Korzystanie z tożsamości zarządzanych w usłudze Azure API Management

  • Artykuł
  • Czas czytania: 13 min

W tym artykule pokazano, jak utworzyć tożsamość zarządzaną dla wystąpienia usługi Azure API Management i jak używać go do uzyskiwania dostępu do innych zasobów. Tożsamość zarządzana generowana przez usługę Azure Active Directory (Azure AD) umożliwia wystąpieniem API Management łatwe i bezpieczne uzyskiwanie dostępu do innych zasobów chronionych Azure AD, takich jak azure Key Vault. Platforma Azure zarządza tą tożsamością, więc nie musisz aprowizować ani obracać żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?.

Do wystąpienia API Management można udzielić dwóch typów tożsamości:

  • Tożsamość przypisana przez system jest powiązana z usługą i jest usuwana, jeśli usługa zostanie usunięta. Usługa może mieć tylko jedną tożsamość przypisaną przez system.
  • Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do usługi. Usługa może mieć wiele tożsamości przypisanych przez użytkownika.

Uwaga

Tożsamości zarządzane są specyficzne dla dzierżawy Azure AD, w której jest hostowana subskrypcja platformy Azure. Nie są aktualizowane, jeśli subskrypcja zostanie przeniesiona do innego katalogu. Jeśli subskrypcja zostanie przeniesiona, musisz ponownie utworzyć i skonfigurować tożsamości.

Tworzenie tożsamości zarządzanej przypisanej przez system

Azure Portal

Aby skonfigurować tożsamość zarządzaną w Azure Portal, najpierw utworzysz wystąpienie API Management, a następnie włączysz tę funkcję.

  1. Utwórz wystąpienie API Management w portalu, tak jak zwykle. Przejdź do niego w portalu.

  2. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Tożsamości zarządzane.

  3. Na karcie Przypisane przez system przełącz pozycję Stan na Włączone. Wybierz pozycję Zapisz.

    Opcje włączania tożsamości zarządzanej przypisanej przez system

Azure PowerShell

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

W poniższych krokach opisano tworzenie wystąpienia API Management i przypisywanie jej tożsamości przy użyciu Azure PowerShell.

  1. W razie potrzeby zainstaluj Azure PowerShell, korzystając z instrukcji w przewodniku Azure PowerShell. Następnie uruchom polecenie Connect-AzAccount , aby utworzyć połączenie z platformą Azure.

  2. Użyj następującego kodu, aby utworzyć wystąpienie z przypisaną przez system tożsamością zarządzaną. Aby uzyskać więcej przykładów użycia Azure PowerShell z wystąpieniem API Management, zobacz przykłady API Management programu PowerShell.

    # Create a resource group.
New-AzResourceGroup -Name $resourceGroupName -Location $location

# Create an API Management Consumption Sku service.
New-AzApiManagement -ResourceGroupName $resourceGroupName -Name consumptionskuservice -Location $location -Sku Consumption -Organization contoso -AdminEmail contoso@contoso.com -SystemAssignedIdentity

Możesz również zaktualizować istniejące wystąpienie, aby utworzyć tożsamość:

# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName

# Update an API Management instance
Set-AzApiManagement -InputObject $apimService -SystemAssignedIdentity

Szablon usługi Azure Resource Manager

Wystąpienie API Management można utworzyć z tożsamością przypisaną przez system, uwzględniając następującą właściwość w definicji zasobu:

"identity" : {
    "type" : "SystemAssigned"
}

Ta właściwość informuje platformę Azure o utworzeniu tożsamości dla wystąpienia API Management i zarządzaniu nią.

Na przykład kompletny szablon usługi Azure Resource Manager może wyglądać następująco:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "0.9.0.0",
    "resources": [{
        "apiVersion": "2021-08-01",
        "name": "contoso",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {},
        "sku": {
            "name": "Developer",
            "capacity": "1"
        },
        "properties": {
            "publisherEmail": "admin@contoso.com",
            "publisherName": "Contoso"
        },
        "identity": {
            "type": "systemAssigned"
        }
    }]
}

Po utworzeniu wystąpienia ma następujące dodatkowe właściwości:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<TENANTID>",
    "principalId": "<PRINCIPALID>"
}

Właściwość tenantId określa Azure AD dzierżawę, do której należy tożsamość. Właściwość principalId jest unikatowym identyfikatorem nowej tożsamości wystąpienia. W Azure AD jednostka usługi ma taką samą nazwę, jaką nadano wystąpieniu API Management.

Uwaga

Wystąpienie API Management może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. W takim przypadku type właściwość to SystemAssigned,UserAssigned.

Konfigurowanie dostępu Key Vault przy użyciu tożsamości zarządzanej

Następujące konfiguracje są wymagane do API Management uzyskiwania dostępu do wpisów tajnych i certyfikatów z magazynu kluczy platformy Azure.

Konfigurowanie dostępu do magazynu kluczy

  1. W portalu przejdź do magazynu kluczy.

  2. W menu po lewej stronie wybierz pozycję Konfiguracja dostępu i zanotuj skonfigurowany model uprawnień .

  3. W zależności od modelu uprawnień skonfiguruj zasady dostępu magazynu kluczy lub dostęp RBAC platformy Azure dla tożsamości zarządzanej API Management.

    Aby dodać zasady dostępu magazynu kluczy:

    1. W menu po lewej stronie wybierz pozycję Zasady dostępu.
    2. Na stronie Zasady dostępu wybierz pozycję + Utwórz.
    3. Na karcie Uprawnienia w obszarze Uprawnienia tajne wybierz pozycję Pobierz i wyświetl listę, a następnie wybierz pozycję Dalej.
    4. Na karcie Podmiot zabezpieczeńwybierz jednostkę, wyszukaj nazwę zasobu tożsamości zarządzanej, a następnie wybierz przycisk Dalej. Jeśli używasz tożsamości przypisanej przez system, podmiot zabezpieczeń to nazwa wystąpienia API Management.
    5. Ponownie wybierz pozycję Dalej . Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

    Aby skonfigurować dostęp RBAC platformy Azure:

    1. W menu po lewej stronie wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami).
    2. Na stronie Kontrola dostępu (IAM) wybierz pozycję Dodaj przypisanie roli.
    3. Na karcie Rola wybierz pozycję Key Vault Użytkownik wpisów tajnych.
    4. Na karcie Członkowie wybierz pozycję Tożsamość> zarządzana+ Wybierz członków.
    5. Na stronie Wybieranie tożsamości zarządzanej wybierz tożsamość zarządzaną przypisaną przez system lub tożsamość zarządzaną przypisaną przez użytkownika skojarzona z wystąpieniem API Management, a następnie wybierz pozycję Wybierz.
    6. Wybierz pozycję Przejrzyj i przypisz.

Wymagania dotyczące zapory Key Vault

Jeśli zapora Key Vault jest włączona w magazynie kluczy, są następujące dodatkowe wymagania:

  • Aby uzyskać dostęp do magazynu kluczy, musisz użyć przypisanej przez system tożsamości zarządzanej wystąpienia API Management.

  • W Key Vault zaporze włącz opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory.

  • Upewnij się, że lokalny adres IP klienta może tymczasowo uzyskiwać dostęp do magazynu kluczy podczas wybierania certyfikatu lub wpisu tajnego, który ma zostać dodany do usługi Azure API Management. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień sieci usługi Azure Key Vault.

    Po zakończeniu konfiguracji możesz zablokować adres klienta w zaporze magazynu kluczy.

Wymagania dotyczące sieci wirtualnej

Jeśli wystąpienie API Management zostanie wdrożone w sieci wirtualnej, skonfiguruj również następujące ustawienia sieciowe:

  • Włącz punkt końcowy usługi w usłudze Azure Key Vault w podsieci API Management.
  • Skonfiguruj regułę sieciowej grupy zabezpieczeń, aby zezwalać na ruch wychodzący do tagów usługi AzureKeyVault i AzureActiveDirectory.

