Ověřování pomocí spravované identity

PLATÍ PRO: Všechny úrovně služby API Management

Použijte zásadu authentication-managed-identity k ověření pomocí back-endové služby pomocí spravované identity. Tato zásada v podstatě používá spravovanou identitu k získání přístupového tokenu z ID Microsoft Entra pro přístup k zadanému prostředku. Po úspěšném získání tokenu zásada nastaví hodnotu tokenu Authorization v hlavičce pomocí schématu Bearer . Služba API Management token ukládá do mezipaměti, dokud nevyprší platnost.

K vyžádání tokenu je možné použít identitu přiřazenou systémem i některou z více identit přiřazených uživatelem. Pokud client-id není zadána, předpokládá se identita přiřazená systémem. client-id Pokud je proměnná zadaná, bude token požadován pro tuto identitu přiřazenou uživatelem z ID Microsoft Entra.

Poznámka:

Nastavte prvky zásad a podřízené prvky v pořadí uvedeném v prohlášení o zásadách. Přečtěte si další informace o tom, jak nastavit nebo upravit zásady služby API Management.

Prohlášení o zásadách

<authentication-managed-identity resource="resource" client-id="clientid of user-assigned identity" output-token-variable-name="token-variable" ignore-error="true|false"/>  

Atributy

Atribut	Popis	Požaduje se	Výchozí
resource	Řetězec. ID aplikace cílového webového rozhraní API (zabezpečený prostředek) v Microsoft Entra ID. Výrazy zásad jsou povolené.	Yes	–
id klienta	Řetězec. ID klienta identity přiřazené uživatelem v Microsoft Entra ID. Výrazy zásad nejsou povolené.	No	identita přiřazená systémem
output-token-variable-name	Řetězec. Název kontextové proměnné, která obdrží hodnotu tokenu jako objekt typu string. Výrazy zásad nejsou povolené.	No	–
ignore-error	Logický. Pokud je nastavená hodnota true, kanál zásad se bude dál spouštět i v případě, že se přístupový token nezístane.	No	false

Využití

• Oddíly zásad: příchozí
• Obory zásad: globální, pracovní prostor, produkt, rozhraní API, operace
• Brány: Classic, v2, consumption, self-hosted

Příklady

Použití spravované identity k ověření pomocí back-endové služby

<authentication-managed-identity resource="https://graph.microsoft.com"/> 

<authentication-managed-identity resource="https://cognitiveservices.azure.com"/> <!--Azure OpenAI-->

<authentication-managed-identity resource="https://management.azure.com/"/> <!--Azure Resource Manager-->

<authentication-managed-identity resource="https://vault.azure.net"/> <!--Azure Key Vault-->

<authentication-managed-identity resource="https://servicebus.azure.net/"/> <!--Azure Service Bus-->

<authentication-managed-identity resource="https://eventhubs.azure.net/"/> <!--Azure Event Hub-->

<authentication-managed-identity resource="https://storage.azure.com/"/> <!--Azure Blob Storage-->

<authentication-managed-identity resource="https://database.windows.net/"/> <!--Azure SQL-->

<authentication-managed-identity resource="AD_application_id"/> <!--Application (client) ID of your own Azure AD Application-->

Ruční použití spravované identity a nastavení hlavičky

<authentication-managed-identity resource="AD_application_id"
   output-token-variable-name="msi-access-token" ignore-error="false" /> <!--Application (client) ID of your own Azure AD Application-->
<set-header name="Authorization" exists-action="override">
   <value>@("Bearer " + (string)context.Variables["msi-access-token"])</value>
</set-header>

Použití spravované identity v zásadách odesílání žádostí

<send-request mode="new" timeout="20" ignore-error="false">
    <set-url>https://example.com/</set-url>
    <set-method>GET</set-method>
    <authentication-managed-identity resource="ResourceID"/>
</send-request>

Související zásady

• Ověřování a autorizace

Související obsah

Další informace o práci se zásadami najdete v tématech:

• Kurz: Transformace a ochrana rozhraní API
• Referenční informace o zásadách pro úplný seznam prohlášení o zásadách a jejich nastavení
• Výrazy zásad
• Nastavení nebo úprava zásad
• Opakované použití konfigurací zásad
• Úložiště fragmentů zásad
• Vytváření zásad pomocí Microsoft Copilotu v Azure