Felügyelt identitások használata az Azure-hoz a Service Fabrickel

A felhőalkalmazások létrehozásakor gyakori kihívás, hogy hogyan kezelheti biztonságosan a kódban lévő hitelesítő adatokat a különböző szolgáltatásokhoz való hitelesítéshez anélkül, hogy helyileg mentenék őket egy fejlesztői munkaállomáson vagy a verziókövetésben. Az Azure felügyelt identitásai az Azure Active Directoryban (Azure AD) lévő összes erőforrás esetében megoldják ezt a problémát azáltal, hogy automatikusan felügyelt identitásokat biztosítanak számukra az Azure AD-ben. A szolgáltatás identitásával hitelesítést végezhet bármely olyan szolgáltatásban, amely támogatja az Azure AD-hitelesítést, beleértve a Key Vaultot is, a kódban tárolt hitelesítő adatok nélkül.

Az Azure-erőforrások felügyelt identitásai ingyenesek az Azure-előfizetésekhez készült Azure AD-vel. Nincs plusz költség.

Megjegyzés

Az Azure felügyelt identitásai a korábban felügyeltszolgáltatás-identitásként (MSI) ismert szolgáltatás új neve.

Alapelvek

Az Azure felügyelt identitásai több fő alapelven alapulnak:

  • Ügyfél-azonosító – az Azure AD által létrehozott egyedi azonosító, amely egy alkalmazáshoz és szolgáltatásnévhez van kötve a kezdeti üzembe helyezés során (lásd az alkalmazás (ügyfél) azonosítóját is).)

  • Egyszerű azonosító – a felügyelt identitás szolgáltatásnév-objektumának objektumazonosítója, amely szerepköralapú hozzáférést biztosít egy Azure-erőforráshoz.

  • Szolgáltatásnév – Egy Azure Active Directory-objektum, amely egy Adott bérlőben lévő Azure AD-alkalmazás leképezését jelöli (lásd a szolgáltatásnevet is).)

A felügyelt identitásoknak két típusa létezik:

  • A rendszer által hozzárendelt felügyelt identitások közvetlenül egy Azure-szolgáltatáspéldányon vannak engedélyezve. A rendszer által hozzárendelt identitás életciklusa egyedi abban az Azure-szolgáltatáspéldányban, amelyen engedélyezve van.
  • A felhasználó által hozzárendelt felügyelt identitás különálló Azure-erőforrásként jön létre. Az identitás hozzárendelhető egy vagy több Azure-szolgáltatáspéldányhoz, és a példányok életciklusától elkülönítve kezelhető.

A felügyelt identitástípusok közötti különbség további megismeréséhez tekintse meg az Azure-erőforrások felügyelt identitásainak működését ismertető témakört.

Service Fabric-alkalmazások támogatott forgatókönyvei

A Service Fabric felügyelt identitásait csak az Azure által üzembe helyezett Service Fabric-fürtök támogatják, és csak az Azure-erőforrásokként üzembe helyezett alkalmazások esetében. Az Azure-erőforrásként nem üzembe helyezett alkalmazásokhoz nem lehet identitást hozzárendelni. Elméletileg az Azure Service Fabric-fürtök felügyelt identitásainak támogatása két fázisból áll:

  1. Egy vagy több felügyelt identitás hozzárendelése az alkalmazáserőforráshoz; egy alkalmazáshoz egyetlen rendszer által hozzárendelt identitás, illetve legfeljebb 32 felhasználó által hozzárendelt identitás rendelhető hozzá.

  2. Az alkalmazás definíciójában rendelje hozzá az alkalmazáshoz rendelt identitások egyikét az alkalmazást alkotó bármely egyéni szolgáltatáshoz.

Az alkalmazás rendszer által hozzárendelt identitása egyedi az adott alkalmazás számára; A felhasználó által hozzárendelt identitás önálló erőforrás, amely több alkalmazáshoz is hozzárendelhető. Egy alkalmazáson belül egyetlen identitás (akár rendszer által hozzárendelt, akár felhasználó által hozzárendelt) rendelhető hozzá az alkalmazás több szolgáltatásához, de minden egyes szolgáltatáshoz csak egy identitás rendelhető hozzá. Végül a szolgáltatáshoz explicit módon hozzá kell rendelni egy identitást, hogy hozzáférhessen ehhez a funkcióhoz. Az alkalmazás identitásainak a hozzá tartozó szolgáltatásokhoz való leképezése gyakorlatilag lehetővé teszi az alkalmazáson belüli elkülönítést – a szolgáltatás csak a rá leképezett identitást használhatja.

A következő forgatókönyvek támogatottak ehhez a funkcióhoz:

  • Új alkalmazás üzembe helyezése egy vagy több szolgáltatással és egy vagy több hozzárendelt identitással

  • Egy vagy több felügyelt identitás hozzárendelése egy meglévő (Azure által üzembe helyezett) alkalmazáshoz az Azure-erőforrások eléréséhez

Az alábbi forgatókönyvek nem támogatottak vagy nem ajánlottak. Előfordulhat, hogy ezek a műveletek nem lesznek blokkolva, de kimaradásokhoz vezethetnek az alkalmazásokban:

  • Az alkalmazáshoz rendelt identitások eltávolítása vagy módosítása. Ha módosításokat kell végeznie, küldjön külön üzembe helyezéseket, hogy először adjon hozzá egy új identitás-hozzárendelést, majd távolítsa el a korábban hozzárendeltet. Az identitás eltávolítása egy meglévő alkalmazásból nemkívánatos következményeket okozhat, beleértve az alkalmazás nem frissíthető állapotban való elhagyását is. Az alkalmazás teljes mértékben biztonságosan törölhető, ha egy identitás eltávolítására van szükség. Az alkalmazás törlése törli az alkalmazáshoz társított rendszer által hozzárendelt identitásokat, és eltávolít minden társítást az alkalmazáshoz rendelt felhasználó által hozzárendelt identitásokkal.

  • A Service Fabric nem támogatja a felügyelt identitásokat az elavult AzureServiceTokenProviderben. Ehelyett használjon felügyelt identitásokat a Service Fabricben az Azure Identity SDK használatával

Következő lépések