Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Aplikace můžou používat knihovnu identit Azure k ověření v Microsoft Entra ID, což umožňuje aplikacím přístup ke službám a prostředkům Azure. Tento požadavek na ověřování platí, jestli je aplikace nasazená do Azure, hostované místně nebo spuštěné místně na vývojářské pracovní stanici. V následujících částech najdete popis doporučených přístupů k ověřování aplikace pro Microsoft Entra ID v různých prostředích při používání Azure SDK klientských knihoven.
Doporučený přístup pro ověřování aplikací
Ověřování na základě tokenů prostřednictvím Microsoft Entra ID je doporučeným přístupem k ověřování aplikací pro Azure místo použití připojovacích řetězců nebo možností založených na klíčích. Knihovna identit Azure poskytuje třídy, které podporují ověřování na základě tokenů a umožňují aplikacím ověřovat Azure prostředky bez ohledu na to, jestli aplikace běží místně, na Azure nebo na místním serveru.
Výhody ověřování založeného na tokenech
Ověřování na základě tokenů nabízí následující výhody oproti připojovacím řetězcům:
- Ověřování na základě tokenů zajišťuje, že k Azure prostředku budou mít přístup jenom konkrétní aplikace, zatímco kdokoli nebo jakákoli aplikace s connection string se může připojit k Azure prostředku.
- Ověřování na základě tokenů umožňuje dále omezit přístup k prostředkům Azure jenom na konkrétní oprávnění potřebná aplikací. To se řídí zásadou nejnižších oprávnění. Naproti tomu connection string uděluje úplná práva na prostředek Azure.
- Při použití spravované identity pro ověřování na základě tokenů Azure zpracovává funkce správy za vás, takže se nemusíte starat o úlohy, jako je zabezpečení nebo obměna tajných kódů. Díky tomu je aplikace bezpečnější, protože neexistuje žádný connection string nebo tajný klíč aplikace, který by se mohl ohrozit.
- Knihovna Azure Identity za vás získává a spravuje Microsoft Entra tokeny.
Použití připojovacích řetězců by mělo být omezené na scénáře, kdy ověřování na základě tokenů není dostupné, počáteční ověřovací aplikace nebo vývojové prototypy, které nepřistupují k produkčním prostředí nebo citlivým datům. Pokud je to možné, použijte třídy ověřování založené na tokenech, které jsou k dispozici v knihovně identit Azure, k ověřování pomocí prostředků Azure.
Ověřování v různých prostředích
Konkrétní typ ověřování na základě tokenů, který by aplikace měla použít k ověření Azure prostředků, závisí na tom, kde aplikace běží. Následující diagram obsahuje pokyny pro různé scénáře a prostředí:
Když je aplikace:
- Hostované na Azure: Aplikace by se měla ověřovat u Azure prostředků pomocí spravované identity. Tato možnost je podrobněji popsána v rámci ověřování v serverových prostředích .
- Místní spuštění během vývoje: Aplikace se může ověřit pro Azure pomocí vývojářského účtu, broker nebo service principal. Každá možnost je podrobněji popsána během ověřování během místního vývoje.
- Hostováno místně: Aplikace by měla ověřovat prostředky Azure pomocí služby aplikačního principu nebo spravované identity v případě Azure Arc. Místní pracovní postupy jsou podrobněji popsány v tématu Ověření pro aplikace hostované místně.
Ověřování pro Azure hostované aplikace
Když je vaše aplikace hostovaná na Azure, může použít spravované identity k ověření v Azure prostředcích, aniž by bylo nutné spravovat přihlašovací údaje. Existují dva typy spravovaných identit: přiřazené uživatelem a přiřazené systémem.
Použití spravované identity přiřazené uživatelem
Spravovaná identita přiřazená uživatelem se vytvoří jako samostatný prostředek Azure. Dá se přiřadit k jednomu nebo více prostředkům Azure, což umožňuje těmto prostředkům sdílet stejnou identitu a oprávnění. Pokud se chcete ověřit pomocí spravované identity přiřazené uživatelem, vytvořte ji, přiřaďte ji k prostředku Azure a nakonfigurujte aplikaci tak, aby tuto identitu používala k ověřování zadáním ID klienta, ID prostředku nebo ID objektu.
Použití spravované identity přiřazené systémem
Spravovaná identita přiřazená systémem je povolena přímo na prostředku Azure. Identita je svázaná s životním cyklem tohoto prostředku a při odstranění prostředku se automaticky odstraní. Pokud se chcete ověřit pomocí spravované identity přiřazené systémem, povolte identitu ve vašem prostředku Azure a nakonfigurujte aplikaci tak, aby tuto identitu používala k ověřování.
Ověřování během místního vývoje
Během místního vývoje se můžete ověřit k Azure prostředkům pomocí přihlašovacích údajů vývojáře nebo služebního principála. To vám umožní otestovat logiku ověřování aplikace bez nasazení do Azure.
Použití přihlašovacích údajů pro vývojáře
K ověření Azure prostředků během místního vývoje můžete použít vlastní Azure přihlašovací údaje. Obvykle se to provádí pomocí vývojového nástroje, jako je Azure CLI nebo Visual Studio Code, který vaší aplikaci poskytne potřebné tokeny pro přístup ke službám Azure. Tato metoda je pohodlná, ale měla by být použita pouze pro účely vývoje.
Použití zprostředkovatele
Zprostředkované ověřování shromažďuje přihlašovací údaje uživatele pomocí zprostředkovatele ověřování systému k ověření aplikace. Systémový zprostředkovatel ověřování běží na počítači uživatele a zajišťuje navazování spojení a údržbu tokenů pro všechny připojené účty.
Použijte služebního hlavního prvku
Instanční objekt se vytvoří v Microsoft Entra tenantovi, který představuje aplikaci a použije se k ověření v Azure prostředcích. Aplikaci můžete nakonfigurovat tak, aby používala přihlašovací údaje instančního objektu během místního vývoje. Tato metoda je bezpečnější než použití přihlašovacích údajů vývojáře a blíží se způsobu ověřování vaší aplikace v produkčním prostředí. Je ale stále méně ideální než použití spravované identity kvůli potřebě tajných kódů.
Ověřování pro aplikace hostované místně
U aplikací hostovaných místně můžete použít služební principál k autentizaci prostředků Azure. To zahrnuje vytvoření instančního objektu v Microsoft Entra ID, přiřazení potřebných oprávnění a konfiguraci aplikace tak, aby používala své přihlašovací údaje. Tato metoda umožňuje vaší místní aplikaci bezpečně přistupovat ke službám Azure.