Az összevont identitás hitelesítő adatainak fontos szempontjai és korlátozásai
Ez a cikk a Microsoft Entra-alkalmazások és a felhasználó által hozzárendelt felügyelt identitások összevont identitásának hitelesítő adataival kapcsolatos fontos szempontokat, korlátozásokat és korlátozásokat ismerteti.
Az összevont identitások hitelesítő adatai által engedélyezett forgatókönyvekről további információt a számítási feladatok identitás-összevonásának áttekintésében talál.
Az összevont identitás hitelesítő adatainak általános szempontjai
A következőkre vonatkozik: alkalmazások és felhasználó által hozzárendelt felügyelt identitások
Bárki, aki rendelkezik az alkalmazásregisztráció létrehozásához és titkos kulcs vagy tanúsítvány hozzáadásához szükséges engedélyekkel, hozzáadhat egy összevont identitás-hitelesítő adatokat egy alkalmazáshoz. Ha a Felhasználók regisztrálhatják az alkalmazásokat, a Microsoft Entra Felügyeleti központ Felhasználók-felhasználó> Gépház paneljén a Nem értékre van állítva, akkor azonban nem hozhat létre alkalmazásregisztrációt, és nem konfigurálhatja az összevont identitás hitelesítő adatait. Keressen egy rendszergazdát, aki konfigurálja az összevont identitás hitelesítő adatait az Ön nevében, valaki az alkalmazás Rendszergazda istrator vagy alkalmazástulajdonos szerepkörben.
Az összevont identitás hitelesítő adatai nem használják fel a Microsoft Entra bérlői szolgáltatás egyszerű objektumkvótát.
Egy alkalmazáshoz vagy felhasználó által hozzárendelt felügyelt identitáshoz legfeljebb 20 összevont identitási hitelesítő adat adható hozzá.
Összevont identitás hitelesítő adatainak konfigurálásakor számos fontos információt kell megadnia:
a kiállító és a tulajdonos a megbízhatósági kapcsolat beállításához szükséges legfontosabb információk. Az alkalmazás kombinációjának
issueréssubjectegyedinek kell lennie. Amikor a külső szoftveres számítási feladat arra kéri Microsoft Identitásplatform, hogy cserélje le a külső jogkivonatot egy hozzáférési jogkivonatra, a rendszer ellenőrzi az összevont identitás hitelesítő adatainak kiállítóját és tárgyértékeit aissuerkülső jogkivonatban megadott jogcímekkel éssubjectjogcímekkel. Ha az ellenőrzés sikeres, Microsoft Identitásplatform a külső szoftveres számítási feladathoz hozzáférési jogkivonatot ad ki.a kiállító a külső identitásszolgáltató URL-címe, és meg kell egyeznie a
issuerkicserélt külső jogkivonat igénylésével. Szükséges. Ha aissuerjogcím kezdő vagy záró szóközt használ az értékben, a jogkivonat cseréje le lesz tiltva. A mező karakterkorlátja 600 karakter.a tárgy a külső szoftveres számítási feladat azonosítója, és meg kell egyeznie a
subkicserélt külső jogkivonat (subject) jogcímével. a tárgynak nincs rögzített formátuma, mivel minden idP a sajátját használja – néha GUID-t, néha kettőspontokkal tagolt azonosítót, néha tetszőleges sztringeket. A mező karakterkorlátja 600 karakter.Fontos
A tárgybeállítási értékeknek pontosan meg kell egyeznie a GitHub munkafolyamat-konfigurációjának konfigurációival. Ellenkező esetben Microsoft Identitásplatform megtekinti a bejövő külső jogkivonatot, és elutasítja a hozzáférési jogkivonat cseréjét. Nem fog hibaüzenetet kapni, az exchange hiba nélkül meghiúsul.
