Upravit

Centralizované nastavení a zabezpečení aplikací

Microsoft Entra ID
Azure App Configuration
Azure Key Vault

Nápady na řešení

Tento článek je myšlenkou řešení. Pokud chcete, abychom obsah rozšířili o další informace, jako jsou potenciální případy použití, alternativní služby, aspekty implementace nebo pokyny k cenám, dejte nám vědět tím, že nám poskytnete zpětnou vazbu k GitHubu.

Tento článek popisuje řešení pro vytvoření robustní a škálovatelné aplikace v distribuovaném prostředí. Řešení používá Aplikace Azure Konfigurace a Azure Key Vault ke správě a ukládání nastavení konfigurace aplikací, příznaků funkcí a zabezpečeného přístupu na jednom místě.

Architektura

Následující diagramy ukazují, jak může služba App Configuration a Key Vault spolupracovat na správě a zabezpečení aplikací ve vývojových a prostředích Azure .

Vývojové prostředí

Ve vývojovém prostředí aplikace používá identitu prostřednictvím sady Visual Studio nebo verze 2.0 Azure CLI k přihlášení a odeslání žádosti o ověření na ID Microsoft Entra.

Diagram architektury znázorňující, jak se aplikace přihlásí a ověří ve vývojovém prostředí

Stáhněte si soubor Visia této architektury.

Přípravné nebo produkční prostředí Azure

Pracovní a produkční prostředí Azure používají spravovanou identitu pro přihlášení a ověřování.

Diagram architektury znázorňující, jak se aplikace přihlásí a ověří v přípravném nebo produkčním prostředí

Stáhněte si soubor Visia této architektury.

Tok dat

  1. Aplikace odešle požadavek na ověření během ladění v sadě Visual Studio nebo se ověřuje prostřednictvím MSI v Azure.
  2. Po úspěšném ověření vrátí ID Microsoft Entra přístupový token.
  3. Sada App Configuration SDK odešle požadavek s přístupovým tokenem, který přečte hodnotu tajného klíče služby App Configuration Key Vault aplikace pro trezor klíčů aplikace.
  4. Po úspěšné autorizaci odešle Konfigurace aplikace hodnotu konfigurace.
  5. Při použití přihlašovací identity aplikace odešle do služby Key Vault požadavek na načtení tajného klíče aplikace pro identifikátor secretURI , který služba App Configuration odeslala.
  6. Po úspěšné autorizaci vrátí Key Vault hodnotu tajného kódu.

Komponenty

  • Microsoft Entra ID je univerzální platforma pro správu a zabezpečení identit.
  • App Configuration poskytuje způsob ukládání konfigurací pro všechny aplikace Azure v univerzálním hostovaném umístění.
  • Spravované identity poskytují identitu pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra.
  • Key Vault chrání kryptografické klíče a další tajné kódy, které používají cloudové aplikace a služby.

Podrobnosti scénáře

Cloudové aplikace se často spouštějí na více virtuálních počítačích nebo kontejnerech ve více oblastech a používají více externích služeb. Vytvoření robustní a škálovatelné aplikace v distribuovaném prostředí představuje významnou výzvu.

Pomocí služby App Configuration můžete spravovat a ukládat všechna nastavení konfigurace, příznaky funkcí a nastavení zabezpečeného přístupu na jednom místě. Služba App Configuration bezproblémově funguje se službou Key Vault, která ukládá hesla, klíče a tajné kódy pro zabezpečený přístup.

Potenciální případy použití

Každá aplikace může používat Službu App Configuration, ale z ní těží následující typy aplikací:

  • Mikroslužby spuštěné ve službě Azure Kubernetes Service (AKS) nebo jiných kontejnerizovaných aplikacích nasazených v jedné nebo více oblastech
  • Bezserverové aplikace, které zahrnují Azure Functions nebo jiné bezstavové výpočetní aplikace řízené událostmi.
  • Aplikace, které používají kanál průběžného nasazování (CD).

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

  • Nejlepší je použít jiný trezor klíčů pro každou aplikaci v každém prostředí: vývoj, předprodukční Azure a produkční prostředí Azure. Použití různých trezorů pomáhá zabránit sdílení tajných kódů napříč prostředími a snižuje hrozby v případě porušení zabezpečení.

  • Aby bylo možné tyto scénáře použít, musí mít přihlašovací identita roli Čtenář dat konfigurace aplikace v prostředku App Configuration a musí mít explicitní zásady přístupu pro načtení tajných kódů ve službě Key Vault.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další kroky

Další informace o technologiích komponent: