استخدم الهويات المُدارة في Azure API Management
ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات
توضح لك هذه المقالة كيفية إنشاء الهوية المُدارة لمثيل إدارة Azure APIM وكيفية استخدامها للوصول إلى الموارد الأخرى. تسمح الهوية المدارة التي تم إنشاؤها بواسطة معرف Microsoft Entra لمثيل APIM بالوصول بسهولة وأمان إلى موارد Microsoft Entra الأخرى المحمية، مثل Azure Key Vault. يدير Azure هذه الهوية؛ لذلك لا يتعين عليك توفير أي أسرار أو تدويرها. لمزيد من المعلومات حول الهويات المدارة، راجع ما هي الهويات المدارة لموارد Azure؟.
يمكنك منح نوعين من الهويات لمثيل API:
- ترتبط الهوية المعينة من قبل النظام بالخدمة الخاصة بك ويتم حذفها إذا تم حذف الخدمة. يمكن أن يكون للخدمة هوية واحدة مخصصة من قبل النظام.
- الهوية المعينة من قبل المستخدم هي مورد Azure مستقل يمكن تعيينه إلى خدمتك. يمكن أن تحتوي الخدمة على هويات متعددة مخصصة للمستخدم.
إشعار
الهويات المدارة خاصة بالمستأجر Microsoft Entra حيث تتم استضافة اشتراك Azure الخاص بك. لا يتم تحديثها إذا تم نقل اشتراك إلى دليل مختلف. إذا تم نقل الاشتراك، فستحتاج إلى إعادة إنشاء الهويات وتكوينها.
قم بإنشاء هوية مُدارة مخصصة من قبل النظام
مدخل Azure
لإعداد هوية مُدارة في مدخل Azure الإلكترونية، عليك أولاً إنشاء مثيل إدارة API، ثم تمكين الميزة.
قم بإنشاء مثيل API إدارة في البوابة الإلكترونية كما تفعل عادةً. تصفح إليها في البوابة.
في القائمة اليسرى، ضمن Security، حدد Managed identities.
في علامة التبويب تعيين النظام، قم بتبديل الحالة إلى تشغيل. حدد حفظ.
Azure PowerShell
إشعار
نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.
ترشدك الخطوات التالية خلال إنشاء مثيل إدارة API، وتعيين هوية له باستخدام Azure PowerShell.
إذا لزم الأمر، قم بتثبيت Azure PowerShell باستخدام الإرشادات الموجودة في دليل Azure PowerShell. ثم قم بتشغيل
Connect-AzAccountلإنشاء اتصال مع Azure.استخدم التعليمة البرمجية التالية لإنشاء المثيل بالهوية المُدارة من قبل النظام. لمزيد من الأمثلة حول كيفية استخدام Azure PowerShell مع مثيل APIM، راجع عينات API Management PowerShell.
# Create a resource group. New-AzResourceGroup -Name $resourceGroupName -Location $location # Create an API Management Consumption Sku service. New-AzApiManagement -ResourceGroupName $resourceGroupName -Name consumptionskuservice -Location $location -Sku Consumption -Organization contoso -AdminEmail contoso@contoso.com -SystemAssignedIdentity
يمكنك أيضاً تحديث مثيل موجود لإنشاء الهوية:
# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName
# Update an API Management instance
Set-AzApiManagement -InputObject $apimService -SystemAssignedIdentity
قالب Azure Resource Manager
يمكنك إنشاء مثيل إدارة APIM بهوية معينة من قبل النظام من خلال تضمين الخاصية التالية في تعريف المورد:
"identity" : {
"type" : "SystemAssigned"
}
تخبر هذه الخاصية Azure بإنشاء وإدارة هوية مثيل إدارة API.
على سبيل المثال: قد يبدو قالب Azure Resource Manager الكامل كما يلي:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "0.9.0.0",
"resources": [{
"apiVersion": "2021-08-01",
"name": "contoso",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {},
"sku": {
"name": "Developer",
"capacity": "1"
},
"properties": {
"publisherEmail": "admin@contoso.com",
"publisherName": "Contoso"
},
"identity": {
"type": "systemAssigned"
}
}]
}
عند إنشاء المثيل، يكون له الخصائص الإضافية التالية:
"identity": {
"type": "SystemAssigned",
"tenantId": "<TENANTID>",
"principalId": "<PRINCIPALID>"
}
tenantId تحدد الخاصية مستأجر Microsoft Entra الذي تنتمي إليه الهوية. principalId الخاصية هي معرف فريد للهوية الجديدة للمثيل. ضمن معرف Microsoft Entra، يكون لمدير الخدمة نفس الاسم الذي أعطيته لمثيل APIM الخاص بك.
إشعار
يمكن أن يحتوي مثيل API على كلٍ من الهويات المعينة من قبل النظام والمخصصة للمستخدم في نفس الوقت. في هذه الحالة، ستكون SystemAssigned,UserAssignedالخاصية type .
قم بتكوين الوصول إلى Key Vault باستخدام الهوية المُدارة
التكوينات التالية مطلوبة لإدارة واجهة برمجة التطبيقات للوصول إلى الأسرار والشهادات من مخزن مفاتيح Azure.
تكوين الوصول إلى key vault
في المدخل، انتقل إلى key vault.
في القائمة اليسرى، حدد Access configuration، ولاحظ نموذج الإذن الذي تم تكوينه.
اعتمادا على نموذج الإذن، قم بتكوين إما نهج الوصول إلى مخزن المفاتيح أو الوصول إلى التحكم في الوصول استنادا إلى الدور في Azure للهوية المدارة لإدارة واجهة برمجة التطبيقات.
لإضافة نهج الوصول إلى مخزن المفاتيح:
- في القائمة اليسرى، حدد Access policies.
- في صفحة Access policies ، حدد + Create.
- في علامة التبويب أذونات، ضمن أذونات سرية، حدد الحصول على وقائمة، ثم حدد التالي.
- في علامة التبويب Principal ، حدد principal، وابحث عن اسم المورد للهوية المدارة، ثم حدد Next. إذا كنت تستخدم هوية معينة من قِبل النظام، فإن الأساسي هو اسم مثيل إدارة API الخاص بك.
- حدد التالي مرة أخرى. حدد Review + create من علامة التبويب، حدد Create.
لتكوين الوصول إلى Azure RBAC:
- على الجانب الأيسر، حدد التحكم بالوصول (IAM).
- في صفحة Access control (IAM)، حدد Add role assignment.
- في علامة التبويب Role ، حدد Key Vault Certificate User.
- في علامة التبويب Members ، حدد Managed identity>+ Select members.
- في صفحة تحديد الهوية المدارة، حدد الهوية المدارة المعينة من قبل النظام أو الهوية المدارة المعينة من قبل المستخدم المقترنة بمثيل إدارة واجهة برمجة التطبيقات، ثم حدد تحديد.
- حدد مراجعة + تعيين.
متطلبات جدار الحماية Key Vault
إذا تم تمكين جدار الحماية Key Vault على مخزن المفاتيح الخاص بك، فيما يلي متطلبات إضافية:
يجب عليك استخدام الهوية المُدارة المعينة من قبل النظام لمثيل إدارة APIM للوصول إلى مخزن المفاتيح.
في جدار الحماية Key Vault، قم بتمكين الخيار Allow Trusted Microsoft Services to bypass this firewall.
تأكد من أن عنوان IP للعميل المحلي لديك مسموح له بالوصول إلى مخزن المفاتيح مؤقتاً خلال تحديد شهادة أو سر لإضافته إلى Azure API M. للحصول على مزيدٍ من المعلومات، راجع تكوين إعدادات شبكة Azure Key Vault.
بعد إكمال التكوين، يمكنك حظر عنوان العميل الخاص بك في جدار حماية مخزن المفاتيح.
متطلبات الشبكة الافتراضية
إذا تم توزيع مثيل إدارة APIM في شبكة ظاهرية، فقم أيضاً بتكوين إعدادات الشبكة التالية:
- قم بتمكين نقطة نهاية الخدمة في Azure Key Vault على الشبكة الفرعية لإدارة APIM.
- قم بتكوين قاعدة مجموعة أمان الشبكة (NSG) للسماح بنسبة استخدام الشبكة الصادرة إلى علامات خدمة AzureKeyVault وAzureActiveDirectory service tags.
للتفاصيل راجع تكوين الشبكة عند إعداد إدارة واجهة برمجة التطبيقات Azure في VNET.
السيناريوهات المدعومة باستخدام الهوية المعينة من قبل النظام
الحصول على شهادة TLS/SSL مخصصة لمثيل APIM من Azure Key Vault
يمكنك استخدام الهوية المعينة من قبل النظام لمثيل إدارة API لاسترداد شهادات TLS / SSL المخصصة المخزنة في Azure Key Vault. يمكنك بعد ذلك تعيين هذه الشهادات إلى المجالات المخصصة في مثيل إدارة API. ضع هذه الاعتبارات في الاعتبار:
- يجب أن يكون نوع محتوى السر هو application/x-pkcs12. تعرف على المزيد بشأن متطلبات شهادةالمجال المخصص.
- استخدم نقطة النهاية السرية لشهادة Key Vault، والتي تحتوي على السر.
هام
إذا لم تقدم إصدار الكائن من الشهادة، فستحصل إدارة API تلقائيًا على الإصدار الأحدث من الشهادة في غضون أربع ساعات بعد تحديثها في Key Vault.
يُظهر المثال التالي قالب Azure Resource Manager الذي يستخدم الهوية المُدارة المعينة من قبل النظام لمثيل خدمة إدارة APIM لاسترداد شهادة مجال مخصصة من Key Vault.
المتطلبات الأساسية
- تم تكوين مثيل خدمة إدارة APIM بالهوية المُدارة مُعيَّنة من قبل النظام. لإنشاء مثيل، يمكنك استخدام قالب التشغيل السريع لـ Azure.
- مثيل Azure Key Vault في نفس مجموعة الموارد، يستضيف شهادة سيتم استخدامها كشهادة مجال مخصصة في إدارة APIM.
يحتوي القالب التالي على الخطوات التالية.
- قم بتحديث نُهج الوصول الخاصة بمثيل Azure Key Vault والسماح لمثيل إدارة APIM بالحصول على بيانات سرية منه.
- قم بتحديث مثيل إدارة APIM عن طريق تعيين اسم مجال مخصص من خلال الشهادة من مثيل Key Vault.
عند تشغيل القالب، قم بتوفير قيم المعلمات المناسبة لبيئتك.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"apiManagementServiceName": {
"type": "string",
"minLength": 8,
"metadata":{
"description": "The name of the API Management service"
}
},
"publisherEmail": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "The email address of the owner of the service"
}
},
"publisherName": {
"type": "string",
"minLength": 1,
"metadata": {
"description": "The name of the owner of the service"
}
},
"sku": {
"type": "string",
"allowedValues": ["Developer",
"Standard",
"Premium"],
"defaultValue": "Developer",
"metadata": {
"description": "The pricing tier of this API Management service"
}
},
"skuCount": {
"type": "int",
"defaultValue": 1,
"metadata": {
"description": "The instance size of this API Management service."
}
},
"keyVaultName": {
"type": "string",
"metadata": {
"description": "Name of the key vault"
}
},
"proxyCustomHostname1": {
"type": "string",
"metadata": {
"description": "Gateway custom hostname 1. Example: api.contoso.com"
}
},
"keyVaultIdToCertificate": {
"type": "string",
"metadata": {
"description": "Reference to the key vault certificate. Example: https://contoso.vault.azure.net/secrets/contosogatewaycertificate"
}
}
},
"variables": {
"apimServiceIdentityResourceId": "[concat(resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName')),'/providers/Microsoft.ManagedIdentity/Identities/default')]"
},
"resources": [
{
"apiVersion": "2021-08-01",
"name": "[parameters('apiManagementServiceName')]",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {
},
"sku": {
"name": "[parameters('sku')]",
"capacity": "[parameters('skuCount')]"
},
"properties": {
"publisherEmail": "[parameters('publisherEmail')]",
"publisherName": "[parameters('publisherName')]"
},
"identity": {
"type": "systemAssigned"
}
},
{
"type": "Microsoft.KeyVault/vaults/accessPolicies",
"name": "[concat(parameters('keyVaultName'), '/add')]",
"apiVersion": "2018-02-14",
"properties": {
"accessPolicies": [{
"tenantId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').tenantId]",
"objectId": "[reference(variables('apimServiceIdentityResourceId'), '2018-11-30').principalId]",
"permissions": {
"secrets": ["get", "list"]
}
}]
}
},
{
"apiVersion": "2021-04-01",
"type": "Microsoft.Resources/deployments",
"name": "apimWithKeyVault",
"dependsOn": [
"[resourceId('Microsoft.ApiManagement/service', parameters('apiManagementServiceName'))]"
],
"properties": {
"mode": "incremental",
"template": {
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {},
"resources": [{
"apiVersion": "2021-08-01",
"name": "[parameters('apiManagementServiceName')]",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {
},
"sku": {
"name": "[parameters('sku')]",
"capacity": "[parameters('skuCount')]"
},
"properties": {
"publisherEmail": "[parameters('publisherEmail')]",
"publisherName": "[parameters('publisherName')]",
"hostnameConfigurations": [{
"type": "Proxy",
"hostName": "[parameters('proxyCustomHostname1')]",
"keyVaultId": "[parameters('keyVaultIdToCertificate')]"
}]
},
"identity": {
"type": "systemAssigned"
}
}]
}
}
}
]
}
تخزين وإدارة القيم المسماة من Azure Key Vault
يمكنك استخدام الهوية المُدارة يعينها النظام للوصول إلى Azure Key Vault لتخزين وإدارة البيانات السرية لاستخدامها في نُهج إدارة APIM. لمزيد من المعلومات، راجع استخدام القيم المسماة في نُهج إدارة Azure APIM.
المصادقة على الواجهة الخلفية باستخدام هوية إدارة APIM
يمكنك استخدام الهوية المعينة من قبل النظام للمصادقة على خدمة خلفية من خلال نهج المصادقة المُدارة للهوية.
اتصل بموارد Azure خلف جدار حماية IP باستخدام الهوية المُدارة المعينة من قبل النظام
إدارة APIM هي خدمة Microsoft موثوق بها للموارد التالية. يسمح هذا للخدمة بالاتصال بالموارد التالية خلف جدار الحماية. بعد تعيين دور Azure المناسب صراحةً إلى الهوية المُدارة المعينة من قبل النظام لمثيل المورد هذا، يتوافق نطاق الوصول للمثيل مع دور Azure المعين للهوية المُدارة.
| خدمة Azure | الارتباط |
|---|---|
| Azure Key Vault | Trusted-access-to-azure-key-vault |
| تخزين Azure | تخزين موثوق به من الوصول إلى azure |
| ناقل خدمة Azure | Trusted-access-to-azure-service-bus |
| مراكز أحداث Azure | موثوق به-الوصول إلى-azure-event-hub |
تسجيل الأحداث إلى مركز أحداث
يمكنك تكوين هوية مدارة معينة من قبل النظام واستخدامها للوصول إلى مركز أحداث لتسجيل الأحداث من مثيل APIM. لمزيد من المعلومات، راجع كيفية تسجيل الأحداث إلى Azure Event Hubs في Azure API Management.
إنشاء هوية مُدارة يعينها المستخدم
إشعار
يمكنك إقران مثيل إدارة API بما يصل إلى 10 هويات مُدارة مخصصة للمستخدم.
مدخل Azure
لإعداد الهوية المُدارة في المدخل، عليك أولاً إنشاء APIM وإنشاء هوية مخصصة للمستخدم. ثم قم بتمكين الميزة.
قم بإنشاء مثيل API إدارة في البوابة الإلكترونية كما تفعل عادةً. تصفح إليها في البوابة.
في القائمة اليسرى، ضمن Security، حدد Managed identities.
في علامة التبويب تعيين المستخدم، حدد إضافة.
ابحث عن الهوية التي قمت بإنشائها مسبقًا، وحددها. حدد إضافة.
Azure PowerShell
إشعار
نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.
ترشدك الخطوات التالية خلال إنشاء مثيل إدارة API، وتعيين هوية له باستخدام Azure PowerShell.
إذا لزم الأمر، قم بتثبيت Azure PowerShell باستخدام الإرشادات الموجودة في دليل Azure PowerShell. ثم قم بتشغيل
Connect-AzAccountلإنشاء اتصال مع Azure.استخدم الكود التالي لإنشاء المثيل. لمزيد من الأمثلة حول كيفية استخدام Azure PowerShell مع مثيل APIM، راجع عينات API Management PowerShell.
# Create a resource group. New-AzResourceGroup -Name $resourceGroupName -Location $location # Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module. $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName # Create an API Management Consumption Sku service. $userIdentities = @($userAssignedIdentity.Id) New-AzApiManagement -ResourceGroupName $resourceGroupName -Location $location -Name $apiManagementName -Organization contoso -AdminEmail admin@contoso.com -Sku Consumption -UserAssignedIdentity $userIdentities
يمكنك أيضاً تحديث خدمة موجودة لتعيين هوية للخدمة:
# Get an API Management instance
$apimService = Get-AzApiManagement -ResourceGroupName $resourceGroupName -Name $apiManagementName
# Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName
# Update an API Management instance
$userIdentities = @($userAssignedIdentity.Id)
Set-AzApiManagement -InputObject $apimService -UserAssignedIdentity $userIdentities
قالب Azure Resource Manager
يمكنك إنشاء مثيل إدارة API بهوية عن طريق تضمين الخاصية التالية في تعريف المورد:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {}
}
}
تؤدي إضافة النوع المعين من قبل المستخدم إلى إخبار Azure باستخدام الهوية المعينة من قبل المستخدم والمحددة للمثيل الخاص بك.
على سبيل المثال: قد يبدو قالب Azure Resource Manager الكامل كما يلي:
{
"$schema": "https://schema.management.azure.com/schemas/2014-04-01-preview/deploymentTemplate.json#",
"contentVersion": "0.9.0.0",
"resources": [{
"apiVersion": "2021-08-01",
"name": "contoso",
"type": "Microsoft.ApiManagement/service",
"location": "[resourceGroup().location]",
"tags": {},
"sku": {
"name": "Developer",
"capacity": "1"
},
"properties": {
"publisherEmail": "admin@contoso.com",
"publisherName": "Contoso"
},
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
}
},
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
]
}]
}
عند إنشاء الخدمة، يكون لها الخصائص الإضافية التالية:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {
"principalId": "<PRINCIPALID>",
"clientId": "<CLIENTID>"
}
}
}
principalId الخاصية هي معرف فريد للهوية المستخدمة لإدارة Microsoft Entra. clientId الخاصية هي معرف فريد للهوية الجديدة للتطبيق المستخدمة لتحديد الهوية التي يجب استخدامها أثناء استدعاءات وقت التشغيل.
إشعار
يمكن أن يحتوي مثيل API على كلٍ من الهويات المعينة من قبل النظام والمخصصة للمستخدم في نفس الوقت. في هذه الحالة، ستكون SystemAssigned,UserAssignedالخاصية type .
السيناريوهات المدعومة باستخدام الهوية المُدارة المعينة من قبل المستخدم
الحصول على شهادة TLS/SSL مخصصة لمثيل APIM من Azure Key Vault
يمكنك استخدام هوية معينة من قبل المستخدم لتأسيس الثقة بين مثيل إدارة APIM وAzure Key Vault. يمكن بعد ذلك استخدام هذه الثقة لاسترداد شهادات TLS / SSL المخصصة المخزنة في Azure Key Vault. يمكنك بعد ذلك تعيين هذه الشهادات إلى المجالات المخصصة في مثيل إدارة API.
هام
إذا تم تمكين جدار حماية Key Vault في مخزن المفاتيح، فلا يمكنك استخدام هوية معينة من قبل المستخدم للوصول من إدارة APIM. يمكنك استخدام الهوية المعينة من قبل النظام بدلاً من ذلك. في جدار الحماية Key Vault، يجب أيضاً تمكين الخيار Allow Trusted Microsoft Services to bypass this firewall.
ضع هذه الاعتبارات في الاعتبار:
- يجب أن يكون نوع محتوى السر هو application/x-pkcs12.
- استخدم نقطة النهاية السرية لشهادة Key Vault، والتي تحتوي على السر.
هام
إذا لم تقدم إصدار الكائن من الشهادة، فستحصل إدارة API تلقائيًا على الإصدار الأحدث من الشهادة في غضون أربع ساعات بعد تحديثها في Key Vault.
تخزين وإدارة القيم المسماة من Azure Key Vault
يمكنك استخدام الهوية المُدارة يعينها المستخدم للوصول إلى Azure Key Vault لتخزين وإدارة البيانات السرية لاستخدامها في نُهج إدارة APIM. لمزيد من المعلومات، راجع استخدام القيم المسماة في نُهج إدارة Azure APIM.
إشعار
إذا تم تمكين جدار حماية Key Vault في مخزن المفاتيح، فلا يمكنك استخدام هوية معينة من قبل المستخدم للوصول من إدارة APIM. يمكنك استخدام الهوية المعينة من قبل النظام بدلاً من ذلك. في جدار الحماية Key Vault، يجب أيضاً تمكين الخيار Allow Trusted Microsoft Services to bypass this firewall.
المصادقة على الواجهة الخلفية باستخدام هوية معينة من قبل المستخدم
يمكنك استخدام الهوية التي يعيّنها المستخدم للمصادقة على خدمة خلفية من خلال نهج المصادقة المُدارة للهوية.
تسجيل الأحداث إلى مركز أحداث
يمكنك تكوين هوية مدارة معينة من قبل المستخدم واستخدامها للوصول إلى مركز أحداث لتسجيل الأحداث من مثيل APIM. لمزيد من المعلومات، راجع كيفية تسجيل الأحداث إلى Azure Event Hubs في Azure API Management.
إزالة هوية
يمكنك إزالة الهوية المعينة من قبل النظام عن طريق تعطيل الميزة من خلال البوابة الإلكترونية، أو قالب Azure Resource Manager بنفس الطريقة التي تم إنشاؤها بها. يمكن إزالة الهويات المعينة من قبل المستخدم بشكل فردي. لإزالة كافة الهويات، قم بتعيين نوع الهوية إلى "None".
ستؤدي إزالة هوية معينة من قبل النظام بهذه الطريقة أيضا إلى حذفها من معرف Microsoft Entra. تتم أيضا إزالة الهويات المعينة من قبل النظام تلقائيا من معرف Microsoft Entra عند حذف مثيل APIM.
لإزالة جميع الهويات باستخدام قالب Azure Resource Manager، قم بتحديث هذا القسم:
"identity": {
"type": "None"
}
هام
إذا تم تكوين مثيل إدارة API باستخدام شهادة SSL مخصصة من Key Vault، وحاولت تعطيل هوية مُدارة، فسيفشل الطلب.
يمكنك إلغاء حظر نفسك بالتبديل من شهادة Azure Key Vault إلى شهادة مضمنة مشفرة، ثم تعطيل الهوية المدارة. لمزيد من المعلومات، راجع تكوين اسم مجال مخصص.
الخطوات التالية
تعرف على المزيد حول الهويات المدارة لموارد Azure: