Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az alkalmazások az Azure Identity-kódtár használatával hitelesíthetők a Microsoft Entra-azonosítóval, amely lehetővé teszi az alkalmazások számára az Azure-szolgáltatások és -erőforrások elérését. Ez a hitelesítési követelmény arra vonatkozik, hogy az alkalmazás üzembe van-e helyezve az Azure-ban, helyszíni üzemeltetésben, vagy helyileg fut-e egy fejlesztői munkaállomáson. Az alábbi szakaszok az azure SDK-ügyfélkódtárak használatakor ajánlott módszereket ismertetik az alkalmazások Microsoft Entra-azonosítóval való hitelesítéséhez különböző környezetekben.
Az alkalmazáshitelesítés ajánlott megközelítése
A Microsoft Entra ID-ján keresztüli jogkivonatalapú hitelesítés ajánlott módszer az alkalmazások Azure-ba történő hitelesítéséhez a kapcsolati sztringek vagy kulcsalapú beállítások használata helyett. Az Azure Identity-kódtár olyan osztályokat biztosít, amelyek támogatják a jogkivonatalapú hitelesítést, és lehetővé teszik, hogy az alkalmazások hitelesítsék magukat az Azure-erőforrásokon, függetlenül attól, hogy az alkalmazás helyileg, az Azure-ban vagy egy helyszíni kiszolgálón fut-e.
A token alapú hitelesítés előnyei
A token alapú hitelesítés a következő előnyöket nyújtja a kapcsolati karakterláncokkal szemben:
- A jogkivonat-alapú hitelesítés biztosítja, hogy csak az Azure-erőforrás elérésére szánt alkalmazások képesek erre, míg bárki vagy bármely kapcsolati sztringgel rendelkező alkalmazás csatlakozhat egy Azure-erőforráshoz.
- A jogkivonatalapú hitelesítés lehetővé teszi az Azure-erőforrások hozzáférésének további korlátozását csak az alkalmazás által igényelt engedélyekre. Ez a minimális jogosultságielvét követi. Ezzel szemben a kapcsolati sztring teljes jogokat biztosít az Azure-erőforrás számára.
- Ha felügyelt identitást használ jogkivonatalapú hitelesítéshez, az Azure kezeli a felügyeleti funkciókat, így nem kell aggódnia olyan feladatok miatt, mint a titkos kódok védelme vagy elforgatása. Ez biztonságosabbá teszi az alkalmazást, mert nincs feltörhető kapcsolati sztring vagy alkalmazáskulcs.
- Az Azure Identity-kódtár microsoft Entra-jogkivonatokat szerez be és kezel Önnek.
A kapcsolati sztringek használatát olyan forgatókönyvekre kell korlátozni, ahol a jogkivonat-alapú hitelesítés nem lehetséges, kezdeti proof-of-concept alkalmazásokra, vagy olyan fejlesztési prototípusokra, amelyek nem férnek hozzá az éles vagy bizalmas adatokhoz. Ha lehetséges, használja az Azure Identity-kódtárban elérhető jogkivonatalapú hitelesítési osztályokat az Azure-erőforrások hitelesítéséhez.
Hitelesítés különböző környezetekben
Az alkalmazás által az Azure-erőforrásokon való hitelesítéshez használt jogkivonatalapú hitelesítés konkrét típusa attól függ, hogy az alkalmazás hol fut. Az alábbi diagram útmutatást nyújt a különböző forgatókönyvekhez és környezetekhez:
Amikor egy alkalmazás az alábbi:
- Az Azure-ban üzemeltetve: Az alkalmazásnak felügyelt identitással kell hitelesítenie az Azure-erőforrásokat. Ezt a lehetőséget részletesebben tárgyaljuk a hitelesítésről a kiszolgálói környezetekben.
- Helyi futtatás a fejlesztés során: Az alkalmazás hitelesítést végezhet az Azure-ban egy alkalmazás-szolgáltatásnév használatával a helyi fejlesztéshez, vagy a fejlesztő Azure-beli hitelesítő adatainak használatával. Az egyes lehetőségeket részletesebben hitelesítésnél tárgyaljuk a helyi fejlesztés során.
- Helyszíni üzemeltetésű: Az alkalmazásnak az Azure-erőforrásokon kell hitelesítenie magát egy alkalmazásszolgáltatásnév vagy egy felügyelt identitás használatával az Azure Arc esetében. A helyszíni munkafolyamatokat részletesebben tárgyaljuk a kiszolgálói környezetekben történő hitelesítés során.
Hitelesítés azure-beli alkalmazásokhoz
Ha az alkalmazást az Azure-ban üzemelteti, felügyelt identitásokkal hitelesítheti magát az Azure-erőforrásokon anélkül, hogy hitelesítő adatokat kellene kezelnie. A felügyelt identitások két típusa létezik: felhasználó által hozzárendelt és rendszer által hozzárendelt.
Felhasználó által hozzárendelt felügyelt identitás használata
A felhasználó által hozzárendelt felügyelt identitás különálló Azure-erőforrásként jön létre. Egy vagy több Azure-erőforráshoz rendelhető hozzá, így az erőforrások azonos identitással és engedélyekkel rendelkezhetnek. Ha felhasználó által hozzárendelt felügyelt identitással szeretne hitelesíteni, hozza létre az identitást, rendelje hozzá az Azure-erőforráshoz, majd konfigurálja az alkalmazást arra, hogy ezt az identitást használja hitelesítésre az ügyfélazonosító, az erőforrás-azonosító vagy az objektumazonosító megadásával.
Rendszer által hozzárendelt felügyelt identitás használata
A rendszer által hozzárendelt felügyelt identitások közvetlenül egy Azure-erőforráson engedélyezve vannak. Az identitás az erőforrás életciklusához van kötve, és az erőforrás törlésekor automatikusan törlődik. Ha rendszer által hozzárendelt felügyelt identitással szeretne hitelesíteni, engedélyezze az identitást az Azure-erőforráson, majd konfigurálja az alkalmazást, hogy ezt az identitást használja hitelesítésre.
Hitelesítés a helyi fejlesztés során
A helyi fejlesztés során a fejlesztői hitelesítő adatok vagy a szolgáltatásnév használatával hitelesítheti az Azure-erőforrásokat. Ez lehetővé teszi az alkalmazás hitelesítési logikájának tesztelését anélkül, hogy üzembe helyezte volna az Azure-ban.
Fejlesztői hitelesítő adatok használata
A helyi fejlesztés során saját Azure-hitelesítő adataival hitelesítheti az Azure-erőforrásokat. Ez általában egy fejlesztési eszköz, például az Azure CLI vagy a Visual Studio használatával történik, amely biztosítja az alkalmazás számára az Azure-szolgáltatások eléréséhez szükséges jogkivonatokat. Ez a módszer kényelmes, de csak fejlesztési célokra használható.
Szolgáltatásnév használata
Egy szolgáltatási főszemély jön létre egy Microsoft Entra-bérlőben, amely az alkalmazást reprezentálja és az Azure-erőforrásokhoz való hitelesítésre használatos. Az alkalmazás konfigurálható úgy, hogy a szolgáltatásnév hitelesítő adatait használja a helyi fejlesztés során. Ez a módszer biztonságosabb, mint a fejlesztői hitelesítő adatok használata, és közelebb áll ahhoz, hogy az alkalmazás hogyan hitelesít éles környezetben. Azonban még mindig kevésbé ideális, mint a felügyelt identitás használata a titkos kódok szükségessége miatt.
Helyszíni alkalmazások hitelesítése
A helyszíni alkalmazások esetében szolgáltatásnévvel hitelesítheti magát az Azure-erőforrásokban. Ez magában foglalja egy szolgáltatásnév létrehozását a Microsoft Entra-azonosítóban, a szükséges engedélyek hozzárendelését, valamint az alkalmazás konfigurálását a hitelesítő adatok használatára. Ez a módszer lehetővé teszi, hogy a helyszíni alkalmazás biztonságosan hozzáférjen az Azure-szolgáltatásokhoz.
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
