Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A fejlesztők számára gyakori kihívás a titkos kódok, a hitelesítő adatok, a tanúsítványok és a kulcsok kezelése a szolgáltatások közötti kommunikáció biztonságossá tételéhez. A titkos kódok és tanúsítványok manuális kezelése a biztonsági problémák és kimaradások ismert forrása. A felügyelt identitások nem igénylik, hogy a fejlesztők felügyeljék ezeket a hitelesítő adatokat. Az alkalmazások a kezelt identitásokat használhatják a Microsoft Entra tokenek megszerzésére anélkül, hogy hitelesítő adatokat kellene kezelniük.
Mik azok a felügyelt identitások?
Magas szinten kétféle identitás létezik: emberi és gépi/nem emberi identitások. A gépi/nem emberi identitások eszköz- és számítási feladatok identitásaiból állnak. A Microsoft Entra-ban a számítási feladatok identitásai alkalmazások, szolgáltatásnevek és felügyelt identitások. A számítási feladatok identitásáról további információt a számítási feladatok identitásai című témakörben talál.
A felügyelt identitás olyan identitás, amely hozzárendelhető egy Azure számítási erőforráshoz (virtuális géphez, virtuálisgép-méretezési csoporthoz (VMSS), Service Fabric-fürthöz, Azure Kubernetes-fürthöz vagy az Azure által támogatott alkalmazás-üzemeltetési platformhoz. Miután hozzárendelt egy felügyelt identitást a számítási erőforráshoz, közvetlenül vagy közvetve jogosult lehet hozzáférni az alárendelt függőségi erőforrásokhoz, például tárfiókhoz, SQL-adatbázishoz, CosmosDB-hez stb. A felügyelt identitás lecseréli a titkos kulcsokat, például a hozzáférési kulcsokat vagy a jelszavakat. Emellett a felügyelt identitások lecserélhetik a tanúsítványokat vagy a szolgáltatásközi függőségek más hitelesítési formáit.
Az alábbi videó bemutatja, hogyan használhat felügyelt identitásokat:
A felügyelt identitások használatának néhány előnye:
- Nem kell kezelnie a hitelesítő adataikat. A hitelesítő adatok még csak nem is érhetők el.
- Felügyelt identitásokkal hitelesítheti magát minden olyan erőforráson, amely támogatja a Microsoft Entra-hitelesítést, beleértve a saját alkalmazásait is.
- A felügyelt identitások külön költségek nélkül használhatók.
Felügyelt identitástípusok
A felügyelt identitásoknak két típusa létezik:
Rendszer által hozzárendelt. Egyes Azure-erőforrások, például a virtuális gépek lehetővé teszik a felügyelt identitások közvetlen engedélyezését az erőforráson. Rendszer által hozzárendelt felügyelt identitás engedélyezésekor:
- Az identitáshoz egy speciális típusú szolgáltatási főszemélyazonosító jön létre a Microsoft Entra ID-ben. A szolgáltatásnév az Adott Azure-erőforrás életciklusához van kötve. Az Azure-erőforrás törlésekor az Azure automatikusan törli Önnek a szolgáltatásnevet.
- A rendszer működése alapján csak az adott Azure-erőforrás használhatja ezt az identitást ahhoz, hogy tokeneket kérjen le a Microsoft Entra ID-ből.
- Ön engedélyezi a felügyelt identitás számára, hogy hozzáférjen egy vagy több szolgáltatáshoz.
- A rendszer által hozzárendelt szolgáltatásnév neve mindig megegyezik a létrehozott Azure-erőforrás nevével. Üzembehelyezési pont esetén a rendszer által hozzárendelt felügyelt identitás neve .
<app-name>/slots/<slot-name>
Felhasználó által hozzárendelt. Felügyelt identitást önálló Azure-erőforrásként is létrehozhat. Létrehozhat egy felhasználó által hozzárendelt felügyelt identitást, és hozzárendelheti egy vagy több Azure-erőforráshoz. Ha engedélyezi a felhasználó által hozzárendelt felügyelt identitást:
- Az identitáshoz egy speciális típusú szolgáltatási főszemélyazonosító jön létre a Microsoft Entra ID-ben. A szolgáltatási alany kezelése külön történik az azt használó erőforrásoktól.
- A felhasználó által hozzárendelt felügyelt identitásokat több erőforrás is használhatja.
- Ön engedélyezi a felügyelt identitás számára, hogy hozzáférjen egy vagy több szolgáltatáshoz.
A Microsoft-szolgáltatások ajánlott felügyelt identitástípusa a felhasználó által hozzárendelt felügyelt identitások, amelyek a számítástól függetlenül vannak kiépítve, és több számítási erőforráshoz is hozzárendelhetők.
A rendszer által hozzárendelt felügyelt identitásokat támogató erőforrások lehetővé teszik a következőt:
- Felügyelt identitások engedélyezése vagy letiltása az erőforrás szintjén.
- Engedélyek megadásához használja a szerepköralapú hozzáférés-vezérlést (RBAC).
- Tekintse meg a létrehozási, olvasási, frissítési és törlési (CRUD) műveleteket az Azure-tevékenységnaplókban.
- Bejelentkezési tevékenység megtekintése a Microsoft Entra ID bejelentkezési naplóiban.
Ha ehelyett egy felhasználó által hozzárendelt felügyelt identitást választ:
- Létrehozhatja, elolvashatja, frissítheti és törölheti az identitásokat.
- Az RBAC-szerepkör-hozzárendelésekkel engedélyeket adhat meg.
- A felhasználó által hozzárendelt felügyelt identitások több erőforráson is használhatók.
- A CRUD-műveletek megtekinthetők az Azure-tevékenységnaplókban.
- Bejelentkezési tevékenység megtekintése a Microsoft Entra ID bejelentkezési naplóiban.
A felügyelt identitásokon végzett műveletek egy Azure Resource Manager-sablon, az Azure Portal, az Azure CLI, a PowerShell és a REST API-k használatával végezhetők el.
A rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitások közötti különbségek
| Tulajdonság | Rendszer által hozzárendelt felügyelt identitás | Felhasználó által hozzárendelt felügyelt identitás |
|---|---|---|
| Létrehozás | Az Azure-erőforrás részeként (például Azure Virtual Machines vagy Azure Alkalmazásszolgáltatás) jött létre. | Önálló Azure-erőforrásként létrehozva. |
| Életciklus | Megosztott életciklus azzal az Azure-erőforrással, amellyel a felügyelt identitás létrejön. A szülőerőforrás törlésekor a felügyelt identitás is törlődik. |
Független életciklus. Kifejezetten törölni kell. |
| Megosztás Azure-erőforrások között | Nem osztható meg. Csak egyetlen Azure-erőforráshoz társítható. |
Megosztható. Ugyanaz a felhasználó által hozzárendelt felügyelt identitás több Azure-erőforráshoz is társítható. |
| Gyakori alkalmazási helyzetek | Egyetlen Azure-erőforrásban található számítási feladatok. Független identitásokat igénylő számítási feladatok. Például egy olyan alkalmazás, amely egyetlen virtuális gépen fut. |
Több erőforráson futó számítási feladatok, amelyek egyetlen identitást oszthatnak meg. Olyan munkafolyamatok, amelyek igénylik az előzetes engedélyezést egy biztonságos erőforráshoz az előkészítési folyamat részeként. Olyan számítási feladatok, amelyekben az erőforrásokat gyakran újrahasznosítják, de az engedélyeknek konzisztensnek kell maradniuk. Például egy olyan számítási feladat, amelyben több virtuális gépnek is hozzá kell férnie ugyanahhoz az erőforráshoz. |
Hogyan használhatom az Azure-erőforrások felügyelt identitásait?
A felügyelt identitásokat az alábbi lépések végrehajtásával használhatja:
- Felügyelt identitás létrehozása az Azure-ban. Választhat a rendszer által hozzárendelt felügyelt identitás vagy a felhasználó által hozzárendelt felügyelt identitás között.
- Felhasználó által hozzárendelt felügyelt identitás használatakor hozzárendeli a felügyelt identitást a "forrás" Azure-erőforráshoz, például egy virtuális géphez, az Azure Logic Apphoz vagy egy Azure-webalkalmazáshoz.
- Engedélyezze a felügyelt identitásnak, hogy hozzáférjen a "cél" szolgáltatáshoz.
- A felügyelt identitás használatával érhet el egy erőforrást. Ebben a lépésben az Azure SDK-t használhatja az Azure.Identity könyvtárral. Egyes "forrás" erőforrások olyan összekötőket kínálnak, amelyek tudják, hogyan használhatók a felügyelt identitások a kapcsolatokhoz. Ebben az esetben az identitást használja annak az adott "forrás" erőforrásnak egyik jellemzőjeként.
Mely Azure-szolgáltatások támogatják a funkciót?
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra-hitelesítést támogató szolgáltatások hitelesítésére használhatók. A támogatott Azure-szolgáltatások listájáért tekintse meg az Azure-erőforrások felügyelt identitásait támogató szolgáltatásokat.
Felügyelt identitások használata
A felügyelt identitások közvetlenül vagy összevont identitás hitelesítő adatokként használhatók a Microsoft Entra ID-alkalmazásokhoz.
A felügyelt identitások használatának lépései a következők:
- Felügyelt identitás létrehozása az Azure-ban. Választhat a rendszer által hozzárendelt felügyelt identitás vagy a felhasználó által hozzárendelt felügyelt identitás között. Felhasználó által hozzárendelt felügyelt identitás használatakor hozzárendeli a felügyelt identitást a forrás Azure-erőforráshoz, például egy virtuális géphez, az Azure Logic Apphoz vagy egy Azure-webalkalmazáshoz.
- Engedélyezze a felügyelt identitásnak, hogy hozzáférjen a célszolgáltatáshoz.
- A felügyelt identitás használatával érhet el egy erőforrást. Ebben a lépésben bármelyik ügyfélkódtárat használhatja. Egyes forráserőforrások olyan összekötőket kínálnak, amelyek ismerik a felügyelt identitások használatát a kapcsolatokhoz. Ebben az esetben az identitást használja a forráserőforrás funkciójaként.
Felügyelt identitás közvetlen használata
Az Azure számítási erőforráson futó szolgáltatáskód a Microsoft Authentication Library (MSAL) vagy az Azure.Identity SDK használatával kér le egy felügyelt identitáskódot a felügyelt identitás által támogatott Entra-azonosítóból. Ez a token beszerzés nem igényel titkokat, és automatikusan hitelesített azon környezet alapján, ahol a kód fut. Amíg a felügyelt identitás engedélyezve van, a szolgáltatáskód hozzáférhet az Entra ID-hitelesítést támogató alárendelt függőségekhez.
Azure-beli virtuális gépet (VM) használhat például Azure Compute-ként. Ezután létrehozhat egy felhasználó által hozzárendelt felügyelt identitást, és hozzárendelheti azt a virtuális géphez. A virtuálisgép-felületeken futó számítási feladat az Azure.Identity (vagy MSAL) és az Azure Storage-ügyféloldali SDK-k használatával is hozzáfér egy tárfiókhoz. A felhasználó által hozzárendelt felügyelt identitás jogosult a tárfiók elérésére.
Felügyelt identitás használata összevont identitás hitelesítő adatként (FIC) egy Entra ID-alkalmazáson
A számítási feladatok identitásának összevonása lehetővé teszi a felügyelt identitás hitelesítő adatokként való használatát, akárcsak a tanúsítványt vagy a jelszót az Entra ID-alkalmazásokban. Amikor entra-azonosító alkalmazásra van szükség, ez az ajánlott módszer a hitelesítő adatok nélküliségre. Entra ID alkalmazásban legfeljebb 20 FIC-k használható, ha felügyelt identitásokat alkalmaz FIC-ként.
Az Entra ID-alkalmazás kapacitásában működő számítási feladatok bármely felügyelt identitással rendelkező Azure-számításon üzemeltethetők. A számítási feladat a felügyelt identitással szerez be egy entra-azonosító alkalmazás jogkivonatára cserélendő jogkivonatot a számítási feladatok identitás-összevonásán keresztül. Ezt a funkciót FIC-nek (összevont identitás hitelesítő adatainak) is nevezik. További információt a felügyelt identitás megbízható alkalmazásának konfigurálását ismertető cikkben talál.
Következő lépések
- Fejlesztői bevezetés és irányelvek
- Használjon a VM rendszer által hozzárendelt felügyelt identitást a Resource Manager eléréséhez
- Felügyelt identitások használata az App Service-hez és az Azure Functionshez
- Felügyelt identitások használata az Azure Container Instancesszel
- Felügyelt identitások implementálása a Microsoft Azure-erőforrásokhoz
- A munkaterhelés identitás-összevonásának használata felügyelt identitásokhoz lehetővé teszi a Microsoft Entra által védett erőforrások elérését anélkül, hogy titkokat kellene kezelni.