můžou pomocí spravovaných identit získat tokeny Azure AD, aniž by musely spravovat žádné přihlašovací údaje.

Následující video ukazuje, jak můžete používat spravované identity:

Tady jsou některé výhody používání spravovaných identit:

  • Nemusíte spravovat přihlašovací údaje. Přihlašovací údaje nejsou pro vás ani přístupné.
  • Spravované identity můžete použít k ověření u libovolného prostředku, který podporuje ověřování Azure AD, včetně vlastních aplikací.
  • Spravované identity se dají používat bez dalších poplatků.

Poznámka

Spravované identity prostředků Azure jsou novým názvem služby, která se dříve jmenovala Identita spravované služby (MSI).

Typy spravovaných identit

Existují dva typy spravovaných identit:

  • Přiřazený systém. Některé služby Azure umožňují povolit spravovanou identitu přímo v instanci služby. Když povolíte spravovanou identitu přiřazenou systémem, vytvoří se identita v Azure AD. Identita je svázána s životním cyklem této instance služby. Po odstranění prostředku Azure automaticky odstraní identitu za vás. Podle návrhu může tuto identitu použít pouze prostředek Azure k vyžádání tokenů z Azure AD.
  • Přiřazeno uživatelem. Spravovanou identitu můžete vytvořit také jako samostatný prostředek Azure. Spravovanou identitu přiřazenou uživatelem můžete vytvořit a přiřadit ji k jedné nebo několika instancím služby Azure. U spravovaných identit přiřazených uživatelem se identita spravuje odděleně od prostředků, které ji používají.

Následující tabulka ukazuje rozdíly mezi dvěma typy spravovaných identit:

Vlastnost Spravovaná identita přiřazená systémem Spravovaná identita přiřazená uživatelem
Vytvoření Vytvořeno jako součást prostředku Azure (například Azure Virtual Machines nebo Azure App Service). Vytvoří se jako samostatný prostředek Azure.
Životní cyklus Sdílený životní cyklus s prostředkem Azure, se kterým je spravovaná identita vytvořená.
Po odstranění nadřazeného prostředku se spravovaná identita odstraní také.
Nezávislý životní cyklus.
Je nutné explicitně odstranit.
Sdílení napříč prostředky Azure Nejde sdílet.
Je možné ho přidružit jenom k jednomu prostředku Azure.
Lze sdílet.
Stejnou spravovanou identitu přiřazenou uživatelem je možné přidružit k více prostředkům Azure.
Běžné případy použití Úlohy obsažené v jednom prostředku Azure
Úlohy, pro které potřebujete nezávislé identity.
Například aplikace, která běží na jednom virtuálním počítači.
Úlohy, které běží na více prostředcích a můžou sdílet jednu identitu.
Úlohy, které potřebují předběžnou autorizaci k zabezpečenému prostředku jako součást toku zřizování.
Úlohy, které se často recyklují, ale oprávnění by měla zůstat konzistentní.
Například úloha, ve které musí mít více virtuálních počítačů přístup ke stejnému prostředku.

Důležité

Spravovaná identita je bez ohledu na typ zvolené identity instanční objekt speciálního typu, který lze použít pouze s prostředky Azure. Po odstranění spravované identity se příslušný instanční objekt automaticky odebere.


Jak mám použít spravované identity prostředků Azure?

Spravované identity můžete použít pomocí následujícího postupu:

  1. Vytvořte spravovanou identitu v Azure. Můžete si vybrat mezi spravovanou identitou přiřazenou systémem nebo spravovanou identitou přiřazenou uživatelem.
  2. Při práci se spravovanou identitou přiřazenou uživatelem přiřaďte spravovanou identitu ke zdrojovému prostředku Azure, jako je aplikace logiky Azure nebo webová aplikace Azure.
  3. Autorizovat spravovanou identitu tak, aby měla přístup ke službě "target".
  4. Použijte spravovanou identitu pro přístup k prostředku. V tomto kroku můžete použít sadu Azure SDK s knihovnou Azure.Identity. Některé "zdrojové" prostředky nabízejí konektory, které vědí, jak používat spravované identity pro připojení. V takovém případě použijete identitu jako funkci tohoto "zdrojového" prostředku.

Které služby Azure tuto funkci podporují?

Spravované identity prostředků Azure můžete použít k ověřování ve službách, které podporují ověřování Azure AD. Seznam podporovaných služeb Azure najdete v tématu služby, které podporují spravované identity pro prostředky Azure.

Které operace můžu provádět pomocí spravovaných identit?

Prostředky, které podporují spravované identity přiřazené systémem, umožňují:

Pokud místo toho zvolíte spravovanou identitu přiřazenou uživatelem:

Operace se spravovanými identitami je možné provádět pomocí šablony Azure Resource Manager, Azure Portal, Azure CLI, PowerShellu a rozhraní REST API.

Další kroky