Felhasználó által hozzárendelt felügyelt identitás konfigurálása külső identitásszolgáltató megbízhatóságához
Ez a cikk bemutatja, hogyan kezelheti az összevont identitás hitelesítő adatait egy felhasználó által hozzárendelt felügyelt identitáson a Microsoft Entra ID-ban. Az összevont identitás hitelesítő adatai megbízhatósági kapcsolatot hoznak létre egy felhasználó által hozzárendelt felügyelt identitás és egy külső identitásszolgáltató (IdP) között. Az összevont identitás hitelesítő adatainak konfigurálása rendszer által hozzárendelt felügyelt identitáson nem támogatott.
Miután konfigurálta a felhasználó által hozzárendelt felügyelt identitást, hogy megbízzon egy külső identitásszolgáltatóban, konfigurálja a külső szoftveres számítási feladatot, hogy a külső identitásszolgáltatótól származó jogkivonatot cserélje le egy hozzáférési jogkivonatra Microsoft Identitásplatform. A külső számítási feladat a hozzáférési jogkivonatot használja a Microsoft Entra által védett erőforrások eléréséhez anélkül, hogy titkos kulcsokat kellene kezelnie (támogatott forgatókönyvekben). A tokencsere munkafolyamatával kapcsolatos további információkért olvassa el a számítási feladatok identitásának összevonását.
Ebben a cikkben megtudhatja, hogyan hozhat létre, listázhat és törölhet összevont identitás hitelesítő adatokat egy felhasználó által hozzárendelt felügyelt identitáson.
Fontos szempontok és korlátozások
Egy alkalmazáshoz vagy felhasználó által hozzárendelt felügyelt identitáshoz legfeljebb 20 összevont identitási hitelesítő adat adható hozzá.
Összevont identitás hitelesítő adatainak konfigurálásakor számos fontos információt kell megadnia:
a kiállító és a tulajdonos a megbízhatósági kapcsolat beállításához szükséges legfontosabb információk. Az alkalmazás kombinációjának
issuer
éssubject
egyedinek kell lennie. Amikor a külső szoftveres számítási feladat arra kéri Microsoft Identitásplatform, hogy cserélje le a külső jogkivonatot egy hozzáférési jogkivonatra, a rendszer ellenőrzi az összevont identitás hitelesítő adatainak kiállítóját és tárgyértékeit aissuer
külső jogkivonatban megadott jogcímekkel éssubject
jogcímekkel. Ha az ellenőrzés sikeres, Microsoft Identitásplatform a külső szoftveres számítási feladathoz hozzáférési jogkivonatot ad ki.a kiállító a külső identitásszolgáltató URL-címe, és meg kell egyeznie a
issuer
kicserélt külső jogkivonat igénylésével. Szükséges. Ha aissuer
jogcím kezdő vagy záró szóközt használ az értékben, a jogkivonat cseréje le lesz tiltva. A mező karakterkorlátja 600 karakter.a tárgy a külső szoftveres számítási feladat azonosítója, és meg kell egyeznie a
sub
kicserélt külső jogkivonat (subject
) jogcímével. a tárgynak nincs rögzített formátuma, mivel minden idP a sajátját használja – néha GUID-t, néha kettőspontokkal tagolt azonosítót, néha tetszőleges sztringeket. A mező karakterkorlátja 600 karakter.Fontos
A tárgybeállítási értékeknek pontosan meg kell egyeznie a GitHub munkafolyamat-konfigurációjának konfigurációival. Ellenkező esetben Microsoft Identitásplatform megtekinti a bejövő külső jogkivonatot, és elutasítja a hozzáférési jogkivonat cseréjét. Nem fog hibaüzenetet kapni, az exchange hiba nélkül meghiúsul.
Fontos
Ha véletlenül hozzáadja a helytelen külső számítási feladat adatait a tárgybeállításhoz , az összevont identitás hitelesítő adatai hiba nélkül sikeresen létrejönnek. A hiba csak akkor válik nyilvánvalóvá, ha a jogkivonat cseréje meghiúsul.
A célközönségek a külső jogkivonatban megjeleníthető célközönségeket sorolják fel. Szükséges. Egyetlen célközönségértéket kell hozzáadnia, amely legfeljebb 600 karakter hosszúságú lehet. A javasolt érték a "api://AzureADTokenExchange". Azt jelzi, hogy Microsoft Identitásplatform mit kell elfogadnia a
aud
jogcímben a bejövő jogkivonatban.A név az összevont identitás hitelesítő adatainak egyedi azonosítója. Szükséges. Ez a mező karakterkorlátja 3–120 karakter lehet, és URL-címbarátnak kell lennie. Az alfanumerikus, kötőjeles vagy aláhúzásjeles karakterek támogatottak, az első karakter csak alfanumerikus lehet. A létrehozás után nem módosítható.
a leírás az összevont identitás hitelesítő adatainak felhasználó által megadott leírása. Opcionális. A leírást a Microsoft Entra-azonosító nem ellenőrzi vagy ellenőrzi. Ez a mező legfeljebb 600 karakter hosszúságú lehet.
A helyettesítő karakterek nem támogatottak egyetlen összevont identitás hitelesítőadat-tulajdonságértékében sem.
Ha többet szeretne megtudni a támogatott régiókról, az összevont hitelesítő adatok frissítésének propagálására, a támogatott kiállítókra és egyebekre, olvassa el az összevont identitás hitelesítő adataival kapcsolatos fontos szempontokat és korlátozásokat.
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
- Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
- A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
- Felhasználó által hozzárendelt, rugalmas identitás létrehozása
- Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.
Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson
A Microsoft Entra Felügyeleti központban keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet ön hozott létre. A bal oldali navigációs sáv Gépház területén válassza az Összevont hitelesítő adatok, majd a Hitelesítő adatok hozzáadása lehetőséget.
Az Összevont hitelesítőadat-forgatókönyv legördülő listában válassza ki a forgatókönyvet.
Azure-erőforrásokat üzembe helyező GitHub Actions
Ha összevont identitást szeretne hozzáadni a GitHub-műveletekhez, kövesse az alábbi lépéseket:
Entitástípus esetén válassza a Környezet, az Ág, a Lekéréses kérelem vagy a Címke lehetőséget, és adja meg az értéket. Az értékeknek pontosan meg kell felelnie a GitHub-munkafolyamat konfigurációjának. További információkért olvassa el a példákat.
Adjon hozzá egy nevet az összevont hitelesítő adatokhoz.
A Kiállító, a Célközönség és a Tárgy azonosító mező automatikusan fel van töltve a megadott értékek alapján.
Válassza a Hozzáadás lehetőséget az összevont hitelesítő adatok konfigurálásához.
A GitHub-munkafolyamathoz használja a Microsoft Entra által felügyelt identitás alábbi értékeit:
AZURE_CLIENT_ID
a felügyelt identitás ügyfélazonosítójaAZURE_SUBSCRIPTION_ID
az előfizetés azonosítóját.Az alábbi képernyőkép bemutatja, hogyan másolhatja a felügyelt identitásazonosítót és az előfizetés-azonosítót.
AZURE_TENANT_ID
a címtár (bérlő) azonosítója. Megtudhatja , hogyan keresheti meg a Microsoft Entra-bérlőazonosítót.
Entitástípus-példák
Példa ágra
Leküldéses vagy lekéréses kérelem esemény által aktivált munkafolyamat esetén a fő ágon:
on:
push:
branches: [ main ]
pull_request:
branches: [ main ]
Adja meg az ág entitástípusát és a "main" GitHub-ág nevét.
Környezeti példa
"production" nevű környezethez kapcsolódó feladatok esetén:
on:
push:
branches:
- main
jobs:
deployment:
runs-on: ubuntu-latest
environment: production
steps:
- name: deploy
# ...deployment-specific steps
Adja meg a környezet entitástípusát és az "éles" GitHub-környezet nevét.
Példa címkézése
Például a "v2" nevű címkére irányuló leküldés által aktivált munkafolyamat esetében:
on:
push:
# Sequence of patterns matched against refs/heads
branches:
- main
- 'mona/octocat'
- 'releases/**'
# Sequence of patterns matched against refs/tags
tags:
- v2
- v1.*
Adja meg a címke entitástípusát és a "v2" GitHub-címke nevét.
Példa lekéréses kérelemre
Lekéréses kérelem eseménye által aktivált munkafolyamat esetén adja meg a lekéréses kérelem entitástípusát
Az Azure-erőforrásokhoz hozzáférő Kubernetes
Töltse ki a fürtkibocsátó URL-címét, a névteret, a szolgáltatásfiók nevét és a Név mezőt:
- A fürtkibocsátó URL-címe a felügyelt fürt OIDC-kiállítójának URL-címe , vagy egy ön által felügyelt fürt OIDC-kiállítójának URL-címe .
- A szolgáltatásfiók neve a Kubernetes szolgáltatásfiók neve, amely identitást biztosít a podban futó folyamatokhoz.
- A névtér a szolgáltatásfiók névtere.
- A név az összevont hitelesítő adatok neve, amelyet később nem lehet módosítani.
Válassza a Hozzáadás lehetőséget az összevont hitelesítő adatok konfigurálásához.
Egyéb
Válassza ki az Egyéb kiállítói forgatókönyvet a legördülő menüből.
Adja meg a következő mezőket (példaként a Google Cloudban futó szoftveres számítási feladatokat):
- A név az összevont hitelesítő adatok neve, amelyet később nem lehet módosítani.
- Tulajdonosazonosító: meg kell egyeznie a
sub
külső identitásszolgáltató által kibocsátott jogkivonat jogcímével. Ebben a Példában a Google Cloud használatával a tárgy a használni kívánt szolgáltatásfiók egyedi azonosítója. - Kiállító: a
iss
külső identitásszolgáltató által kibocsátott jogkivonatban szereplő jogcímnek egyeznie kell. Az OIDC Discovery specifikációjának megfelelő URL-cím. A Microsoft Entra ID ezzel a kiállítói URL-címmel kéri le a jogkivonat érvényesítéséhez szükséges kulcsokat. A Google Cloud esetében a kiállító a következő: "https://accounts.google.com".
Válassza a Hozzáadás lehetőséget az összevont hitelesítő adatok konfigurálásához.
Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson
A Microsoft Entra Felügyeleti központban keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet ön hozott létre. A bal oldali navigációs sáv Gépház alatt válassza az Összevont hitelesítő adatok lehetőséget.
A felhasználó által hozzárendelt felügyelt identitáson konfigurált összevont identitás hitelesítő adatai szerepelnek a listában.
Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból
A Microsoft Entra Felügyeleti központban keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet ön hozott létre. A bal oldali navigációs sáv Gépház alatt válassza az Összevont hitelesítő adatok lehetőséget.
A felhasználó által hozzárendelt felügyelt identitáson konfigurált összevont identitás hitelesítő adatai szerepelnek a listában.
Egy adott összevont identitás hitelesítő adatainak törléséhez válassza a hitelesítő adatok Törlés ikont.
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
- Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
- A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
- Felhasználó által hozzárendelt, rugalmas identitás létrehozása
- Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.
Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.
Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.
Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson
Futtassa az az identity federated-credential create parancsot egy új összevont identitás hitelesítő adatainak létrehozásához a felhasználó által hozzárendelt felügyelt identitáson (amelyet a név határoz meg). Adja meg a nevet, a kiállítót, a tárgyat és az egyéb paramétereket.
az login
# set variables
location="centralus"
subscription="{subscription-id}"
rg="fic-test-rg"
# user assigned identity name
uaId="fic-test-ua"
# federated identity credential name
ficId="fic-test-fic-name"
# create prerequisites if required.
# otherwise make sure that existing resources names are set in variables above
az account set --subscription $subscription
az group create --location $location --name $rg
az identity create --name $uaId --resource-group $rg --location $location --subscription $subscription
# Create/update a federated identity credential
az identity federated-credential create --name $ficId --identity-name $uaId --resource-group $rg --issuer 'https://aks.azure.com/issuerGUID' --subject 'system:serviceaccount:ns:svcaccount' --audiences 'api://AzureADTokenExchange'
Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson
Futtassa az az identity federated-credential list parancsot a felhasználó által hozzárendelt felügyelt identitáson konfigurált összes összevont identitás hitelesítő adatainak beolvasásához:
az login
# Set variables
rg="fic-test-rg"
# User assigned identity name
uaId="fic-test-ua"
# Read all federated identity credentials assigned to the user-assigned managed identity
az identity federated-credential list --identity-name $uaId --resource-group $rg
Összevont identitás hitelesítő adatainak lekérése felhasználó által hozzárendelt felügyelt identitáson
Futtassa az az identity federated-credential show parancsot az összevont identitás hitelesítő adatainak megjelenítéséhez (azonosító szerint):
az login
# Set variables
rg="fic-test-rg"
# User assigned identity name
uaId="fic-test-ua"
# Federated identity credential name
ficId="fic-test-fic-name"
# Show the federated identity credential
az identity federated-credential show --name $ficId --identity-name $uaId --resource-group $rg
Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból
Futtassa az az identity federated-credential delete parancsot az összevont identitás hitelesítő adatainak törléséhez egy meglévő felhasználó által hozzárendelt identitás alatt.
az login
# Set variables
# in Linux shell remove $ from set variable statement
$rg="fic-test-rg"
# User assigned identity name
$uaId="fic-test-ua"
# Federated identity credential name
$ficId="fic-test-fic-name"
az identity federated-credential delete --name $ficId --identity-name $uaId --resource-group $rg
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
- Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
- A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
- A példaszkriptek futtatásához két lehetősége van:
- Használja az Azure Cloud Shellt, amelyet a kódblokkok jobb felső sarkában található Kipróbálás gombbal nyithat meg.
- Futtassa helyileg a szkripteket az Azure PowerShell használatával, a következő szakaszban leírtak szerint.
- Felhasználó által hozzárendelt, rugalmas identitás létrehozása
- Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.
Az Azure PowerShell helyi konfigurálása
Az Azure PowerShell helyi használata ehhez a cikkhez a Cloud Shell használata helyett:
Ha még nem tette meg, telepítse az Azure PowerShell legújabb verzióját.
Sign in to Azure.
Connect-AzAccount
Telepítse a PowerShellGet legújabb verzióját.
Install-Module -Name PowerShellGet -AllowPrerelease
Előfordulhat, hogy a következő lépéshez
Exit
a parancs futtatása után ki kell lépnie az aktuális PowerShell-munkamenetből.Telepítse a modult
Az.ManagedServiceIdentity
a felhasználó által hozzárendelt felügyelt identitásműveletek végrehajtásához ebben a cikkben.Install-Module -Name Az.ManagedServiceIdentity
Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson
Futtassa a New-AzFederatedIdentityCredentials parancsot egy új összevont identitás hitelesítő adatainak létrehozásához a felhasználó által hozzárendelt felügyelt identitáson (a név határozza meg). Adja meg a nevet, a kiállítót, a tárgyat és az egyéb paramétereket.
New-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 `
-Name fic-pwsh01 -Issuer "https://kubernetes-oauth.azure.com" -Subject "system:serviceaccount:ns:svcaccount"
Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson
Futtassa a Get-AzFederatedIdentityCredentials parancsot a felhasználó által hozzárendelt felügyelt identitáson konfigurált összes összevont identitás hitelesítő adatainak beolvasásához:
Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01
Összevont identitás hitelesítő adatainak lekérése felhasználó által hozzárendelt felügyelt identitáson
Futtassa a Get-AzFederatedIdentityCredentials parancsot egy összevont identitás hitelesítő adatainak megjelenítéséhez (név szerint):
Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01
Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból
Futtassa a Remove-AzFederatedIdentityCredentials parancsot egy összevont identitás hitelesítő adatainak törléséhez egy meglévő felhasználó által hozzárendelt identitás alatt.
Remove-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
- Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
- A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
- Felhasználó által hozzárendelt, rugalmas identitás létrehozása
- Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.
Sablon létrehozása és szerkesztése
A Resource Manager-sablonok segítségével üzembe helyezhet egy Azure-erőforráscsoport által definiált új vagy módosított erőforrásokat. A sablonszerkesztéshez és az üzembe helyezéshez számos lehetőség áll rendelkezésre, helyi és portálalapú egyaránt. You can:
- Az Azure Marketplace-ről származó egyéni sablonokkal létrehozhat egy sablont az alapoktól, vagy egy meglévő általános vagy gyorsútmutató-sablonra alapozhatja azt.
- Sablon exportálásával származtat egy meglévő erőforráscsoportból. Exportálhatja őket az eredeti üzembe helyezésből vagy az üzembe helyezés aktuális állapotából.
- Használjon helyi JSON-szerkesztőt (például VS Code-ot), majd töltse fel és telepítse a PowerShell vagy az Azure CLI használatával.
- Sablon létrehozása és üzembe helyezése a Visual Studio Azure Resource Group projekt használatával.
Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson
Az összevont identitás hitelesítő adatai és a szülőfelhasználó által hozzárendelt identitás az alábbi sablon eszközeiként hozható létre vagy frissíthető. ARM-sablonokat az Azure Portalon helyezhet üzembe.
Minden sablonparaméter kötelező.
Az összevont identitás hitelesítő adatainak hossza legfeljebb 3–120 karakter lehet. Alfanumerikusnak, kötőjelnek, aláhúzásjelnek kell lennie. Az első szimbólum csak alfanumerikus.
Pontosan egy célközönséget kell hozzáadnia egy összevont identitás hitelesítő adataihoz. A rendszer ellenőrzi a célközönséget a tokencsere során. Alapértelmezett értékként használja a "api://AzureADTokenExchange" értéket.
A listázási, lekérési és törlési műveletek nem érhetők el sablonnal. Ezekhez a műveletekhez tekintse meg az Azure CLI-t. Alapértelmezés szerint az összes gyermek összevont identitás hitelesítő adatai párhuzamosan jönnek létre, ami egyidejűségészlelési logikát aktivál, és az üzembe helyezés egy 409-ütközéses HTTP-állapotkóddal meghiúsul. A függőségek egymás utáni létrehozásához adja meg a függőségek láncát a dependsOn tulajdonság használatával.
Győződjön meg arról, hogy bármilyen automatizálás egymás után hozza létre az összevont identitás hitelesítő adatait ugyanabban a szülőidentitásban. Az összevont identitás hitelesítő adatai különböző felügyelt identitások esetén korlátozás nélkül, párhuzamosan hozhatók létre.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"variables": {},
"parameters": {
"location": {
"type": "string",
"defaultValue": "westcentralus",
"metadata": {
"description": "Location for identities resources. FIC should be enabled in this region."
}
},
"userAssignedIdentityName": {
"type": "string",
"defaultValue": "FIC_UA",
"metadata": {
"description": "Name of the User Assigned identity (parent identity)"
}
},
"federatedIdentityCredential": {
"type": "string",
"defaultValue": "testCredential",
"metadata": {
"description": "Name of the Federated Identity Credential"
}
},
"federatedIdentityCredentialIssuer": {
"type": "string",
"defaultValue": "https://aks.azure.com/issuerGUID",
"metadata": {
"description": "Federated Identity Credential token issuer"
}
},
"federatedIdentityCredentialSubject": {
"type": "string",
"defaultValue": "system:serviceaccount:ns:svcaccount",
"metadata": {
"description": "Federated Identity Credential token subject"
}
},
"federatedIdentityCredentialAudience": {
"type": "string",
"defaultValue": " api://AzureADTokenExchange",
"metadata": {
"description": "Federated Identity Credential audience. Single value is only supported."
}
}
},
"resources": [
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"apiVersion": "2018-11-30",
"name": "[parameters('userAssignedIdentityName')]",
"location": "[parameters('location')]",
"tags": {
"firstTag": "ficTest"
},
"resources": [
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials",
"apiVersion": "2022-01-31-PREVIEW",
"name": "[concat(parameters('userAssignedIdentityName'), '/', parameters('federatedIdentityCredential'))]",
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentityName'))]"
],
"properties": {
"issuer": "[parameters('federatedIdentityCredentialIssuer')]",
"subject": "[parameters('federatedIdentityCredentialSubject')]",
"audiences": [
"[parameters('federatedIdentityCredentialAudience')]"
]
}
}
]
}
]
}
Előfeltételek
- Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
- Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
- Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
- A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
- A cikkben szereplő összes parancsot futtathatja a felhőben vagy helyileg:
- A felhőben való futtatáshoz használja az Azure Cloud Shellt.
- A helyi futtatáshoz telepítse a Curl-t és az Azure CLI-t.
- Felhasználó által hozzárendelt, rugalmas identitás létrehozása
- Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.
Tulajdonosi hozzáférési jogkivonat beszerzése
Ha helyileg fut, jelentkezzen be az Azure-ba az Azure CLI-vel.
az login
Hozzáférési jogkivonat beszerzése az az account get-access-token használatával.
az account get-access-token
Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson
Összevont identitás hitelesítő adatainak létrehozása vagy frissítése a megadott felhasználó által hozzárendelt felügyelt identitáson.
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/provider
s/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdenti
tyCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview' -X PUT -d '{"properties": "{ "properties": { "issuer": "<ISSUER>", "subject": "<SUBJECT>", "audiences": [ "api://AzureADTokenExchange" ] }}"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview
{
"properties": {
"issuer": "https://oidc.prod-aks.azure.com/IssuerGUID",
"subject": "system:serviceaccount:ns:svcaccount",
"audiences": [
"api://AzureADTokenExchange"
]
}
}
Kérelemfejlécek
Kérelem fejléce | Leírás |
---|---|
Tartalomtípus | Szükséges. Állítsa application/json értékre. |
Authorization | Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot. |
Kérelem törzse
Name | Leírás |
---|---|
properties.audiences | Szükséges. A kibocsátott jogkivonatban megjeleníthető célközönségek listája. |
properties.issuer | Szükséges. A megbízható kiállító URL-címe. |
properties.subject | Szükséges. A külső identitás azonosítója. |
Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview' -H "Content-Type: application/json" -X GET -H "Authorization: Bearer <ACCESS TOKEN>"
GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview
Kérelemfejlécek
Kérelem fejléce | Leírás |
---|---|
Tartalomtípus | Szükséges. Állítsa application/json értékre. |
Authorization | Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot. |
Összevont identitás hitelesítő adatainak lekérése felhasználó által hozzárendelt felügyelt identitáson
Összevont identitás hitelesítő adatainak lekérése a megadott felhasználó által hozzárendelt felügyelt identitáson.
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X GET -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview
Kérelemfejlécek
Kérelem fejléce | Leírás |
---|---|
Tartalomtípus | Szükséges. Állítsa application/json értékre. |
Authorization | Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot. |
Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból
Törölje az összevont identitás hitelesítő adatait a megadott felhasználó által hozzárendelt felügyelt identitáson.
curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X DELETE -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview
Kérelemfejlécek
Kérelem fejléce | Leírás |
---|---|
Tartalomtípus | Szükséges. Állítsa application/json értékre. |
Authorization | Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot. |
Következő lépések
- A külső identitásszolgáltatók által létrehozott JWT-k kötelező formátumával kapcsolatos információkért olvassa el a helyességi formátumot.