Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Běžnou výzvou pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných pro zabezpečení komunikace mezi službami. Ruční zpracování tajných kódů a certifikátů je známým zdrojem problémů se zabezpečením a výpadků. Spravované identity eliminují potřebu vývojářů spravovat tyto přihlašovací údaje. Aplikace mohou spravované identity používat k získání tokenů Microsoft Entra, aniž by musely spravovat přihlašovací údaje.
Co jsou spravované identity?
Na vysoké úrovni existují dva typy identit: lidské a strojové nebo nelidé identity. Machine / non-human identity se skládají ze zařízení a identit úloh. V Microsoft Entra jsou identity úloh aplikace, služební identity a spravované identity. Další informace o identitách úloh najdete v tématu Identity úloh.
Spravovaná identita je identita, která se dá přiřadit k výpočetnímu prostředku Azure (virtuálnímu počítači), škálovací sadě virtuálních počítačů (VMSS), clusteru Service Fabric, clusteru Azure Kubernetes) nebo jakékoli platformě hostující aplikaci podporovanou v Azure. Jakmile je spravovaná identita přiřazená k výpočetnímu prostředku, může být autorizovaná přímo nebo nepřímo pro přístup k podřízeným prostředkům závislostí, jako je účet úložiště, databáze SQL, CosmosDB atd. Spravovaná identita nahrazuje tajné kódy, jako jsou přístupové klíče nebo hesla. Spravované identity navíc můžou nahradit certifikáty nebo jiné formy ověřování pro závislosti mezi službami.
Následující video ukazuje, jak můžete používat spravované identity:
Tady jsou některé z výhod použití spravovaných identit:
- Nemusíte spravovat přihlašovací údaje. Přihlašovací údaje nejsou pro vás ani přístupné.
- Spravované identity můžete použít k ověření u libovolného prostředku, který podporuje ověřování Microsoft Entra, včetně vlastních aplikací.
- Spravované identity lze používat bez dalších nákladů.
Typy spravovaných identit
Existují dva typy spravovaných identit:
Systémem přiřazeno Některé prostředky Azure, jako jsou virtuální počítače, umožňují povolit spravovanou identitu přímo na prostředku. Když povolíte spravovanou identitu přiřazenou systémem:
- V Microsoft Entra ID se pro identitu vytvoří služební principál speciálního typu. Provozní principál je svázán s životním cyklem daného prostředku Azure. Když se prostředek Azure odstraní, Azure za vás automaticky odstraní služebního principála.
- Z podstaty této identity vyplývá, že ji může k vyžadování tokenů z Microsoft Entra ID používat pouze daný prostředek Azure.
- Spravovanou identitu autorizujete tak, aby měla přístup k jedné nebo více službám.
- Název systémem přiřazeného služebního principálu je vždy stejný jako název prostředku Azure, pro který je vytvořen. V případě slotu nasazení je
<app-name>/slots/<slot-name>název spravované identity přiřazené systémem.
Přiřazeno uživatelem. Spravovanou identitu můžete vytvořit také jako samostatný prostředek Azure. Můžete vytvořit spravovanou identitu přiřazenou uživatelem a přiřadit ji k jednomu nebo více prostředkům Azure. Když povolíte spravovanou identitu přiřazenou uživatelem:
- V Microsoft Entra ID se pro identitu vytvoří služební principál speciálního typu. Sloužební principál se spravuje odděleně od prostředků, které jej používají.
- Spravované identity přiřazené uživatelem můžou používat více prostředků.
- Spravovanou identitu autorizujete tak, aby měla přístup k jedné nebo více službám.
Spravované identity přiřazené uživatelem, které jsou zřízené nezávisle na výpočetních prostředcích a dají se přiřadit k více výpočetním prostředkům, jsou doporučeným typem spravované identity pro služby Microsoftu.
Prostředky, které podporují spravované identity přiřazené systémem, umožňují:
- Povolte nebo zakažte spravované identity na úrovni prostředku.
- K udělení oprávnění použijte řízení přístupu na základě role (RBAC).
- Zobrazte operace vytvoření, čtení, aktualizace a odstranění (CRUD) v protokolech aktivit Azure.
- Zobrazte aktivitu přihlášení do Microsoft Entra ID v protokolech přihlášení.
Pokud místo toho zvolíte uživatelem přiřazenou spravovanou identitu:
- Identity můžete vytvářet, číst, aktualizovat a odstraňovat .
- Můžete použít přiřazení rolí RBAC k udělení oprávnění.
- Uživatelsky přiřazené spravované identity je možné použít u více prostředků.
- Operace CRUD jsou k dispozici ke kontrole v protokolech aktivit Azure.
- Zobrazte aktivitu přihlášení do Microsoft Entra ID v protokolech přihlášení.
Operace se spravovanými identitami je možné provádět pomocí šablony Azure Resource Manageru, webu Azure Portal, Azure CLI, PowerShellu a rozhraní REST API.
Rozdíly mezi spravovanými identitami přiřazenými systémem a přiřazenými uživatelem
| Vlastnost | Spravovaná identita přiřazená systémem | Spravovaná identita přiřazená uživatelem |
|---|---|---|
| Vytvoření | Vytvořeno jako součást prostředku Azure (například Virtuální počítače Azure nebo služba Aplikace Azure). | Vytvořeno jako samostatný prostředek Azure. |
| Životní cyklus | Životní cyklus sdílený s prostředkem Azure, se kterým je vytvořena spravovaná identita. Když je nadřazený prostředek odstraněn, spravovaná identita se také odstraní. |
Nezávislý životní cyklus. Je nutné explicitně odstranit. |
| Sdílení napříč prostředky Azure | Nejde sdílet. Dá se přidružit pouze k jednomu prostředku Azure. |
Je možné sdílet. Stejnou spravovanou identitu přiřazenou uživatelem je možné přidružit k více prostředkům Azure. |
| Běžné případy použití | Úlohy obsažené v jednom prostředku Azure Úlohy, které potřebují nezávislé identity Například aplikace, která běží na jednom virtuálním počítači. |
Úlohy, které běží na více prostředcích a mohou sdílet jednu identitu. Pracovní zátěže, které vyžadují předběžnou autorizaci k zabezpečenému zdroji v rámci procesu zřizování. Úlohy, ve kterých se prostředky recyklují často, ale oprávnění by měla zůstat konzistentní. Například úloha, ve které více virtuálních počítačů potřebuje přístup ke stejnému prostředku. |
Jak mohu použít spravované identity pro prostředky Azure?
Spravované identity můžete použít pomocí následujících kroků:
- Vytvořte spravovanou identitu v Azure. Můžete si vybrat mezi spravovanou identitou přiřazenou systémem nebo spravovanou identitou přiřazenou uživatelem.
- Při použití spravované identity přiřazené uživatelem přiřadíte spravovanou identitu ke zdroji prostředku Azure, jako je virtuální počítač, aplikace logiky Azure nebo webová aplikace Azure.
- Autorizovat spravovanou identitu, aby měla přístup k cílové službě.
- Použijte spravovanou identitu pro přístup k prostředku. V tomto kroku můžete použít sadu Azure SDK s knihovnou Azure.Identity. Některé "zdrojové" prostředky nabízejí konektory, které vědí, jak používat spravované identity pro připojení. V takovém případě použijete identitu jako funkci tohoto "zdrojového" prostředku.
Které služby Azure tuto funkci podporují?
Spravované identity pro prostředky Azure je možné použít k ověřování ve službách, které podporují ověřování Microsoft Entra. Seznam podporovaných služeb Azure najdete ve službách, které podporují spravované identity pro prostředky Azure.
Práce se spravovanými identitami
Spravované identity je možné použít přímo nebo jako přihlašovací údaje federované identity pro aplikace Microsoft Entra ID.
Postup použití spravovaných identit je následující:
- Vytvořte spravovanou identitu v Azure. Můžete si vybrat mezi spravovanou identitou přiřazenou systémem nebo spravovanou identitou přiřazenou uživatelem. Při použití spravované identity přiřazené uživatelem přiřadíte spravovanou identitu ke zdrojovému prostředku Azure, jako je virtuální počítač, aplikace logiky Azure nebo webová aplikace Azure.
- Autorizovat spravovanou identitu, aby měla přístup k cílové službě.
- Použijte spravovanou identitu pro přístup k prostředku. V tomto kroku můžete použít některou z klientských knihoven. Některé zdrojové prostředky nabízejí konektory, které vědí, jak používat spravované identity pro připojení. V takovém případě použijete identitu jako funkci tohoto zdrojového prostředku.
Použití spravované identity přímo
Kód služby spuštěný na výpočetním prostředku Azure používá buď microsoft Authentication Library (MSAL), nebo sadu Azure.Identity SDK k načtení spravovaného tokenu identity z Id Entra založeného na spravované identitě. Získání tohoto tokenu nevyžaduje žádné tajné kódy a je automaticky ověřeno na základě prostředí, ve kterém se kód spouští. Pokud je spravovaná identita autorizovaná, může kód služby přistupovat k podřízeným závislostem, které podporují ověřování Entra ID.
Jako výpočetní prostředky Azure můžete například použít virtuální počítač Azure. Pak můžete vytvořit spravovanou identitu přiřazenou uživatelem a přiřadit ji k virtuálnímu počítači. Pracovní zátěž běžící na rozhraních virtuálních počítačů komunikuje pomocí Azure.Identity (nebo MSAL) a klientských sad SDK pro Azure Storage pro přístup k účtu úložiště. Spravovaná identita přiřazená uživatelem má oprávnění pro přístup k účtu úložiště.
Použijte řízenou identitu jako federovanou identitu (FIC) na aplikaci Entra ID.
Federace identit úloh umožňuje používat spravovanou identitu jako přihlašovací údaje, stejně jako certifikát nebo heslo, v aplikacích Entra ID. Pokaždé, když je vyžadována aplikace Entra ID, je to doporučený způsob, jak být bez přihlašovacích údajů. Existuje limit 20 FIC při použití spravovaných identit jako FIC v aplikaci Entra ID.
Úlohy fungující v kapacitě aplikace Entra ID je možné hostovat na libovolném výpočetním prostředí Azure, který má spravovanou identitu. Úloha používá spravovanou identitu k získání tokenu, který se má vyměnit za token aplikace Entra ID prostřednictvím federace identit úloh. Tato funkce se také označuje jako spravovaná identita, známá jako FIC (přihlašovací údaje federované identity). Další informace najdete v tématu Konfigurace aplikace tak, aby důvěřovala spravované identitě.
Další kroky
- Úvod a pokyny pro vývojáře
- Použití spravované identity přiřazené systémem virtuálního počítače pro přístup k Resource Manageru
- Jak používat spravované identity pro App Service a Azure Functions
- Použití spravovaných identit se službou Azure Container Instances
- Implementace spravovaných identit pro prostředky Microsoft Azure
- Použijte federaci identit pracovních úloh pro spravované identity k přístupu k prostředkům chráněným Microsoft Entra bez správy hesel.