Správa identit a přístupu pro aplikace v Pythonu v Azure

V Azure zahrnuje správa identit a přístupu (IAM) pro aplikace Pythonu dva klíčové koncepty:

• Ověřování: Ověření identity uživatele, skupiny, služby nebo aplikace
• Autorizace: Určení akcí, které identita může s prostředky Azure provádět

Azure nabízí několik možností IAM, které odpovídají požadavkům vaší aplikace na zabezpečení. Tento článek obsahuje odkazy na základní zdroje informací, které vám pomůžou začít.

Další informace najdete v tématu Doporučení pro správu identit a přístupu.

Připojení bez hesla

Kdykoli je to možné, doporučujeme používat spravované identity ke zjednodušení správy identit a vylepšení zabezpečení. Spravované identity podporují ověřování bez hesla a eliminují nutnost vkládat citlivé přihlašovací údaje ( například hesla nebo tajné kódy klienta) do kódu nebo proměnných prostředí. Spravované identity jsou k dispozici pro služby Azure, jako jsou App Service, Azure Functions a Azure Container Apps. Umožňují aplikacím ověřovat se ve službách Azure bez nutnosti spravovat přihlašovací údaje.

Následující zdroje informací ukazují, jak používat sadu Azure SDK pro Python s ověřováním bez hesla prostřednictvím DefaultAzureCredential. DefaultAzureCredential je ideální pro většinu aplikací běžících v Azure, protože bezproblémově podporuje místní vývojová i produkční prostředí zřetězením několika typů přihlašovacích údajů v zabezpečeném a inteligentním pořadí.

• Přehled: Připojení bez hesla pro služby Azure

• Ověřování aplikací Pythonu ve službách Azure pomocí sady Azure SDK pro Python

• Použití DefaultAzureCredential v aplikaci

• Rychlý start: Klientská knihovna Azure Blob Storage pro Python s připojením bez hesla

• Rychlý start: Odesílání zpráv do front Služby Azure Service Bus a příjem zpráv pomocí připojení bez hesla

• Vytvořte a nasaďte webovou aplikaci Flask do Azure s identitou spravovanou systémem.

• Vytvoření a nasazení webové aplikace Django do Azure pomocí spravované identity přiřazené uživatelem

Konektor služby

Mnoho prostředků Azure běžně používaných v aplikacích Pythonu podporuje konektor Service Connector. Konektor služby zjednodušuje proces konfigurace zabezpečených připojení mezi službami Azure. Automatizuje nastavení ověřování, síťového přístupu a připojovacích řetězců mezi výpočetními službami (jako je App Service nebo Container Apps) a závislými službami (například Azure Storage, Azure SQL nebo Cosmos DB). To snižuje ruční kroky, pomáhá vynucovat osvědčené postupy (jako je použití spravovaných identit a privátních koncových bodů) a zlepšuje konzistenci nasazení a zabezpečení.

• Rychlý start: Vytvoření připojení služby ve službě App Service z webu Azure Portal

• Kurz: Použití konektoru služby k sestavení aplikace Django s Postgres ve službě Aplikace Azure Service

Úložiště klíčů (Key Vault)

Použití řešení pro správu klíčů, jako je Azure Key Vault , nabízí větší kontrolu nad vašimi tajnými klíči a přihlašovacími údaji, i když se jedná o větší složitost správy.

• Rychlý start: Klientská knihovna certifikátů služby Azure Key Vault pro Python

• Rychlý start: Klientská knihovna klíčů služby Azure Key Vault pro Python

• Rychlý start: Klientská knihovna tajných klíčů služby Azure Key Vault pro Python

Ověřování a identita pro přihlašování uživatelů v aplikacích

Můžete vyvíjet aplikace Pythonu, které uživatelům umožňují přihlásit se pomocí identit Microsoftu (jako jsou účty Azure AD) nebo externích sociálních účtů (jako je Google nebo Facebook). Po ověření může vaše aplikace autorizovat uživatele pro přístup k vlastním rozhraním API nebo rozhraním Microsoft API, jako je Microsoft Graph, pro interakci s prostředky, jako jsou profily uživatelů, kalendáře a e-maily.

• Rychlý start: Přihlášení uživatelů a volání rozhraní Microsoft Graph API z webové aplikace v Pythonu

• Témata týkající se ověřování webové aplikace

• Rychlý start: Získání tokenu a volání Microsoft Graphu z aplikace démon Pythonu

• Témata týkající se back-endové služby, démona a ověřování skriptů