المصادقة باستخدام هوية مدارة
ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات
استخدمauthentication-managed-identityالنهج للمصادقة مع خدمة الخلفية باستخدام الهوية المُدارة. يستخدم هذا النهج بشكل أساسي الهوية المدارة للحصول على رمز مميز للوصول من معرف Microsoft Entra للوصول إلى المورد المحدد. بعد الحصول بنجاح على الرمز المميز، سيقوم النهج بتعيين قيمة الرمز المميز فيAuthorizationالعنوان باستخدامBearerالنظام. تقوم API Management بالتخزين المؤقت للرمز المميز حتى تنتهي صلاحيته.
من الممكن استخدام كل من الهوية المعينة من قبل النظام وأي من الهوية المتعددة التي تم تعيينها من قِبل المستخدم لطلب الرمز المميز. في حالclient-idلم يتم توفير هوية معينة من قِبل النظام يتم الافتراض. client-id إذا تم توفير المتغير، يتم طلب الرمز المميز لتلك الهوية المعينة من قبل المستخدم من معرف Microsoft Entra.
إشعار
تعيين عناصر النهج والعناصر التابعة بالترتيب الوارد في بيان النهج. تعلم كيفية إعداد نُهج APIM أو تعديلها.
نهج السياسة
<authentication-managed-identity resource="resource" client-id="clientid of user-assigned identity" output-token-variable-name="token-variable" ignore-error="true|false"/>
سمات
| السمة | الوصف | مطلوبة | افتراضي |
|---|---|---|---|
| resource | السلسلة. معرف التطبيق لواجهة برمجة تطبيقات الويب الهدف (مورد آمن) في معرف Microsoft Entra. يتم السماح بتعبيرات النهج. | نعم | غير متوفر |
| معرف العميل | السلسلة. معرف العميل للهوية المعينة من قبل المستخدم في معرف Microsoft Entra. تعبيرات النهج غير مسموح بها. | لا | الهوية التي تم تعيينها من قِبل النظام |
| إخراج اسم الرمز المميز المتغير | السلسلة. اسم متغير السياق الذي سيتلقى قيمة الرمز المميز ككائن من النوع string. تعبيرات النهج غير مسموح بها. |
لا | غير متاح |
| تجاهل الخطأ | منطقي. إذا تم تعيينه إلى true، يستمر مسار النهج في التنفيذ حتى إذا لم يتم الحصول على رمز مميز للوصول. |
لا | false |
الاستخدام
- أقسام النهج:الواردة.
- نطاقات النهج: العمومية، ومساحة العمل، والمنتج، وواجهة برمجة التطبيقات، والتشغيل
- البوابات: الكلاسيكية، الإصدار 2، الاستهلاك، المستضافة ذاتيا
الأمثلة
استخدام الهوية المُدارة للمصادقة باستخدام خدمة الخلفية
<authentication-managed-identity resource="https://graph.microsoft.com"/>
<authentication-managed-identity resource="https://cognitiveservices.azure.com"/> <!--Azure OpenAI-->
<authentication-managed-identity resource="https://management.azure.com/"/> <!--Azure Resource Manager-->
<authentication-managed-identity resource="https://vault.azure.net"/> <!--Azure Key Vault-->
<authentication-managed-identity resource="https://servicebus.azure.net/"/> <!--Azure Service Bus-->
<authentication-managed-identity resource="https://eventhubs.azure.net/"/> <!--Azure Event Hub-->
<authentication-managed-identity resource="https://storage.azure.com/"/> <!--Azure Blob Storage-->
<authentication-managed-identity resource="https://database.windows.net/"/> <!--Azure SQL-->
<authentication-managed-identity resource="AD_application_id"/> <!--Application (client) ID of your own Azure AD Application-->
استخدام الهوية المُدارة وتعيين العنوان يدويًّا
<authentication-managed-identity resource="AD_application_id"
output-token-variable-name="msi-access-token" ignore-error="false" /> <!--Application (client) ID of your own Azure AD Application-->
<set-header name="Authorization" exists-action="override">
<value>@("Bearer " + (string)context.Variables["msi-access-token"])</value>
</set-header>
قم باستخدام الهوية المُدارة في نهج طلب الإرسال
<send-request mode="new" timeout="20" ignore-error="false">
<set-url>https://example.com/</set-url>
<set-method>GET</set-method>
<authentication-managed-identity resource="ResourceID"/>
</send-request>
النهج ذات الصلة
المحتوى ذو الصلة
لمزيد من المعلومات حول العمل مع النُهج، راجع: