كيفية استخدام الهويات المُدارة لـ App Service وAzure Functions

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

توضح لك هذه المقالة كيفية إنشاء هوية مدارة لتطبيقات App Service وAzure Functions وكيفية استخدامها للوصول إلى موارد أخرى.

هام

لن تتصرف الهويات المدارة لخدمة التطبيقات ووظائف Azure كما هو متوقع إذا تم ترحيل تطبيقك عبر الاشتراكات/المستأجرين. يحتاج التطبيق إلى الحصول على هوية جديدة ، والتي تتم عن طريق تعطيل الميزة وإعادة تمكينها. تحتاج موارد المصب أيضا إلى تحديث سياسات الوصول لاستخدام الهوية الجديدة.

ملاحظة

لا تتوفر الهويات المدارة للتطبيقات التي تم نشرها في Azure Arc.

تسمح الهوية المدارة من Azure Active Directory (Azure AD) لتطبيقك بالوصول بسهولة إلى الموارد الأخرى المحمية Azure AD مثل Azure Key Vault. تتم إدارة الهوية بواسطة النظام الأساسي Azure ولا يتطلب منك توفير أي أسرار أو تدويرها. لمزيد من المعلومات حول الهويات المُدارة في Microsoft Azure AD، راجع Managed identities for Azure resources.

يمكن منح تطبيقك نوعين من الهويات:

• ترتبط الهوية التي يعيّنها النظام بالتطبيق الخاص بك ويتم حذفها إذا تم حذف التطبيق الخاص بك. يمكن أن يكون للتطبيق هوية واحدة مخصصة من قبل النظام.
• الهوية التي يعيّنها المستخدم هي مورد Azure مستقل يمكن تعيينه لتطبيقك. يمكن أن يحتوي التطبيق على هويات متعددة مخصصة للمستخدم.

إضافة يعيِّنها النظام

⁩مدخل Microsoft Azure⁧

1. في شريط التنقل الأيمن من صفحة تطبيقك، مرر لأسفل وصولا إلى المجموعة الإعدادات.

2. حدد الهوية.

3. ضمن علامة التبويب "النظام المعين "، قم بتبديل الحالة إلى تشغيل. انقر فوق Save.

   

ملاحظة

للعثور على الهوية المدارة لتطبيق الويب أو تطبيق الفتحة في مدخل Azure، ضمن تطبيقات المؤسسة، ابحث في قسم إعدادات المستخدم . عادة ما يكون اسم الفتحة مشابها ل <app name>/slots/<slot name>.

Azure CLI

az webapp identity assign قم بتشغيل الأمر لإنشاء هوية معينة من قبل النظام:

az webapp identity assign --name myApp --resource-group myResourceGroup

Azure PowerShell

لخدمة التطبيقات

Set-AzWebApp -AssignIdentity قم بتشغيل الأمر لإنشاء هوية معينة من قبل النظام لخدمة التطبيقات:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name> 

للوظائف

Update-AzFunctionApp -IdentityType قم بتشغيل الأمر لإنشاء هوية معينة من قبل النظام لتطبيق دالة:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

قالب ARM

يمكن استخدام قالب Azure Resource Manager لأتمتة نشر موارد Azure الخاصة بك. لمعرفة المزيد حول النشر إلى خدمة التطبيق ووظائفه، راجع أتمتة نشر الموارد في App Serviceوأتمتة نشر الموارد في وظائف Azure.

يمكن إنشاء أي مورد من النوع Microsoft.Web/sites باستخدام هوية عن طريق تضمين الخاصية التالية في تعريف المورد:

"identity": {
    "type": "SystemAssigned"
}

تؤدي إضافة النوع المعين من قبل النظام إلى إخبار Azure بإنشاء هوية التطبيق وإدارتها.

على سبيل المثال، قد يبدو قالب تطبيق الويب مثل JSON التالي:

{
    "apiVersion": "2016-08-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

عند إنشاء الموقع، فإنه يحتوي على الخصائص الإضافية التالية:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<TENANTID>",
    "principalId": "<PRINCIPALID>"
}

يحدد عقار المستأجر معرف Azure AD ينتمي إليه المستأجر. معرف principalId هو معرف فريد للهوية الجديدة للتطبيق. ضمن Azure AD، يكون لمدير الخدمة نفس الاسم الذي أطلقته على مثيل خدمة التطبيقات أو Azure Functions.

