Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: Wszystkie warstwy usługi API Management
W tym artykule pokazano, jak utworzyć tożsamość zarządzaną dla wystąpienia usługi Azure API Management i jak używać jej do uzyskiwania dostępu do innych zasobów. Tożsamość zarządzana wygenerowana przez usługę Microsoft Entra ID umożliwia usłudze API Management łatwe i bezpieczne uzyskiwanie dostępu do innych zasobów chronionych przez firmę Microsoft Entra, takich jak Azure Key Vault. Platforma Azure zarządza tymi tożsamościami, więc nie trzeba zarządzać zasobami ani wymieniać żadnych tajemnic. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?.
Wystąpieniu API Management można przyznać dwa typy tożsamości:
- Tożsamość przypisana przez system jest powiązana z usługą i jest usuwana, gdy usługa zostanie usunięta. Usługa może mieć tylko jedną tożsamość przypisaną przez system.
- Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do usługi. Usługa może mieć wiele tożsamości przypisanych przez użytkownika.
Uwaga
Tożsamości zarządzane są specyficzne dla usługi Microsoft Entra, w której hostowana jest Twoja subskrypcja platformy Azure. Nie są one aktualizowane, jeśli subskrypcja zostanie przeniesiona do innego katalogu. Jeśli subskrypcja zostanie przeniesiona, musisz ponownie utworzyć i ponownie skonfigurować tożsamości.
Uwaga
Obecnie ta funkcja nie jest dostępna w obszarach roboczych.
Tworzenie tożsamości zarządzanej przypisanej przez system
Azure Portal
Aby skonfigurować tożsamość zarządzaną w witrynie Azure Portal, należy utworzyć wystąpienie usługi API Management, a następnie włączyć tę funkcję.
Utwórz wystąpienie usługi API Management w portalu tak, jak zwykle. Przejdź do niego na portalu.
W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Tożsamości zarządzane.
Na karcie Przypisane przez systemzmień status na Włączony. Wybierz pozycję Zapisz.
Azure PowerShell
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Poniższe kroki prowadzą do utworzenia wystąpienia usługi API Management i przypisania jej tożsamości przy użyciu programu Azure PowerShell.
Jeśli chcesz, zainstaluj program Azure PowerShell, postępując zgodnie z instrukcjami w przewodniku programu Azure PowerShell. Następnie uruchom polecenie
Connect-AzAccount, aby utworzyć połączenie z platformą Azure.Użyj następującego kodu, aby utworzyć wystąpienie z tożsamością zarządzaną przypisaną przez system. Aby uzyskać więcej przykładów używania programu Azure PowerShell z usługą API Management, zobacz Przykłady programu PowerShell usługi API Management.
# Create a resource group. New-AzResourceGroup -Name $resourceGroupName -Location $location # Create an API Management Consumption SKU service. New-AzApiManagement -ResourceGroupName $resourceGroupName -Name consumptionskuservice -Location $location -Sku Consumption -Organization contoso -AdminEmail contoso@contoso.com -SystemAssignedIdentity
Możesz również zaktualizować istniejące wystąpienie, aby utworzyć tożsamość:
# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName
# Update an API Management instance
Set-AzApiManagement -InputObject $apimService -SystemAssignedIdentity
Szablon usługi Azure Resource Manager (ARM)
Wystąpienie usługi API Management można utworzyć z tożsamością przypisaną przez system, włączając następującą właściwość w definicji zasobu szablonu ARM.
"identity" : {
"type" : "SystemAssigned"
}
Ta właściwość instruuje platformę Azure, aby utworzyła tożsamość wystąpienia usługi API Management i zarządzała nią.
Na przykład kompletny szablon usługi ARM może wyglądać następująco:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "0.9.0.0",
"resources": [{
"apiVersion": "2021-08-01",
"name": "contoso",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {},
"sku": {
"name": "Developer",
"capacity": "1"
},
"properties": {
"publisherEmail": "admin@contoso.com",
"publisherName": "Contoso"
},
"identity": {
"type": "systemAssigned"
}
}]
}
Po utworzeniu wystąpienia są przypisane następujące dodatkowe właściwości:
"identity": {
"type": "SystemAssigned",
"tenantId": "<TENANTID>",
"principalId": "<PRINCIPALID>"
}
Właściwość tenantId identyfikuje, do którego najemcy Microsoft Entra należy tożsamość. Właściwość principalId jest unikatowym identyfikatorem nowej tożsamości instancji. W Microsoft Entra ID, główna jednostka usługi ma taką samą nazwę, jaką nadano wystąpieniu API Management.
Uwaga
Wystąpienie usługi API Management może mieć tożsamości zarówno przypisane przez system, jak i przez użytkownika. W tym scenariuszu właściwość type jest SystemAssigned,UserAssigned.
Konfigurowanie dostępu do usługi Key Vault przy użyciu tożsamości zarządzanej
Poniższe konfiguracje są wymagane, jeśli chcesz używać usługi API Management do uzyskiwania dostępu do certyfikatów z usługi Azure Key Vault.
Konfigurowanie dostępu do magazynu kluczy
- W portalu przejdź do skrytki kluczy.
- W menu po lewej stronie wybierz pozycję Konfiguracja dostępu. Zwróć uwagę na skonfigurowany model uprawnień .
- W zależności od modelu uprawnień skonfiguruj polityki dostępu do magazynu kluczy lub dostępu RBAC w usłudze Azure dla tożsamości zarządzanej usługi API Management.
Aby dodać zasady dostępu do magazynu kluczy:
- W menu po lewej stronie wybierz pozycję Zasady dostępu.
- Na stronie Zasady dostępu wybierz pozycję + Utwórz.
- Na karcie Uprawnienia w obszarze Uprawnienia w obszarze Uprawnienia tajne wybierz pozycję Pobierz i wyświetl, a następnie wybierz pozycję Dalej.
- Na karcie Podmiot wybierz pozycję Podmiot, wyszukaj nazwę zasobu tożsamości zarządzanej, a następnie wybierz Dalej. Jeśli używasz tożsamości przypisanej przez system, podmiot to nazwa wystąpienia usługi API Management.
- Ponownie wybierz przycisk Dalej . Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.
Aby skonfigurować dostęp RBAC platformy Azure:
- W menu po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami)..
- Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz Dodaj przydział roli.
- Na karcie Rola wybierz pozycję Użytkownik certyfikatu usługi Key Vault.
- Na karcie Członkowie wybierz Zarządzana tożsamość>+ Wybierz członków.
- W oknie Wybieranie tożsamości zarządzanych wybierz tę tożsamość zarządzaną przypisaną przez system lub tożsamość zarządzaną przypisaną przez użytkownika skojarzoną z wystąpieniem usługi API Management, a następnie kliknij Wybierz.
- Wybierz Przejrzyj + przypisz.
Wymagania dotyczące zapory usługi Key Vault
Jeśli zapora usługi Key Vault jest włączona w magazynie kluczy, musisz spełnić następujące wymagania:
Aby uzyskać dostęp do magazynu kluczy, musisz użyć tożsamości zarządzanej przypisanej przez system do instancji usługi API Management.
W zaporze usługi Key Vault włącz opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory .
Upewnij się, że lokalny adres IP klienta może tymczasowo uzyskać dostęp do magazynu kluczy podczas wybierania certyfikatu lub wpisu tajnego, który ma zostać dodany do usługi Azure API Management. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień sieci usługi Azure Key Vault.
Po zakończeniu konfiguracji możesz zablokować adres klienta w zaporze magazynu kluczy.
Wymagania dotyczące sieci wirtualnej
Jeśli wystąpienie usługi API Management zostało wdrożone w sieci wirtualnej, skonfiguruj również następujące ustawienia sieciowe:
- Włącz punkt końcowy usługi Key Vault w podsieci usługi API Management.
- Skonfiguruj regułę sieciowej grupy zabezpieczeń (NSG), aby zezwolić na ruch wychodzący do tagów usług AzureKeyVault i AzureActiveDirectory.
Aby uzyskać szczegółowe informacje, zobacz Konfiguracja sieci podczas konfigurowania usługi API Management w sieci wirtualnej.
Obsługiwane scenariusze korzystające z tożsamości przypisanej przez system
Poniżej przedstawiono kilka typowych scenariuszy używania tożsamości zarządzanej przypisanej przez system w usłudze Azure API Management.
Uzyskiwanie niestandardowego certyfikatu TLS/SSL dla wystąpienia usługi API Management z usługi Key Vault
Możesz użyć tożsamości przypisanej przez system dla instancji usługi API Management do pobierania niestandardowych certyfikatów TLS/SSL przechowywanych w usłudze Key Vault. Następnie można przypisać te certyfikaty w instancji API Management do domen niestandardowych. Weź pod uwagę następujące kwestie:
- Typ zawartości wpisu tajnego musi być application/x-pkcs12. Aby uzyskać więcej informacji, zobacz Opcje certyfikatu domeny.
- Musisz użyć punktu końcowego tajemnicy certyfikatu usługi Key Vault, który zawiera tajemnicę.
Ważne
Jeśli nie podasz wersji obiektu certyfikatu, usługa API Management automatycznie uzyska dowolną nowszą wersję certyfikatu w ciągu czterech godzin po jej zaktualizowaniu w usłudze Key Vault.
Poniższy przykład przedstawia szablon ARM, który używa systemowo przypisanej tożsamości zarządzanej wystąpienia usługi API Management do pobierania niestandardowego certyfikatu domeny z magazynu kluczy Key Vault.
Wymagania wstępne
- Instancja usługi API Management jest skonfigurowana przy użyciu tożsamości zarządzanej przypisanej przez system. Aby utworzyć wystąpienie, możesz użyć szablonu szybkiego startu platformy Azure.
- Wystąpienie usługi Key Vault w tej samej grupie zasobów. Wystąpienie musi hostować certyfikat, który będzie używany jako niestandardowy certyfikat domeny w usłudze API Management.
Szablon zawiera następujące kroki.
- Zaktualizuj zasady dostępu wystąpienia Key Vault i zezwól wystąpieniu API Management na uzyskanie z niego sekretów.
- Zaktualizuj wystąpienie usługi API Management, ustawiając niestandardową nazwę domeny za pomocą certyfikatu z wystąpienia usługi Key Vault.
Po uruchomieniu szablonu podaj wartości parametrów, które są odpowiednie dla danego środowiska.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"apiManagementServiceName": {
"type": "string",
"minLength": 8,
"metadata":{
"description": "The name of the API Management instance"
}
},
"publisherEmail": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "The email address of the owner of the instance"
}
},
"publisherName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "The name of the owner of the instance"
}
},
"sku": {
"type": "string",
"allowedValues": ["Developer",
"Standard",
"Premium"],
"defaultValue": "Developer",
"metadata": {
"description": "The pricing tier of the API Management instance"
}
},
"skuCount": {
"type": "int",
"defaultValue": 1,
"metadata": {
"description": "The instance size of the API Management instance"
}
},
"keyVaultName": {
"type": "string",
"metadata": {
"description": "The name of the key vault"
}
},
"proxyCustomHostname1": {
"type": "string",
"metadata": {
"description": "Gateway custom hostname 1. Example: api.contoso.com"
}
},
"keyVaultIdToCertificate": {
"type": "string",
"metadata": {
"description": "Reference to the key vault certificate. Example: https://contoso.vault.azure.net/secrets/contosogatewaycertificate"
}
}
},
"variables": {
"apimServiceIdentityResourceId": "[concat(resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName')),'/providers/Microsoft.ManagedIdentity/Identities/default')]"
},
"resources": [
{
"apiVersion": "2021-08-01",
"name": "[parameters('apiManagementServiceName')]",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {
},
"sku": {
"name": "[parameters('sku')]",
"capacity": "[parameters('skuCount')]"
},
"properties": {
"publisherEmail": "[parameters('publisherEmail')]",
"publisherName": "[parameters('publisherName')]"
},
"identity": {
"type": "systemAssigned"
}
},
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"name": "[concat(parameters('keyVaultName'), '/add')]",
"apiVersion": "2018-02-14",
"properties": {
"accessPolicies": [{
"tenantId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').tenantId]",
"objectId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').principalId]",
"permissions": {
"secrets": ["get", "list"]
}
}]
}
},
{
"apiVersion": "2021-04-01",
"type": "Microsoft.Resources/deployments",
"name": "apimWithKeyVault",
"dependsOn": [
"[resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName'))]"
],
"properties": {
"mode": "incremental",
"template": {
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"resources": [{
"apiVersion": "2021-08-01",
"name": "[parameters('apiManagementServiceName')]",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {
},
"sku": {
"name": "[parameters('sku')]",
"capacity": "[parameters('skuCount')]"
},
"properties": {
"publisherEmail": "[parameters('publisherEmail')]",
"publisherName": "[parameters('publisherName')]",
"hostnameConfigurations": [{
"type": "Proxy",
"hostName": "[parameters('proxyCustomHostname1')]",
"keyVaultId": "[parameters('keyVaultIdToCertificate')]"
}]
},
"identity": {
"type": "systemAssigned"
}
}]
}
}
}
]
}
Przechowywanie nazwanych wartości i zarządzanie nimi z usługi Key Vault
Możesz użyć tożsamości zarządzanej przypisanej przez system, aby uzyskać dostęp do usługi Key Vault w celu przechowywania i zarządzania wpisami tajnymi, które są używane w zasadach usługi API Management. Aby uzyskać więcej informacji, zobacz Używanie nazwanych wartości w zasadach usługi Azure API Management.
Uwierzytelnij się w zapleczu, korzystając z tożsamości zarządzania API
Możesz użyć tożsamości przypisanej przez system do uwierzytelniania w usłudze zaplecza za pomocą polityki authentication-managed-identity.
Nawiązywanie połączenia z zasobami platformy Azure za zaporą IP przy użyciu tożsamości zarządzanej przypisanej przez system
API Management to zaufana usługa firmy Microsoft do następujących zasobów. Ten zaufany stan umożliwia usłudze łączenie się z następującymi zasobami za zaporą. Po jawnym przypisaniu odpowiedniej roli platformy Azure do przypisanej przez system tożsamości zarządzanej dla wystąpienia zasobu zakres dostępu dla wystąpienia odpowiada roli platformy Azure przypisanej do tożsamości zarządzanej.
- Zaufany dostęp do usługi Key Vault
- Zaufany dostęp do usługi Azure Storage
- Zaufany dostęp dla usługi Azure Services Bus
- Zaufany dostęp dla usługi Azure Event Hubs
Rejestrować zdarzenia do centrum zdarzeń
Można skonfigurować i użyć zarządzanej tożsamości przypisanej przez system, aby uzyskać dostęp do koncentratora zdarzeń w celu zapisywania zdarzeń z wystąpienia zarządzania API. Aby uzyskać więcej informacji, zobacz Jak rejestrować zdarzenia w usłudze Event Hubs w usłudze Azure API Management.
Tworzenie tożsamości zarządzanej przypisanej przez użytkownika
Uwaga
Wystąpienie usługi API Management można skojarzyć z nawet 10 tożsamościami zarządzanymi przypisanymi przez użytkownika.
Azure Portal
Aby skonfigurować tożsamość zarządzaną w portalu, należy najpierw utworzyć wystąpienie usługi API Management i utworzyć tożsamość przypisaną przez użytkownika. Następnie wykonaj następujące kroki.
Przejdź do wystąpienia usługi API Management w portalu.
W menu po lewej stronie w obszarze Zabezpieczenia wybierz pozycję Tożsamości zarządzane.
Na karcie Przypisane użytkownikowi wybierz pozycję Dodaj.
Wyszukaj utworzoną wcześniej tożsamość i wybierz ją. Wybierz Dodaj.
Azure PowerShell
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Poniższe kroki prowadzą do utworzenia wystąpienia usługi API Management i przypisania jej tożsamości przy użyciu programu Azure PowerShell.
Jeśli chcesz, zainstaluj program Azure PowerShell, postępując zgodnie z instrukcjami w przewodniku programu Azure PowerShell. Następnie uruchom polecenie
Connect-AzAccount, aby utworzyć połączenie z platformą Azure.Użyj następującego kodu, aby utworzyć wystąpienie. Aby uzyskać więcej przykładów używania programu Azure PowerShell z usługą API Management, zobacz Przykłady programu PowerShell usługi API Management.
# Create a resource group. New-AzResourceGroup -Name $resourceGroupName -Location $location # Create a user-assigned identity. This code requires installation of the Az.ManagedServiceIdentity module. $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName # Create an API Management Consumption SKU service. $userIdentities = @($userAssignedIdentity.Id) New-AzApiManagement -ResourceGroupName $resourceGroupName -Location $location -Name $apiManagementName -Organization contoso -AdminEmail admin@contoso.com -Sku Consumption -UserAssignedIdentity $userIdentities
Możesz również zaktualizować istniejącą usługę, aby przypisać tożsamość do usługi:
# Get an API Management instance.
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName
# Create a user-assigned identity. This code requires installation of the Az.ManagedServiceIdentity module.
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName
# Update the API Management instance.
$userIdentities = @($userAssignedIdentity.Id)
Set-AzApiManagement -InputObject $apimService -UserAssignedIdentity $userIdentities
Szablon ARM
Możesz utworzyć wystąpienie usługi API Management, które ma tożsamość, uwzględniając następującą właściwość w definicji zasobu:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {}
}
}
Dodanie typu przypisanego przez użytkownika informuje platformę Azure o użyciu tożsamości przypisanej przez użytkownika określonej dla danego wystąpienia.
Na przykład kompletny szablon usługi ARM może wyglądać następująco:
{
"$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
"contentVersion": "0.9.0.0",
"resources": [{
"apiVersion": "2021-08-01",
"name": "contoso",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {},
"sku": {
"name": "Developer",
"capacity": "1"
},
"properties": {
"publisherEmail": "admin@contoso.com",
"publisherName": "Contoso"
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
}
},
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
]
}]
}
Po utworzeniu usługi ma następujące dodatkowe właściwości:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {
"principalId": "<PRINCIPALID>",
"clientId": "<CLIENTID>"
}
}
}
Właściwość principalId jest unikatowym identyfikatorem tożsamości używanej do administrowania firmą Microsoft Entra. Właściwość clientId jest unikatowym identyfikatorem nowej tożsamości aplikacji używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.
Uwaga
Wystąpienie usługi API Management może mieć tożsamości zarówno przypisane przez system, jak i przez użytkownika. W tym scenariuszu, właściwością type byłaby SystemAssigned,UserAssigned.
Obsługiwane scenariusze korzystające z tożsamości zarządzanych przypisanych przez użytkownika
Poniżej przedstawiono kilka typowych scenariuszy używania tożsamości zarządzanej przypisanej przez użytkownika w usłudze Azure API Management.
Uzyskiwanie niestandardowego certyfikatu TLS/SSL dla wystąpienia usługi API Management z usługi Key Vault
Tożsamość przypisana przez użytkownika umożliwia ustanowienie zaufania między wystąpieniem usługi API Management i usługą Key Vault. Tego zaufania można następnie użyć do pobrania niestandardowych certyfikatów TLS/SSL przechowywanych w usłudze Key Vault. Następnie można przypisać te certyfikaty w instancji API Management do domen niestandardowych.
Ważne
Jeśli zapora usługi Key Vault jest włączona w magazynie kluczy, nie można użyć tożsamości przypisanej przez użytkownika w celu uzyskania dostępu z usługi API Management. Zamiast tego można użyć tożsamości przypisanej przez system. W zaporze usługi Key Vault należy włączyć opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory .
Weź pod uwagę następujące kwestie:
- Typ zawartości wpisu tajnego musi być application/x-pkcs12.
- Musisz użyć punktu końcowego tajemnicy certyfikatu usługi Key Vault, który zawiera tajemnicę.
Ważne
Jeśli nie podasz wersji obiektu certyfikatu, usługa API Management automatycznie uzyska dowolną nowszą wersję certyfikatu w ciągu czterech godzin po jej zaktualizowaniu w usłudze Key Vault.
Przechowywanie nazwanych wartości i zarządzanie nimi z usługi Key Vault
Możesz użyć tożsamości zarządzanej przypisanej przez użytkownika, aby uzyskać dostęp do Key Vault w celu przechowywania i zarządzania tajemnicami na potrzeby polityk zarządzania API. Aby uzyskać więcej informacji, zobacz Używanie nazwanych wartości w zasadach usługi Azure API Management.
Uwaga
Jeśli zapora usługi Key Vault jest włączona w magazynie kluczy, nie można użyć tożsamości przypisanej przez użytkownika w celu uzyskania dostępu z usługi API Management. Zamiast tego można użyć tożsamości przypisanej przez system. W zaporze usługi Key Vault należy włączyć opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory .
Uwierzytelnij się w backendzie, używając tożsamości przypisanej przez użytkownika
Możesz użyć tożsamości przypisanej przez użytkownika do uwierzytelniania w usłudze zaplecza za pośrednictwem zasad uwierzytelniania zarządzanych tożsamości.
Rejestrować zdarzenia do centrum zdarzeń
Możesz skonfigurować przypisaną przez użytkownika tożsamość zarządzaną i użyć jej do dostępu do Event Hub, aby rejestrować zdarzenia z instancji usługi API Management. Aby uzyskać więcej informacji, zobacz Jak rejestrować zdarzenia w usłudze Azure Event Hubs w usłudze Azure API Management.
Usuwanie tożsamości
Tożsamość przypisana przez system można usunąć, wyłączając tę funkcję za pomocą portalu lub szablonu ARM, dokładnie w taki sam sposób, w jaki została pierwotnie utworzona. Tożsamości przypisane przez użytkownika można usunąć indywidualnie. Aby usunąć wszystkie tożsamości, należy ustawić typ tożsamości na "None".
Usunięcie tożsamości przypisanej przez system w ten sposób powoduje również usunięcie jej z identyfikatora Entra firmy Microsoft. Tożsamości przypisane przez system są również automatycznie usuwane z identyfikatora Entra firmy Microsoft po usunięciu wystąpienia usługi API Management.
Aby usunąć wszystkie tożsamości przy użyciu szablonu ARM, zaktualizuj tę sekcję:
"identity": {
"type": "None"
}
Ważne
Jeśli instancja usługi API Management jest skonfigurowana z użyciem niestandardowego certyfikatu SSL z usługi Key Vault i spróbujesz wyłączyć tożsamość zarządzaną, żądanie zakończy się niepowodzeniem.
Możesz rozwiązać ten problem, przełączając się z certyfikatu usługi Key Vault na certyfikat zakodowany w tekście, a następnie wyłączając tożsamość zarządzaną. Aby uzyskać więcej informacji, zobacz Konfigurowanie niestandardowej nazwy domeny.