Hitelesítés felügyelt identitással

  • Cikk

A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint

authentication-managed-identity A szabályzat használatával hitelesíthet egy háttérszolgáltatással a felügyelt identitás használatával. Ez a szabályzat lényegében a felügyelt identitás használatával szerez be egy hozzáférési jogkivonatot a Microsoft Entra ID-ból a megadott erőforrás eléréséhez. A jogkivonat sikeres lekérése után a szabályzat a séma használatával beállítja a jogkivonat értékét a AuthorizationBearer fejlécben. Az API Management gyorsítótárazza a jogkivonatot, amíg lejár.

A rendszer által hozzárendelt identitás és a több felhasználó által hozzárendelt identitás bármelyike használható jogkivonat lekérésére. Ha client-id nincs megadva, a rendszer rendszer által hozzárendelt identitást feltételez. Ha a client-id változó meg van adva, a rendszer jogkivonatot kér a felhasználó által hozzárendelt identitáshoz a Microsoft Entra-azonosítóból.

Feljegyzés

Állítsa be a szabályzat elemeit és gyermekelemeit a szabályzatutasításban megadott sorrendben. További információ az API Management-szabályzatok beállításáról és szerkesztéséről.

Szabályzatutasítás

<authentication-managed-identity resource="resource" client-id="clientid of user-assigned identity" output-token-variable-name="token-variable" ignore-error="true|false"/>

Attribútumok

Attribútum Leírás Kötelező Alapértelmezett
erőforrás Karakterlánc. A cél webes API (biztonságos erőforrás) alkalmazásazonosítója a Microsoft Entra ID-ban. A szabályzatkifejezések engedélyezettek. Igen n/a
ügyfél-azonosító Karakterlánc. A felhasználó által hozzárendelt identitás ügyfélazonosítója a Microsoft Entra-azonosítóban. A szabályzatkifejezések nem engedélyezettek. Nem rendszer által hozzárendelt identitás
output-token-variable-name Karakterlánc. Annak a környezeti változónak a neve, amely tokenértéket kap típusobjektumként string. A szabályzatkifejezések nem engedélyezettek. Nem N.A.
ignore-error Logikai. Ha be van trueállítva, a szabályzatfolyamat akkor is végrehajtja a folyamatot, ha nem szerez be hozzáférési jogkivonatot. Nem false

Használat

Példák

Felügyelt identitás használata háttérszolgáltatással történő hitelesítéshez

<authentication-managed-identity resource="https://graph.microsoft.com"/> 

<authentication-managed-identity resource="https://management.azure.com/"/> <!--Azure Resource Manager-->

<authentication-managed-identity resource="https://vault.azure.net"/> <!--Azure Key Vault-->

<authentication-managed-identity resource="https://servicebus.azure.net/"/> <!--Azure Service Bus-->

<authentication-managed-identity resource="https://eventhubs.azure.net/"/> <!--Azure Event Hub-->

<authentication-managed-identity resource="https://storage.azure.com/"/> <!--Azure Blob Storage-->

<authentication-managed-identity resource="https://database.windows.net/"/> <!--Azure SQL-->

<authentication-managed-identity resource="AD_application_id"/> <!--Application (client) ID of your own Azure AD Application-->

Felügyelt identitás használata és a fejléc manuális beállítása

<authentication-managed-identity resource="AD_application_id"
   output-token-variable-name="msi-access-token" ignore-error="false" /> <!--Application (client) ID of your own Azure AD Application-->
<set-header name="Authorization" exists-action="override">
   <value>@("Bearer " + (string)context.Variables["msi-access-token"])</value>
</set-header>

Felügyelt identitás használata a küldési kérelem szabályzatában

<send-request mode="new" timeout="20" ignore-error="false">
    <set-url>https://example.com/</set-url>
    <set-method>GET</set-method>
    <authentication-managed-identity resource="ResourceID"/>
</send-request>

Kapcsolódó tartalom

A szabályzatok használatával kapcsolatos további információkért lásd: