Správa identit a přístupu pro aplikace v Pythonu v Azure

V Azure zahrnuje správa identit a přístupu (IAM) pro aplikace Pythonu dva klíčové koncepty:

• Ověřování: Ověření identity uživatele, skupiny, služby nebo aplikace
• Autorizace: Určení akcí, které identita může s prostředky Azure provádět

Azure nabízí několik možností IAM, které odpovídají požadavkům vaší aplikace na zabezpečení. Tento článek obsahuje odkazy na základní zdroje informací, které vám pomůžou začít.

Další informace najdete v tématu Doporučení pro správu identit a přístupu.

Připojení bez hesla

Kdykoli je to možné, použijte spravované identity ke zjednodušení správy identit a vylepšení zabezpečení. Spravované identity podporují ověřování bez hesla, takže do kódu nebo proměnných prostředí nemusíte vkládat citlivé přihlašovací údaje, jako jsou hesla nebo tajné kódy klienta. Azure služby, jako je App Service, Azure Functions a Azure Container Apps podporují spravované identity. Pomocí spravovaných identit se vaše aplikace můžou ověřovat v Azure službách bez správy přihlašovacích údajů.

Následující zdroje informací ukazují, jak používat Azure SDK pro Python s ověřováním bez hesla prostřednictvím DefaultAzureCredential. DefaultAzureCredential je ideální pro většinu aplikací běžících v Azure, protože bezproblémově podporuje místní vývojová i produkční prostředí zřetězením několika typů přihlašovacích údajů v zabezpečeném a inteligentním pořadí.

• Přehled: Připojení bez hesla pro služby Azure

• Ověřování aplikací Pythonu ve službách Azure pomocí sady Azure SDK pro Python

• Použití DefaultAzureCredential v aplikaci

• Rychlý start: Klientská knihovna Azure Blob Storage pro Python s připojením bez hesla

• Rychlý start: Odesílání zpráv do front Služby Azure Service Bus a příjem zpráv pomocí připojení bez hesla

• Vytvořte a nasaďte webovou aplikaci Flask do Azure s identitou spravovanou systémem.

• Vytvoření a nasazení webové aplikace Django do Azure pomocí spravované identity přiřazené uživatelem

Konektor služby

Mnoho prostředků Azure běžně používaných v aplikacích Pythonu podporuje konektor Service Connector. Konektor služby zjednodušuje proces konfigurace zabezpečených připojení mezi službami Azure. Automatizuje nastavení ověřování, síťového přístupu a připojovacích řetězců mezi výpočetními službami (jako je App Service nebo Container Apps) a závislými službami (například Azure Storage, Azure SQL nebo Cosmos DB). Tato automatizace snižuje ruční kroky, pomáhá vynucovat osvědčené postupy (jako je použití spravovaných identit a privátních koncových bodů) a zlepšuje konzistenci nasazení a zabezpečení.

• Rychlý start: Vytvoření připojení služby ve službě App Service z webu Azure Portal

• Kurz: Použití konektoru služby k sestavení aplikace Django s Postgres ve službě Aplikace Azure Service

Key Vault

Použití řešení pro správu klíčů, jako je Azure Key Vault, vám dává větší kontrolu nad tajnými klíči a přihlašovacími údaji, i když zvyšuje složitost správy.

• Rychlý start: Klientská knihovna certifikátů služby Azure Key Vault pro Python

• Rychlý start: Klientská knihovna klíčů služby Azure Key Vault pro Python

• Rychlý start: Klientská knihovna tajných klíčů služby Azure Key Vault pro Python

Ověřování a identita pro přihlašování uživatelů v aplikacích

Můžete vyvíjet Python aplikace, které uživatelům umožňují přihlásit se pomocí Microsoft identit, jako jsou účty Microsoft Entra ID nebo externí účty sociálních sítí, jako je Google nebo Facebook. Po ověření může vaše aplikace autorizovat uživatele pro přístup k vlastním rozhraním API nebo rozhraním Microsoft API, jako je Microsoft Graph, pro interakci s prostředky, jako jsou profily uživatelů, kalendáře a e-maily.

• Rychlý start: Přihlášení uživatelů a volání rozhraní Microsoft Graph API z webové aplikace v Pythonu

• Témata týkající se ověřování webové aplikace

• Rychlý start: Získání tokenu a volání Microsoft Graphu z aplikace démon Pythonu

• Témata týkající se back-endové služby, démona a ověřování skriptů