Azure'da barındırılan Java uygulamalarını, sistem tarafından atanan yönetilen kimlik kullanarak Azure kaynaklarına kimlik doğrulaması yapın.

Azure barındırılan bir uygulamanın kimliğini diğer Azure kaynaklarda doğrulamak için önerilen yaklaşım, managed identity kullanmaktır. Azure App Service, Azure Container Apps ve Azure Virtual Machines üzerinde barındırılan uygulamalar dahil olmak üzere çoğu Azure hizmeti bu yaklaşımı destekler. Daha fazla bilgi için bkz. yönetilen kimlikleri destekleyen Azure hizmetleri ve kaynak türleri. Farklı kimlik doğrulama teknikleri ve yaklaşımları hakkında daha fazla bilgi için Azure Identity kitaplığını kullanarak Java uygulamalarını Azure hizmetlerine kimlik doğrulama bölümüne bakın.

Aşağıdaki bölümlerde şunları öğrenirsiniz:

• Temel yönetilen kimlik kavramları.
• Uygulamanız için sistem tarafından atanan yönetilen bir kimlik nasıl oluşturulur.
• Sistem tarafından yönetilen kimliğe rol atama.
• Uygulama kodunuzdan sistemin atadığı yönetilen kimliği kullanarak nasıl kimlik doğrulaması yapacağınızı öğrenin.

Temel yönetilen kimlik kavramları

Yönetilen kimlik, uygulamanızın gizli anahtarlar veya diğer uygulama gizli dizileri kullanmadan diğer Azure kaynaklarına güvenli bir şekilde bağlanmasını sağlar. Azure, kimliği ve bağlanmasına izin verilen kaynakları dahili olarak izler. Azure, uygulamanın diğer Azure kaynaklarına bağlanmasına izin vermek üzere Microsoft Entra belirteçlerini otomatik olarak almak için bu bilgileri kullanır.

Barındırılan uygulamanızı yapılandırırken göz önünde bulundurmanız gereken iki tür yönetilen kimlik vardır:

• System-assigned yönetilen kimlikler doğrudan bir Azure kaynağında etkinleştirilerek yaşam döngüsüne bağlanır. Kaynak silindiğinde Azure sizin için kimliği otomatik olarak siler. Sistem tarafından atanan kimlikler, yönetilen kimlikleri kullanmaya yönelik minimalist bir yaklaşım sağlar.
• User tarafından atanan yönetilen kimlikler tek başına Azure kaynakları olarak oluşturulur ve daha fazla esneklik ve yetenek sunar. Bunlar, aynı kimliği ve izinleri paylaşması gereken birden çok Azure kaynağı içeren çözümler için idealdir. Örneğin, birden çok sanal makinenin aynı Azure kaynakları kümesine erişmesi gerekiyorsa, kullanıcı tarafından atanan yönetilen kimlik yeniden kullanılabilirlik ve iyileştirilmiş yönetim sağlar.

Tavsiye

Yönetilen kimlik en iyi uygulama önerileri makalesinde sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikleri seçme ve yönetme hakkında daha fazla bilgi edinin.

Aşağıdaki bölümlerde, Azure barındırılan bir uygulama için sistem tarafından atanan yönetilen kimliği etkinleştirme ve kullanma adımları açıklanmaktadır. Bakınız, kullanıcı tarafından atanan yönetilen kimlik kullanarak Azure kaynaklarına erişmek için Azure üzerinde barındırılan Java uygulamalarını kimlik doğrulama.

Azure barındırma kaynağında sistem tarafından atanan yönetilen kimliği etkinleştirme

Uygulamanızla sistem tarafından atanan yönetilen kimliği kullanmaya başlamak için, Azure App Service, Azure Container Apps veya Azure Virtual Machines örneği gibi uygulamanızı barındıran Azure kaynağında kimliği etkinleştirin.

Azure portalını veya Azure CLI kullanarak bir Azure kaynağı için sistem tarafından atanan yönetilen kimliği etkinleştirebilirsiniz.

Azure portalı

1. Azure portalında, Azure App Service veya Azure Container Apps örneği gibi uygulama kodunuzu barındıran kaynağa gidin.

2. Kaynağın Genel Bakış sayfasında Ayarlar bölümünü genişletin ve navigasyon menüsünden Kimlik'i seçin.

3. Kimlik sayfasında, Durum kaydırıcısını Açıkkonumuna getirin.

4. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

   

Azure CLI

Azure CLI komutları Azure Cloud Shell içinde veya Azure CLI yüklü yüklü bir iş istasyonunda çalıştırılabilir.

bir Azure kaynağı için yönetilen kimliği etkinleştirmek için kullanılan Azure CLI komutları az <command-group> identity --resource-group <resource-group-name> --name <resource-name> biçimindedir. Popüler Azure hizmetleri için belirli komutlar aşağıda gösterilmiştir.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Azure Container Apps:

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <container-app-name> \
    --system-assigned

Azure Virtual Machines:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Çıkış aşağıdakine benzer:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

principalId değeri, yönetilen kimliğin benzersiz kimliğidir. Sonraki adımda bu değerlere ihtiyaç duyacağınız için bu çıkışın bir kopyasını saklayın.

Yönetilen kimliğe roller atayın

Ardından, uygulamanızın hangi rollere ihtiyacı olduğunu belirleyin ve bu rolleri yönetilen kimliğe atayın. Yönetilen kimliğe aşağıdaki kapsamlarda rol atayabilirsiniz:

• Kaynak: Atanan roller yalnızca o belirli kaynağa uygulanır.
• Kaynak grubu: Atanan roller, kaynak grubunda yer alan tüm kaynaklara uygulanır.
• abonelik : Atanan roller, abonelikte yer alan tüm kaynaklar için geçerlidir.

Aşağıdaki örnekte, birçok uygulama tüm ilgili Azure kaynaklarını tek bir kaynak grubu kullanarak yönettiğinden kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı

1. Sistem tarafından atanan yönetilen kimlikle uygulamayı içeren kaynak grubunun Genel Bakış sayfasına gidin.

2. Soldaki gezinti bölmesinde Erişim Denetimi (IAM) seçin.

3. Erişim denetimi (IAM) sayfasında, üst menüden + Ekle'yi seçin ve ardından Rol Ataması Ekle'yi seçerek Rol Ataması Ekle sayfasına gidin.

   

4. Rol ataması ekle sayfası, kimliklere rol atamak için sekmeli, çok adımlı bir iş akışı sunar. İlk Rol sekmesinde, kimliğe atamak istediğiniz rolü bulmak için üstteki arama kutusunu kullanın.

5. Sonuçlardan rolü seçin ve ardından İleri seçeneğine tıklayarak Üyeler sekmesine geçin.

6. erişim atama seçeneği için yönetilen kimlikseçin.

7. Üyeler seçeneği için, + Üyeleri seç'ni seçin ve Yönetilen kimlikleri seç panelini açın.

8. Yönetilen kimlikleri seçin panelinde Abonelik kullanın ve yönetilen kimlik açılan listelerini kullanarak kimliklerinizin arama sonuçlarını filtreleyin. Uygulamanızı barındıran Azure kaynağı için etkinleştirdiğiniz sistem kimliğini bulmak için Select arama kutusunu kullanın.

   

9. Devam etmek için kimliği seçin ve panelin altındaki seçeneğini tıklayın.

10. Sayfanın alt kısmındaki Gözden Geçir + Ata seçeneğini seçin.

11. Son gözden geçir + ata sekmesinde, iş akışını tamamlamak için gözden geçir + ata'ü seçin.

Azure CLI

yönetilen kimliğe az role assignment create komutu kullanılarak Azure'de bir rol atanır:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Hizmet sorumlusunun atanabileceği rol adlarını almak için az role definition list komutunu kullanın:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Örneğin, aaaaaaaa-bbbb-cccc-1111-222222222222 kimliğiyle yönetilen kimliğe, msdocs-sdk-auth-example kaynak grubundaki tüm depolama hesaplarına Azure Storage blob kapsayıcılarına ve verilerine okuma, yazma ve silme erişimi izni vermek için, aşağıdaki komutu kullanarak uygulama hizmeti sorumlusunu Depolama Blob Veri Katkıda Bulunanı rolüne atayın.

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

İzin atamayı kaynak veya abonelik düzeyinde Azure CLI kullanarak öğrenmek için, Azure CLI kullanarak Azure rollerini atama makalesine bakın.

Uygulamanızdan Azure hizmetleri için kimlik doğrulaması

Azure Identity kitaplığı, çeşitli kimlik doğrulama bilgilerini TokenCredential uygulamaları olarak sağlar. Her uygulama farklı senaryoları ve Microsoft Entra kimlik doğrulama akışlarını destekler. Azure'da barındırılan uygulamalar için, Azure üzerinde çalışırken yönetilen kimlik bilgilerini otomatik olarak bulan DefaultAzureCredential kullanın.

Kodu uygulama

azure-identity Dosyanıza pom.xml bağımlılığı ekleyin:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Azure SDK istemci kitaplıklarından özelleştirilmiş istemci sınıflarını kullanarak Azure hizmetlere erişirsiniz. Aşağıdaki kod örnekleri, sistem tarafından atanan yönetilen kimlik için kimlik bilgisi doğrulamasını yapılandırmayı gösterir.

DefaultAzureCredential kullanın

Azure'da çalışırken yönetilen kimlik kimlik bilgilerini otomatik olarak bulacağından Azure barındırılan uygulamalar için DefaultAzureCredential kullanın. Sistem tarafından atanan yönetilen kimlikler için ek yapılandırma gerekmez.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// DefaultAzureCredential automatically discovers managed identity when running in Azure
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

ManagedIdentityCredential'i Kullanma

Yönetilen kimlik kimlik bilgilerini açıkça kullanmak ve DefaultAzureCredential içinde kimlik bilgisi zinciri aramasından kaçınmak istiyorsanız, ManagedIdentityCredential'i doğrudan kullanın. Sistem tarafından atanan yönetilen kimlikler için istemci kimliği belirtmeyin:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// For system-assigned managed identity, don't specify a client ID
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Sonraki Adımlar

Bu makalede, sistem tarafından atanan yönetilen kimlik kullanılarak kimlik doğrulaması ele alınmıştır. Bu kimlik doğrulama biçimi, Java için Azure SDK kimlik doğrulaması yapabileceğiniz birden çok yöntemden biridir. Aşağıdaki makalelerde diğer yollar açıklanmaktadır:

• Kullanıcı tarafından atanan yönetilen kimliği kullanarak Azure barındırılan Java uygulamalarını Azure kaynaklara doğrula
• > Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Java uygulamalarını Azure hizmetlere doğrulayın
• Hizmet sorumlularını kullanarak Java uygulamalarını yerel geliştirme sırasında Azure hizmetlere doğrulayın

Azure barındırılan uygulama kimlik doğrulamasıyla ilgili sorunlarla karşılaşırsanız bkz. Sorun Azure barındırılan uygulama kimlik doğrulaması.

Kimlik doğrulamayı öğrendikten sonra, Azure SDK ile Java için Günlük Kaydını Yapılandırma bölümüne bakarak SDK tarafından sağlanan günlük kaydı işlevselliği hakkında bilgi edinin.