Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Programvaruarbetsbelastningar som körs i Kubernetes-kluster behöver en identitet för att kunna autentisera och komma åt resurser eller kommunicera med andra tjänster. För en programvaruarbetsbelastning som körs utanför Azure måste du använda programautentiseringsuppgifter, till exempel en hemlighet eller ett certifikat, för att få åtkomst till resurser som skyddas av Microsoft Entra (till exempel Azure Key Vault eller Azure Blob Storage). Dessa autentiseringsuppgifter utgör en säkerhetsrisk och måste lagras på ett säkert sätt och roteras regelbundet. Du riskerar också tjänstavbrott om autentiseringsuppgifterna upphör att gälla.
Med arbetsbelastningsidentitetsfederation kan du konfigurera en användartilldelad hanterad identitet eller appregistrering i Microsoft Entra-ID för att lita på token från en extern identitetsprovider (IdP), till exempel Kubernetes. Den användartilldelade hanterade identiteten eller appregistreringen i Microsoft Entra ID blir en identitet för programvaruarbetsbelastningar som körs i Arc-aktiverade Kubernetes-kluster. När förtroenderelationen har skapats kan din arbetsuppgift utbyta betrodda tokens med Kubernetes-kluster med Arc-aktivering mot åtkomsttokens från Microsofts identitetsplattform. Din programvaruarbetsbelastning använder den åtkomsttoken för att få åtkomst till de resurser som skyddas av Microsoft Entra. Med arbetsbelastningsidentitetsfederation kan du på så sätt eliminera underhållsbördan för att manuellt hantera autentiseringsuppgifter och eliminera risken för att hemligheter läcker eller att certifikat upphör att gälla.
Så här fungerar arbetsbelastningsidentiteten med Azure Arc-aktiverade Kubernetes-kluster
Stöd för arbetsbelastningsidentitet för Azure Arc-aktiverade Kubernetes använder volymprojektion för tjänstekontotoken (det vill säga ett tjänstekonto) så att arbetsbelastningspoddar kan använda en Kubernetes-identitet. En Kubernetes-token utfärdas och OIDC-federationen (OpenID Connect) ger Kubernetes-program åtkomst till Azure-resurser på ett säkert sätt med Microsoft Entra-ID, baserat på kommenterade tjänstkonton.
Det Arc-aktiverade Kubernetes-klustret fungerar som token-utfärdare. Microsoft Entra ID använder OIDC för att identifiera offentliga signeringsnycklar och verifiera autenticiteten för tjänstkontotoken innan du utbyter den mot en Microsoft Entra-token. Din arbetsbelastning kan byta ut en tjänstkontotoken som projiceras till dess volym mot en Microsoft Entra-token med hjälp av Azure Identity-klientbiblioteket eller Microsoft Authentication Library (MSAL).
I följande tabell visas de nödvändiga OIDC-utfärdarslutpunkterna för Microsoft Entra-arbetsbelastnings-ID.
| Slutpunkt | beskrivning |
|---|---|
{IssuerURL}/.well-known/openid-configuration |
Kallas även för OIDC-identifieringsdokumentet. Innehåller metadata om utfärdarens konfigurationer. |
{IssuerURL}/openid/v1/jwks |
Innehåller de offentliga signeringsnycklar som Microsoft Entra-ID använder för att verifiera autentiteten för tjänstkontotoken. |
Tjänstkontoetiketter och anteckningar
Microsoft Entra-arbetsbelastnings-ID stöder följande mappningar relaterade till ett tjänstkonto:
- En-till-en: Ett tjänstkonto refererar till ett Microsoft Entra-objekt.
- Många-till-en: Flera tjänstkonton refererar till samma Microsoft Entra-objekt.
- En-till-många: Ett tjänstkonto refererar till flera Microsoft Entra-objekt genom att ändra klient-ID-anteckningen. Mer information finns i Så här federerar du flera identiteter med ett Kubernetes-tjänstkonto.
Krav
Azure Arc-aktiverade Kubernetes-kluster stöder Microsoft Entra Workload Identity från och med agentversion 1.21.
Om du vill använda arbetsbelastningsidentitetsfunktionen måste du ha Azure CLI version 2.64 eller senare och az connectedk8s version 1.10.0 eller senare. Se till att uppdatera din Azure CLI-version innan du uppdaterar din az connectedk8s version. Om du använder Azure Cloud Shell installeras den senaste versionen av Azure CLI.
Microsoft Entra-arbetsbelastnings-ID fungerar särskilt bra med Azure Identity-klientbibliotekeneller MSAL-samlingen (Microsoft Authentication Library) tillsammans med programregistrering. Din arbetsbelastning kan använda något av dessa bibliotek för att smidigt autentisera och komma åt Azure-molnresurser.
Mer information om integrering med populära bibliotek finns i Använda Microsoft Entra-arbetsbelastnings-ID med AKS.
Aktuella begränsningar
Tänk på följande aktuella begränsningar:
- Högst 20 federerade identitetsuppgifter per hanterad identitet kan konfigureras.
- När den federala identitetsautentiseringsuppgiften har lagts till tar det några sekunder innan den sprids.
- Skapande av federerade identitetsautentiseringsuppgifter stöds inte för användartilldelade hanterade identiteter i vissa regioner.
Nästa steg
- Lär dig hur du aktiverar arbetsbelastningsidentitet i ditt Azure Arc-aktiverade Kubernetes-kluster och konfigurerar ditt program för att använda arbetsbelastningsidentitet.
- Hjälp med att skydda klustret på andra sätt genom att följa riktlinjerna i säkerhetsboken för Azure Arc-aktiverade Kubernetes.