Použití spravovaných identit pro App Service a Azure Functions
V tomto tématu se dozvíte, jak vytvořit spravovanou identitu pro App Service a Azure Functions aplikace a jak ji použít pro přístup k dalším prostředkům.
Důležité
Spravované identity pro App Service a Azure Functions se nebudou chovat podle očekávání, pokud se vaše aplikace migruje v rámci předplatných nebo tenantů. Aplikace potřebuje získat novou identitu, která je prováděna zakázáním a opakovaným povolením této funkce. Viz Odebrání identity níže. U podřízených prostředků je také potřeba aktualizovat zásady přístupu, aby používaly novou identitu.
Poznámka
Spravované identity nejsou k dispozici pro aplikace nasazené v Azure ARC.
Spravovaná identita z Azure Active Directory (Azure AD) umožňuje vaší aplikaci snadný přístup k dalším prostředkům chráněným službou Azure AD, jako je například Azure Key Vault. Identita je spravovaná platformou Azure a nevyžaduje zřízení ani otočení jakýchkoli tajných klíčů. Další informace o spravovaných identitách v Azure AD najdete v tématu spravované identity pro prostředky Azure.
Aplikaci lze udělit dva typy identit:
- Identita přiřazená systémem je svázána s vaší aplikací a je odstraněna, pokud je vaše aplikace odstraněna. Aplikace může mít jenom jednu identitu přiřazenou systémem.
- Uživatelsky přiřazená identita je samostatný prostředek Azure, který je možné přiřadit k vaší aplikaci. Aplikace může mít více uživatelsky přiřazených identit.
Přidat identitu přiřazenou systémem
Vytvoření aplikace s identitou přiřazenou systémem vyžaduje pro aplikaci nastavenou další vlastnost.
Použití webu Azure Portal
Pokud chcete na portálu nastavit spravovanou identitu, nejdřív vytvořte aplikaci jako normální a pak tuto funkci povolte.
Vytvořte aplikaci na portálu obvyklým způsobem. Přejděte na portál na portálu.
Pokud používáte aplikaci Function App, přejděte k funkcím platformy. u ostatních typů aplikací přejděte dolů na skupinu Nastavení v levém navigačním panelu.
Vyberte Identita.
V rámci karty přiřazené systémem přepněte stav na zapnuto. Klikněte na Uložit.
Poznámka
pokud chcete najít spravovanou identitu pro vaši webovou aplikaci nebo aplikaci slotu v Azure Portal, podívejte se v části Enterprise aplikace na část nastavení uživatele . Název slotu je obvykle podobný <app name>/slots/<slot name> .
Použití Azure CLI
K nastavení spravované identity pomocí Azure CLI budete muset použít az webapp identity assign příkaz pro existující aplikaci. Máte tři možnosti, jak spustit příklady v této části:
- Použijte Azure Cloud Shell z Azure Portal.
- Použijte vložený Azure Cloud Shell pomocí tlačítka "vyzkoušet", které je umístěné v pravém horním rohu každého bloku kódu níže.
- Pokud upřednostňujete použití místní konzoly CLI, nainstalujte nejnovější verzi Azure CLI (2.0.31 nebo novější).
Následující kroky vás provedou vytvořením webové aplikace a přiřazením identity pomocí rozhraní příkazového řádku:
Pokud používáte Azure CLI v místní konzole, nejprve se přihlaste k Azure pomocí příkazu az login. Použijte účet, který je přidružený k předplatnému Azure, pod kterým chcete nasadit aplikaci:
az loginVytvořte webovou aplikaci pomocí rozhraní příkazového řádku. Další příklady použití rozhraní příkazového řádku s App Service najdete v tématu ukázky App Service CLI:
az group create --name myResourceGroup --location westus az appservice plan create --name myPlan --resource-group myResourceGroup --sku S1 az webapp create --name myApp --resource-group myResourceGroup --plan myPlanSpusťte
identity assignpříkaz pro vytvoření identity pro tuto aplikaci:az webapp identity assign --name myApp --resource-group myResourceGroup
Použití Azure Powershell
Poznámka
Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Následující kroky vás provedou vytvořením aplikace a přiřazením identity pomocí Azure PowerShell. Pokyny pro vytvoření webové aplikace a aplikace Function App se liší.
použití Azure PowerShell pro webovou aplikaci
v případě potřeby nainstalujte Azure PowerShell pomocí pokynů uvedených v příručce Azure PowerShella pak spuštěním rutiny
Login-AzAccountvytvořte připojení k Azure.Vytvořte webovou aplikaci pomocí Azure PowerShell. další příklady použití Azure PowerShell s App Service najdete v tématu App Service ukázek powershellu:
# Create a resource group. New-AzResourceGroup -Name $resourceGroupName -Location $location # Create an App Service plan in Free tier. New-AzAppServicePlan -Name $webappname -Location $location -ResourceGroupName $resourceGroupName -Tier Free # Create a web app. New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname -ResourceGroupName $resourceGroupNameSpusťte
Set-AzWebApp -AssignIdentitypříkaz pro vytvoření identity pro tuto aplikaci:Set-AzWebApp -AssignIdentity $true -Name $webappname -ResourceGroupName $resourceGroupName
použití Azure PowerShell pro aplikaci function app
v případě potřeby nainstalujte Azure PowerShell pomocí pokynů uvedených v příručce Azure PowerShella pak spuštěním rutiny
Login-AzAccountvytvořte připojení k Azure.Vytvořte aplikaci funkcí pomocí Azure PowerShell. další příklady použití Azure PowerShell s Azure Functions najdete v tématu Az. functions:
# Create a resource group. New-AzResourceGroup -Name $resourceGroupName -Location $location # Create a storage account. New-AzStorageAccount -Name $storageAccountName -ResourceGroupName $resourceGroupName -SkuName $sku # Create a function app with a system-assigned identity. New-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -Location $location -StorageAccountName $storageAccountName -Runtime $runtime -IdentityType SystemAssigned
Místo toho můžete také aktualizovat existující aplikaci Function App Update-AzFunctionApp .
Použití šablony Azure Resource Manager
K automatizaci nasazení prostředků Azure můžete použít šablonu Azure Resource Manager. Další informace o nasazení do App Service a funkcí naleznete v tématu Automatizace nasazení prostředků v App Service a Automatizace nasazení prostředků v Azure Functions.
Libovolný prostředek typu Microsoft.Web/sites se dá vytvořit s identitou, a to zahrnutím následující vlastnosti do definice prostředků:
"identity": {
"type": "SystemAssigned"
}
Poznámka
Aplikace může mít současně přiřazené i uživatelsky přiřazené identity. V tomto případě type by vlastnost byla SystemAssigned,UserAssigned
Když přidáte typ přiřazený systémem, dáte službě Azure pokyn k vytvoření a správě identity vaší aplikace.
Webová aplikace může například vypadat takto:
{
"apiVersion": "2016-08-01",
"type": "Microsoft.Web/sites",
"name": "[variables('appName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "SystemAssigned"
},
"properties": {
"name": "[variables('appName')]",
"serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
"hostingEnvironment": "",
"clientAffinityEnabled": false,
"alwaysOn": true
},
"dependsOn": [
"[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
]
}
Když je web vytvořen, má následující další vlastnosti:
"identity": {
"type": "SystemAssigned",
"tenantId": "<TENANTID>",
"principalId": "<PRINCIPALID>"
}
Vlastnost tenantId určuje, do kterého tenanta Azure AD patří identita. PrincipalId je jedinečný identifikátor pro novou identitu aplikace. V rámci služby Azure AD má instanční objekt stejný název, jaký jste zadali App Service nebo Azure Functions instanci.
Pokud potřebujete na tyto vlastnosti odkazovat v pozdější fázi šablony, můžete tak učinit prostřednictvím reference() funkce šablony s 'Full' příznakem, jako v tomto příkladu:
{
"tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
"objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}
Přidání uživatelsky přiřazené identity
Vytvoření aplikace s uživatelem přiřazenou identitou vyžaduje, abyste vytvořili identitu a pak přidali svůj identifikátor prostředku do vaší konfigurace aplikace.
Použití webu Azure Portal
Nejdřív budete muset vytvořit prostředek identity přiřazené uživatelem.
Podle těchto pokynůvytvořte prostředek spravované identity přiřazené uživatelem.
Vytvořte aplikaci na portálu obvyklým způsobem. Přejděte na portál na portálu.
Pokud používáte aplikaci Function App, přejděte k funkcím platformy. u ostatních typů aplikací přejděte dolů na skupinu Nastavení v levém navigačním panelu.
Vyberte Identita.
Na kartě přiřazené uživatelem klikněte na tlačítko Přidat.
Vyhledejte identitu, kterou jste vytvořili dříve, a vyberte ji. Klikněte na Přidat.
Použití Azure Powershell
Poznámka
Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Následující kroky vás provedou vytvořením aplikace a přiřazením identity pomocí Azure PowerShell.
Poznámka
aktuální verze Azure PowerShell rutin pro Azure App Service nepodporuje identity přiřazené uživatelem. Následující pokyny jsou k disAzure Functions.
v případě potřeby nainstalujte Azure PowerShell pomocí pokynů uvedených v příručce Azure PowerShella pak spuštěním rutiny
Login-AzAccountvytvořte připojení k Azure.Vytvořte aplikaci funkcí pomocí Azure PowerShell. další příklady použití Azure PowerShell s Azure Functions najdete v tématu Az. functions. Níže uvedený skript také využívá k
New-AzUserAssignedIdentitytomu, že se musí nainstalovat samostatně podle potřeby pro Vytvoření, výpis nebo odstranění spravované identity přiřazené uživatelem pomocí Azure PowerShell.# Create a resource group. New-AzResourceGroup -Name $resourceGroupName -Location $location # Create a storage account. New-AzStorageAccount -Name $storageAccountName -ResourceGroupName $resourceGroupName -SkuName $sku # Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module. $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName # Create a function app with a user-assigned identity. New-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -Location $location -StorageAccountName $storageAccountName -Runtime $runtime -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id
Místo toho můžete také aktualizovat existující aplikaci Function App Update-AzFunctionApp .
Použití šablony Azure Resource Manager
K automatizaci nasazení prostředků Azure můžete použít šablonu Azure Resource Manager. Další informace o nasazení do App Service a funkcí naleznete v tématu Automatizace nasazení prostředků v App Service a Automatizace nasazení prostředků v Azure Functions.
Libovolný prostředek typu Microsoft.Web/sites se dá vytvořit s identitou, a to tak, že do definice prostředků zahrneme následující blok a nahradíte <RESOURCEID> ID prostředku požadované identity:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {}
}
}
Poznámka
Aplikace může mít současně přiřazené i uživatelsky přiřazené identity. V tomto případě type by vlastnost byla SystemAssigned,UserAssigned
Když se přidá uživatelem přiřazený typ, sdělí Azure, aby používal identitu přiřazenou uživateli zadanou pro vaši aplikaci.
Webová aplikace může například vypadat takto:
{
"apiVersion": "2016-08-01",
"type": "Microsoft.Web/sites",
"name": "[variables('appName')]",
"location": "[resourceGroup().location]",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
}
},
"properties": {
"name": "[variables('appName')]",
"serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
"hostingEnvironment": "",
"clientAffinityEnabled": false,
"alwaysOn": true
},
"dependsOn": [
"[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
]
}
Když je web vytvořen, má následující další vlastnosti:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {
"principalId": "<PRINCIPALID>",
"clientId": "<CLIENTID>"
}
}
}
PrincipalId je jedinečný identifikátor pro identitu, která se používá pro správu Azure AD. ClientId je jedinečný identifikátor pro novou identitu aplikace, která se používá k určení identity, která se má použít během volání za běhu.
Získání tokenů pro prostředky Azure
Aplikace může pomocí spravované identity získat tokeny pro přístup k jiným prostředkům chráněným službou Azure AD, jako je například Azure Key Vault. Tyto tokeny reprezentují aplikaci, která přistupuje k prostředku, a ne žádného konkrétního uživatele aplikace.
Možná budete muset nakonfigurovat cílový prostředek, aby povoloval přístup z vaší aplikace. Například pokud požadujete token pro přístup k Key Vault, musíte se ujistit, že jste přidali zásadu přístupu, která zahrnuje identitu vaší aplikace. Jinak volání metody Key Vault budou odmítnuta, i když obsahují token. Další informace o tom, které prostředky podporují Azure Active Directory tokeny, najdete v tématu Služby Azure, které podporují ověřování Azure AD.
Důležité
Back-endové služby pro spravované identity udržují mezipaměť pro každý identifikátor URI prostředku přibližně 24 hodin. Pokud aktualizujete zásady přístupu konkrétního cílového prostředku a okamžitě načtete token pro tento prostředek, můžete dál získávat token v mezipaměti se zastaralých oprávněními, dokud nevyprší platnost tohoto tokenu. V současné době neexistuje způsob, jak vynutit aktualizaci tokenu.
K dispozici je jednoduchý protokol REST pro získání tokenu v App Service a Azure Functions. Můžete ho použít pro všechny aplikace a jazyky. Pro .NET a Javu poskytuje sada Azure SDK abstrakci tohoto protokolu a usnadňuje místní vývojové prostředí.
Použití protokolu REST
Poznámka
Starší verze tohoto protokolu, která používá verzi rozhraní API "2017-09-01", použila hlavičku místo a přijímaná pouze vlastnost pro secret X-IDENTITY-HEADER clientid přiřazenou uživatelem. Vrátila také ve expires_on formátu časového razítka. MSI_ENDPOINT můžete použít jako alias pro IDENTITY_ENDPOINT a MSI_SECRET je možné použít jako alias pro IDENTITY_HEADER. Tato verze protokolu se v současné době vyžaduje pro Využití v Linuxu hostování.
Aplikace se spravovanou identitou má definované dvě proměnné prostředí:
- IDENTITY_ENDPOINT – adresa URL místní služby tokenů.
- IDENTITY_HEADER – hlavička, která pomáhá zmírnit útoky SSRF (Server-Side Request Forgery). Hodnota je obměna platformou.
Tato IDENTITY_ENDPOINT je místní adresa URL, ze které může vaše aplikace žádat o tokeny. Pokud chcete získat token pro prostředek, vytvořte na tento koncový bod požadavek HTTP GET, včetně následujících parametrů:
Název parametru V Description prostředek Dotaz Identifikátor URI prostředku Azure AD prostředku, pro který se má token získat. Může to být jedna ze služeb Azure, které podporují ověřování Azure AD, nebo jakýkoli jiný identifikátor URI prostředku. verze-api Dotaz Verze rozhraní API tokenu, které se má použít. Použijte prosím "2019-08-01" nebo novější (pokud používáte Využití v Linuxu, který aktuálně nabízí pouze "2017-09-01" – viz poznámka výše). X-IDENTITY-HEADER Hlavička Hodnota proměnné IDENTITY_HEADER prostředí. Tato hlavička pomáhá zmírnit útoky SSRF (Request Forgery) na straně serveru. client_id Dotaz (Volitelné) ID klienta identity přiřazené uživatelem, která se má použít. Nelze použít u požadavku, který zahrnuje principal_idmi_res_id, neboobject_id. Pokud jsou vynechány všechny parametry ID ( , , a ), použije seclient_idprincipal_idobject_idmi_res_ididentita přiřazená systémem.Principal_id Dotaz (Volitelné) ID objektu zabezpečení identity přiřazené uživatelem, která se má použít. object_idje alias, který lze použít místo toho. Nelze použít u požadavku, který zahrnuje client_id, mi_res_id nebo object_id. Pokud jsou vynechány všechny parametry ID ( , , a ), použije seclient_idprincipal_idobject_idmi_res_ididentita přiřazená systémem.mi_res_id Dotaz (Volitelné) ID prostředku Azure identity přiřazené uživatelem, která se má použít. Nelze použít u požadavku, který zahrnuje principal_idclient_id, neboobject_id. Pokud jsou vynechány všechny parametry ID ( , , a ), použije seclient_idprincipal_idobject_idmi_res_ididentita přiřazená systémem.
Důležité
Pokud se pokoušíte získat tokeny pro identity přiřazené uživatelem, musíte zahrnout jednu z volitelných vlastností. V opačném případě se služba tokenů pokusí získat token pro identitu přiřazenou systémem, která může nebo nemusí existovat.
Úspěšná odpověď 200 OK obsahuje text JSON s následujícími vlastnostmi:
Název vlastnosti Description access_token Požadovaný přístupový token. Volající webová služba může tento token použít k ověření u přijímající webové služby. client_id ID klienta použité identity. expires_on Časový interval vypršení platnosti přístupového tokenu Datum je vyjádřeno jako počet sekund od "1970-01-01T0:0:0Z UTC" (odpovídá deklaraci identity exptokenu).not_before Časové období, kdy se přístupový token projeví a je možné ho přijmout. Datum je vyjádřeno jako počet sekund od "1970-01-01T0:0:0Z UTC" (odpovídá deklaraci identity nbftokenu).prostředek Prostředek, pro který byl přístupový token požadován, který odpovídá resourceparametru řetězce dotazu požadavku.token_type Označuje hodnotu typu tokenu. Jediný typ, který Azure AD podporuje, je Bearer. Další informace o bearer tokenech najdete v dokumentu RFC 6750 (The OAuth 2.0 Authorization Framework: Bearer Token Usage).
Tato odpověď je stejná jako odpověď na žádost o přístupový token služby Azure AD.
Příklady protokolů REST
Příklad požadavku může vypadat takto:
GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a
Ukázková odpověď může vypadat takto:
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token": "eyJ0eXAi…",
"expires_on": "1586984735",
"resource": "https://vault.azure.net",
"token_type": "Bearer",
"client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}
Příklady kódu
Tip
Pro jazyky .NET můžete také použít Microsoft.Azure.Services.AppAuthentication místo toho, abyste si tento požadavek sami sestavit.
private readonly HttpClient _client;
// ...
public async Task<HttpResponseMessage> GetToken(string resource) {
var request = new HttpRequestMessage(HttpMethod.Get,
String.Format("{0}/?resource={1}&api-version=2019-08-01", Environment.GetEnvironmentVariable("IDENTITY_ENDPOINT"), resource));
request.Headers.Add("X-IDENTITY-HEADER", Environment.GetEnvironmentVariable("IDENTITY_HEADER"));
return await _client.SendAsync(request);
}
Použití knihovny Microsoft.Azure.Services.AppAuthentication pro .NET
Pro aplikace a funkce .NET je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím balíčku Microsoft.Azure.Services.AppAuthentication. Tato knihovna vám také umožní testovat kód místně na vývojovém počítači pomocí uživatelského účtu z Visual Studio, Azure CLInebo integrovaného ověřování Active Directory. Při hostování v cloudu se ve výchozím nastavení používá identita přiřazená systémem, ale toto chování můžete přizpůsobit pomocí proměnné prostředí připojovacího řetězce, která odkazuje na ID klienta identity přiřazené uživatelem. Další informace o možnostech vývoje s touto knihovnou najdete v referenčních informacích k [Microsoft.Azure.Services.AppAuthentication.] V této části si ukážeme, jak začít s knihovnou v kódu.
Přidejte odkazy na Microsoft.Azure.Services.AppAuthentication a všechny další nezbytné NuGet do vaší aplikace. Následující příklad také používá Microsoft.Azure.KeyVault.
Do aplikace přidejte následující kód, který upravíte tak, aby cílil na správný prostředek. Tento příklad ukazuje dva způsoby práce s Azure Key Vault:
using Microsoft.Azure.Services.AppAuthentication; using Microsoft.Azure.KeyVault; // ... var azureServiceTokenProvider = new AzureServiceTokenProvider(); string accessToken = await azureServiceTokenProvider.GetAccessTokenAsync("https://vault.azure.net"); // OR var kv = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));
Pokud chcete použít spravovanou identitu přiřazenou uživatelem, můžete nastavit AzureServicesAuthConnectionString nastavení aplikace na RunAs=App;AppId=<clientId-guid> . Nahraďte <clientId-guid> ID klienta identity, kterou chcete použít. Více takových připojovacích řetězců můžete definovat pomocí vlastního nastavení aplikace a předáním jejich hodnot do konstruktoru AzureServiceTokenProvider.
var identityConnectionString1 = Environment.GetEnvironmentVariable("UA1_ConnectionString");
var azureServiceTokenProvider1 = new AzureServiceTokenProvider(identityConnectionString1);
var identityConnectionString2 = Environment.GetEnvironmentVariable("UA2_ConnectionString");
var azureServiceTokenProvider2 = new AzureServiceTokenProvider(identityConnectionString2);
Další informace o konfiguraci AzureServiceTokenProvider a operacích, které zpřístupňuje, najdete v referenčních informacích [k Microsoft.Azure.Services.AppAuthentication] a v ukázkách App Service a KeyVault s MSI .NET.
Použití sady Azure SDK pro Javu
Pro aplikace a funkce Java je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím sady Azure SDK pro Javu. V této části si ukážeme, jak začít s knihovnou v kódu.
Přidejte odkaz na knihovnu sady Azure SDK. V případě projektů Maven můžete tento fragment kódu přidat do
dependenciesoddílu souboru pom projektu:<dependency> <groupId>com.microsoft.azure</groupId> <artifactId>azure</artifactId> <version>1.23.0</version> </dependency>Použijte
AppServiceMSICredentialsobjekt pro ověřování. Tento příklad ukazuje, jak tento mechanismus lze použít pro práci s Azure Key Vault:import com.microsoft.azure.AzureEnvironment; import com.microsoft.azure.management.Azure; import com.microsoft.azure.management.keyvault.Vault //... Azure azure = Azure.authenticate(new AppServiceMSICredentials(AzureEnvironment.AZURE)) .withSubscription(subscriptionId); Vault myKeyVault = azure.vaults().getByResourceGroup(resourceGroup, keyvaultName);
Odebrání identity
Identitu přiřazenou systémem je možné odebrat tak, že ji zakážete pomocí portálu, PowerShellu nebo rozhraní příkazového řádku stejným způsobem, jakým jste ji vytvořili. Uživatelsky přiřazené identity je možné odebrat jednotlivě. Pokud chcete odebrat všechny identity, nastavte typ identity na None (žádné).
Odebrání identity přiřazené systémem tímto způsobem ji odstraní také z Azure AD. Identity přiřazené systémem se při odstranění prostředku aplikace automaticky odeberou z Azure AD.
Odebrání všech identit v šabloně ARM:
"identity": {
"type": "None"
}
chcete-li odebrat všechny identity v Azure PowerShell (pouze Azure Functions):
# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None
Poznámka
Existuje také nastavení aplikace, které lze nastavit, WEBSITE_DISABLE_MSI, což zakazuje pouze místní službu tokenů. Ale ponechá identitu na místě a nástroj bude stále zobrazovat spravovanou identitu jako zapnuto nebo povoleno. V důsledku toho se použití tohoto nastavení nedoporučuje.