Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Appar kan använda Azure Identity-biblioteket för att autentisera till Microsoft Entra-ID, vilket gör att apparna kan komma åt Azure-tjänster och resurser. Det här autentiseringskravet gäller om appen distribueras till Azure, finns lokalt eller körs lokalt på en arbetsstation för utvecklare. I de kommande avsnitten beskrivs de rekommenderade metoderna för att autentisera en app till Microsoft Entra-ID i olika miljöer när du använder Azure SDK-klientbiblioteken.
Rekommenderad metod för appautentisering
Tokenbaserad autentisering via Microsoft Entra-ID är den rekommenderade metoden för att autentisera appar till Azure, i stället för att använda anslutningssträngar eller nyckelbaserade alternativ. Azure Identity-biblioteket innehåller klasser som stöder tokenbaserad autentisering och tillåter appar att autentisera till Azure-resurser oavsett om appen körs lokalt, på Azure eller på en lokal server.
Fördelar med tokenbaserad autentisering
Tokenbaserad autentisering ger följande fördelar jämfört med anslutningssträngar:
- Tokenbaserad autentisering säkerställer att endast de specifika appar som är avsedda att komma åt Azure-resursen kan göra det, medan alla eller appar med en anslutningssträng kan ansluta till en Azure-resurs.
- Med tokenbaserad autentisering kan du ytterligare begränsa Åtkomsten till Azure-resurser till endast de specifika behörigheter som krävs av appen. Detta följer -principen om lägsta behörighet. En anslutningssträng ger däremot fullständig behörighet till Azure-resursen.
- När du använder en hanterad identitet för tokenbaserad autentisering hanterar Azure administrativa funktioner åt dig, så du behöver inte bekymra dig om uppgifter som att skydda eller rotera hemligheter. Detta gör appen säkrare eftersom det inte finns någon anslutningssträng eller programhemlighet som kan komprometteras.
- Azure Identity-biblioteket hämtar och hanterar Microsoft Entra-token åt dig.
Användning av anslutningssträngar bör begränsas till scenarier där tokenbaserad autentisering inte är ett alternativ, initiala konceptbevisappar eller utvecklingsprototyper som inte har åtkomst till produktionsdata eller känsliga data. Använd när det är möjligt de tokenbaserade autentiseringsklasserna som är tillgängliga i Azure Identity-biblioteket för att autentisera till Azure-resurser.
Autentisering i olika miljöer
Vilken typ av tokenbaserad autentisering en app ska använda för att autentisera till Azure-resurser beror på var appen körs. Följande diagram innehåller vägledning för olika scenarier och miljöer:
När en app är:
- Värdhanterad i Azure: Appen bör autentisera till Azure-resurser med hjälp av en hanterad identitet. Det här alternativet beskrivs mer detaljerat vid autentisering i servermiljöer.
- Körs lokalt under utveckling: Appen kan autentisera till Azure med antingen ett huvudnamn för programtjänsten för lokal utveckling eller med hjälp av utvecklarens Azure-autentiseringsuppgifter. Varje alternativ diskuteras mer detaljerat under autentisering under lokal utveckling.
- Lokalt värdbaserad: Appen bör autentiseras mot Azure-resurser med hjälp av ett huvudnamn för programtjänsten eller en hanterad identitet när det gäller Azure Arc. Lokala arbetsflöden beskrivs mer detaljerat vid autentisering i servermiljöer.
Autentisering för Azure-värdbaserade appar
När din app finns i Azure kan den använda hanterade identiteter för att autentisera till Azure-resurser utan att behöva hantera några autentiseringsuppgifter. Det finns två typer av hanterade identiteter: användartilldelade och systemtilldelade.
Använda en användartilldelad hanterad identitet
En användartilldelad hanterad identitet skapas som en fristående Azure-resurs. Den kan tilldelas till en eller flera Azure-resurser, så att dessa resurser kan dela samma identitet och behörigheter. Om du vill autentisera med hjälp av en användartilldelad hanterad identitet skapar du identiteten, tilldelar den till din Azure-resurs och konfigurerar sedan appen att använda den här identiteten för autentisering genom att ange dess klient-ID, resurs-ID eller objekt-ID.
Använda en systemtilldelad hanterad identitet
En systemtilldelad hanterad identitet aktiveras direkt på en Azure-resurs. Identiteten är kopplad till resursens livscykel och tas bort automatiskt när resursen tas bort. Om du vill autentisera med hjälp av en systemtilldelad hanterad identitet aktiverar du identiteten på din Azure-resurs och konfigurerar sedan appen så att den använder den här identiteten för autentisering.
Autentisering under lokal utveckling
Under den lokala utvecklingen kan du autentisera till Azure-resurser med dina autentiseringsuppgifter för utvecklare eller ett huvudnamn för tjänsten. På så sätt kan du testa appens autentiseringslogik utan att distribuera den till Azure.
Använda autentiseringsuppgifter för utvecklare
Du kan använda dina egna autentiseringsuppgifter för Azure för att autentisera till Azure-resurser under den lokala utvecklingen. Detta görs vanligtvis med hjälp av ett utvecklingsverktyg, till exempel Azure CLI eller Visual Studio, som kan ge din app de token som krävs för att få åtkomst till Azure-tjänster. Den här metoden är praktisk men bör endast användas i utvecklingssyfte.
Använda tjänstens huvudnamn
Ett huvudnamn för tjänsten skapas i en Microsoft Entra-klientorganisation för att representera en app och användas för att autentisera till Azure-resurser. Du kan konfigurera din app så att den använder autentiseringsuppgifter för tjänstens huvudnamn under den lokala utvecklingen. Den här metoden är säkrare än att använda autentiseringsuppgifter för utvecklare och är närmare hur din app ska autentiseras i produktion. Det är dock fortfarande mindre idealiskt än att använda en hanterad identitet på grund av behovet av hemligheter.
Autentisering för appar som finns lokalt
För appar som finns lokalt kan du använda tjänstens huvudnamn för att autentisera till Azure-resurser. Det handlar om att skapa ett huvudnamn för tjänsten i Microsoft Entra-ID, tilldela den nödvändiga behörigheter och konfigurera appen att använda sina autentiseringsuppgifter. Med den här metoden kan din lokala app få säker åtkomst till Azure-tjänster.
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
