Spuštění služby jako uživatele nebo skupiny služby Active Directory
V samostatném clusteru s Windows Serverem můžete službu spustit jako uživatele nebo skupinu služby Active Directory pomocí zásad Spustit jako. Aplikace Service Fabric ve výchozím nastavení běží pod účtem, pod kterým běží proces Fabric.exe. Spouštění aplikací v různých účtech, a to i ve sdíleném hostovaném prostředí, zajišťuje lepší zabezpečení mezi sebou. Všimněte si, že se používá místní služba Active Directory v rámci vaší domény, a ne ID Microsoft Entra. Službu můžete spustit také jako skupinový účet spravované služby (gMSA).
Pomocí uživatele nebo skupiny domény pak můžete získat přístup k jiným prostředkům v doméně (například ke sdíleným složkám), kterým byla udělena oprávnění.
Následující příklad ukazuje uživatele služby Active Directory s názvem TestUser s heslem domény zašifrovaným pomocí certifikátu s názvem MyCert. K vytvoření tajného textu šifry můžete použít Invoke-ServiceFabricEncryptText příkaz PowerShellu. Podrobnosti najdete v tématu Správa tajných kódů v aplikacích Service Fabric.
Privátní klíč certifikátu musíte nasadit k dešifrování hesla do místního počítače pomocí vzdálené metody (v Azure to je prostřednictvím Azure Resource Manageru). Když Pak Service Fabric nasadí balíček služby do počítače, dokáže tajný kód dešifrovat a (společně s uživatelským jménem) ověřit ve službě Active Directory, aby běžel pod těmito přihlašovacími údaji.
<Principals>
<Users>
<User Name="TestUser" AccountType="DomainUser" AccountName="Domain\User" Password="[Put encrypted password here using MyCert certificate]" PasswordEncrypted="true" />
</Users>
</Principals>
<Policies>
<DefaultRunAsPolicy UserRef="TestUser" />
<SecurityAccessPolicies>
<SecurityAccessPolicy ResourceRef="MyCert" PrincipalRef="TestUser" GrantRights="Full" ResourceType="Certificate" />
</SecurityAccessPolicies>
</Policies>
<Certificates>
Poznámka:
Pokud použijete zásadu Spustit jako pro službu a manifest služby deklaruje prostředky koncového bodu pomocí protokolu HTTP, musíte také zadat SecurityAccessPolicy. Další informace najdete v tématu Přiřazení zásad přístupu zabezpečení pro koncové body HTTP a HTTPS.
Jako další krok si přečtěte následující články: