Go-alkalmazások hitelesítése Azure-szolgáltatásokba az Azure Identity-kódtár használatával

Az alkalmazások az Azure Identity-kódtár használatával hitelesíthetik magukat a Microsoft Entra-azonosítón, amely hozzáférést biztosít az Azure-szolgáltatásokhoz és -erőforrásokhoz. Ez a hitelesítési követelmény arra vonatkozik, hogy az alkalmazás üzembe van-e helyezve az Azure-ban, helyszíni üzemeltetésben, vagy helyileg fut-e egy fejlesztői munkaállomáson. Az alábbi szakaszok az azure SDK-ügyfélkódtárak használatakor ajánlott módszereket ismertetik az alkalmazások Microsoft Entra-azonosítóval való hitelesítésére különböző környezetekben.

Az alkalmazáshitelesítés ajánlott megközelítése

A Microsoft Entra-azonosítón keresztüli jogkivonatalapú hitelesítés az alkalmazások Azure-ba történő hitelesítésének ajánlott módszere a kapcsolati sztringek vagy kulcsalapú beállítások használata helyett. A Go-hoz készült Azure Identity-ügyfélmodul jogkivonatalapú hitelesítést biztosít, és lehetővé teszi az alkalmazások számára a hitelesítést az Azure-erőforrásokon, függetlenül attól, hogy az alkalmazás helyileg, az Azure-ban vagy egy helyszíni kiszolgálón fut-e.

A token alapú hitelesítés előnyei

A token alapú hitelesítés a következő előnyöket nyújtja a kapcsolati karakterláncokkal szemben:

• A jogkivonat-alapú hitelesítés biztosítja, hogy csak az Azure-erőforrás elérésére szánt alkalmazások képesek erre, míg bárki vagy bármely kapcsolati sztringgel rendelkező alkalmazás csatlakozhat egy Azure-erőforráshoz.
• A jogkivonatalapú hitelesítés lehetővé teszi az Azure-erőforrások hozzáférésének további korlátozását csak az alkalmazás által igényelt engedélyekre. Ez a megközelítés a minimális jogosultság elvét követi. Ezzel szemben a kapcsolati sztring teljes jogokat biztosít az Azure-erőforrás számára.
• Ha felügyelt identitást használ jogkivonatalapú hitelesítéshez, az Azure kezeli a felügyeleti funkciókat, így nem kell aggódnia olyan feladatok miatt, mint a titkos kódok védelme vagy elforgatása. Ez a funkció biztonságosabbá teszi az alkalmazást, mert nincs feltörhető kapcsolati sztring vagy alkalmazáskulcs.
• A kapcsolati sztringek funkcionálisan egyenértékűek a hitelesítő adatokkal, és speciális kezelést igényelnek a véletlen szivárgás elkerülése érdekében. Azokat biztonságosan kell tárolnia (például az Azure Key Vaultban), és soha ne ágyazza be az alkalmazásba, vagy ne tegyen közzé forrásvezérlésben. A Microsoft Secure Future Initiative (SFI) tiltja a kapcsolati sztringek és a hasonló hosszú élettartamú titkos kódok használatát, mivel ezek felhasználhatók az alkalmazás biztonságának veszélyeztetésére, ha nem gondosan kezelik őket.
• Az Azure Identity-kódtár microsoft Entra-jogkivonatokat szerez be és kezel Önnek.

Korlátozza a kapcsolati sztringek használatát olyan esetekre, ahol a tokenalapú hitelesítés nem lehetséges, kezdeti proof-of-concept alkalmazásokra, vagy fejlesztési prototípusokra, amelyek nem férnek hozzá éles adatokhoz vagy érzékeny adatokhoz. Ha lehetséges, használja az Azure Identity-kódtár hitelesítő adatainak típusait az Azure-erőforrások hitelesítéséhez.

Hitelesítés különböző környezetekben

Az alkalmazás által az Azure-erőforrásokon való hitelesítéshez használt jogkivonatalapú hitelesítés típusa attól függ, hogy az alkalmazás hol fut. Az alábbi diagram útmutatást nyújt a különböző forgatókönyvekhez és környezetekhez:

Amikor egy alkalmazás az alábbi:

• Az Azure-ban üzemeltetve: Az alkalmazásnak felügyelt identitással kell hitelesítenie az Azure-erőforrásokat. További információ: hitelesítés kiszolgálói környezetekben.
• Helyi futtatás a fejlesztés során: Az alkalmazás hitelesítést végezhet az Azure-ban egy alkalmazás-szolgáltatásnév használatával a helyi fejlesztéshez, vagy a fejlesztő Azure-beli hitelesítő adataival. További információ: hitelesítés a helyi fejlesztés során.
• Helyszíni üzemeltetésű: Az alkalmazásnak az Azure-erőforrásokon való hitelesítést egy alkalmazásszolgáltatásnév vagy az Azure Arc esetében felügyelt identitás használatával kell elvégeznie. További információ: hitelesítés kiszolgálói környezetekben.

Hitelesítés azure-beli alkalmazásokhoz

Ha az alkalmazást az Azure-ban üzemelteti, felügyelt identitásokkal hitelesítheti az Azure-erőforrásokat anélkül, hogy hitelesítő adatokat kellene kezelnie. A felügyelt identitások két típusa létezik: felhasználó által hozzárendelt és rendszer által hozzárendelt.

Felhasználó által hozzárendelt felügyelt identitás használata

Felhasználó által hozzárendelt felügyelt identitást hozhat létre önálló Azure-erőforrásként. Hozzárendelheti egy vagy több Azure-erőforráshoz, így ezek az erőforrások ugyanazt az identitást és engedélyeket oszthatják meg. Ha felhasználó által hozzárendelt felügyelt identitással szeretne hitelesíteni, hozza létre az identitást, rendelje hozzá az Azure-erőforráshoz, majd konfigurálja az alkalmazást arra, hogy ezt az identitást használja hitelesítésre az ügyfélazonosító, az erőforrás-azonosító vagy az objektumazonosító megadásával.

Hitelesítés felhasználó által hozzárendelt felügyelt identitással

Rendszer által hozzárendelt felügyelt identitás használata

A rendszer által hozzárendelt felügyelt identitásokat közvetlenül egy Azure-erőforráson engedélyezheti. Az identitás az erőforrás életciklusához van kötve, és az erőforrás törlésekor automatikusan törlődik. Ha rendszer által hozzárendelt felügyelt identitással szeretne hitelesíteni, engedélyezze az identitást az Azure-erőforráson, majd konfigurálja az alkalmazást arra, hogy ezt az identitást használja hitelesítésre.

Hitelesítés rendszer által hozzárendelt felügyelt identitással

Hitelesítés a helyi fejlesztés során

A helyi fejlesztés során a fejlesztői hitelesítő adatok vagy egy szolgáltatásnév használatával hitelesítheti az Azure-erőforrásokat. Ez a hitelesítési módszer lehetővé teszi az alkalmazás hitelesítési logikájának tesztelését anélkül, hogy üzembe helyezte volna az Azure-ban.

Fejlesztői hitelesítő adatok használata

A helyi fejlesztés során saját Azure-hitelesítő adataival hitelesítheti az Azure-erőforrásokat. Általában egy fejlesztőeszközt, például az Azure CLI-t használja, amely biztosítja az alkalmazás számára az Azure-szolgáltatások eléréséhez szükséges jogkivonatokat. Ez a módszer kényelmes, de csak fejlesztési célokra használható.

Helyi hitelesítés fejlesztői hitelesítő adatokkal

Szolgáltatásnév használata

Létrehoz egy szolgáltatásnevet egy Microsoft Entra-bérlőben, amely egy alkalmazást képvisel, és az Azure-erőforrásokon való hitelesítéshez használja. Az alkalmazás konfigurálható úgy, hogy a szolgáltatásnév hitelesítő adatait használja a helyi fejlesztés során. Ez a módszer biztonságosabb, mint a fejlesztői hitelesítő adatok használata, és közelebb áll ahhoz, ahogyan az alkalmazás éles környezetben hitelesít. Azonban még mindig kevésbé ideális, mint a felügyelt identitás használata a titkos kódok szükségessége miatt.

Helyi hitelesítés szolgáltatási főazonosító használatával

Helyszíni alkalmazások hitelesítése

A helyszíni alkalmazások esetében szolgáltatásnévvel hitelesítheti magát az Azure-erőforrásokban. Ez a módszer magában foglalja egy szolgáltatásnév létrehozását a Microsoft Entra-azonosítóban, hozzárendeli a szükséges engedélyeket, és konfigurálja az alkalmazást a hitelesítő adatainak használatára. Ezzel a módszerrel a helyszíni alkalmazás biztonságosan hozzáférhet az Azure-szolgáltatásokhoz.

Hitelesítse a helyszíni alkalmazását szolgáltatás főazonosítóval

Kapcsolódó tartalom

• Azure Identity-ügyfélkódtár a Go README-hez a GitHubon
• Az Azure Identity ügyfélkönyvtár referenciája a pkg.go.dev oldalon