Identitetshantering i Azure Container Apps – Accelerator för landningszon
För att skydda ditt program kan du aktivera autentisering och auktorisering via en identitetsprovider, till exempel Microsoft Entra-ID eller microsoft entra externt ID (förhandsversion).
Överväg att använda hanterad identitet i stället för ett huvudnamn för tjänsten för att ansluta till andra resurser i containerappen. Hanterad identitet är att föredra eftersom den förhindrar behovet av att hantera autentiseringsuppgifter. Du kan använda systemtilldelade eller användartilldelade hanterade identiteter. Systemtilldelade hanterade identiteter ger fördelen att dela en livscykel med den Azure-resurs som de är anslutna till, till exempel en containerapp. Omvänt är en användartilldelad hanterad identitet en oberoende Azure-resurs som kan återanvändas över flera resurser, vilket främjar en mer effektiv och centraliserad metod för identitetshantering.
Rekommendationer
Om autentisering krävs använder du Azure Entra ID eller Azure Entra ID B2C som identitetsprovider.
Använd separata appregistreringar för programmiljöerna. Skapa till exempel en annan registrering för utveckling jämfört med test jämfört med produktion.
Använd användartilldelade hanterade identiteter om det inte finns ett starkt krav på att använda systemtilldelade hanterade identiteter. Implementeringen av acceleratorn för landningszon använder användartilldelade hanterade identiteter av följande skäl:
- Återanvändbarhet: Eftersom du kan skapa och hantera identiteter separat från de Azure-resurser som de tilldelas till kan du återanvända samma hanterade identitet över flera resurser, vilket främjar en mer effektiv och centraliserad metod för identitetshantering.
- Livscykelhantering för identitet: Du kan skapa, ta bort och hantera användartilldelade hanterade identiteter oberoende av varandra, vilket gör det enklare att hantera identitetsrelaterade uppgifter utan att påverka Azure-resurserna med hjälp av dem.
- Bevilja behörigheter: Du har större flexibilitet när det gäller att bevilja behörigheter med användartilldelade hanterade identiteter. Du kan tilldela dessa identiteter till specifika resurser eller tjänster efter behov, vilket gör det enklare att styra åtkomsten till olika resurser och tjänster.
Använd inbyggda Azure-roller för att tilldela resurser och användare behörigheter med minst behörighet.
Se till att åtkomsten till produktionsmiljöer är begränsad. Helst har ingen stående åtkomst till produktionsmiljöer, utan förlitar sig i stället på automatisering för att hantera distributioner och Privileged Identity Management för nödåtkomst.
Skapa produktionsmiljöer och icke-produktionsmiljöer i separata Azure-prenumerationer för att avgränsa deras säkerhetsgränser.