Beheerde identiteiten gebruiken voor Azure Content Delivery Network voor toegang tot Azure Key Vault-certificaten

Belangrijk

Azure CDN Standard van Microsoft (klassiek) wordt op 30 september 2027 buiten gebruik gesteld. Om serviceonderbrekingen te voorkomen, is het belangrijk dat u uw Azure CDN Standard migreert van Microsoft-profielen (klassiek) naar de Azure Front Door Standard- of Premium-laag op 30 september 2027. Zie Azure CDN Standard van Microsoft (klassiek) buiten gebruik stellen voor meer informatie.

Met een beheerde identiteit die door Microsoft Entra ID wordt gegenereerd, kan uw Azure Content Delivery Network-exemplaar eenvoudig en veilig toegang krijgen tot andere met Microsoft Entra beveiligde resources, zoals Azure Key Vault. Azure beheert de identiteitsresource, zodat u geen geheimen hoeft te maken of draaien. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie over beheerde identiteiten.

Zodra u beheerde identiteit voor Azure Front Door hebt ingeschakeld en de juiste machtigingen hebt verleend voor toegang tot uw Azure-sleutelkluis, gebruikt Azure Front Door alleen beheerde identiteit voor toegang tot de certificaten. Als u de machtiging voor beheerde identiteit niet toevoegt aan uw Key Vault, mislukt de automatischerotatie van aangepaste certificaten en het toevoegen van nieuwe certificaten zonder machtigingen voor Key Vault. Als u beheerde identiteit uitschakelt, valt Azure Front Door terug op het gebruik van de oorspronkelijk geconfigureerde Microsoft Entra-app. Deze oplossing wordt niet aanbevolen en wordt in de toekomst buiten gebruik gesteld.

U kunt twee typen identiteiten verlenen aan een Azure Front Door-profiel:

• Een door het systeem toegewezen identiteit is gekoppeld aan uw service en wordt verwijderd als uw service wordt verwijderd. De service kan slechts één door het systeem toegewezen identiteit hebben.

• Een door de gebruiker toegewezen identiteit is een autonome Azure-resource die kan worden toegewezen aan uw service. De service kan meerdere door de gebruiker toegewezen identiteiten hebben.

Beheerde identiteiten zijn specifiek voor de Microsoft Entra-tenant waar uw Azure-abonnement wordt gehost. Ze worden niet bijgewerkt als een abonnement naar een andere map wordt verplaatst. Als een abonnement wordt verplaatst, moet u de identiteit opnieuw maken en opnieuw configureren.

Vereisten

Voordat u een beheerde identiteit voor Azure Front Door kunt instellen, moet u een Azure Front Door Standard- of Premium-profiel hebben gemaakt. Zie Een Azure Content Delivery Network-profiel maken om een nieuw Azure Front Door-profiel te maken.

Beheerde identiteit inschakelen

1. Ga naar een bestaand Azure Content Delivery Network-profiel. Selecteer Identiteit in het menuvenster aan de linkerkant onder Instellingen .

   

2. Selecteer een door het systeem toegewezen of een door de gebruiker toegewezen beheerde identiteit.

   • Systeem toegewezen : er wordt een beheerde identiteit gemaakt voor de levenscyclus van het Azure Content Delivery Network-profiel en wordt gebruikt voor toegang tot Azure Key Vault.

   • Door de gebruiker toegewezen : er wordt een zelfstandige beheerde identiteitsresource gebruikt om te verifiëren bij Azure Key Vault en heeft een eigen levenscyclus.

   Door het systeem toegewezen

   1. Zet de status op Aan en selecteer Opslaan.

      

   2. U wordt gevraagd om te bevestigen dat u een door het systeem beheerde identiteit voor uw Azure Front Door-profiel wilt maken. Selecteer Ja om te bevestigen.

      

   3. Zodra het door het systeem toegewezen beheerde identiteit is gemaakt en geregistreerd bij Microsoft Entra ID, kunt u de object-id (principal) gebruiken om Azure Content Delivery Network toegang te verlenen tot uw Azure-sleutelkluis.

      

   Door de gebruiker toegewezen

   U moet al een door de gebruiker beheerde identiteit hebben gemaakt. Zie Een door de gebruiker toegewezen beheerde identiteit maken om een nieuwe identiteit te maken.

   1. Selecteer + Toevoegen op het tabblad Toegewezen gebruiker om een door de gebruiker toegewezen beheerde identiteit toe te voegen.

      

   2. Zoek en selecteer de door de gebruiker toegewezen beheeridentiteit. Selecteer Vervolgens Toevoegen om de door de gebruiker beheerde identiteit toe te voegen aan het Azure Content Delivery Network-profiel.

      

   3. U ziet de naam van de door de gebruiker toegewezen beheerde identiteit die u hebt geselecteerd, weergegeven in het Azure Content Delivery Network-profiel.

      

Key Vault-toegangsbeleid configureren

1. Navigeer naar uw Azure-sleutelkluis. Selecteer Toegangsbeleid onder Instellingen en selecteer vervolgens + Maken.

   

2. Selecteer Op het tabblad Machtigingen van de pagina Een toegangsbeleid maken de optie Lijst en Ophalen voor geheime machtigingen. Selecteer vervolgens Volgende om het principal-tabblad te configureren.

   

3. Plak op het tabblad Principal de object-id (principal) als u een door het systeem beheerde identiteit gebruikt of voer een naam in als u een door de gebruiker toegewezen beheerde identiteit gebruikt. Selecteer vervolgens Het tabblad Controleren en maken . Het tabblad Toepassing wordt overgeslagen omdat Azure Front Door al voor u wordt geselecteerd.

   

4. Controleer de instellingen voor het toegangsbeleid en selecteer Vervolgens Maken om het toegangsbeleid in te stellen.

   

Volgende stappen

• Meer informatie over het omleiden van gebruikers naar HTTPS met de standaardregelengine