Verwenden von verwalteten Identitäten für Azure mit Azure Monitor SCOM-verwaltete Instanz
Eine häufige Herausforderung beim Erstellen von Cloudanwendungen besteht darin, die Anmeldeinformationen in Ihrem Code sicher zu verwalten, um verschiedene Dienste zu authentifizieren, ohne sie lokal auf einer Entwicklerarbeitsstation oder in der Quellcodeverwaltung zu speichern.
Verwaltete Identitäten für Azure lösen dieses Problem für alle Ihre Ressourcen in Azure Active Directory, indem sie ihnen automatisch verwaltete Identitäten bereitstellen. Sie können die Identität eines Diensts verwenden, um jeden Dienst zu authentifizieren, der die Azure Active Directory-Authentifizierung unterstützt, einschließlich Schlüsseltresor, ohne Anmeldeinformationen im Code zu sortieren.
Hinweis
- Verwaltete Identitäten für Azure sind der neue Name für den Dienst, der früher als verwaltete Dienstidentität (MSI) bezeichnet wurde.
- Verwaltete Identitäten für Azure-Ressourcen sind mit Azure Active Directory für Azure-Abonnements kostenlos. Es entstehen keine zusätzlichen Kosten.
Konzepte
Verwaltete Identitäten für Azure basieren auf mehreren Schlüsselkonzepten:
Client-ID : Ein eindeutiger Bezeichner, der von Azure Active Directory generiert wird und während der ersten Bereitstellung an eine Anwendung und einen Dienstprinzipal gebunden ist. Weitere Informationen finden Sie unter Anwendungs-ID (Client-ID).
Prinzipal-ID : Die Objekt-ID des Dienstprinzipalsobjekts für Ihre verwaltete Identität, die verwendet wird, um rollenbasierten Zugriff auf eine Azure-Ressource zu gewähren.
Dienstprinzipal : Ein Azure Active Directory-Objekt, das die Projektion einer Azure Active Directory-Anwendung auf einen bestimmten Mandanten darstellt. Weitere Informationen finden Sie unter Dienstprinzipal.
Arten von verwalteten Identitäten
Es gibt zwei Arten von verwalteten Identitäten:
Systemseitig zugewiesene verwaltete Identität: Direkt für einen Azure-Dienst instance aktiviert. Der Lebenszyklus einer vom System zugewiesenen Identität ist für die Azure-Dienstinstanz eindeutig, für die sie aktiviert wurde.
Benutzerseitig zugewiesene verwaltete Identität: Erstellt als eigenständige Azure-Ressource. Die Identität kann mindestens einer Azure-Dienstinstanz zugewiesen werden und wird separat von den Lebenszyklen dieser Instanzen verwaltet.
Weitere Informationen zu Verwalteten Identitätstypen finden Sie unter Wie funktionieren verwaltete Identitäten für Azure-Ressourcen?.
Unterstützte Szenarien für SCOM-verwaltete Instanz
SCOM verwaltete Instanz unterstützt sowohl systemseitig zugewiesene verwaltete Identität als auch benutzerseitig zugewiesene verwaltete Identität für die in Azure bereitgestellten verwalteten SCOM-Instanzen. SCOM verwaltete Instanz erstellt andere Abhängigkeitsressourcen wie Virtual Machine Scale Sets -Cluster (VMSS) zum Hosten von Verwaltungsservern. SCOM verwaltete Instanz die verwalteten Identitäten mit HOBO v2 integriert, sodass die zugewiesene Identität zur Authentifizierung mit Senkenressourcen an die zugrunde liegende Infrastruktur delegiert wird. Diese Identitäten werden verwendet, um andere Azure-Dienste in verschiedenen Szenarien zu authentifizieren.
Systemseitig zugewiesene verwaltete Identität
- SCOM verwaltete Instanz sendet verschiedene Integritäts- oder Leistungsmetriken an Geneva Cluster Services und überwacht das instance Verhalten zur Laufzeit. Die systemseitig zugewiesene Identität, die an die SCOM-verwaltete Instanz-Ressource delegiert wird, wird für die Authentifizierung bei Azure Geneva Cluster-Diensten verwendet.
Benutzerseitig zugewiesene verwaltete Identität
Bei SCOM-verwaltete Instanz ersetzt eine verwaltete Identität die herkömmlichen vier System Center Operations Manager-Dienstkonten und wird für den Zugriff auf die SQL Managed Instance-Datenbank verwendet. SCOM verwaltete Instanz Lese-/Schreibvorgänge von Kundenworkloadüberwachungsdaten in sql managed instance Datenbanken. Die benutzerseitig zugewiesene Identität, die SCOM verwaltete Instanz Ressource zugewiesen ist, wird für die Authentifizierung von System Center Operations Manager-Servern bei SQL Managed instance verwendet.
SCOM verwaltete Instanz Onboardingprozess verwendet die Anmeldeinformationen des Domänenbenutzers, die im Kundenschlüsseltresor gespeichert sind. Auf die Geheimnisse im Kundenschlüsseltresor wird mithilfe der verwalteten Identität zugegriffen, die SCOM verwaltete Instanz zugewiesen ist.
Während des Onboardings von SCOM verwaltete Instanz müssen Sie die vom Benutzer verwaltete Identität angeben, die Zugriff auf den Kundenschlüsseltresor und SQL Managed Instance hat.
Erstellen einer verwalteten Dienstidentität (MSI)
Erstellen Sie eine verwaltete Dienstidentität , und stellen Sie ihr die richtige Zugriffsebene für die Azure-Ressource bereit.
Erstellen eines Schlüsseltresors und Hinzufügen von Anmeldeinformationen als Geheimnis im Schlüsseltresor
Speichern Sie das domänenkonto, das Sie im Active Directory erstellen, aus Sicherheitsgründen in einem Schlüsseltresorkonto. Azure Key Vault ist ein Clouddienst, der einen sicheren Speicher für Schlüssel, Geheimnisse und Zertifikate bereitstellt. Weitere Informationen finden Sie unter Azure Key Vault.
- Erstellen Sie einen Schlüsseltresor.
- Erstellen Sie ein Geheimnis für das Domänenkonto.
- Weisen Sie der verwalteten Dienstidentität (MSI) eine Leserrolle in diesem Schlüsseltresor zu. Weitere Informationen finden Sie unter Zuweisen einer Schlüsseltresor-Zugriffsrichtlinie.
Legen Sie den Wert von Active Directory Admin im SQL Managed Instance
Legen Sie den Wert von Active Directory Admin im SQL Managed Instance fest.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für