Usare le identità gestite per Azure con monitoraggio di Azure Istanza gestita SCOM
Un problema comune quando si creano applicazioni cloud è come gestire in modo sicuro le credenziali nel codice per l'autenticazione di vari servizi senza salvarli localmente in una workstation per sviluppatori o nel controllo del codice sorgente.
Le identità gestite per Azure risolvono questo problema per tutte le risorse in Azure Active Directory fornendo loro identità gestite automaticamente. È possibile usare l'identità di un servizio per autenticare qualsiasi servizio che supporti l'autenticazione di Azure Active Directory, incluso l'insieme di credenziali delle chiavi, senza ordinare le credenziali nel codice.
Nota
- Le identità gestite per Azure sono il nuovo nome per il servizio precedentemente noto come identità del servizio gestita.
- Le identità gestite per le risorse di Azure sono gratuite con Azure Active Directory per le sottoscrizioni di Azure. Non c'è alcun costo aggiuntivo.
Concetti
Le identità gestite per Azure si basano su diversi concetti chiave:
ID client : identificatore univoco generato da Azure Active Directory associato a un'applicazione e a un'entità servizio durante il provisioning iniziale. Per altre informazioni, vedere ID applicazione (client).
ID entità : ID oggetto dell'oggetto entità servizio per l'identità gestita usata per concedere l'accesso in base al ruolo a una risorsa di Azure.
Entità servizio : oggetto Azure Active Directory, che rappresenta la proiezione di un'applicazione Azure Active Directory in un determinato tenant. Per altre informazioni, vedere Entità servizio.
Tipi di identità gestita
Sono disponibili due tipi di identità gestite:
Identità gestita assegnata dal sistema: abilitata direttamente in un'istanza del servizio di Azure. Il ciclo di vita di un'identità assegnata dal sistema è univoco per l'istanza del servizio di Azure in cui è abilitata.
Identità gestita assegnata dall'utente: creata come risorsa di Azure autonoma. L'identità può essere assegnata a una o più istanze del servizio di Azure e viene gestita separatamente dai cicli di vita di tali istanze.
Per altre informazioni sui tipi di identità gestita, vedere Funzionamento delle identità gestite per le risorse di Azure.
Scenari supportati per Istanza gestita SCOM
SCOM Istanza gestita supporta sia l'identità gestita assegnata dal sistema che l'identità gestita assegnata dall'utente per le istanze gestite SCOM distribuite in Azure. SCOM Istanza gestita crea altre risorse di dipendenza, ad esempio il cluster set di scalabilità di macchine virtuali (VMSS) per ospitare i server di gestione. SCOM Istanza gestita eseguito l'onboarding delle identità gestite con HOBO v2 in modo che l'identità assegnata venga delegata all'infrastruttura sottostante per l'autenticazione con le risorse sink. Queste identità vengono usate per autenticare altri servizi di Azure in scenari diversi.
Identità gestita assegnata dal sistema
- SCOM Istanza gestita invierà metriche di integrità o prestazioni diverse ai servizi cluster di Ginevra, monitorando il comportamento dell'istanza in fase di esecuzione. L'identità assegnata dal sistema, delegata alla risorsa Istanza gestita SCOM, verrà usata per eseguire l'autenticazione con i servizi del cluster di Ginevra di Azure.
Identità gestita assegnata dall'utente
Per Istanza gestita SCOM, un'identità gestita sostituirà i quattro account del servizio System Center Operations Manager tradizionali e verrà usato per accedere al database Istanza gestita di SQL. SCOM Istanza gestita legge/scrive i dati di monitoraggio del carico di lavoro dei clienti nei database dell'istanza gestita di SQL. L'identità assegnata dall'utente assegnata a SCOM Istanza gestita risorsa verrà usata per l'autenticazione dai server system Center Operations Manager all'istanza gestita di SQL.
SCOM Istanza gestita processo di onboarding accetta le credenziali utente del dominio archiviate nell'insieme di credenziali delle chiavi del cliente. I segreti nell'insieme di credenziali delle chiavi del cliente sono accessibili usando l'identità gestita assegnata a SCOM Istanza gestita.
Durante l'onboarding di SCOM Istanza gestita, è necessario fornire l'identità gestita dall'utente, che ha accesso all'insieme di credenziali delle chiavi del cliente e Istanza gestita di SQL.
Creare un'identità del servizio gestita
Creare un'identità del servizio gestito e fornirla con il livello di accesso corretto nella risorsa di Azure.
Creare un insieme di credenziali delle chiavi e aggiungere credenziali come segreto nell'insieme di credenziali delle chiavi
Archiviare l'account di dominio creato in Active Directory in un account dell'insieme di credenziali delle chiavi per la sicurezza. Azure Key Vault è un servizio cloud che offre uno spazio di archiviazione protetto per chiavi, segreti e certificati. Per altre informazioni, vedere Azure Key Vault.
- Creare un insieme di credenziali delle chiavi.
- Creare un segreto per l'account di dominio.
- Assegnare un ruolo lettore in questo insieme di credenziali delle chiavi all'identità del servizio gestito. Per altre informazioni, vedere Assegnare un criterio di accesso dell'insieme di credenziali delle chiavi.
Impostare il valore di Active Directory Amministrazione nel Istanza gestita di SQL
Impostare il valore di Active Directory Amministrazione nel Istanza gestita di SQL.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per