Konfigurowanie tożsamości zarządzanej

  • 8 minut

Tożsamość zarządzana umożliwia usługom platformy Azure bezpieczne uwierzytelnianie i uzyskiwanie dostępu do innych zasobów platformy Azure bez konieczności zarządzania poświadczeniami. Automatycznie obsługuje tworzenie tożsamości i zarządzanie nią, co ułatwia i bezpieczniejsze łączenie usług.

Uwierzytelnianie przy użyciu tożsamości zarządzanych dla zasobów platformy Azure jest zalecaną metodą uwierzytelniania w celu programowego dostępu do bazy danych SQL.

W przypadku korzystania z uwierzytelniania entra firmy Microsoft z usługą Azure SQL Database należy przypisać tożsamość zarządzaną przypisaną przez system, gdy jednostki usługi platformy Azure są używane do tworzenia użytkowników usługi Microsoft Entra w usłudze SQL Database. Wcześniej do tożsamości serwera usługi Azure SQL Database można przypisać tylko tożsamość zarządzaną przypisaną przez system, ale teraz tożsamość zarządzana przypisana przez użytkownika może być również przypisana jako tożsamość serwera.

Tożsamość zarządzana przypisana przez system

Po włączeniu przypisanej przez system tożsamości zarządzanej na zasobie platformy Azure, takiej jak serwer logiczny SQL, w identyfikatorze Firmy Microsoft zostanie utworzona specjalna jednostka usługi. Ta jednostka usługi jest powiązana z cyklem życia zasobu, co oznacza, że jest ona automatycznie usuwana po usunięciu zasobu. Tego typu tożsamości zarządzanej nie można udostępniać i jest skojarzony tylko z pojedynczym zasobem platformy Azure. Jest ona często używana w przypadku obciążeń zawartych w jednym zasobie, które wymagają niezależnych tożsamości, takich jak aplikacja uruchomiona na jednej maszynie wirtualnej.

Korzystanie z tożsamości zarządzania przypisaną przez system

Wyobraź sobie scenariusz, w którym musisz włączyć tożsamość zarządzaną przypisaną przez system dla aplikacji internetowej platformy Azure. Musisz zacząć od uzyskania dostępu do witryny Azure Portal i znalezienia aplikacji internetowej. Następnie przejdź do sekcji Ustawienia w menu po lewej stronie i wybierz pozycję Tożsamość.

Zrzut ekranu przedstawiający opcję tożsamości zarządzanej przypisanej przez system dla aplikacji internetowej w witrynie Azure Portal.

Na karcie Przypisane przez system musisz przełączyć stan na Wł. , a następnie zapisać zmiany.

Aby umożliwić aplikacji dostęp do bazy danych przy użyciu tożsamości zarządzanej przez system, należy również utworzyć użytkownika z odpowiednimi uprawnieniami w bazie danych.

CREATE USER [my-prod-web-app] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [my-prod-web-app];
ALTER ROLE db_datawriter ADD MEMBER [my-prod-web-app];

Następnie w kodzie aplikacji należy użyć następującej parametry połączenia, aby nawiązać połączenie z usługą Azure SQL Database przy użyciu tożsamości zarządzanej przypisanej przez system.

Server=myserver.database.windows.net;Authentication=Active Directory Managed Identity; Encrypt=True;Database=my-db

Tożsamość zarządzana przypisana przez użytkownika

Tożsamość zarządzana przypisana przez użytkownika jest tworzona jako niezależny zasób platformy Azure. Ten typ tożsamości zarządzanej można przypisać do wielu wystąpień różnych usług platformy Azure, dzięki czemu jest odpowiedni dla obciążeń uruchamianych na wielu zasobach i może współużytkować jedną tożsamość.

Tożsamość zarządzana przypisana przez użytkownika jest również przydatna w przypadku obciążeń wymagających wstępnej autoryzacji do bezpiecznego zasobu w ramach przepływu aprowizacji lub gdy zasoby są często odzyskiwanych, ale uprawnienia muszą pozostać spójne.

Korzystanie z tożsamości zarządzania przypisanej przez użytkownika

Aby użyć tożsamości zarządzanych dla zasobów platformy Azure, najpierw musimy utworzyć tożsamość zarządzaną przez użytkownika na platformie Azure.

Możesz rozpocząć, przechodząc do witryny Azure Portal. Wybierz pozycję Tożsamości zarządzane, a następnie wybierz pozycję + Utwórz. Wypełnij wymagane pola na stronie Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

Zrzut ekranu przedstawiający stronę Tworzenie tożsamości zarządzanej przypisanej przez użytkownika w witrynie Azure Portal.

Następnie, podobnie jak tożsamość zarządzana przez system, musisz przypisać tożsamość zarządzaną przez użytkownika do zasobu platformy Azure. W tym przykładzie przypiszesz ją do aplikacji internetowej platformy Azure na karcie Zarządzane przez użytkownika.

Zrzut ekranu przedstawiający opcję tożsamości zarządzanej przypisanej przez użytkownika dla aplikacji internetowej w witrynie Azure Portal.

Na koniec utwórz użytkownika SQL na podstawie tożsamości zarządzanej w docelowej bazie danych przy użyciu instrukcji CREATE USER . W tym przykładzie nazwa tożsamości zarządzanej to my-identity.

CREATE USER [my-identity] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [my-identity];
ALTER ROLE db_datawriter ADD MEMBER [my-identity];

W poniższych parametry połączenia pokazano, jak nawiązać połączenie z usługą Azure SQL Database przy użyciu tożsamości zarządzanej przypisanej przez użytkownika.

Server=myserver.database.windows.net;Authentication=Active Directory Managed Identity; Encrypt=True;User Id=my-identity; Database=my-db

Ta elastyczność sprawia, że tożsamości zarządzane przypisane przez użytkownika są wszechstronną i bezpieczną opcją zarządzania dostępem w różnych usługach w środowisku platformy Azure.