Aby uzyskać szczegółowe informacje, zobacz Konfiguracja sieci podczas konfigurowania usługi Azure API Management w sieci wirtualnej.

Obsługiwane scenariusze przy użyciu tożsamości przypisanej przez system

Uzyskiwanie niestandardowego certyfikatu TLS/SSL dla wystąpienia API Management z usługi Azure Key Vault

Tożsamość przypisana przez system wystąpienia API Management umożliwia pobranie niestandardowych certyfikatów TLS/SSL przechowywanych w usłudze Azure Key Vault. Następnie można przypisać te certyfikaty do domen niestandardowych w wystąpieniu API Management. Należy pamiętać o następujących kwestiach:

  • Typ zawartości wpisu tajnego musi mieć wartość application/x-pkcs12. Dowiedz się więcej o wymaganiach dotyczących certyfikatów domeny niestandardowej.
  • Użyj Key Vault punktu końcowego wpisu tajnego certyfikatu, który zawiera wpis tajny.

Ważne

Jeśli nie podasz wersji obiektu certyfikatu, API Management automatycznie uzyska nowszą wersję certyfikatu w ciągu czterech godzin po jego zaktualizowaniu w Key Vault.

W poniższym przykładzie przedstawiono szablon usługi Azure Resource Manager, który używa przypisanej przez system tożsamości zarządzanej wystąpienia usługi API Management w celu pobrania niestandardowego certyfikatu domeny z Key Vault.

Wymagania wstępne

  • Wystąpienie usługi API Management skonfigurowane z przypisaną przez system tożsamością zarządzaną. Aby utworzyć wystąpienie, możesz użyć szablonu szybkiego startu platformy Azure.
  • Wystąpienie usługi Azure Key Vault w tej samej grupie zasobów hostujące certyfikat, który będzie używany jako niestandardowy certyfikat domeny w API Management.

Poniższy szablon zawiera następujące kroki.

  1. Zaktualizuj zasady dostępu wystąpienia usługi Azure Key Vault i zezwól wystąpieniu API Management na uzyskanie z niego wpisów tajnych.
  2. Zaktualizuj wystąpienie API Management, ustawiając niestandardową nazwę domeny za pomocą certyfikatu z wystąpienia Key Vault.

Po uruchomieniu szablonu podaj wartości parametrów odpowiednie dla danego środowiska.

{
	"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
	"contentVersion": "1.0.0.0",
	"parameters": {
        "apiManagementServiceName": {
            "type": "string",
            "minLength": 8,
            "metadata":{
                "description": "The name of the API Management service"
            }
        },
		"publisherEmail": {
			"type": "string",
			"minLength": 1,
			"metadata": {
				"description": "The email address of the owner of the service"
			}
		},
		"publisherName": {
			"type": "string",
			"minLength": 1,
			"metadata": {
				"description": "The name of the owner of the service"
			}
		},
		"sku": {
			"type": "string",
			"allowedValues": ["Developer",
			"Standard",
			"Premium"],
			"defaultValue": "Developer",
			"metadata": {
				"description": "The pricing tier of this API Management service"
			}
		},
		"skuCount": {
			"type": "int",
			"defaultValue": 1,
			"metadata": {
				"description": "The instance size of this API Management service."
			}
		},
        "keyVaultName": {
            "type": "string",
            "metadata": {
                "description": "Name of the key vault"
            }
        },
		"proxyCustomHostname1": {
			"type": "string",
			"metadata": {
				"description": "Gateway custom hostname 1. Example: api.contoso.com"
			}
		},
		"keyVaultIdToCertificate": {
			"type": "string",
			"metadata": {
				"description": "Reference to the key vault certificate. Example: https://contoso.vault.azure.net/secrets/contosogatewaycertificate"
			}
		}
	},
	 "variables": {
        "apimServiceIdentityResourceId": "[concat(resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName')),'/providers/Microsoft.ManagedIdentity/Identities/default')]"
		    },
	"resources": [ 
   {
        "apiVersion": "2021-08-01",
        "name": "[parameters('apiManagementServiceName')]",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {
        },
        "sku": {
            "name": "[parameters('sku')]",
            "capacity": "[parameters('skuCount')]"
        },
        "properties": {
            "publisherEmail": "[parameters('publisherEmail')]",
            "publisherName": "[parameters('publisherName')]"
        },
        "identity": {
            "type": "systemAssigned"
        }
    },
    {
        "type": "Microsoft.KeyVault/vaults/accessPolicies",
        "name": "[concat(parameters('keyVaultName'), '/add')]",
        "apiVersion": "2018-02-14",
        "properties": {
            "accessPolicies": [{
                "tenantId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').tenantId]",
                "objectId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').principalId]",
                "permissions": {
                     "secrets": ["get", "list"]
                }
            }]
        }
    },
	{
        "apiVersion": "2021-04-01",
		"type": "Microsoft.Resources/deployments",
        "name": "apimWithKeyVault",
		 "dependsOn": [
        "[resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName'))]"
        ],
        "properties": {
            "mode": "incremental",
            "template": {
                "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
				"contentVersion": "1.0.0.0",
				"parameters": {},			
				"resources": [{
					"apiVersion": "2021-08-01",
					"name": "[parameters('apiManagementServiceName')]",
					"type": "Microsoft.ApiManagement/service",
					"location": "[resourceGroup().location]",
					"tags": {
					},
					"sku": {
						"name": "[parameters('sku')]",
						"capacity": "[parameters('skuCount')]"
					},
					"properties": {
						"publisherEmail": "[parameters('publisherEmail')]",
						"publisherName": "[parameters('publisherName')]",
						"hostnameConfigurations": [{
							"type": "Proxy",
							"hostName": "[parameters('proxyCustomHostname1')]",
							"keyVaultId": "[parameters('keyVaultIdToCertificate')]"
						}]
					},
					"identity": {
						"type": "systemAssigned"
					}
				}]
		}
		}
	}
]
}

Przechowywanie nazwanych wartości i zarządzanie nimi z poziomu usługi Azure Key Vault

Tożsamość zarządzana przypisana przez system służy do uzyskiwania dostępu do usługi Azure Key Vault do przechowywania wpisów tajnych do użycia i zarządzania nimi w zasadach API Management. Aby uzyskać więcej informacji, zobacz Używanie nazwanych wartości w zasadach usługi Azure API Management.

Uwierzytelnianie w zapleczu przy użyciu tożsamości API Management

Tożsamość przypisana przez system umożliwia uwierzytelnianie w usłudze zaplecza za pomocą zasad tożsamości zarządzanej przez uwierzytelnianie .

Nawiązywanie połączenia z zasobami platformy Azure za zaporą ip przy użyciu przypisanej przez system tożsamości zarządzanej

API Management to zaufana usługa firmy Microsoft do następujących zasobów. Dzięki temu usługa może nawiązać połączenie z następującymi zasobami za zaporą. Po jawnym przypisaniu odpowiedniej roli platformy Azure do przypisanej przez system tożsamości zarządzanej dla tego wystąpienia zasobu zakres dostępu dla wystąpienia odpowiada roli platformy Azure przypisanej do tożsamości zarządzanej.

Usługa platformy Azure Link
Azure Key Vault Zaufany dostęp do magazynu azure-key-vault
Azure Storage Zaufany dostęp do usługi azure-storage
Usługa Azure Service Bus Zaufany dostęp do usługi azure-service-bus
Azure Event Hubs Zaufany dostęp do usługi azure-event-hub

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Uwaga

Wystąpienie API Management można skojarzyć z maksymalnie 10 tożsamościami zarządzanymi przypisanymi przez użytkownika.

Azure Portal

Aby skonfigurować tożsamość zarządzaną w portalu, najpierw utworzysz wystąpienie API Management i utworzysz tożsamość przypisaną przez użytkownika. Następnie włącz tę funkcję.

  1. Utwórz wystąpienie API Management w portalu, tak jak zwykle. Przejdź do niego w portalu.

  2. W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Tożsamości zarządzane.

  3. Na karcie Przypisane przez użytkownika wybierz pozycję Dodaj.

  4. Wyszukaj utworzoną wcześniej tożsamość i wybierz ją. Wybierz pozycję Dodaj.

    Opcje włączania tożsamości zarządzanej przypisanej przez użytkownika

Azure PowerShell

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

W poniższych krokach opisano tworzenie wystąpienia API Management i przypisywanie jej tożsamości przy użyciu Azure PowerShell.

  1. W razie potrzeby zainstaluj Azure PowerShell, korzystając z instrukcji w przewodniku Azure PowerShell. Następnie uruchom polecenie Connect-AzAccount , aby utworzyć połączenie z platformą Azure.

  2. Użyj następującego kodu, aby utworzyć wystąpienie. Aby uzyskać więcej przykładów użycia Azure PowerShell z wystąpieniem API Management, zobacz przykłady API Management programu PowerShell.

    # Create a resource group.
New-AzResourceGroup -Name $resourceGroupName -Location $location

# Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName

# Create an API Management Consumption Sku service.
$userIdentities = @($userAssignedIdentity.Id)

New-AzApiManagement -ResourceGroupName $resourceGroupName -Location $location -Name $apiManagementName -Organization contoso -AdminEmail admin@contoso.com -Sku Consumption -UserAssignedIdentity $userIdentities

Możesz również zaktualizować istniejącą usługę, aby przypisać tożsamość do usługi:

# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName

# Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName

# Update an API Management instance
$userIdentities = @($userAssignedIdentity.Id)
Set-AzApiManagement -InputObject $apimService -UserAssignedIdentity $userIdentities

Szablon usługi Azure Resource Manager

Wystąpienie API Management można utworzyć z tożsamością, uwzględniając następującą właściwość w definicji zasobu:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}

Dodanie typu przypisanego przez użytkownika informuje platformę Azure o użyciu tożsamości przypisanej przez użytkownika określonej dla danego wystąpienia.

Na przykład kompletny szablon usługi Azure Resource Manager może wyglądać następująco:

{
    "$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
    "contentVersion": "0.9.0.0",
    "resources": [{
        "apiVersion": "2021-08-01",
        "name": "contoso",
        "type": "Microsoft.ApiManagement/service",
        "location": "[resourceGroup().location]",
        "tags": {},
        "sku": {
            "name": "Developer",
            "capacity": "1"
        },
        "properties": {
            "publisherEmail": "admin@contoso.com",
            "publisherName": "Contoso"
        },
        "identity": {
            "type": "UserAssigned",
             "userAssignedIdentities": {
                "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
             }
        },
         "dependsOn": [
          "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
        ]
    }]
}

Po utworzeniu usługi ma następujące dodatkowe właściwości:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
        }
    }
}

Właściwość principalId jest unikatowym identyfikatorem tożsamości używanej do administrowania Azure AD. Właściwość clientId jest unikatowym identyfikatorem nowej tożsamości aplikacji używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Uwaga

Wystąpienie API Management może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. W takim przypadku type właściwość to SystemAssigned,UserAssigned.

Obsługiwane scenariusze przy użyciu tożsamości zarządzanej przypisanej przez użytkownika

Uzyskiwanie niestandardowego certyfikatu TLS/SSL dla wystąpienia API Management z usługi Azure Key Vault

Tożsamość przypisana przez użytkownika umożliwia ustanowienie zaufania między wystąpieniem API Management a usługą Azure Key Vault. To zaufanie może następnie służyć do pobierania niestandardowych certyfikatów TLS/SSL przechowywanych w usłudze Azure Key Vault. Następnie można przypisać te certyfikaty do domen niestandardowych w wystąpieniu API Management.

Ważne

Jeśli zapora Key Vault jest włączona w magazynie kluczy, nie można użyć tożsamości przypisanej przez użytkownika w celu uzyskania dostępu z API Management. Zamiast tego możesz użyć tożsamości przypisanej przez system. W Key Vault zaporze należy również włączyć opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory.

Należy pamiętać o następujących kwestiach:

  • Typ zawartości wpisu tajnego musi mieć wartość application/x-pkcs12.
  • Użyj Key Vault punktu końcowego wpisu tajnego certyfikatu, który zawiera wpis tajny.

Ważne

Jeśli nie podasz wersji obiektu certyfikatu, API Management automatycznie uzyska nowszą wersję certyfikatu w ciągu czterech godzin po jego zaktualizowaniu w Key Vault.

Aby zapoznać się z kompletnym szablonem, zobacz API Management z protokołem SSL opartym na Key Vault przy użyciu tożsamości przypisanej przez użytkownika.

W tym szablonie wdrożysz następujące elementy:

  • Wystąpienie usługi Azure API Management
  • Tożsamość zarządzana przypisana przez użytkownika platformy Azure
  • Usługa Azure Key Vault do przechowywania certyfikatu SSL/TLS

Aby automatycznie uruchomić wdrożenie, wybierz następujący przycisk:

Wdróż na platformie Azure

Przechowywanie nazwanych wartości i zarządzanie nimi z poziomu usługi Azure Key Vault

Tożsamość zarządzana przypisana przez użytkownika umożliwia dostęp do usługi Azure Key Vault do przechowywania wpisów tajnych do użycia w zasadach API Management i zarządzania nimi. Aby uzyskać więcej informacji, zobacz Używanie nazwanych wartości w zasadach usługi Azure API Management.

Uwaga

Jeśli zapora Key Vault jest włączona w magazynie kluczy, nie można użyć tożsamości przypisanej przez użytkownika w celu uzyskania dostępu z API Management. Zamiast tego możesz użyć tożsamości przypisanej przez system. W Key Vault zaporze należy również włączyć opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory.

Uwierzytelnianie w zapleczu przy użyciu tożsamości przypisanej przez użytkownika

Tożsamość przypisana przez użytkownika umożliwia uwierzytelnianie w usłudze zaplecza za pośrednictwem zasad tożsamości zarządzanej przez uwierzytelnianie .

Usuwanie tożsamości

Tożsamość przypisaną przez system można usunąć, wyłączając tę funkcję za pośrednictwem portalu lub szablonu usługi Azure Resource Manager w taki sam sposób, w jaki została utworzona. Tożsamości przypisane przez użytkownika można usunąć indywidualnie. Aby usunąć wszystkie tożsamości, ustaw typ tożsamości na "None".

Usunięcie tożsamości przypisanej przez system w ten sposób spowoduje również usunięcie jej z Azure AD. Tożsamości przypisane przez system są również automatycznie usuwane z Azure AD po usunięciu wystąpienia API Management.

Aby usunąć wszystkie tożsamości przy użyciu szablonu usługi Azure Resource Manager, zaktualizuj tę sekcję:

"identity": {
    "type": "None"
}

Ważne

Jeśli wystąpienie API Management jest skonfigurowane z niestandardowym certyfikatem SSL z Key Vault i spróbujesz wyłączyć tożsamość zarządzaną, żądanie zakończy się niepowodzeniem.

Możesz odblokować się, przełączając się z certyfikatu usługi Azure Key Vault na wbudowany certyfikat zakodowany w tekście, a następnie wyłączając tożsamość zarządzaną. Aby uzyskać więcej informacji, zobacz Konfigurowanie nazwy domeny niestandardowej.

Następne kroki

Dowiedz się więcej o tożsamościach zarządzanych dla zasobów platformy Azure: