Számítási feladatok identitásának összevonása

  • Cikk

Ez a cikk áttekintést nyújt a számítási feladatok identitás-összevonásáról a szoftveres számítási feladatokhoz. A számítási feladatok identitásának összevonásával anélkül érheti el a Microsoft Entra által védett erőforrásokat, hogy titkos kulcsokat kellene kezelnie (támogatott forgatókönyvek esetén).

A számítási feladatok identitás-összevonását olyan forgatókönyvekben használhatja, mint a GitHub Actions, a Kubernetesen futó számítási feladatok vagy az Azure-on kívüli számítási platformokon futó számítási feladatok.

Miért érdemes a számítási feladat identitásának összevonását használni?

Ebből a videóból megtudhatja, miért használja a számítási feladatok identitásának összevonását.

Egy szoftveres számítási feladatnak (például alkalmazásnak, szolgáltatásnak, szkriptnek vagy tárolóalapú alkalmazásnak) általában identitásra van szüksége az erőforrások hitelesítéséhez és eléréséhez, illetve más szolgáltatásokkal való kommunikációhoz. Ha ezek a számítási feladatok az Azure-ban futnak, használhat felügyelt identitásokat, és az Azure platform kezeli az Ön hitelesítő adatait. Az Azure-ban futó szoftveres számítási feladatokhoz azonban csak felügyelt identitások használhatók. Az Azure-on kívül futó szoftveres számítási feladatokhoz az alkalmazás hitelesítő adataival (titkos kód vagy tanúsítvány) kell hozzáférnie a Microsoft Entra által védett erőforrásokhoz (például Az Azure, a Microsoft Graph, a Microsoft 365 vagy harmadik féltől származó erőforrások). Ezek a hitelesítő adatok biztonsági kockázatot jelentenek, és biztonságosan kell tárolni őket, és rendszeresen kell őket elforgatni. A szolgáltatás leállásának kockázata is fennáll, ha a hitelesítő adatok lejárnak.

A számítási feladatok identitásának összevonása segítségével konfigurálhat egy felhasználó által hozzárendelt felügyelt identitást vagy alkalmazásregisztrációt a Microsoft Entra ID-ban, hogy megbízható jogkivonatokat megbízhatónak minősítsen egy külső identitásszolgáltatótól (például GitHubtól vagy Google-tól). A Microsoft Entra ID-ban a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazásregisztráció identitássá válik a helyszíni Kubernetes- vagy GitHub Actions-munkafolyamatokban futó szoftveres számítási feladatokhoz. A megbízhatósági kapcsolat létrehozása után a külső szoftveres számítási feladat megbízható jogkivonatokat cserél a külső identitásszolgáltatótól a hozzáférési jogkivonatok Microsoft Identitásplatform. A szoftveres számítási feladat ezzel a hozzáférési jogkivonattal fér hozzá a Microsoft Entra által védett erőforrásokhoz, amelyekhez a számítási feladat hozzáférést kapott. Megszünteti a hitelesítő adatok manuális kezelésének karbantartási terheit, és kiküszöböli a titkos kódok kiszivárgásának vagy a tanúsítványok lejáratának kockázatát.

Támogatott esetek

A következő forgatókönyvek támogatottak a Microsoft Entra által védett erőforrások számítási feladatok identitásának összevonásával való eléréséhez:

  • Bármely Kubernetes-fürtön (Azure Kubernetes Service (AKS), Amazon Web Services EKS, Google Kubernetes Engine (GKE) vagy helyszíni környezetben futó számítási feladatok. Hozzon létre megbízhatósági kapcsolatot a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazás között a Microsoft Entra ID-ban és egy Kubernetes-számítási feladatban (a számítási feladatok identitásának áttekintésében).
  • GitHub Actions. Először konfiguráljon megbízhatósági kapcsolatot a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazás között a Microsoft Entra-azonosítóban és egy GitHub-adattárban a Microsoft Entra felügyeleti központban vagy a Microsoft Graph használatával. Ezután konfiguráljon egy GitHub Actions-munkafolyamatot , hogy lekérjen egy hozzáférési jogkivonatot a Microsoft identitásszolgáltatójától, és hozzáférjen az Azure-erőforrásokhoz.
  • Google Cloud. Először konfiguráljon megbízhatósági kapcsolatot a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazás között a Microsoft Entra ID-ban és a Google Cloudban. Ezután konfigurálja a Google Cloudban futó szoftveres számítási feladatát, hogy hozzáférési jogkivonatot szerezzen be a Microsoft identitásszolgáltatójától, és hozzáférjen a Microsoft Entra által védett erőforrásokhoz. Lásd: Access Microsoft Entra védett erőforrások egy alkalmazásból a Google Cloudban.
  • Az Amazon Web Servicesben (AWS) futó számítási feladatok. Először konfiguráljon megbízhatósági kapcsolatot a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazás között a Microsoft Entra ID-ban és az Amazon Cognito-ban. Ezután konfigurálja az AWS-ben futó szoftveres számítási feladatot, hogy hozzáférési jogkivonatot szerezzen be a Microsoft identitásszolgáltatójától, és hozzáférjen a Microsoft Entra által védett erőforrásokhoz. Lásd: Számítási feladatok identitásának összevonása az AWS-vel.
  • Az Azure-on kívüli számítási platformokon futó egyéb számítási feladatok. Konfiguráljon megbízhatósági kapcsolatot a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazás között a Microsoft Entra ID-ben és a számítási platform külső identitásszolgáltatója között. A platform által kibocsátott jogkivonatokkal hitelesíthet Microsoft Identitásplatform, és api-kat hívhat meg a Microsoft ökoszisztémájában. Az ügyfél hitelesítő adatainak folyamatával lekérhet egy hozzáférési jogkivonatot a Microsoft Identitásplatform, amely az identitásszolgáltató JWT-jében van átadva ahelyett, hogy saját maga hoz létre egy tárolt tanúsítványt.
  • Az SPIFFE és a SPIRE platformfüggetlen, nyílt forráskódú szabványok készlete, amelyek identitásokat biztosítanak a platformokon és felhőgyártókon üzembe helyezett szoftveres számítási feladatokhoz. Először konfiguráljon megbízhatósági kapcsolatot a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazás között a Microsoft Entra ID-ben, és egy SPIFFE-azonosítót egy külső számítási feladathoz. Ezután konfigurálja a külső szoftveres számítási feladatot úgy, hogy lekérjen egy hozzáférési jogkivonatot a Microsoft identitásszolgáltatójától, és hozzáférjen a Microsoft Entra által védett erőforrásokhoz. Lásd: Számítási feladatok identitásának összevonása SPIFFE-vel és SPIRE-vel.
  • Új szolgáltatáskapcsolat létrehozása az Azure Pipelinesban (előzetes verzió). Azure Resource Manager-szolgáltatáskapcsolat létrehozása számítási feladatok identitásának összevonásával.

Feljegyzés

A Microsoft Entra ID által kibocsátott jogkivonatok nem használhatók összevont identitásfolyamatokhoz. Az összevont identitás hitelesítő adatainak folyamata nem támogatja a Microsoft Entra ID által kibocsátott jogkivonatokat.

Hogyan működik?

Hozzon létre megbízhatósági kapcsolatot a külső identitásszolgáltató és egy felhasználó által hozzárendelt felügyelt identitás vagy alkalmazás között a Microsoft Entra ID-ban. A rendszer az összevont identitás hitelesítő adatait használja annak jelzésére, hogy a külső identitásszolgáltató melyik jogkivonatát megbízhatónak kell lennie az alkalmazásnak vagy a felügyelt identitásnak. Összevont identitást a következők valamelyike konfigurálhat:

  • Felhasználó által hozzárendelt felügyelt identitáson a Microsoft Entra felügyeleti központban, az Azure CLI-n, az Azure PowerShellen, az Azure SDK-n és az Azure Resource Manager-sablonokon keresztül. A külső számítási feladat a hozzáférési jogkivonatot használja a Microsoft Entra által védett erőforrások eléréséhez anélkül, hogy titkos kulcsokat kellene kezelnie (támogatott forgatókönyvekben). A megbízhatósági kapcsolat konfigurálásának lépései a forgatókönyvtől és a külső identitásszolgáltatótól függően eltérőek.
  • Alkalmazásregisztráció a Microsoft Entra felügyeleti központban vagy a Microsoft Graphon keresztül. Ez a konfiguráció lehetővé teszi egy hozzáférési jogkivonat lekérését az alkalmazáshoz anélkül, hogy titkos kulcsokat kellene kezelnie az Azure-on kívül. További információkért olvassa el, hogyan konfigurálhat egy alkalmazást úgy, hogy megbízzon egy külső identitásszolgáltatóban.

A külső jogkivonatok hozzáférési jogkivonatokra való cseréjének munkafolyamata azonban minden esetben azonos. Az alábbi ábra egy olyan számítási feladat általános munkafolyamatát mutatja be, amely külső jogkivonatot cserél egy hozzáférési jogkivonatra, majd hozzáfér a Microsoft Entra által védett erőforrásokhoz.

Egy hozzáférési jogkivonatra cserélt külső jogkivonatot és az Azure-hoz való hozzáférést bemutató ábra

  1. A külső számítási feladat (például Egy GitHub Actions-munkafolyamat) jogkivonatot kér a külső identitásszolgáltatótól (például a GitHubtól).
  2. A külső identitásszolgáltató jogkivonatot ad ki a külső számítási feladatnak.
  3. A külső számítási feladat (például egy GitHub-munkafolyamat bejelentkezési művelete) elküldi a jogkivonatot Microsoft Identitásplatform, és hozzáférési jogkivonatot kér.
  4. Microsoft Identitásplatform ellenőrzi a felhasználó által hozzárendelt felügyelt identitás vagy alkalmazásregisztráció megbízhatósági kapcsolatát, és ellenőrzi a külső jogkivonatot az OpenID Csatlakozás (OIDC) kiállító URL-címén a külső identitásszolgáltatón.
  5. Ha az ellenőrzések teljesülnek, Microsoft Identitásplatform a külső számítási feladathoz hozzáférési jogkivonatot ad ki.
  6. A külső számítási feladat a Microsoft Entra által védett erőforrásokhoz fér hozzá a Microsoft Identitásplatform hozzáférési jogkivonatával. Egy GitHub Actions-munkafolyamat például a hozzáférési jogkivonat használatával tesz közzé egy webalkalmazást Azure-alkalmazás Szolgáltatásban.

A Microsoft Identitásplatform csak az első 100 aláírási kulcsot tárolja, amikor letölti őket a külső identitásszolgáltató OIDC-végpontjáról. Ha a külső identitásszolgáltató több mint 100 aláírási kulcsot tesz elérhetővé, hibák léphetnek fel a számítási feladatok identitásának összevonása során.

Következő lépések

További információ a számítási feladatok identitás-összevonásának működéséről: