Kullanıcı tarafından atanan yönetilen kimliği kullanarak Azure kaynaklarda barındırılan Azure Java uygulamalarının kimliğini doğrulama

Azure barındırılan bir uygulamanın kimliğini diğer Azure kaynaklarda doğrulamak için önerilen yaklaşım, managed identity kullanmaktır. Azure App Service, Azure Container Apps ve Azure Virtual Machines üzerinde barındırılan uygulamalar dahil olmak üzere çoğu Azure hizmeti bu yaklaşımı destekler. Daha fazla bilgi için bkz. yönetilen kimlikleri destekleyen Azure hizmetleri ve kaynak türleri. Farklı kimlik doğrulama teknikleri ve yaklaşımları hakkında daha fazla bilgi için Azure Identity kitaplığını kullanarak Java uygulamalarını Azure hizmetlerine kimlik doğrulama bölümüne bakın.

Aşağıdaki bölümlerde şunları öğrenirsiniz:

• Temel yönetilen kimlik kavramları.
• Uygulamanız için kullanıcı tarafından atanan yönetilen kimlik oluşturma.
• "Kullanıcı tarafından atanan yönetilen kimliğe rollerin nasıl atanacağı."
• Uygulama kodunuzdan kullanıcı tarafından atanmış yönetilen kimliği kullanarak kimlik doğrulama işlemini nasıl yapabilirsiniz?

Temel yönetilen kimlik kavramları

Yönetilen kimlik, uygulamanızın gizli anahtarlar veya diğer uygulama gizli dizileri kullanmadan diğer Azure kaynaklarına güvenli bir şekilde bağlanmasını sağlar. Azure, kimliği ve bağlanmasına izin verilen kaynakları dahili olarak izler. Azure, uygulamanın diğer Azure kaynaklarına bağlanmasına izin vermek üzere Microsoft Entra belirteçlerini otomatik olarak almak için bu bilgileri kullanır.

Barındırılan uygulamanızı yapılandırırken göz önünde bulundurmanız gereken iki tür yönetilen kimlik vardır:

• System-assigned yönetilen kimlikler doğrudan bir Azure kaynağında etkinleştirilerek yaşam döngüsüne bağlanır. Kaynak silindiğinde Azure sizin için kimliği otomatik olarak siler. Sistem tarafından atanan kimlikler, yönetilen kimlikleri kullanmaya yönelik minimalist bir yaklaşım sağlar.
• User tarafından atanan yönetilen kimlikler tek başına Azure kaynakları olarak oluşturulur ve daha fazla esneklik ve yetenek sunar. Bunlar, aynı kimliği ve izinleri paylaşması gereken birden çok Azure kaynağı içeren çözümler için idealdir. Örneğin, birden çok sanal makinenin aynı Azure kaynakları kümesine erişmesi gerekiyorsa, kullanıcı tarafından atanan yönetilen kimlik yeniden kullanılabilirlik ve iyileştirilmiş yönetim sağlar.

Tip

Yönetilen kimlik en iyi uygulama önerileri makalesinde sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikleri seçme ve yönetme hakkında daha fazla bilgi edinin.

Aşağıdaki bölümlerde, Azure barındırılan bir uygulama için kullanıcı tarafından atanan yönetilen kimliği etkinleştirme ve kullanma adımları açıklanmaktadır. Sistem tarafından atanan yönetilen kimlik kullanmanız gerekiyorsa bkz. Sistem tarafından atanan yönetilen kimliği kullanarak Azure kaynaklarına Azure'da barındırılan Java uygulamaları için kimlik doğrulama.

Kullanıcının atadığı yönetilen kimliği oluşturun

Kullanıcı tarafından atanan yönetilen kimlikler, Azure portalı veya Azure CLI kullanılarak Azure aboneliğinizde tek başına kaynaklar olarak oluşturulur. Azure CLI komutları Azure Cloud Shell içinde veya Azure CLI yüklü yüklü bir iş istasyonunda çalıştırılabilir.

Azure portalı

1. Azure portalında ana arama çubuğuna Yönetilen kimlikler girin ve Services bölümünde eşleşen sonucu seçin.

2. Yönetilen Kimlikler sayfasında +Oluştur'u seçin.

   

3. Kullanıcı Tarafından Atanan Yönetilen Kimlik oluştur sayfasında, kullanıcı tarafından atanan yönetilen kimlik için bir abonelik, kaynak grubu ve bölge seçin ve bir ad sağlayın.

4. Girişlerinizi gözden geçirmek ve doğrulamak için Gözden geçir + oluştur seçeneğini seçin.

   

5. Kullanıcı tarafından atanan yönetilen kimliği oluşturmak için oluştur'u seçin.

6. Kimlik oluşturulduktan sonra Kaynağa git'i seçin.

7. Yeni kimliğin Genel Bakış sayfasında, uygulama kodunu yapılandırırken kullanmak üzere İstemci Kimliği değerini kopyalayın.

Azure CLI

Yönetilen kimlik oluşturmak için Azure CLI komutunu az identity create kullanın:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

Komut çıktısı, oluşturulan kullanıcı atamalı yönetilen kimliğin istemci kimliğini yazdırır. İstemci kimliği, kimliğe bağlı olan uygulama kodunu yapılandırmak için kullanılır.

yönetilen kimlik özelliklerini istediğiniz zaman az identity show komutunu kullanarak yeniden görüntüleyebilirsiniz:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Uygulamanıza yönetilen kimliği atayın

Kullanıcı tarafından atanan yönetilen kimlik, bir veya daha fazla Azure kaynağıyla ilişkilendirilebilir. Bu kimliği kullanan tüm kaynaklar, kimliğe ait roller üzerinden verilen izinleri alır.

Azure portalı

1. Azure portalında, Azure App Service veya Azure Container Apps örneği gibi uygulama kodunuzu barındıran kaynağa gidin.

2. Kaynağın Genel Bakış sayfasında Ayarlar bölümünü genişletin ve navigasyon menüsünden Kimlik'i seçin.

3. Kimlik sayfasına gidin ve Kullanıcı tarafından atanan sekmesine geçin.

4. + Ekle'yi seçin ve Kullanıcı tarafından atanan yönetilen kimlik ekle panelini açın.

5. Kullanıcı tarafından atanan yönetilen kimliği ekle panelinde, kimlikleriniz için yapılan arama sonuçlarını filtrelemek amacıyla Abonelik açılır listesini kullanın. Uygulamanızı barındıran Azure kaynağı için etkinleştirdiğiniz kullanıcı tarafından atanan yönetilen kimliği bulmak için User tarafından atanan yönetilen kimlikler arama kutusunu kullanın.

6. Devam etmek için kimliği seçin ve panelin alt kısmındaki Ekle'i seçin.

   

Azure CLI

Azure CLI, farklı barındırma hizmetleri türlerine kullanıcı tarafından atanan yönetilen kimlik atamak için farklı komutlar sağlar.

1. Azure CLI kullanarak Azure App Service web uygulaması gibi bir kaynağa kullanıcı tarafından atanan yönetilen kimlik atamak için, kimliğin kaynak kimliği gerekir. Kaynak kimliğini almak için az identity show komutunu kullanın:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Kaynak kimliğine sahip olduktan sonra, kullanıcı tarafından atanan yönetilen kimliği aşağıdaki gibi farklı kaynaklarla ilişkilendirmek için Azure CLI komutunu az <resourceType> identity assign komutunu kullanın:

   Azure App Service için Azure CLI komutunu az webapp identity assign kullanın:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Azure Container Apps için Azure CLI komutunu az containerapp identity assign kullanın:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --user-assigned <user-assigned-identity-resource-id>
   

   Azure Virtual Machines için Azure CLI komutunu az vm identity assign kullanın:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Yönetilen kimliğe roller atayın

Ardından, uygulamanızın hangi rollere ihtiyacı olduğunu belirleyin ve bu rolleri yönetilen kimliğe atayın. Yönetilen kimliğe aşağıdaki kapsamlarda rol atayabilirsiniz:

• Kaynak: Atanan roller yalnızca o belirli kaynağa uygulanır.
• Kaynak grubu: Atanan roller, kaynak grubunda yer alan tüm kaynaklara uygulanır.
• abonelik : Atanan roller, abonelikte yer alan tüm kaynaklar için geçerlidir.

Aşağıdaki örnekte, birçok uygulama tüm ilgili Azure kaynaklarını tek bir kaynak grubu kullanarak yönettiğinden kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı

1. Kullanıcı tarafından atanan yönetilen kimlikle uygulamayı içeren kaynak grubunun Genel Bakış sayfasına gidin.

2. Soldaki gezinti bölmesinde Erişim Denetimi (IAM) seçin.

3. Erişim denetimi (IAM) sayfasında, üst menüden + Ekle'yi seçin ve ardından Rol Ataması Ekle'yi seçerek Rol Ataması Ekle sayfasına gidin.

   

4. Rol ataması ekle sayfası, kimliklere rol atamak için sekmeli, çok adımlı bir iş akışı sunar. İlk Rol sekmesinde, kimliğe atamak istediğiniz rolü bulmak için üstteki arama kutusunu kullanın.

5. Sonuçlardan rolü seçin ve ardından İleri seçeneğine tıklayarak Üyeler sekmesine geçin.

6. erişim atama seçeneği için yönetilen kimlikseçin.

7. Üyeler seçeneği için, + Üyeleri seç'ni seçin ve Yönetilen kimlikleri seç panelini açın.

8. Yönetilen kimlikleri seçin panelinde Abonelik kullanın ve yönetilen kimlik açılan listelerini kullanarak kimliklerinizin arama sonuçlarını filtreleyin. Uygulamanızı barındıran Azure kaynağı için etkinleştirdiğiniz kullanıcı tarafından atanan yönetilen kimliği bulmak için Select arama kutusunu kullanın.

   

9. Devam etmek için kimliği seçin ve panelin altındaki seçeneğini tıklayın.

10. Sayfanın alt kısmındaki Gözden Geçir + Ata seçeneğini seçin.

11. Son gözden geçir + ata sekmesinde, iş akışını tamamlamak için gözden geçir + ata'ü seçin.

Azure CLI

1. Azure CLI kullanarak kullanıcı tarafından atanan yönetilen kimliğe rol atamak için kimliğin asıl kimliği gerekir. Ana kimliği almak için az identity show komutunu kullanın:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Yönetilen kimliğin atanabileceği rolleri keşfetmek için az role definition list komutunu kullanın:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. az role assignment create komutunu kullanarak yönetilen bir kimliğe rol atayın.

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Örneğin, 99999999-9999-9999-9999-999999999999 kimliğiyle yönetilen kimliğe, msdocs-sdk-auth-example kaynak grubundaki tüm depolama hesaplarına Azure Storage blob kapsayıcılarına ve verilerine okuma, yazma ve silme erişimi izni vermek için, aşağıdaki komutu kullanarak uygulama hizmeti sorumlusunu Depolama Blob Veri Katkıda Bulunanı rolüne atayın.

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

İzin atamayı kaynak veya abonelik düzeyinde Azure CLI kullanarak öğrenmek için, Azure CLI kullanarak Azure rollerini atama makalesine bakın.

Uygulamanızdan Azure hizmetleri için kimlik doğrulaması

Azure Identity libraryTokenCredential uygulamaları olarak farklı kimlik bilgileri sunar. Her uygulama farklı senaryoları ve Microsoft Entra kimlik doğrulama akışlarını destekler. Kullanıcı tarafından atanan yönetilen kimlikler için kimlik bilgilerini yapılandırırken kimliğin istemci kimliğini, kaynak kimliğini veya nesne kimliğini belirtin.

Kodu uygulama

azure-identity Dosyanıza pom.xml bağımlılığı ekleyin:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Azure SDK istemci kitaplıklarından özelleştirilmiş istemci sınıflarını kullanarak Azure hizmetlere erişirsiniz. Aşağıdaki kod örnekleri, kullanıcı atanmış yönetilen kimlik doğrulaması için kimlik bilgilerini yapılandırmayı gösterir.

DefaultAzureCredential kullanın

Azure barındırılan uygulamaların kimlik bilgileri olarak DefaultAzureCredential kullanın. Kullanıcı tarafından atanan yönetilen kimlikler için şu yöntemi kullanarak managedIdentityClientId istemci kimliğini yapılandırın:

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Configure DefaultAzureCredential with the user-assigned managed identity's client ID
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

ManagedIdentityCredential'i Kullanma

Yönetilen kimlik kimlik bilgilerini açıkça kullanmak ve DefaultAzureCredential içinde kimlik bilgisi zinciri aramasından kaçınmak istiyorsanız, ManagedIdentityCredential'i doğrudan kullanın. Kullanıcı tarafından atanan yönetilen kimlikler için istemci kimliğini, kaynak kimliğini veya nesne kimliğini kullanarak kimliği belirtebilirsiniz.

Müşteri Kimliği

Bu kimliği kullanarak kimlik doğrulaması gereken uygulamaları veya hizmetleri yapılandırırken yönetilen kimliği tanımlamak için istemci kimliğini kullanın.

Aşağıdaki komutu kullanarak kullanıcıya atanmış yönetilen kimliğe ait istemci kimliğine erişin:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query clientId \
    --output tsv

ManagedIdentityCredential'ı istemci kimlik numarası ile yapılandırın.

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the client ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .clientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Kaynak Kimliği

Kaynak kimliği, kullanıcı tarafından atanan yönetilen kimlik kaynağının tam Azure Resource Manager (ARM) yoludur.

Aşağıdaki komutu kullanarak kullanıcı tarafından atanan yönetilen kimliğe atanan kaynak kimliğini alın:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query id \
    --output tsv

Kaynak kimliğiyle ManagedIdentityCredential yapılandırın:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the resource ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .resourceId("/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Nesne Kimliği

Nesne kimliği, yönetilen kimliğin hizmet sorumlusunun Microsoft Entra ID benzersiz tanımlayıcısıdır.

Aşağıdaki komutu kullanarak kullanıcı tarafından atanan yönetilen kimliğe atanan nesne kimliğini alın:

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query principalId \
    --output tsv

nesne kimliğiyle ManagedIdentityCredential yapılandırın:

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the object ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .objectId("<user-assigned-managed-identity-object-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Sonraki Adımlar

Bu makalede, kullanıcı tarafından atanan yönetilen kimlik kullanılarak kimlik doğrulaması ele alınmıştır. Bu kimlik doğrulama biçimi, Java için Azure SDK kimlik doğrulaması yapabileceğiniz birden çok yöntemden biridir. Aşağıdaki makalelerde kimlik doğrulamasının diğer yolları açıklanmaktadır:

• Azure'da barındırılan Java uygulamalarını, sistem tarafından atanan yönetilen kimlik kullanarak Azure kaynaklarına kimlik doğrulaması yapın
• > Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Java uygulamalarını Azure hizmetlere doğrulayın
• Hizmet sorumlularını kullanarak Java uygulamalarını yerel geliştirme sırasında Azure hizmetlere doğrulayın

Azure barındırılan uygulama kimlik doğrulamasıyla ilgili sorunlarla karşılaşırsanız bkz. Sorun Azure barındırılan uygulama kimlik doğrulaması.

Kimlik doğrulamayı öğrendikten sonra, Azure SDK ile Java için Günlük Kaydını Yapılandırma bölümüne bakarak SDK tarafından sağlanan günlük kaydı işlevselliği hakkında bilgi edinin.