Fontos
Ha véletlenül hozzáadja a helytelen külső számítási feladat adatait a tárgybeállításhoz , az összevont identitás hitelesítő adatai hiba nélkül sikeresen létrejönnek. A hiba csak akkor válik nyilvánvalóvá, ha a jogkivonat cseréje meghiúsul.
A célközönségek a külső jogkivonatban megjeleníthető célközönségeket sorolják fel. Szükséges. Egyetlen célközönségértéket kell hozzáadnia, amely legfeljebb 600 karakter hosszúságú lehet. A javasolt érték a "api://AzureADTokenExchange". Azt jelzi, hogy Microsoft Identitásplatform mit kell elfogadnia a
audjogcímben a bejövő jogkivonatban.A név az összevont identitás hitelesítő adatainak egyedi azonosítója. Szükséges. Ez a mező karakterkorlátja 3–120 karakter lehet, és URL-címbarátnak kell lennie. Az alfanumerikus, kötőjeles vagy aláhúzásjeles karakterek támogatottak, az első karakter csak alfanumerikus lehet. A létrehozás után nem módosítható.
a leírás az összevont identitás hitelesítő adatainak felhasználó által megadott leírása. Opcionális. A leírást a Microsoft Entra-azonosító nem ellenőrzi vagy ellenőrzi. Ez a mező legfeljebb 600 karakter hosszúságú lehet.
A helyettesítő karakterek nem támogatottak egyetlen összevont identitás hitelesítőadat-tulajdonságértékében sem.
Nem támogatott régiók (felhasználó által hozzárendelt felügyelt identitások)
A következőkre vonatkozik: felhasználó által hozzárendelt felügyelt identitások
Az összevont identitás hitelesítő adatainak létrehozása jelenleg nem támogatott a következő régiókban létrehozott, felhasználó által hozzárendelt felügyelt identitásokon:
- Kelet-Ázsia
- Közép-Katar
- Malajzia déli régiója
- Észak-Olaszország
- Izrael középső régiója
Fokozatosan elérhetővé válik az összevont identitás hitelesítő adatainak létrehozása a felhasználók által hozzárendelt identitásokon ezekben a régiókban. Ebben a régióban az erőforrások, amelyeknek összevont identitás hitelesítő adatait kell használniuk, ezt egy támogatott régióban létrehozott, felhasználó által hozzárendelt felügyelt identitás használatával tehetik meg.
Támogatott aláíró algoritmusok és kiállítók
A következőkre vonatkozik: alkalmazások és felhasználó által hozzárendelt felügyelt identitások
Csak az RS256 algoritmussal aláírt jogkivonatokat biztosító kiállítók támogatottak a számítási feladatok identitásának összevonásával végzett jogkivonat-csere esetében. A más algoritmusokkal aláírt jogkivonatok cseréje működhet, de még nem tesztelték.
A Microsoft Entra-kiállítók nem támogatottak
A következőkre vonatkozik: alkalmazások és felhasználó által hozzárendelt felügyelt identitások
Az azonos vagy különböző bérlők két Microsoft Entra-identitása közötti összevonás létrehozása nem támogatott. Összevont identitás hitelesítő adatainak létrehozásakor a kiállító (a külső identitásszolgáltató URL-címe) a következő értékekkel való konfigurálása nem támogatott:
- *.login.microsoftonline.com
- *.login.windows.net
- *.login.microsoft.com
- *.sts.windows.net
Bár egy Microsoft Entra-kiállítóval összevont identitás-hitelesítő adatokat lehet létrehozni, az engedélyezésre tett kísérletek hiba miatt AADSTS700222: AAD-issued tokens may not be used for federated identity flowsmeghiúsulnak.
Az összevont hitelesítőadat-módosítások propagálásának ideje
A következőkre vonatkozik: alkalmazások és felhasználó által hozzárendelt felügyelt identitások
Az összevont identitás hitelesítő adatainak propagálása a kezdeti konfigurálás után időt vesz igénybe az egész régióban. Az összevont identitás hitelesítő adatainak konfigurálása után néhány perccel végrehajtott jogkivonat-kérés meghiúsulhat, mert a gyorsítótár régi adatokkal van feltöltve a könyvtárban. Ebben az időszakban előfordulhat, hogy egy engedélyezési kérelem hibaüzenettel hiúsul meg: AADSTS70021: No matching federated identity record found for presented assertion.
A probléma elkerülése érdekében várjon egy rövid időt az összevont identitás hitelesítő adatainak hozzáadása után, mielőtt jogkivonatot kér, hogy a replikáció befejeződjön az engedélyezési szolgáltatás összes csomópontja között. Azt is javasoljuk, hogy adjon hozzá újrapróbálkozési logikát a tokenkérelmekhez. Az újrapróbálkozásokat minden kéréshez el kell végezni, még akkor is, ha egy jogkivonat sikeresen le lett szerezve. Végül az adatok teljes replikálása után a hibák aránya csökken.
Az egyidejű frissítések nem támogatottak (felhasználó által hozzárendelt felügyelt identitások)
A következőkre vonatkozik: felhasználó által hozzárendelt felügyelt identitások
Több összevont identitás hitelesítő adatainak létrehozása ugyanazon a felhasználó által hozzárendelt felügyelt identitáson belül egyszerre aktiválja az egyidejűségészlelési logikát, ami miatt a kérések 409 ütközéses HTTP-állapotkóddal meghiúsulnak.
A Terraform Provider for Azure (Resource Manager) 3.40.0-s verziója olyan frissítést vezet be, amely több összevont identitás hitelesítő adatait hozza létre egymás után egymás után. A 3.40.0-nál korábbi verziók több összevont identitás létrehozásakor hibákat okozhatnak a folyamatokban. Javasoljuk, hogy használja a Terraform Provider for Azure (Resource Manager) 3.40.0-s vagy újabb verzióját, hogy több összevont identitás hitelesítő adatait egymás után hozza létre.
Ha automatizálási vagy Azure Resource Manager-sablonokat (ARM-sablonokat) használ az összevont identitás hitelesítő adatainak ugyanabban a szülőidentitásban való létrehozásához, egymás után hozza létre az összevont hitelesítő adatokat. Az összevont identitás hitelesítő adatai különböző felügyelt identitások esetén korlátozás nélkül, párhuzamosan hozhatók létre.
Ha az összevont identitás hitelesítő adatai egy ciklusban vannak kiépítve, a "mode": "serial" (mód) beállításával sorosan kiépítheti őket.
A dependsOn tulajdonság használatával egymás után több új összevont identitás hitelesítő adatait is kiépítheti. Az alábbi Azure Resource Manager-sablon (ARM-sablon) három új összevont identitás hitelesítő adatait hozza létre egymás után egy felhasználó által hozzárendelt felügyelt identitáson a dependsOn tulajdonság használatával:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"userAssignedIdentities_parent_uami_name": {
"defaultValue": "parent_uami",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities",
"apiVersion": "2022-01-31-preview",
"name": "[parameters('userAssignedIdentities_parent_uami_name')]",
"location": "eastus"
},
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials",
"apiVersion": "2022-01-31-preview",
"name": "[concat(parameters('userAssignedIdentities_parent_uami_name'), '/fic01')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentities_parent_uami_name'))]"
],
"properties": {
"issuer": "https://kubernetes-oauth.azure.com",
"subject": "fic01",
"audiences": [
"api://AzureADTokenExchange"
]
}
},
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials",
"apiVersion": "2022-01-31-preview",
"name": "[concat(parameters('userAssignedIdentities_parent_uami_name'), '/fic02')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentities_parent_uami_name'))]",
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials', parameters('userAssignedIdentities_parent_uami_name'), 'fic01')]"
],
"properties": {
"issuer": "https://kubernetes-oauth.azure.com",
"subject": "fic02",
"audiences": [
"api://AzureADTokenExchange"
]
}
},
{
"type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials",
"apiVersion": "2022-01-31-preview",
"name": "[concat(parameters('userAssignedIdentities_parent_uami_name'), '/fic03')]",
"dependsOn": [
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentities_parent_uami_name'))]",
"[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials', parameters('userAssignedIdentities_parent_uami_name'), 'fic02')]"
],
"properties": {
"issuer": "https://kubernetes-oauth.azure.com",
"subject": "fic03",
"audiences": [
"api://AzureADTokenExchange"
]
}
}
]
}
Azure Policy
A következőkre vonatkozik: alkalmazások és felhasználó által hozzárendelt felügyelt identitások
A megtagadási Azure Policyt az alábbi ARM-sablonhoz hasonlóan használhatja:
{
"policyRule": {
"if": {
"field": "type",
"equals": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials"
},
"then": {
"effect": "deny"
}
}
}
Szabályozási korlátok
A következőkre vonatkozik: felhasználó által hozzárendelt felügyelt identitások
Az alábbi táblázat a felhasználó által hozzárendelt felügyelt identitások REST APIS-jának kéréseinek korlátait ismerteti. Ha túllép egy szabályozási korlátot, HTTP 429-hiba jelenik meg.
| Művelet | Másodpercenkénti kérések Microsoft Entra-bérlőnként | Másodpercenkénti kérések előfizetésenként | Kérések másodpercenként erőforrásonként |
|---|---|---|---|
| Kérelmek létrehozása vagy frissítése | 10 | 2 | 0,25 |
| Kérések lekérése | 30 | 10 | 0,5 |
| Lista erőforráscsoport vagy lista előfizetési kérelmek szerint | 15 | 5 | 0,25 |
| Kérelmek törlése | 10 | 2 | 0,25 |
Errors
A következőkre vonatkozik: alkalmazások és felhasználó által hozzárendelt felügyelt identitások
Az összevont identitás hitelesítő adatainak létrehozása, frissítése, lekérése, listázása vagy törlése során az alábbi hibakódok jelenhetnek meg.
| HTTP-kód | Hibaüzenet | Megjegyzések |
|---|---|---|
| 405 | A kérés formátuma váratlan volt: Az összevont identitás hitelesítő adatainak támogatása nem engedélyezett. | Az összevont identitás hitelesítő adatai nincsenek engedélyezve ebben a régióban. Tekintse meg a "Jelenleg támogatott régiók" című témakört. |
| 400 | Az összevont identitás hitelesítő adatainak pontosan egy célközönséggel kell rendelkezniük. | Az összevont identitás hitelesítő adatai jelenleg egyetlen "api://AzureADTokenExchange" célközönséget támogatnak. |
| 400 | A HTTP-törzsből származó összevont identitás hitelesítő adatai üres tulajdonságokkal rendelkeznek | Az összevont identitás hitelesítő adatainak minden tulajdonsága kötelező. |
| 400 | Az összevont identitás hitelesítő adatainak neve ({ficName}) érvénytelen. | Alfanumerikus, kötőjel, aláhúzásjel, legfeljebb 3-120 szimbólum. Az első szimbólum alfanumerikus. |
| 404 | A szülő felhasználó által hozzárendelt identitás nem létezik. | Ellenőrizze a felhasználó által hozzárendelt identitásnevet az összevont identitás hitelesítő adatainak erőforrás-elérési útján. |
| 400 | A kibocsátó és a tulajdonos kombináció már létezik ehhez a felügyelt identitáshoz. | Ez egy korlátozás. A felhasználó által hozzárendelt identitáshoz társított összes összevont identitás hitelesítő adatainak listázása a meglévő összevont identitás hitelesítő adatainak megkereséséhez. |
| 409 | Ütközés | Az azonos felhasználó által hozzárendelt identitáshoz tartozó összevont identitás hitelesítő erőforrásaira vonatkozó egyidejű írási kérés megtagadva. |