Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az alkalmazások a Azure Identitástár használatával hitelesíthetik Microsoft Entra ID, így az alkalmazások hozzáférhetnek Azure szolgáltatásokhoz és erőforrásokhoz. Ez a hitelesítési követelmény azt határozza meg, hogy az alkalmazás üzembe van-e helyezve Azure, helyszíni üzemeltetésű vagy helyileg futó fejlesztői munkaállomáson. Az alábbi szakaszok ismertetik a Microsoft Entra ID-hez való hitelesítés ajánlott megközelítéseit különböző környezetekben, amikor az Azure SDK kliens könyvtárakat használjuk.
Az alkalmazáshitelesítés ajánlott megközelítése
A tokenalapú hitelesítés a Microsoft Entra ID használatával ajánlott megközelítés az alkalmazások Azure-hoz történő hitelesítésére, ahelyett hogy kapcsolati sztringeket vagy kulcsalapú beállításokat használnánk. Az Azure Identitástár olyan osztályokat biztosít, amelyek támogatják a jogkivonatalapú hitelesítést, és lehetővé teszik az alkalmazások számára a hitelesítést Azure erőforrásokon, függetlenül attól, hogy az alkalmazás helyileg, Azure vagy helyszíni kiszolgálón fut.
A token alapú hitelesítés előnyei
A token alapú hitelesítés a következő előnyöket nyújtja a kapcsolati karakterláncokkal szemben:
- A token-alapú hitelesítés biztosítja, hogy csak az Azure erőforrás elérésére szánt alkalmazások képesek erre, míg bármely, connection stringgel rendelkező alkalmazás csatlakozhat egy Azure erőforráshoz.
- A jogkivonatalapú hitelesítés lehetővé teszi Azure erőforrás-hozzáférés további korlátozását csak az alkalmazás által igényelt engedélyekre. Ez a minimális jogosultságielvét követi. Ezzel szemben egy connection string teljes jogokat biztosít az Azure erőforrás számára.
- Ha kezelt identitást használ jogkivonat-alapú hitelesítéshez, az Azure gondoskodik az adminisztratív funkciókról, így nem kell aggódnia olyan feladatok miatt, mint például a titkos kódok védelme vagy rendszeres frissítése. Ez biztonságosabbá teszi az alkalmazást, mert nincs olyan connection string vagy alkalmazáskulcs, amely feltörhető lenne.
- Az Azure Identity könyvtár Microsoft Entra tokeneket szerez be és kezel.
A kapcsolati sztringek használatát olyan forgatókönyvekre kell korlátozni, ahol a jogkivonat-alapú hitelesítés nem lehetséges, kezdeti proof-of-concept alkalmazásokra, vagy olyan fejlesztési prototípusokra, amelyek nem férnek hozzá az éles vagy bizalmas adatokhoz. Ha lehetséges, használja az Azure Identitástárában elérhető jogkivonatalapú hitelesítési osztályokat az Azure erőforrások hitelesítéséhez.
Hitelesítés különböző környezetekben
Az alkalmazás által az Azure erőforrások hitelesítéséhez szükséges jogkivonatalapú hitelesítés konkrét típusa attól függ, hogy hol fut az alkalmazás. Az alábbi diagram útmutatást nyújt a különböző forgatókönyvekhez és környezetekhez:
Amikor egy alkalmazás az alábbi:
- Hosted on Azure: Az alkalmazásnak felügyelt identitással kell hitelesítenie Azure erőforrásokat. Ezt a lehetőséget részletesebben tárgyaljuk a hitelesítésről a kiszolgálói környezetekben.
- Helyi futtatás a fejlesztés során: Az alkalmazás hitelesítést végezhet Azure egy fejlesztői fiókkal, közvetítővel, vagy szolgáltatási főkulccsal. Az egyes lehetőségeket részletesebben hitelesítésnél tárgyaljuk a helyi fejlesztés során.
- Hosted on-premises: Az alkalmazásnak hitelesítenie kell Azure erőforrásokat egy alkalmazás-szolgáltatásnév használatával, vagy felügyelt identitást Azure Arc esetén. A helyszíni munkafolyamatokról részletesebben a A helyszíni alkalmazások hitelesítése című témakörben olvashat.
Hitelesítés Azure által üzemeltetett alkalmazásokhoz
Amikor az alkalmazást az Azure üzemelteti, felügyelt identitásokkal hitelesítheti az Azure-erőforrásokat anélkül, hogy bármilyen hitelesítő adatot kezelnie kellene. A felügyelt identitások két típusa létezik: felhasználó által hozzárendelt és rendszer által hozzárendelt.
Felhasználó által hozzárendelt felügyelt identitás használata
A felhasználó által hozzárendelt felügyelt identitás önálló Azure erőforrásként jön létre. Egy vagy több Azure erőforráshoz rendelhető hozzá, így ezek az erőforrások ugyanazt az identitást és engedélyeket oszthatják meg. Ha felhasználó által hozzárendelt felügyelt identitással szeretne hitelesíteni, hozza létre az identitást, rendelje hozzá a Azure erőforráshoz, majd konfigurálja az alkalmazást úgy, hogy ezt az identitást használja hitelesítésre az ügyfélazonosító, az erőforrás-azonosító vagy az objektumazonosító megadásával.
Rendszer által hozzárendelt felügyelt identitás használata
A rendszer által hozzárendelt felügyelt identitás közvetlenül engedélyezve van egy Azure erőforráson. Az identitás az erőforrás életciklusához van kötve, és az erőforrás törlésekor automatikusan törlődik. Ha rendszer által hozzárendelt felügyelt identitással szeretne hitelesíteni, engedélyezze az identitást a Azure erőforráson, majd konfigurálja az alkalmazást arra, hogy ezt az identitást használja hitelesítésre.
Hitelesítés a helyi fejlesztés során
A helyi fejlesztés során a fejlesztői hitelesítő adatok vagy egy szolgáltatásazonosító használatával hitelesítheti az Azure erőforrásokat. Ez lehetővé teszi az alkalmazás hitelesítési logikájának tesztelését anélkül, hogy üzembe helyezte volna Azure.
Fejlesztői hitelesítő adatok használata
A helyi fejlesztés során saját Azure-hitelesítő adataival hitelesítheti az Azure-erőforrásokat. Ez általában egy fejlesztési eszköz, például Azure CLI vagy Visual Studio Code használatával történik, amely biztosítja az alkalmazás számára a Azure szolgáltatások eléréséhez szükséges jogkivonatokat. Ez a módszer kényelmes, de csak fejlesztési célokra használható.
Közvetítő használata
A közvetített hitelesítés összegyűjti a felhasználói hitelesítő adatokat a rendszerhitelesítési közvetítő használatával egy alkalmazás hitelesítéséhez. A rendszerhitelesítési közvetítő egy felhasználó gépén fut, és kezeli az összes csatlakoztatott fiók hitelesítési kézfogásait és tokenkarbantartását.
Szolgáltatásnév használata
Egy szolgáltatási objektumot hoznak létre egy Microsoft Entra-bérlőben, amely egy alkalmazást jelöl, és az Azure-erőforrások hitelesítésére használják. Az alkalmazás konfigurálható úgy, hogy a szolgáltatásnév hitelesítő adatait használja a helyi fejlesztés során. Ez a módszer biztonságosabb, mint a fejlesztői hitelesítő adatok használata, és közelebb áll ahhoz, hogy az alkalmazás hogyan hitelesít éles környezetben. Azonban még mindig kevésbé ideális, mint a felügyelt identitás használata a titkos kódok szükségessége miatt.
Helyszíni alkalmazások hitelesítése
A helyszíni alkalmazások esetében szolgáltatásnévvel hitelesítheti az Azure erőforrásokat. Ez magában foglalja egy szolgáltatásnév létrehozását Microsoft Entra ID, a szükséges engedélyek hozzárendelését, és az alkalmazás konfigurálását a hitelesítő adatok használatára. Ez a módszer lehetővé teszi, hogy a helyszíni alkalmazás biztonságosan hozzáférjen Azure szolgáltatásokhoz.