App Service ve Azure İşlevleri için yönetilen kimlikleri kullanma

Bu makalede, Azure App Service ve Azure İşlevleri uygulamaları için yönetilen kimlik oluşturma ve bunu diğer kaynaklara erişmek için kullanma adımları gösterilmektedir.

Microsoft Entra Id'den yönetilen kimlik, uygulamanızın Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklara kolayca erişmesini sağlar. Azure platformu kimliği yönetir, bu yüzden herhangi bir gizli bilgiyi sağlamanıza veya döndürmenize gerek yoktur. Microsoft Entra Id'deki yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler.

Uygulamanıza iki tür kimlik vekleyebilirsiniz:

• Sistem tarafından atanan bir kimlik uygulamaya bağlıdır ve uygulama silinirse silinir. Bir uygulama yalnızca bir sistem tarafından atanan kimliğe sahip olabilir.
• Kullanıcı tarafından atanan kimlik ise uygulamanıza atanabilen tek başına bir Azure kaynağıdır. Bir uygulamanın kullanıcı tarafından atanan birden çok kimliği olabilir. Kullanıcı tarafından atanan bir kimlik, iki App Service uygulaması gibi birden çok Azure kaynağına atanabilir.

Yönetilen kimlik yapılandırması, yuvaya özeldir. Bir dağıtım yuvasi için yönetilen kimliği portaldan yapılandırmak için önce yuvaya gidin. Azure portalından Microsoft Entra kiracınızda web uygulamanızın veya dağıtım yuvanızın yönetilen kimliğini bulmak için, bunu doğrudan kiracınızın Genel Bakış sayfasından arayın.

Uyarı

Yönetilen kimlikler Azure Arc'ta dağıtılan uygulamalar için kullanılamaz.

Yönetilen kimlikler dizinler arası senaryoları desteklemediğinden, uygulamanız abonelikler veya kiracılar arasında geçirilirse beklendiği gibi davranmaz. Böyle bir taşıma işleminden sonra yönetilen kimlikleri yeniden oluşturmak için bkz. Aboneliği başka bir dizine taşırsam yönetilen kimlikler otomatik olarak yeniden oluşturulacak mı?. Aşağı akış kaynaklarının yeni kimliği kullanmak için erişim ilkelerinin güncelleştirilmiş olması da gerekir.

Önkoşullar

Bu makaledeki adımları gerçekleştirmek için Azure kaynaklarınız üzerinde en düşük izin kümenizin olması gerekir. İhtiyacınız olan belirli izinler senaryonuza göre değişir. Aşağıdaki tabloda en yaygın senaryolar özetlemektedir:

Senaryo	Gerekli izin	Örnek yerleşik roller
Sistem tarafından atanan kimlik oluşturma	Microsoft.Web/sites/write uygulamanın üzerinde veya Microsoft.Web/sites/slots/write yuvasının üzerinde	Web Sitesi Katkıda Bulunanı
Kullanıcı tarafından atanan kimlik oluşturma	Microsoft.ManagedIdentity/userAssignedIdentities/write kimliğin oluşturulacağı kaynak grubu üzerinden	Yönetilen Kimlik Katılımcısı
Uygulamanıza kullanıcı tarafından atanan bir kimlik atayın	Microsoft.Web/sites/write uygulama üzerinden, Microsoft.Web/sites/slots/write yuva üzerinden veya Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action kimlik üzerinden	Web Sitesi Katkıcısı ve Yönetilen Kimlik Operatörü
Azure rol atamaları oluşturma	Microsoft.Authorization/roleAssignments/write hedef kaynak kapsamının üzerinde	Rol Tabanlı Erişim Denetimi Yöneticisi veya Kullanıcı Erişimi Yöneticisi

Sistem tarafından atanan kimlik ekleme

Sistem tarafından atanan yönetilen kimliği etkinleştirmek için aşağıdaki yönergeleri kullanın.

Azure portalı

1. Azure portalında uygulamanızın sayfasına gidin.

2. Soldaki menüden Ayarlar>Kimlik'i seçin.

3. Sistem tarafından atanan sekmesinde, Durum'u Açık olarak ayarlayın. Ardından Kaydet'i seçin.

Azure CLI

az webapp identity assign Komutunu çalıştırın:

az webapp identity assign --resource-group <group-name> --name <app-name> 

Azure PowerShell

Uygulama Hizmeti İçin

Set-AzWebApp -AssignIdentity Komutunu çalıştırın:

Set-AzWebApp -AssignIdentity $true -ResourceGroupName <group-name>  -Name <app-name>

Fonksiyonlar İçin

Update-AzFunctionApp -IdentityType Komutunu çalıştırın:

Update-AzFunctionApp -ResourceGroupName <group-name> -Name <function-app-name>  -IdentityType SystemAssigned

ARM şablonu

Azure kaynaklarınızın dağıtımını otomatikleştirmek için bir Azure Resource Manager şablonu kullanabilirsiniz. Daha fazla bilgi edinmek için bkz. App Service'te kaynak dağıtımlarını otomatikleştirme ve Azure İşlevleri'nde kaynak dağıtımlarını otomatikleştirme.

Kaynak tanımına aşağıdaki özelliği ekleyerek kimlik içeren türünde Microsoft.Web/sites herhangi bir kaynak oluşturabilirsiniz.

"identity": {
    "type": "SystemAssigned"
}

Sistem tarafından atanan türü eklemek, Azure'a uygulamanız için kimlik oluşturmasını ve yönetmesini söyler.

Örneğin, bir web uygulamasının şablonu aşağıdaki JSON gibi görünebilir:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Site oluşturulduğunda aşağıdaki özellikleri içerir:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

özelliği, tenantId kimliğin hangi Microsoft Entra kiracısına ait olduğunu tanımlar. principalId özelliği, uygulamanın yeni kimliği için benzersiz bir tanımlayıcıdır. Microsoft Entra ID'de, hizmet asıl öğesi, Uygulama Hizmetinize veya Azure İşlevleri örneğinize verdiğiniz aynı ada sahiptir.

Şablonun sonraki bir aşamasında bu özelliklere başvurmanız gerekiyorsa, şablon işlevini şu örnekte olduğu gibi seçeneğiyle reference() birlikte kullanın:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Kullanıcı tarafından atanan kimlik ekleme

Kullanıcı tarafından atanan bir kimliğe sahip bir uygulama oluşturmak için, kimliği oluşturun ve ardından kaynak tanımlayıcısını uygulama yapılandırmanıza ekleyin.

Azure portalı

1. Bu yönergelere göre kullanıcı tarafından atanan bir yönetilen kimlik kaynağı oluşturun.

2. Uygulamanızın sayfasının sol menüsünde Ayarlar>Kimliği'ni seçin.

3. Kullanıcı Ataması seçeneğini ve ardından Ekle seçeneğini seçin.

4. Daha önce oluşturduğunuz kimliği arayın, seçin ve ardından Ekle'yi seçin.

Bu adımları tamamladıktan sonra uygulama yeniden başlatılır.

Azure CLI

1. Kullanıcı tarafından atanan kimlik oluşturma:

   az identity create --resource-group <group-name> --name <identity-name>
   

2. az webapp identity assign Uygulamaya kimlik atamak için komutunu çalıştırın:

   az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>
   

Azure PowerShell

Uygulama Hizmeti İçin

Azure PowerShell kullanarak App Service'te kullanıcı tarafından atanan kimlik ekleme işlemi şu anda desteklenmiyor.

Fonksiyonlar İçin

1. Kullanıcı tarafından atanan kimlik oluşturma:

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   $userAssignedIdentity = New-AzUserAssignedIdentity -Name <identity-name> -ResourceGroupName <group-name> -Location <region>
   

2. İşlevler'de Update-AzFunctionApp -IdentityType UserAssigned -IdentityId kimliği atamak için komutunu çalıştırın:

   Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id
   

ARM şablonu

Azure kaynaklarınızın dağıtımını otomatikleştirmek için bir Azure Resource Manager şablonu kullanabilirsiniz. Daha fazla bilgi edinmek için bkz. App Service'te kaynak dağıtımlarını otomatikleştirme ve Azure İşlevleri'nde kaynak dağıtımlarını otomatikleştirme.

Kaynak tanımına aşağıdaki bloğu ekleyerek kimlikli herhangi bir Microsoft.Web/sites kaynağı oluşturabilirsiniz. Değiştirin <resource-id> istenen kimliğin kaynak kimliğiyle.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Uyarı

Bir uygulama hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimliklere aynı anda sahip olabilir. Bu durumda type özelliği SystemAssigned,UserAssigned olur.

Kullanıcı tarafından atanan türün eklenmesi, Azure'a uygulamanız için belirttiğiniz kullanıcı tarafından atanan kimliği kullanmasını söyler.

Örneğin, bir web uygulamasının şablonu aşağıdaki JSON gibi görünebilir:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Site oluşturulduğunda aşağıdaki özellikleri içerir:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

principalId özelliği, Microsoft Entra yönetimi için kullanılan kimliğin benzersiz tanımlayıcısıdır. clientId özelliği, uygulamanın yeni kimliği için benzersiz bir tanımlayıcıdır. Çalışma zamanı çağrıları sırasında hangi kimliğin kullanılacağını belirtmek için bunu kullanırsınız.

Hedef kaynağı yapılandırma

Uygulamanızdan erişime izin vermek için hedef kaynağı yapılandırmanız gerekir. Çoğu Azure hizmeti için bir rol ataması oluşturarak hedef kaynağı yapılandırabilirsiniz.

Bazı hizmetler Azure rol tabanlı erişim denetimi dışında mekanizmalar kullanır. Bir kimlik kullanarak erişimi yapılandırmayı anlamak için her hedef kaynağın belgelerine bakın. Microsoft Entra belirteçlerini destekleyen kaynaklar hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra kimlik doğrulamasını destekleyen Azure hizmetleri.

Örneğin, Azure Key Vault'ta bir gizliliğe erişmek için bir jeton talep ederseniz, yönetilen kimliğin hedef kasadaki gizliliklerle çalışabilmesini sağlayan bir rol ataması da oluşturmanız gerekir. Aksi takdirde, geçerli bir belirteç kullansanız bile Key Vault aramalarınızı reddeder. Aynı durum Azure SQL Veritabanı ve diğer hizmetler için de geçerlidir.

Önemli

Yönetilen kimlikler için arka uç hizmetleri yaklaşık 24 saat boyunca kaynak URI'sine göre bir önbellek tutar ve yönetilen kimliğin grubu veya rol üyeliğinde yapılan değişikliklerin geçerli olması bu kadar zaman alabilir. Şu anda yönetilen kimliğe ait belirtecin süresi dolmadan yenilenmeye zorlanması mümkün değildir. İzin eklemek veya kaldırmak için yönetilen kimliğin grup veya rol üyeliğini değiştirirseniz, kimliği kullanan Azure kaynağının doğru erişime sahip olması için yaklaşık 24 saat beklemeniz gerekebilir.

Grupların veya rol üyeliklerinin alternatifleri için, Yetkilendirme için yönetilen kimliklerin kullanım sınırlamaları bölümüne bakın.

Uygulama kodunda Azure hizmetlerine bağlanma

Yönetilen kimliğiyle bir uygulama, Azure SQL Veritabanı, Azure Key Vault ve Azure Depolama gibi Microsoft Entra Id'nin korunmasına yardımcı olduğu Azure kaynakları için belirteçler alabilir. Bu belirteçler, uygulamanın belirli bir kullanıcısını değil kaynağa erişen uygulamayı temsil eder.

App Service ve Azure İşlevleri, belirteç alma için dahili olarak erişilebilir bir REST uç noktası sağlar. Standart bir HTTP GET isteği kullanarak REST uç noktasına uygulamanın içinden erişebilirsiniz. İsteği her dilde genel bir HTTP istemcisiyle uygulayabilirsiniz.

.NET, JavaScript, Java ve Python için Azure Identity istemci kitaplığı bu REST uç noktası üzerinde bir soyutlama sağlar ve geliştirme deneyimini basitleştirir. Diğer Azure hizmetlerine bağlanmak, hizmete özgü istemciye kimlik bilgisi nesnesi eklemek kadar kolaydır.

HTTP GET

Ham HTTP GET isteği sağlanan iki ortam değişkenini kullanır ve aşağıdaki örneğe benzer:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: <ip-address-:-port-in-IDENTITY_ENDPOINT>
X-IDENTITY-HEADER: <value-of-IDENTITY_HEADER>

Örnek yanıt aşağıdaki örneğe benzer olabilir:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "00001111-aaaa-2222-bbbb-3333cccc4444"
}

Bu yanıt, Microsoft Entra hizmet-hizmet erişim belirteci isteğinin yanıtıyla aynıdır. Key Vault'a erişmek için access_token değerini kasayla bağlantısı olan bir istemciye ekleyin.

.NET

Uyarı

Entity Framework Core kullanarak Azure SQL veri kaynaklarına bağlanırken Microsoft.Data.SqlClient kullanmayı göz önünde bulundurun. Bu ad alanı, yönetilen kimlik bağlantısı için özel bağlantı dizeleri sağlar. Örnek için bkz: Azure SQL Veritabanı bağlantısını App Service'ten yönetilen kimlik kullanarak güvenli hale getirme eğitimi.

.NET uygulamaları ve işlevleri için, yönetilen kimlikle çalışmanın en basit yolu .NET için Azure Identity istemci kitaplığıdır. Daha fazla bilgi için, Yönetilen kimlik kullanarak gizli anahtarlar olmadan App Service'ten Azure veritabanlarına bağlanma öğreticisi bölümüne bakın.

Daha fazla bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Azure Identity istemci kitaplığını projenize ekleme
• Sistem tarafından atanan kimliği kullanarak Azure hizmetine erişme
• Kullanıcı tarafından atanan kimliği kullanarak Azure hizmetine erişme

Bağlantılı örneklerde DefaultAzureCredential kullanılır. Azure'da yönetilen kimliklerle ve yönetilen kimlikler olmadan yerel makinenizde aynı desen çalışır.

JavaScript

Node.js uygulamalar ve JavaScript işlevleri için, yönetilen kimlikle çalışmanın en basit yolu JavaScript için Azure Identity istemci kitaplığını kullanmaktır. Daha fazla bilgi için, Yönetilen kimlik kullanarak gizli anahtarlar olmadan App Service'ten Azure veritabanlarına bağlanma öğreticisi bölümüne bakın.

Daha fazla bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Projenize Azure Identity istemci kitaplığı ekleme
• Sistem tarafından atanan kimliği kullanarak Azure hizmetine erişme
• Kullanıcı tarafından atanan kimliği kullanarak Azure hizmetine erişme

Bağlantılı örneklerde DefaultAzureCredential kullanılır. Azure'da yönetilen kimliklerle ve yönetilen kimlikler olmadan yerel makinenizde aynı desen çalışır.

JavaScript için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz . Azure Kimlik örnekleri.

Piton

Python uygulamaları ve işlevleri için yönetilen kimlikle çalışmanın en basit yolu Python için Azure Identity istemci kitaplığıdır. Daha fazla bilgi için, Yönetilen kimlik kullanarak gizli anahtarlar olmadan App Service'ten Azure veritabanlarına bağlanma öğreticisi bölümüne bakın.

Daha fazla bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Projenize Azure Identity istemci kitaplığı ekleme
• Sistem tarafından atanan kimliği kullanarak Azure hizmetine erişme
• Kullanıcı tarafından atanan kimliği kullanarak Azure hizmetine erişme

Bağlantılı örneklerde DefaultAzureCredential kullanılır. Azure'da yönetilen kimliklerle ve yönetilen kimlikler olmadan yerel makinenizde aynı desen çalışır.

Java

Java uygulamaları ve işlevleri için, yönetilen kimlikle çalışmanın en basit yolu Java için Azure Identity istemci kitaplığını kullanmaktır. Daha fazla bilgi için, Yönetilen kimlik kullanarak gizli anahtarlar olmadan App Service'ten Azure veritabanlarına bağlanma öğreticisi bölümüne bakın.

Daha fazla bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

• Projenize Azure Identity istemci kitaplığı ekleme
• Sistem tarafından atanan kimliği kullanarak Azure hizmetine erişme
• Kullanıcı tarafından atanan kimliği kullanarak Azure hizmetine erişme

Bağlı örnekler DefaultAzureCredential kullanır. Azure'da yönetilen kimliklerle ve yönetilen kimlikler olmadan yerel makinenizde aynı desen çalışır.

Java için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz. Azure Kimlik örnekleri.

PowerShell

Azure hizmetinin kaynak URI'sini belirterek yerel uç noktadan belirteç almak için aşağıdaki betiği kullanın:

$resourceURI = "https://<Entra-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

REST uç noktası hakkında daha fazla bilgi için bu makalenin devamında yer alan REST uç nokta başvurusuna bakın.

Kimliği kaldır

Sistem tarafından atanan bir kimliği kaldırdığınızda, bu kimlik Microsoft Entra Id'den silinir. Uygulama kaynağını sildiğinizde sistem tarafından atanan kimlikler de Microsoft Entra Id'den otomatik olarak kaldırılır.

Azure portalı

1. Uygulamanızın sayfasının sol menüsünde Ayarlar>Kimliği'ni seçin.

2. Kimlik türüne göre adımları izleyin:

   • Sistem tarafından atanan kimlik için: Sistem tarafından atanan sekmesinde Durum'aKapalı olarak geçin. Ardından Kaydet'i seçin.
   • Kullanıcı tarafından atanan kimlik için: Kullanıcı tarafından atanan sekmesini seçin, kimliğin onay kutusunu seçin ve ardından Kaldır'ı seçin. Onaylamak için Evet'i seçin.

Azure CLI

Sistem tarafından atanan kimliği kaldırmak için şu komutu kullanın:

az webapp identity remove --resource-group <group-name> --name <app-name>

Kullanıcı tarafından atanan bir veya daha fazla kimliği kaldırmak için şu komutu kullanın:

az webapp identity remove --resource-group <group-name> --name <app-name> --identities <identity-id1> <identity-id2> ...

Sistem tarafından atanan kimliği [system] içinde --identities belirterek de kaldırabilirsiniz.

Azure PowerShell

Uygulama Hizmeti İçin

App Service için sistem tarafından atanan bir kimliği kaldırmak için komutunu Set-AzWebApp -AssignIdentity çalıştırın:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name> 

Fonksiyonlar İçin

Azure PowerShell'deki tüm kimlikleri kaldırmak için (yalnızca Azure İşlevleri) şu komutu çalıştırın:

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name <function-app-name> -ResourceGroupName <group-name> -IdentityType None

ARM şablonu

ARM şablonundaki tüm kimlikleri kaldırmak için şu kodu kullanın:

"identity": {
    "type": "None"
}

Uyarı

Yalnızca yerel belirteç hizmetini devre dışı bırakabilecek bir uygulama ayarı da ayarlayabilirsiniz: WEBSITE_DISABLE_MSI. Ancak kimliği olduğu gibi bırakır. Araçlar, yönetilen kimliğin hâlâ açık veya etkin olduğunu gösteriyor. Sonuç olarak, bu ayarı kullanmanızı önermeyiz.

REST uç nokta başvurusu

Yönetilen kimliğe sahip bir uygulama, iki ortam değişkeni tanımlayarak bu uç noktayı kullanılabilir hale getirir:

• IDENTITY_ENDPOINT: Yerel belirteç hizmetine URL.
• IDENTITY_HEADER: Sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltmaya yardımcı olabilecek üst bilgi. Platform değeri döndürüyor.

IDENTITY_ENDPOINT değişkeni, uygulamanızın belirteç isteğinde bulunabileceği yerel bir URL'dir. Bir kaynağın belirtecini almak için bu uç noktaya bir HTTP GET isteği gönderin. Aşağıdaki parametreleri ekleyin:

Parametre adı	İçinde	Açıklama
resource	Soru	Jeton alınması gereken kaynağın Microsoft Entra kaynak URI'si. Bu kaynak , Microsoft Entra kimlik doğrulamasını veya başka bir kaynak URI'sini destekleyen Azure hizmetlerinden biri olabilir.
api-version	Soru	Kullanılacak belirteç API'sinin sürümü. 2019-08-01 adresini kullanın.
X-IDENTITY-HEADER	Başlık	Ortam değişkeninin IDENTITY_HEADER değeri. Bu başlık, SSRF saldırılarını azaltmaya yardımcı olmak için kullanılır.
client_id	Soru	(İsteğe bağlı) Kullanıcı tarafından atanan kimliğin kullanılacak istemci kimliği. principal_id, mi_res_id veya object_id içeren bir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.
principal_id	Soru	(Opsiyonel) Kullanıcıya atanmış kimliğin kullanılacak ana kimlik numarası. object_id parametresi bunun yerine kullanılabilecek bir diğer addır. client_id, mi_res_id veya object_id içeren bir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.
mi_res_id	Soru	(Opsiyonel) Kullanıcıya atanan kimliğin kullanılacak Azure kaynak kimliği. principal_id, client_id veya object_id içeren bir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.

Önemli

Kullanıcı tarafından atanan kimlikler için belirteçleri almaya çalışıyorsanız isteğe bağlı özelliklerden birini ekleyin. Aksi takdirde, belirteç hizmeti, var olabilir veya olmayabilir, sistem tarafından atanmış bir kimlik için bir belirteç almaya çalışır.

İlgili içerik

Aşağıdaki eğitimleri göz önünde bulundurun:

• Yönetilen kimlik kullanarak gizli bilgiler olmadan .NET App Service'ten SQL Veritabanı'na bağlanmak
• .NET web uygulamasından Azure hizmetlerine erişme
• Microsoft Graph'a güvenli bir .NET uygulamasından uygulama olarak erişme
• Key Vault kullanarak .NET App Service'ten Bilişsel Hizmet bağlantısının güvenliğini sağlama