إذا كنت بحاجة إلى الرجوع إلى هذه الخصائص في مرحلة لاحقة في القالب، فيمكنك القيام بذلك عبر reference() وظيفة القالب مع 'Full' العلامة، كما في هذا المثال:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

إضافة هوية يُعينها المستخدم

يتطلب إنشاء تطبيق بهوية معينة من قبل المستخدم إنشاء الهوية ثم إضافة معرف المورد الخاص به إلى تكوين التطبيق.

⁩مدخل Microsoft Azure⁧

أولا، ستحتاج إلى إنشاء مورد هوية معين من قبل المستخدم.

1. أنشئ مورد هوية مدارا معينا من قبل المستخدم وفقا لهذه الإرشادات.

2. في شريط التنقل الأيمن لصفحة تطبيقك، مرر لأسفل وصولا إلى مجموعة الإعدادات.

3. حدد الهوية.

4. ضمن علامة التبويب المستخدم المعين ، انقر فوق إضافة.

5. ابحث عن الهوية التي أنشأتها سابقا وحددها. انقر فوق Add.

   

هام

إذا قمت بتحديد إضافة بعد تحديد هوية معينة من قبل المستخدم لإضافتها، إعادة تشغيل التطبيق الخاص بك.

Azure CLI

1. إنشاء هوية معينة من قبل المستخدم.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. قم بتشغيل az webapp identity assign الأمر لتعيين الهوية للتطبيق.

   az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-name>
   

Azure PowerShell

لخدمة التطبيقات

إضافة هوية معينة من قبل المستخدم في App Service غير مدعومة حاليا.

للوظائف

1. إنشاء هوية معينة من قبل المستخدم.

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>
   

2. Update-AzFunctionApp -IdentityType UserAssigned -IdentityId قم بتشغيل الأمر لتعيين الهوية في الدالات:

   Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id
   

قالب ARM

يمكن استخدام قالب Azure Resource Manager لأتمتة نشر موارد Azure الخاصة بك. لمعرفة المزيد حول النشر إلى خدمة التطبيق ووظائفه، راجع أتمتة نشر الموارد في App Serviceوأتمتة نشر الموارد في وظائف Azure.

يمكن إنشاء أي مورد من النوع Microsoft.Web/sites بهوية عن طريق تضمين الكتلة التالية في تعريف المورد، واستبدالها <RESOURCEID> بمعرف المورد للهوية المطلوبة:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}

ملاحظة

يمكن أن يحتوي التطبيق على كل من الهويات المعينة من قبل النظام والهويات المعينة من قبل المستخدم في نفس الوقت. في هذه الحالة ، type سيكون العقار SystemAssigned,UserAssigned

تؤدي إضافة النوع المعين من قبل المستخدم إلى إخبار Azure باستخدام الهوية المعينة من قبل المستخدم المحددة للتطبيق الخاص بك.

على سبيل المثال، قد يبدو قالب تطبيق الويب مثل JSON التالي:

{
    "apiVersion": "2016-08-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

عند إنشاء الموقع، فإنه يحتوي على الخصائص الإضافية التالية:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
        }
    }
}

معرف principalId هو معرف فريد للهوية المستخدمة لإدارة Azure AD. clientId هو معرف فريد للهوية الجديدة للتطبيق التي يتم استخدامها لتحديد الهوية التي يجب استخدامها أثناء مكالمات وقت التشغيل.

تكوين المورد الهدف

قد تحتاج إلى تكوين المورد المستهدف للسماح بالوصول من تطبيقك أو دالتك. على سبيل المثال، إذا طلبت رمزا مميزا للوصول إلى Key Vault، فيجب عليك أيضا إضافة سياسة وصول تتضمن الهوية المدارة لتطبيقك أو وظيفتك. خلاف ذلك ، سيتم رفض مكالماتك إلى Key Vault ، حتى إذا كنت تستخدم رمزا مميزا صالحا. وينطبق الشيء نفسه على قاعدة بيانات Azure SQL. لمعرفة المزيد حول الموارد التي تدعم الرموز المميزة ل Azure Active Directory، راجع خدمات Azure التي تدعم مصادقة Azure AD.

هام

تحتفظ الخدمات الخلفية للهويات المدارة بذاكرة تخزين مؤقت لكل مورد URI لمدة 24 ساعة تقريبا. إذا قمت بتحديث سياسة الوصول لمورد مستهدف معين واسترداد رمز مميز لهذا المورد على الفور، فيمكنك الاستمرار في الحصول على رمز مميز مخزن مؤقتا بأذونات قديمة حتى تنتهي صلاحية هذا الرمز المميز. لا توجد حاليا طريقة لفرض تحديث رمزي.

الاتصال إلى خدمات Azure في التعليمات البرمجية للتطبيق

باستخدام هويته المدارة، يمكن للتطبيق الحصول على رموز مميزة لموارد Azure المحمية بواسطة Azure Active Directory، مثل قاعدة بيانات Azure SQL وAzure Key Vault وAzure Storage. تمثل هذه الرموز المميزة التطبيق الذي يصل إلى المورد، وليس أي مستخدم محدد للتطبيق.

توفر خدمة التطبيق ووظائف Azure نقطة نهاية REST يمكن الوصول إليها داخليا لاسترداد الرمز المميز. يمكن الوصول إلى نقطة نهاية REST من داخل التطبيق باستخدام HTTP GET قياسي ، والذي يمكن تنفيذه باستخدام عميل HTTP عام بكل لغة. بالنسبة إلى .NET وJavaScript وJava وPython، توفر مكتبة عميل Azure Identity تجريدا عبر نقطة نهاية REST هذه وتبسط تجربة التطوير. يعد الاتصال بخدمات Azure الأخرى أمرا بسيطا مثل إضافة كائن بيانات اعتماد إلى العميل الخاص بالخدمة.

HTTP الحصول على

يبدو طلب HTTP GET الخام مثل المثال التالي:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

وقد تبدو استجابة العينة كما يلي:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

هذه الاستجابة هي نفسها الاستجابة لطلب الرمز المميز للوصول إلى خدمة إلى خدمة Azure AD. للوصول إلى Key Vault ، ستضيف بعد ذلك قيمة access_token إلى اتصال عميل بالخزانة.

.NET

ملاحظة

عند الاتصال بمصادر بيانات Azure SQL باستخدام Entity Framework Core، فكر في استخدام Microsoft.Data.SqlClient، الذي يوفر سلاسل اتصال خاصة للاتصال بالهوية المدارة. على سبيل المثال، راجع البرنامج التعليمي: تأمين اتصال قاعدة بيانات Azure SQL من App Service باستخدام هوية مدارة.

بالنسبة لتطبيقات ووظائف .NET، فإن أبسط طريقة للعمل مع هوية مدارة هي من خلال مكتبة عميل Azure Identity ل .NET. للحصول على إرشادات مفصلة، راجع البرنامج التعليمي: الاتصال إلى قواعد بيانات Azure من App Service بدون أسرار باستخدام هوية مدارة.

راجع عناوين الوثائق ذات الصلة في مكتبة العميل للحصول على معلومات:

• إضافة مكتبة عميل Azure Identity إلى مشروعك
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل النظام
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل المستخدم

تستخدم DefaultAzureCredentialالأمثلة المرتبطة . إنه مفيد لمعظم السيناريوهات لأن النمط نفسه يعمل في Azure (مع الهويات المدارة) وعلى جهازك المحلي (بدون هويات مدارة).

JavaScript

بالنسبة Node.js التطبيقات ووظائف جافا سكريبت، فإن أبسط طريقة للعمل مع هوية مدارة هي من خلال مكتبة عميل Azure Identity لجافا سكريبت. للحصول على إرشادات مفصلة، راجع البرنامج التعليمي: الاتصال إلى قواعد بيانات Azure من App Service بدون أسرار باستخدام هوية مدارة.

راجع عناوين الوثائق ذات الصلة في مكتبة العميل للحصول على معلومات:

• إضافة مكتبة عميل Azure Identity إلى مشروعك
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل النظام
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل المستخدم

تستخدم DefaultAzureCredentialالأمثلة المرتبطة . إنه مفيد لمعظم السيناريوهات لأن النمط نفسه يعمل في Azure (مع الهويات المدارة) وعلى جهازك المحلي (بدون هويات مدارة).

