Az Azure felügyelt identitásainak használata Service Fabric szolgáltatással

A felhőalkalmazások létrehozásakor gyakori kihívás, hogy hogyan kezelheti biztonságosan a kódban szereplő hitelesítő adatokat a különböző szolgáltatásokhoz való hitelesítéshez anélkül, hogy helyileg mentenék őket egy fejlesztői munkaállomáson vagy a forrásvezérlőben. Az Azure felügyelt identitásai úgy oldják meg ezt a problémát, hogy a Microsoft Entra ID-ban lévő összes erőforráshoz automatikusan felügyelt identitásokat biztosítanak a Microsoft Entra-azonosítón belül. A szolgáltatás identitásával bármilyen olyan szolgáltatásban hitelesíthet, amely támogatja a Microsoft Entra-hitelesítést, beleértve a Key Vaultot is, a kódban tárolt hitelesítő adatok nélkül.

Az Azure-erőforrások felügyelt identitásai ingyenesek az Azure-előfizetésekhez tartozó Microsoft Entra-azonosítóval. Nincs plusz költség.

Megjegyzés:

Az Azure felügyelt identitásai a korábban felügyeltszolgáltatás-identitásként (MSI) ismert szolgáltatás új neve.

Fogalmak

Az Azure felügyelt identitásai több fő fogalomon alapulnak:

• Ügyfélazonosító – a Microsoft Entra ID által létrehozott egyedi azonosító, amely egy alkalmazáshoz és szolgáltatásnévhez van kötve a kezdeti üzembe helyezés során (lásd az alkalmazás (ügyfél) azonosítóját is.)

• Egyszerű azonosító – a felügyelt identitás szolgáltatásnév objektumazonosítója, amely szerepköralapú hozzáférést biztosít egy Azure-erőforráshoz.

• Szolgáltatásnév – Egy Microsoft Entra-objektum, amely egy Microsoft Entra-alkalmazás kivetítése egy adott bérlőben (lásd a szolgáltatásnevet is).

A felügyelt identitásoknak két típusa létezik:

• A rendszer által hozzárendelt felügyelt identitások közvetlenül egy Azure-szolgáltatáspéldányon vannak engedélyezve. A rendszer által hozzárendelt identitás életciklusa egyedi az azure-szolgáltatáspéldányon, amelyen engedélyezve van.
• A felhasználó által hozzárendelt felügyelt identitás különálló Azure-erőforrásként jön létre. Az identitás hozzárendelhető egy vagy több Azure-szolgáltatáspéldányhoz, és a példányok életciklusától elkülönítve kezelhető.

A felügyelt identitástípusok közötti különbség további megértéséhez tekintse meg az Azure-erőforrások felügyelt identitásainak működését ismertető témakört.

Service Fabric-alkalmazások támogatott forgatókönyvei

A Service Fabric felügyelt identitásait csak az Azure által üzembe helyezett Service Fabric-fürtök támogatják, és csak az Azure-erőforrásokként üzembe helyezett alkalmazások esetében. Az Azure-erőforrásként nem üzembe helyezett alkalmazások nem rendelhetők hozzá identitáshoz. Elméletileg az Azure Service Fabric-fürtök felügyelt identitásainak támogatása két fázisból áll:

1. Rendeljen hozzá egy vagy több felügyelt identitást az alkalmazáserőforráshoz; egy alkalmazáshoz egyetlen rendszer által hozzárendelt identitás, illetve legfeljebb 32 felhasználó által hozzárendelt identitás rendelhető hozzá.

2. Az alkalmazás definícióján belül rendelje hozzá az alkalmazáshoz rendelt identitások egyikét az alkalmazásból álló bármely egyedi szolgáltatáshoz.

Az alkalmazás rendszer által hozzárendelt identitása egyedi az adott alkalmazáshoz; A felhasználó által hozzárendelt identitás önálló erőforrás, amely több alkalmazáshoz is hozzárendelhető. Egy alkalmazáson belül egyetlen identitás (akár rendszer által hozzárendelt, akár felhasználó által hozzárendelt) hozzárendelhető az alkalmazás több szolgáltatásához, de minden egyes szolgáltatás csak egy identitáshoz rendelhető hozzá. Végül egy szolgáltatáshoz explicit módon identitást kell hozzárendelni, hogy hozzáférhessen ehhez a funkcióhoz. Valójában az alkalmazás identitásainak a rendszerösszetevő szolgáltatásokhoz való leképezése lehetővé teszi az alkalmazáson belüli elkülönítést – a szolgáltatás csak az ahhoz hozzárendelt identitást használhatja.

A szolgáltatáshoz a következő forgatókönyvek támogatottak:

• Új alkalmazás üzembe helyezése egy vagy több szolgáltatással és egy vagy több hozzárendelt identitással

• Egy vagy több felügyelt identitás hozzárendelése egy meglévő (Azure-ban üzembe helyezett) alkalmazáshoz az Azure-erőforrások eléréséhez

Az alábbi forgatókönyvek nem támogatottak vagy nem ajánlottak. Előfordulhat, hogy ezek a műveletek nem lesznek blokkolva, de az alkalmazások leállásához vezethetnek:

• Az alkalmazáshoz rendelt identitások eltávolítása vagy módosítása. Ha módosításokat kell végeznie, küldjön külön üzembe helyezéseket, először adjon hozzá egy új identitás-hozzárendelést, majd távolítsa el a korábban hozzárendeltet. Az identitás eltávolítása egy meglévő alkalmazásból nemkívánatos hatással lehet, beleértve az alkalmazás nem frissíthető állapotban való elhagyását is. Az alkalmazás teljes törlése biztonságos, ha egy identitás eltávolítására van szükség. Az alkalmazás törlése törli az alkalmazáshoz társított rendszer által hozzárendelt identitásokat, és eltávolít minden társítást az alkalmazáshoz hozzárendelt felhasználó által hozzárendelt identitásokkal.

• A Service Fabric nem támogatja a felügyelt identitásokat az elavult AzureServiceTokenProviderben. Ehelyett használjon felügyelt identitásokat a Service Fabricben az Azure Identity SDK használatával

Következő lépések

• Új Azure Service Fabric-fürt üzembe helyezése felügyelt identitástámogatással
• Felügyelt identitás támogatásának engedélyezése egy meglévő Azure Service Fabric-fürtben
• Azure Service Fabric-alkalmazás üzembe helyezése rendszer által hozzárendelt felügyelt identitással
• Azure Service Fabric-alkalmazás üzembe helyezése felhasználó által hozzárendelt felügyelt identitással
• Service Fabric-alkalmazás felügyelt identitásának használata szolgáltatáskódból
• Azure Service Fabric-alkalmazás hozzáférésének biztosítása más Azure-erőforrásokhoz
• Alkalmazáskulcsok deklarálása és használata KeyVaultReferencesként