Megosztás a következőn keresztül:

Java-alkalmazások hitelesítése Azure szolgáltatásokhoz az Azure Identitástár használatával

Az alkalmazások a Azure Identitástár használatával hitelesíthetik Microsoft Entra ID, így az alkalmazások hozzáférhetnek Azure szolgáltatásokhoz és erőforrásokhoz. Ez a hitelesítési követelmény azt határozza meg, hogy az alkalmazás üzembe van-e helyezve Azure, helyszíni üzemeltetésű vagy helyileg futó fejlesztői munkaállomáson. Ez a cikk azokat az ajánlott módszereket ismerteti, amelyekkel egy alkalmazást hitelesíthetünk a Microsoft Entra ID-hez különböző környezetekben az Azure SDK ügyfélkönyvtárak használatakor.

A Microsoft Entra ID által támogatott token alapú hitelesítés az ajánlott módszer az alkalmazások Azure-val történő hitelesítésére, a kapcsolati sztringek vagy kulcsalapú beállítások használata helyett. Az Azure Identitástár olyan osztályokat biztosít, amelyek támogatják a jogkivonatalapú hitelesítést, és lehetővé teszik az alkalmazások számára a hitelesítést Azure erőforrásokhoz, függetlenül attól, hogy az alkalmazás helyileg, Azure vagy helyszíni kiszolgálón fut-e.

A token alapú hitelesítés előnyei

A token alapú hitelesítés a következő előnyöket nyújtja a kapcsolati karakterláncokkal szemben:

  • A token alapú hitelesítés biztosítja, hogy csak a meghatározott alkalmazások férhessenek hozzá az Azure erőforráshoz, míg bárki vagy bármely alkalmazás, amely rendelkezik connection stringgel, csatlakozhat egy Azure erőforráshoz.
  • A jogkivonatalapú hitelesítés lehetővé teszi, hogy Azure erőforrás-hozzáférést csak az alkalmazás által igényelt engedélyekre korlátozza. Ez a megközelítés a minimális jogosultság elvét követi. Ezzel szemben egy connection string teljes jogokat biztosít az Azure erőforrás számára.
  • Ha kezelt identitást használ jogkivonatalapú hitelesítéshez, az Azure kezeli az adminisztrációs feladatokat ön helyett, így nem kell aggódnia olyan teendők miatt, mint a titkosítási kulcsok biztosítása vagy rendszeres cseréje. Ez a megközelítés biztonságosabbá teszi az alkalmazást, mert nincs connection string vagy alkalmazáskulcs, amely feltörhető.
  • Az Azure Identity könyvtár Microsoft Entra tokeneket szerez be és kezel.

A kapcsolati sztringek használatának korlátozása olyan helyzetekre, ahol a jogkivonatalapú hitelesítés nem lehetőség, kezdeti megvalósíthatósági igazolási alkalmazások vagy fejlesztési prototípusok, amelyek nem férnek hozzá éles vagy bizalmas adatokhoz. Ha lehetséges, használja az Azure Identitástárában elérhető jogkivonatalapú hitelesítési osztályokat az Azure erőforrások hitelesítéséhez.

Hitelesítés különböző környezetekben

Az alkalmazás által az Azure erőforrások hitelesítéséhez szükséges jogkivonatalapú hitelesítés konkrét típusa attól függ, hogy hol fut az alkalmazás. Az alábbi diagram útmutatást nyújt a különböző forgatókönyvekhez és környezetekhez:

Egy alkalmazás ajánlott jogkivonatalapú hitelesítési stratégiáit bemutató diagram, attól függően, hogy hol fut.

Amikor egy alkalmazás az alábbi:

  • Hosted on Azure: Az alkalmazásnak felügyelt identitással kell hitelesítenie Azure erőforrásokat. További információ: A Azure által üzemeltetett alkalmazások hitelesítése szakasz.
  • Helyi futtatás fejlesztés közben: Az alkalmazás hitelesíthet az Azure-hoz fejlesztői fiókkal, brókerrel vagy szolgáltatásnévvel. További információ: Hitelesítés a helyi fejlesztés során szakasz.
  • Hosted on-premises: Az alkalmazásnak hitelesítenie kell Azure erőforrásokat egy alkalmazás-szolgáltatásnév használatával, vagy felügyelt identitást Azure Arc esetén. A helyszíni munkafolyamatokról részletesebben a A helyszíni alkalmazások hitelesítése című témakörben olvashat.

Hitelesítés Azure által üzemeltetett alkalmazásokhoz

Amikor az alkalmazást az Azure-ra telepíti, az felügyelt identitásokkal hitelesítheti az Azure-erőforrásokat anélkül, hogy bármilyen hitelesítő adatot kellene kezelnie. A felügyelt identitások két típusa érhető el: felhasználó által hozzárendelt és rendszer által hozzárendelt.

Felhasználó által hozzárendelt felügyelt identitás használata

Létrehozhat egy felhasználó által hozzárendelt felügyelt identitást önálló Azure erőforrásként. Ezután hozzárendelheti egy vagy több Azure erőforráshoz, hogy ezek az erőforrások azonos identitással és engedélyekkel rendelkezhessenek. Ha felhasználó által hozzárendelt felügyelt identitással szeretne hitelesíteni, hozza létre az identitást, rendelje hozzá a Azure erőforráshoz, majd konfigurálja az alkalmazást úgy, hogy ezt az identitást használja hitelesítésre az ügyfélazonosító, az erőforrás-azonosító vagy az objektumazonosító megadásával.

Hitelesítés felhasználó által hozzárendelt felügyelt identitással

Rendszer által hozzárendelt felügyelt identitás használata

A rendszer által hozzárendelt felügyelt identitásokat közvetlenül egy Azure-erőforráson engedélyezheti. Az identitás az erőforrás életciklusához van kötve, és az erőforrás törlésekor automatikusan törlődik. Ha rendszer által hozzárendelt felügyelt identitással szeretne hitelesíteni, engedélyezze az identitást a Azure erőforráson, majd konfigurálja az alkalmazást az identitás hitelesítésre való használatára.

Hitelesítés rendszer által hozzárendelt felügyelt identitással

Hitelesítés a helyi fejlesztés során

Helyi fejlesztés során az Azure erőforrásokhoz való hitelesítéshez fejlesztői hitelesítő adatokat, brókert, vagy szolgáltatásfiókot használhat. Ezen módszerek egyikével tesztelheti az alkalmazás hitelesítési logikáját anélkül, hogy üzembe helyezte volna Azure.

Fejlesztői hitelesítő adatok használata

A helyi fejlesztés során saját Azure-hitelesítő adataival hitelesítheti az Azure-erőforrásokat. Általában olyan fejlesztőeszközt használ, mint a Azure CLI, Azure fejlesztői parancssori felület, Azure PowerShell, Visual Studio Code vagy IntelliJ IDEA. Ezek az eszközök biztosítják az alkalmazás számára a szükséges tokeneket az Azure szolgáltatások eléréséhez. Ez a módszer kényelmes, de csak fejlesztési célokra érdemes használni.

Helyi hitelesítés fejlesztői fiókok használatával

Közvetítő használata

A közvetített hitelesítés összegyűjti a felhasználói hitelesítő adatokat a rendszerhitelesítési közvetítő használatával egy alkalmazás hitelesítéséhez. A rendszerhitelesítési közvetítő egy felhasználó gépén fut, és kezeli az összes csatlakoztatott fiók hitelesítési kézfogásait és tokenkarbantartását.

Helyi hitelesítés közvetítő használatával

Szolgáltatásnév használata

Létrehozhat egy szolgáltatásnevet egy Microsoft Entra-bérlőben, amely egy alkalmazást képvisel, és hitelesíti Azure erőforrásokat. Az alkalmazás konfigurálható úgy, hogy a szolgáltatásnév hitelesítő adatait használja a helyi fejlesztés során. Ez a módszer biztonságosabb, mint a fejlesztői hitelesítő adatok használata, és közelebb áll ahhoz, ahogyan az alkalmazás éles környezetben hitelesít. Azonban még mindig kevésbé ideális, mint a felügyelt identitás használata a titkos kódok szükségessége miatt.

Helyi hitelesítés szolgáltatásnevek használatával

Helyszíni alkalmazások hitelesítése

A helyszíni alkalmazások esetében szolgáltatásnévvel hitelesítheti az Azure erőforrásokat. Ez magában foglalja egy szolgáltatásnév létrehozását Microsoft Entra ID, a szükséges engedélyek hozzárendelését, és az alkalmazás konfigurálását a hitelesítő adatok használatára. Ez a módszer lehetővé teszi, hogy a helyszíni alkalmazás biztonságosan hozzáférjen Azure szolgáltatásokhoz.

Hitelesítse a helyszíni alkalmazását szolgáltatás főazonosítóval

  • Last updated on