Použití spravovaných identit pro Azure se službou Service Fabric

Běžným problémem při vytváření cloudových aplikací je, jak bezpečně spravovat přihlašovací údaje v kódu pro ověřování v různých službách, aniž byste je museli ukládat místně na pracovní stanici vývojáře nebo ve správě zdrojového kódu. Spravované identity pro Azure řeší tento problém u všech vašich prostředků v Microsoft Entra ID tím, že jim poskytnete automaticky spravované identity v rámci Microsoft Entra ID. Identitu služby můžete použít k ověření ve všech službách, které podporují ověřování Microsoft Entra, včetně služby Key Vault, bez jakýchkoli přihlašovacích údajů uložených ve vašem kódu.

Spravované identity pro prostředky Azure jsou bezplatné s ID Microsoft Entra pro předplatná Azure. Nejsou žádné další náklady.

Poznámka:

Spravované identity pro Azure jsou novým názvem služby dříve označované jako Identita spravované služby (MSI).

Koncepty

Spravované identity pro Azure jsou založené na několika klíčových konceptech:

• ID klienta – jedinečný identifikátor vygenerovaný id Microsoft Entra, které je svázané s aplikací a instančním objektem během počátečního zřizování (viz ID aplikace (klienta).)

• ID objektu zabezpečení – ID objektu instančního objektu pro vaši spravovanou identitu, která se používá k udělení přístupu na základě role k prostředku Azure.

• Instanční objekt – objekt Microsoft Entra, který představuje projekci aplikace Microsoft Entra v daném tenantovi (viz také instanční objekt).)

Existují dva typy spravovaných identit:

• Spravovaná identita přiřazená systémem je povolená přímo v instanci služby Azure. Životní cyklus identity přiřazené systémem je jedinečný pro instanci služby Azure, ve které je povolená.
• Spravovaná identita přiřazená uživatelem se vytváří jako samostatný prostředek Azure. Identitu je možné přiřadit k jedné nebo více instancím služby Azure a spravuje se odděleně od životního cyklu těchto instancí.

Pokud chcete lépe porozumět rozdílu mezi typy spravovaných identit, přečtěte si téma Jak fungují spravované identity pro prostředky Azure?

Podporované scénáře pro aplikace Service Fabric

Spravované identity pro Service Fabric se podporují jenom v clusterech Service Fabric nasazených v Azure a pouze pro aplikace nasazené jako prostředky Azure. Aplikaci, která není nasazená jako prostředek Azure, nemůže být přiřazena identita. Koncepční podpora spravovaných identit v clusteru Azure Service Fabric se skládá ze dvou fází:

1. Přiřaďte k prostředku aplikace jednu nebo více spravovaných identit; aplikaci může být přiřazena jedna identita přiřazená systémem nebo až 32 identit přiřazených uživatelem.

2. V definici aplikace namapujte jednu z identit přiřazených k aplikaci na libovolnou jednotlivou službu, která aplikaci tvoří.

Identita aplikace přiřazená systémem je pro tuto aplikaci jedinečná; Identita přiřazená uživatelem je samostatný prostředek, který může být přiřazen více aplikacím. V rámci aplikace může být jedna identita (ať už přiřazená systémem nebo přiřazená uživatelem) přiřazena k více službám aplikace, ale každá jednotlivá služba může být přiřazena pouze jedné identitě. Nakonec musí být službě přiřazena identita explicitně, aby měla k této funkci přístup. Mapování identit aplikace na její základní služby umožňuje izolaci v aplikaci – služba může namapovanou identitu používat pouze k ní.

Pro tuto funkci jsou podporovány následující scénáře:

• Nasazení nové aplikace s jednou nebo více službami a jednou nebo více přiřazenými identitami

• Přiřazení jedné nebo více spravovaných identit k existující aplikaci (nasazené v Azure) za účelem přístupu k prostředkům Azure

Následující scénáře se nepodporují nebo nedoporučuje. Tyto akce nemusí být blokované, ale můžou vést k výpadkům ve vašich aplikacích:

• Odebrání nebo změna identit přiřazených k aplikaci Pokud potřebujete provést změny, odešlete samostatná nasazení, abyste nejdřív přidali nové přiřazení identity a potom odebrali dříve přiřazené nasazení. Odebrání identity z existující aplikace může mít nežádoucí účinky, včetně opuštění aplikace v neupgradovatelném stavu. Pokud je potřeba odebrat identitu, je bezpečné aplikaci úplně odstranit. Odstraněním aplikace odstraníte veškerou identitu přiřazenou systémem přidruženou k aplikaci a odeberete všechna přidružení k jakýmkoli identitám přiřazeným uživatelem přiřazeným k aplikaci.

• Service Fabric nepodporuje spravované identity v zastaralém azureServiceTokenProvideru. Místo toho použijte spravované identity ve službě Service Fabric pomocí sady Azure Identity SDK.

Další kroky

• Nasazení nového clusteru Azure Service Fabric s podporou spravované identity
• Povolení podpory spravované identity v existujícím clusteru Azure Service Fabric
• Nasazení aplikace Azure Service Fabric se spravovanou identitou přiřazenou systémem
• Nasazení aplikace Azure Service Fabric se spravovanou identitou přiřazenou uživatelem
• Použití spravované identity aplikace Service Fabric z kódu služby
• Udělení přístupu k jiným prostředkům Azure v aplikaci Azure Service Fabric
• Deklarace a použití tajných kódů aplikací jako KeyVaultReferences