لمزيد من أمثلة التعليمات البرمجية لمكتبة عميل Azure Identity لجافا سكريبت، راجع أمثلة Azure Identity.

Python

بالنسبة لتطبيقات Python ووظائفها، فإن أبسط طريقة للعمل مع هوية مدارة هي من خلال مكتبة عميل Azure Identity ل Python. للحصول على إرشادات مفصلة، راجع البرنامج التعليمي: الاتصال إلى قواعد بيانات Azure من App Service بدون أسرار باستخدام هوية مدارة.

راجع عناوين الوثائق ذات الصلة في مكتبة العميل للحصول على معلومات:

• إضافة مكتبة عميل Azure Identity إلى مشروعك
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل النظام
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل المستخدم

تستخدم DefaultAzureCredentialالأمثلة المرتبطة . إنه مفيد لمعظم السيناريوهات لأن النمط نفسه يعمل في Azure (مع الهويات المدارة) وعلى جهازك المحلي (بدون هويات مدارة).

Java

بالنسبة لتطبيقات Java ووظائفها، فإن أبسط طريقة للعمل مع هوية مدارة هي من خلال مكتبة عميل Azure Identity ل Java. للحصول على إرشادات مفصلة، راجع البرنامج التعليمي: الاتصال إلى قواعد بيانات Azure من App Service بدون أسرار باستخدام هوية مدارة.

راجع عناوين الوثائق ذات الصلة في مكتبة العميل للحصول على معلومات:

• إضافة مكتبة عميل Azure Identity إلى مشروعك
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل النظام
• الوصول إلى خدمة Azure باستخدام هوية معينة من قبل المستخدم

تستخدم DefaultAzureCredentialالأمثلة المرتبطة . إنه مفيد لمعظم السيناريوهات لأن النمط نفسه يعمل في Azure (مع الهويات المدارة) وعلى جهازك المحلي (بدون هويات مدارة).

لمزيد من أمثلة التعليمات البرمجية لمكتبة عميل Azure Identity ل Java، راجع أمثلة هوية Azure.

PowerShell

استخدم البرنامج النصي التالي لاسترداد رمز مميز من نقطة النهاية المحلية عن طريق تحديد عنوان URI مورد لخدمة Azure:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

لمزيد من المعلومات حول نقطة نهاية REST، راجع مرجع نقطة نهاية REST.

⁧⁩ ⁧⁩ إزالة الهوية

عند إزالة هوية معينة من قبل النظام، يتم حذفها من Azure Active Directory. تتم أيضا إزالة الهويات المعينة من قبل النظام تلقائيا من Azure Active Directory عند حذف مورد التطبيق نفسه.

⁩مدخل Microsoft Azure⁧

1. في شريط التنقل الأيمن من صفحة تطبيقك، مرر لأسفل وصولا إلى المجموعة الإعدادات.

2. حدد الهوية. ثم اتبع الخطوات استنادا إلى نوع الهوية:

   • الهوية المعينة للنظام: ضمن علامة التبويب " النظام المعين" ، قم بتبديل الحالة إلى إيقاف التشغيل. انقر فوق Save.
   • الهوية المعينة من قبل المستخدم: انقر فوق علامة التبويب المعينة من قبل المستخدم، وحدد خانة الاختيار الخاصة بالهوية، ثم انقر على إزالة. حدد «نعم» للتأكيد.

Azure CLI

لإزالة الهوية المعينة من قبل النظام:

az webapp identity remove --name <app-name> --resource-group <group-name>

لإزالة هوية واحدة أو أكثر من الهويات المعينة من قبل المستخدم:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-name1>,<identity-name2>,...

يمكنك أيضا إزالة هوية النظام المعينة عن طريق تحديد [system] في --identities.

Azure PowerShell

لخدمة التطبيقات

Set-AzWebApp -AssignIdentity قم بتشغيل الأمر لإزالة هوية معينة من قبل النظام لخدمة التطبيقات:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name> 

للوظائف

لإزالة كافة الهويات في Azure PowerShell (وظائف Azure فقط):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

قالب ARM

لإزالة كافة الهويات في قالب ARM:

"identity": {
    "type": "None"
}

ملاحظة

هناك أيضا إعداد تطبيق يمكن تعيينه ، WEBSITE_DISABLE_MSI ، والذي يقوم فقط بتعطيل خدمة الرمز المميز المحلي. ومع ذلك ، فإنه يترك الهوية في مكانها ، وستظل الأدوات تظهر الهوية المدارة على أنها "قيد التشغيل" أو "ممكنة". ونتيجة لذلك، لا ينصح باستخدام هذا الإعداد.

مرجع نقطة نهاية REST

يتيح التطبيق ذو الهوية المدارة نقطة النهاية هذه من خلال تحديد متغيرين للبيئة:

• IDENTITY_ENDPOINT - عنوان URL لخدمة الرمز المميز المحلي.
• IDENTITY_HEADER - رأس يستخدم للمساعدة في تخفيف هجمات تزوير الطلبات من جانب الخادم (SSRF). يتم تدوير القيمة بواسطة النظام الأساسي.

IDENTITY_ENDPOINT هو عنوان URL محلي يمكن لتطبيقك من خلاله طلب الرموز المميزة. للحصول على رمز مميز لأحد الموردين، قم بإجراء طلب HTTP GET إلى نقطة النهاية هذه، بما في ذلك المعلمات التالية:

اسم المعلمة	في	الوصف
المورد	الاستعلام	Azure AD مورد URI للمورد الذي يجب الحصول على رمز مميز له. قد تكون هذه إحدى خدمات Azure التي تدعم مصادقة Azure AD أو أي مورد URI آخر.
api-version	الاستعلام	إصدار واجهة برمجة تطبيقات الرمز المميز المراد استخدامه. استخدم "2019-08-01" أو إصدار أحدث.
رأس الهوية X	الرأس	قيمة متغير البيئة IDENTITY_HEADER. يستخدم هذا الرأس للمساعدة في تخفيف هجمات تزوير الطلبات (SSRF) من جانب الخادم.
client_id	الاستعلام	(اختياري) معرف العميل للهوية المعينة من قبل المستخدم لاستخدامها. لا يمكن استخدامها بناء على طلب يتضمن principal_id، mi_res_idأو object_id. إذا تم حذف كافة معلمات المعرف (client_id، ، principal_idobject_id، و) ، mi_res_idفسيتم استخدام الهوية المعينة من قبل النظام.
principal_id	الاستعلام	(اختياري) المعرف الرئيسي للهوية المعينة من قبل المستخدم لاستخدامها. object_id هو اسم مستعار يمكن استخدامه بدلا من ذلك. لا يمكن استخدامها بناء على طلب يتضمن client_id أو mi_res_id أو object_id. إذا تم حذف كافة معلمات المعرف (client_id، ، principal_idobject_id، و) ، mi_res_idفسيتم استخدام الهوية المعينة من قبل النظام.
mi_res_id	الاستعلام	(اختياري) معرف مورد Azure للهوية المعينة من قبل المستخدم لاستخدامها. لا يمكن استخدامها بناء على طلب يتضمن principal_id، client_idأو object_id. إذا تم حذف كافة معلمات المعرف (client_id، ، principal_idobject_id، و) ، mi_res_idفسيتم استخدام الهوية المعينة من قبل النظام.

هام

إذا كنت تحاول الحصول على رموز مميزة للهويات المعينة من قبل المستخدم، فيجب عليك تضمين إحدى الخصائص الاختيارية. وإلا ستحاول خدمة الرمز المميز الحصول على رمز مميز لهوية معينة من قبل النظام، والتي قد تكون موجودة أو غير موجودة.

الخطوات التالية

• البرنامج التعليمي: الاتصال إلى قاعدة بيانات SQL من App Service بدون أسرار باستخدام هوية مدارة
• الوصول إلى Azure Storage بأمان باستخدام هوية مدارة
• الاتصال ب Microsoft Graph بأمان باستخدام هوية مدارة
• الاتصال بشكل آمن إلى الخدمات مع أسرار Key Vault