Uwierzytelnianie w usłudze Vault za pomocą tożsamości zarządzanych dla zasobów platformy Azure
Usługa Azure Key Vault używa identyfikatora Entra firmy Microsoft do uwierzytelniania użytkowników i aplikacji, które próbują uzyskać dostęp do magazynu. Aby udzielić aplikacji internetowej dostępu do magazynu, najpierw musisz zarejestrować aplikację przy użyciu identyfikatora Entra firmy Microsoft. Zarejestrowanie powoduje utworzenie tożsamości dla aplikacji. Po utworzeniu tożsamości aplikacji możesz przypisać do niej uprawnienia magazynu.
Aplikacje i użytkownicy uwierzytelniają się w usłudze Key Vault przy użyciu tokenu uwierzytelniania entra firmy Microsoft. Uzyskanie tokenu z identyfikatora Entra firmy Microsoft wymaga wpisu tajnego lub certyfikatu. Każda osoba mająca token może używać tożsamości aplikacji do uzyskiwania dostępu do wszystkich wpisów tajnych w magazynie.
Wpisy tajne aplikacji są bezpieczne w magazynie, ale nadal musisz zachować wpis tajny lub certyfikat poza magazynem, aby uzyskać do nich dostęp! Ten problem jest nazywany problemem z uruchamianiem, a platforma Azure ma dla niego rozwiązanie.
Tożsamości zarządzane dla zasobów platformy Azure
Tożsamości zarządzane dla zasobów platformy Azure to funkcja platformy Azure, której aplikacja może używać do uzyskiwania dostępu do usługi Key Vault i innych usług platformy Azure bez konieczności zarządzania pojedynczym wpisem tajnym poza magazynem. Korzystanie z tożsamości zarządzanej to prosty i bezpieczny sposób używania usługi Key Vault z poziomu aplikacji internetowej.
Po włączeniu tożsamości zarządzanej w aplikacji internetowej platforma Azure aktywuje oddzielną usługę REST udzielającą tokenów specjalnie dla twojej aplikacji. Aplikacja żąda tokenów z tej usługi zamiast bezpośrednio z identyfikatora Entra firmy Microsoft. Aplikacja musi używać wpisu tajnego, aby uzyskiwać dostęp do usługi, ale ten wpis tajny jest wprowadzany do zmiennych środowiskowych aplikacji przez usługę App Service podczas uruchamiania. Nie musisz zarządzać tą wartością wpisu tajnego ani nigdzie jej przechowywać. Jedynie Twoja aplikacja będzie mogła uzyskać dostęp do wpisu tajnego lub punktu końcowego usługi tokenu tożsamości zarządzanej.
Tożsamości zarządzane dla zasobów platformy Azure również rejestrują aplikację w usłudze Microsoft Entra ID. Identyfikator entra firmy Microsoft usuwa rejestrację, jeśli usuniesz aplikację internetową lub wyłączysz jej tożsamość zarządzaną.
Tożsamości zarządzane są dostępne we wszystkich wersjach identyfikatora Entra firmy Microsoft, w tym bezpłatnej wersji dołączonej do subskrypcji platformy Azure. Korzystanie z niego w usłudze App Service nie wiąże się z dodatkowymi kosztami i nie wymaga żadnej konfiguracji i można ją włączyć lub wyłączyć w aplikacji w dowolnym momencie.
Włączenie tożsamości zarządzanej wymaga wydania tylko jednego polecenia interfejsu wiersza polecenia platformy Azure bez żadnej konfiguracji. Zrobisz to później podczas konfigurowania aplikacji usługi App Service i wdrażania jej na platformie Azure. Wcześniej jednak zastosuj swoją wiedzę na temat tożsamości zarządzanych, aby napisać kod dla naszej aplikacji.