SSH-Authentifizierung mit Microsoft Entra ID

Secure Shell (SSH) ist ein Netzwerkprotokoll, das Verschlüsselung für den sicheren Betrieb von Netzwerkdiensten in einem ungesicherten Netzwerk bietet. Es wird häufig in Systemen wie Unix und Linux verwendet. SSH ersetzt das Telnet-Protokoll, das keine Verschlüsselung in ungesicherten Netzwerken bietet.

Microsoft Entra ID bietet eine VM-Erweiterung (virtueller Computer) für Linux-basierte Systeme, die in Azure ausgeführt werden. Außerdem steht eine Clienterweiterung zur Verfügung, die in die Azure CLI und in den OpenSSH-Client integriert wird.

Die SSH-Authentifizierung mit Active Directory kann in folgenden Fällen verwendet werden:

• Sie arbeiten mit Linux-basierten virtuellen Computern, die eine Remoteanmeldung über die Befehlszeile erfordern.

• Sie führen Remotebefehle in Linux-basierten Systemen aus.

• Sie übertragen Dateien auf sichere Weise in einem ungeschützten Netzwerk.

Komponenten des Systems

Das folgende Diagramm zeigt den Prozess der SSH-Authentifizierung mit Microsoft Entra ID:

Das System umfasst folgende Komponenten:

• Benutzer: Der Benutzer startet die Azure CLI und den SSH-Client, um eine Verbindung mit den virtuellen Linux-Computern einzurichten. Außerdem stellt der Benutzer Anmeldeinformationen für die Authentifizierung bereit.

• Azure-Befehlszeilenschnittstelle: Benutzer*innen interagieren mit der Azure-Befehlszeilenschnittstelle, um eine Sitzung mit Microsoft Entra ID zu starten, kurzlebige OpenSSH-Benutzerzertifikate von Microsoft Entra ID anzufordern und die SSH-Sitzung zu starten.

• Webbrowser: Der Benutzer öffnet einen Browser, um die Azure CLI-Sitzung zu authentifizieren. Der Browser kommuniziert mit dem Identitätsanbieter (Microsoft Entra ID), um Benutzer*innen sicher zu authentifizieren und autorisieren.

• OpenSSH-Client: Die Azure CLI (oder der Benutzer) verwendet den OpenSSH-Client, um eine Verbindung mit dem virtuellen Linux-Computer zu starten.

• Microsoft Entra ID: Microsoft Entra ID authentifiziert die Identität der Benutzer*innen und gibt kurzlebige OpenSSH-Benutzerzertifikate für den Azure CLI-Client aus.

• Virtueller Linux-Computer: Der virtuelle Linux-Computer akzeptiert das OpenSSH-Benutzerzertifikat und stellt eine erfolgreiche Verbindung bereit.

Nächste Schritte

• Informationen zum Implementieren von SSH für Ihre Benutzer bzw. Gastbenutzer mit Microsoft Entra ID finden Sie unter Anmelden bei einer Linux-VM mit Microsoft Entra-Anmeldeinformationen.