Configurare identitate gestionată

  • 8 minute

Identitatea gestionată permite serviciilor Azure să se autentifice și să acceseze alte resurse Azure în siguranță, fără a fi nevoie să gestioneze acreditările. Se ocupă automat de crearea și gestionarea identității, făcând mai ușoară și mai sigură conectarea serviciilor.

Autentificarea cu identități gestionate pentru resursele Azure este metoda de autentificare recomandată pentru accesul programatic la SQL.

Când utilizați autentificarea Microsoft Entra cu baza de date SQL Azure, trebuie să atribuiți o identitate gestionată atribuită de sistem atunci când principalele de serviciu Azure sunt utilizate pentru a crea utilizatori Microsoft Entra în baza de date SQL. Anterior, numai o identitate gestionată atribuită de sistem putea fi atribuită identității serverului Azure SQL Database, dar acum o identitate gestionată atribuită de utilizator poate fi atribuită și ca identitate de server.

Identitate gestionată atribuită de sistem

Atunci când activați o identitate gestionată atribuită de sistem pe o resursă Azure, cum ar fi un server logic SQL, se creează o entitate de serviciu specială în Microsoft Entra ID. Această entitate principală de serviciu este legată de ciclul de viață al resursei, ceea ce înseamnă că este ștearsă automat atunci când resursa este ștearsă. Acest tip de identitate gestionată nu poate fi partajat și este asociat doar cu o singură resursă Azure. Este utilizat în mod obișnuit pentru sarcinile de lucru conținute într-o singură resursă care au nevoie de identități independente, cum ar fi o aplicație care rulează pe o singură mașină virtuală.

Utilizarea identității de gestionare atribuite de sistem

Imaginați-vă un scenariu în care trebuie să activați identitatea gestionată atribuită de sistem pentru Azure Web App. Trebuie să începeți prin a accesa portalul Azure și a găsi aplicația web. Odată ajuns acolo, navigați la secțiunea Setări din meniul din stânga și selectați Identitate.

Captură de ecran care arată opțiunea de identitate gestionată atribuită de sistem pentru o aplicație web în portalul Azure.

În fila Sistem atribuit , va trebui să comutați starea la Activat și apoi să salvați modificările.

Pentru a permite aplicației să acceseze baza de date utilizând o identitate gestionată de sistem, trebuie să creați și un utilizator cu permisiunile corespunzătoare pentru baza de date.

CREATE USER [my-prod-web-app] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [my-prod-web-app];
ALTER ROLE db_datawriter ADD MEMBER [my-prod-web-app];

Apoi, în codul aplicației, trebuie să utilizați următorul șir de conexiune pentru a vă conecta la baza de date SQL Azure utilizând o identitate gestionată atribuită de sistem.

Server=myserver.database.windows.net;Authentication=Active Directory Managed Identity; Encrypt=True;Database=my-db

Identitate gestionată atribuită de utilizator

O identitate gestionată atribuită de utilizator este creată ca resursă Azure independentă. Acest tip de identitate gestionată poate fi atribuit mai multor instanțe ale diferitelor servicii Azure, făcându-l potrivit pentru sarcinile de lucru care rulează pe mai multe resurse și pot partaja o singură identitate.

Identitatea gestionată atribuită de utilizator este, de asemenea, utilă pentru sarcinile de lucru care au nevoie de autorizare prealabilă pentru o resursă securizată ca parte a unui flux de asigurare a accesului sau în cazul în care resursele sunt reciclate frecvent, dar permisiunile trebuie să rămână consecvente.

Utilizați identitatea de gestionare atribuită de utilizator

Pentru a utiliza identități gestionate pentru resursele Azure, mai întâi trebuie să creăm o identitate gestionată de utilizator în Azure.

Puteți începe prin a naviga la portalul Azure. Selectați Identități gestionate, apoi selectați + Creare. Completați câmpurile obligatorii de pe pagina Creare identitate gestionată atribuită utilizatorului .

Captură de ecran care arată pagina Creare identitate gestionată atribuită utilizatorului în portalul Azure.

Apoi, similar cu o identitate gestionată de sistem, trebuie să atribuiți identitatea gestionată de utilizator resursei Azure. În acest exemplu, l-ați atribui Azure Web App, sub fila Gestionat de utilizator .

Captură de ecran care arată opțiunea de identitate gestionată atribuită de utilizator pentru o aplicație web în portalul Azure.

În cele din urmă, creați un utilizator SQL din identitatea gestionată din baza de date țintă utilizând instrucțiunea CREATE USER . În acest exemplu, numele nostru de identitate gestionată este my-identity.

CREATE USER [my-identity] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [my-identity];
ALTER ROLE db_datawriter ADD MEMBER [my-identity];

Următorul șir de conexiune arată cum să vă conectați la baza de date SQL Azure utilizând o identitate gestionată atribuită de utilizator.

Server=myserver.database.windows.net;Authentication=Active Directory Managed Identity; Encrypt=True;User Id=my-identity; Database=my-db

Această flexibilitate face ca identitățile gestionate atribuite de utilizator să fie o opțiune versatilă și sigură pentru gestionarea accesului la diferite servicii din mediul dvs.