Felhasználó által hozzárendelt felügyelt identitás konfigurálása külső identitásszolgáltató megbízhatóságához

Ez a cikk bemutatja, hogyan kezelheti az összevont identitás hitelesítő adatait egy felhasználó által hozzárendelt felügyelt identitáson a Microsoft Entra ID-ban. Az összevont identitás hitelesítő adatai megbízhatósági kapcsolatot hoznak létre egy felhasználó által hozzárendelt felügyelt identitás és egy külső identitásszolgáltató (IdP) között. Az összevont identitás hitelesítő adatainak konfigurálása rendszer által hozzárendelt felügyelt identitáson nem támogatott.

Miután konfigurálta a felhasználó által hozzárendelt felügyelt identitást, hogy megbízzon egy külső identitásszolgáltatóban, konfigurálja a külső szoftveres számítási feladatot, hogy a külső identitásszolgáltatótól származó jogkivonatot cserélje le egy hozzáférési jogkivonatra Microsoft Identitásplatform. A külső számítási feladat a hozzáférési jogkivonatot használja a Microsoft Entra által védett erőforrások eléréséhez anélkül, hogy titkos kulcsokat kellene kezelnie (támogatott forgatókönyvekben). A tokencsere munkafolyamatával kapcsolatos további információkért olvassa el a számítási feladatok identitásának összevonását.

Ebben a cikkben megtudhatja, hogyan hozhat létre, listázhat és törölhet összevont identitás hitelesítő adatokat egy felhasználó által hozzárendelt felügyelt identitáson.

Fontos szempontok és korlátozások

Egy alkalmazáshoz vagy felhasználó által hozzárendelt felügyelt identitáshoz legfeljebb 20 összevont identitási hitelesítő adat adható hozzá.

Összevont identitás hitelesítő adatainak konfigurálásakor számos fontos információt kell megadnia:

• a kiállító és a tulajdonos a megbízhatósági kapcsolat beállításához szükséges legfontosabb információk. Az alkalmazás kombinációjának issuer és subject egyedinek kell lennie. Amikor a külső szoftveres számítási feladat arra kéri Microsoft Identitásplatform, hogy cserélje le a külső jogkivonatot egy hozzáférési jogkivonatra, a rendszer ellenőrzi az összevont identitás hitelesítő adatainak kiállítóját és tárgyértékeit a issuer külső jogkivonatban megadott jogcímekkel és subject jogcímekkel. Ha az ellenőrzés sikeres, Microsoft Identitásplatform a külső szoftveres számítási feladathoz hozzáférési jogkivonatot ad ki.

• a kiállító a külső identitásszolgáltató URL-címe, és meg kell egyeznie a issuer kicserélt külső jogkivonat igénylésével. Szükséges. Ha a issuer jogcím kezdő vagy záró szóközt használ az értékben, a jogkivonat cseréje le lesz tiltva. A mező karakterkorlátja 600 karakter.

• a tárgy a külső szoftveres számítási feladat azonosítója, és meg kell egyeznie a sub kicserélt külső jogkivonat (subject) jogcímével. a tárgynak nincs rögzített formátuma, mivel minden idP a sajátját használja – néha GUID-t, néha kettőspontokkal tagolt azonosítót, néha tetszőleges sztringeket. A mező karakterkorlátja 600 karakter.

  Fontos

  A tárgybeállítási értékeknek pontosan meg kell egyeznie a GitHub munkafolyamat-konfigurációjának konfigurációival. Ellenkező esetben Microsoft Identitásplatform megtekinti a bejövő külső jogkivonatot, és elutasítja a hozzáférési jogkivonat cseréjét. Nem fog hibaüzenetet kapni, az exchange hiba nélkül meghiúsul.

  Fontos

  Ha véletlenül hozzáadja a helytelen külső számítási feladat adatait a tárgybeállításhoz , az összevont identitás hitelesítő adatai hiba nélkül sikeresen létrejönnek. A hiba csak akkor válik nyilvánvalóvá, ha a jogkivonat cseréje meghiúsul.

• A célközönségek a külső jogkivonatban megjeleníthető célközönségeket sorolják fel. Szükséges. Egyetlen célközönségértéket kell hozzáadnia, amely legfeljebb 600 karakter hosszúságú lehet. A javasolt érték a "api://AzureADTokenExchange". Azt jelzi, hogy Microsoft Identitásplatform mit kell elfogadnia a aud jogcímben a bejövő jogkivonatban.

• A név az összevont identitás hitelesítő adatainak egyedi azonosítója. Szükséges. Ez a mező karakterkorlátja 3–120 karakter lehet, és URL-címbarátnak kell lennie. Az alfanumerikus, kötőjeles vagy aláhúzásjeles karakterek támogatottak, az első karakter csak alfanumerikus lehet.  A létrehozás után nem módosítható.

• a leírás az összevont identitás hitelesítő adatainak felhasználó által megadott leírása. Opcionális. A leírást a Microsoft Entra-azonosító nem ellenőrzi vagy ellenőrzi. Ez a mező legfeljebb 600 karakter hosszúságú lehet.

A helyettesítő karakterek nem támogatottak egyetlen összevont identitás hitelesítőadat-tulajdonságértékében sem.

Ha többet szeretne megtudni a támogatott régiókról, az összevont hitelesítő adatok frissítésének propagálására, a támogatott kiállítókra és egyebekre, olvassa el az összevont identitás hitelesítő adataival kapcsolatos fontos szempontokat és korlátozásokat.

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
• Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
• Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
• A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
• Felhasználó által hozzárendelt, rugalmas identitás létrehozása
• Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.

Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson

A Microsoft Entra Felügyeleti központban keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet ön hozott létre. A bal oldali navigációs sáv Gépház területén válassza az Összevont hitelesítő adatok, majd a Hitelesítő adatok hozzáadása lehetőséget.

Az Összevont hitelesítőadat-forgatókönyv legördülő listában válassza ki a forgatókönyvet.

Azure-erőforrásokat üzembe helyező GitHub Actions

Ha összevont identitást szeretne hozzáadni a GitHub-műveletekhez, kövesse az alábbi lépéseket:

1. Entitástípus esetén válassza a Környezet, az Ág, a Lekéréses kérelem vagy a Címke lehetőséget, és adja meg az értéket. Az értékeknek pontosan meg kell felelnie a GitHub-munkafolyamat konfigurációjának. További információkért olvassa el a példákat.

2. Adjon hozzá egy nevet az összevont hitelesítő adatokhoz.

3. A Kiállító, a Célközönség és a Tárgy azonosító mező automatikusan fel van töltve a megadott értékek alapján.

4. Válassza a Hozzáadás lehetőséget az összevont hitelesítő adatok konfigurálásához.

A GitHub-munkafolyamathoz használja a Microsoft Entra által felügyelt identitás alábbi értékeit:

• AZURE_CLIENT_ID a felügyelt identitás ügyfélazonosítója

• AZURE_SUBSCRIPTION_ID az előfizetés azonosítóját.

  Az alábbi képernyőkép bemutatja, hogyan másolhatja a felügyelt identitásazonosítót és az előfizetés-azonosítót.

  

• AZURE_TENANT_ID a címtár (bérlő) azonosítója. Megtudhatja , hogyan keresheti meg a Microsoft Entra-bérlőazonosítót.

Entitástípus-példák

Példa ágra

Leküldéses vagy lekéréses kérelem esemény által aktivált munkafolyamat esetén a fő ágon:

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

Adja meg az ág entitástípusát és a "main" GitHub-ág nevét.

Környezeti példa

"production" nevű környezethez kapcsolódó feladatok esetén:

on:
  push:
    branches:
      - main

jobs:
  deployment:
    runs-on: ubuntu-latest
    environment: production
    steps:
      - name: deploy
        # ...deployment-specific steps

Adja meg a környezet entitástípusát és az "éles" GitHub-környezet nevét.

Példa címkézése

Például a "v2" nevű címkére irányuló leküldés által aktivált munkafolyamat esetében:

on:
  push:
    # Sequence of patterns matched against refs/heads
    branches:
      - main
      - 'mona/octocat'
      - 'releases/**'
    # Sequence of patterns matched against refs/tags
    tags:
      - v2
      - v1.*

Adja meg a címke entitástípusát és a "v2" GitHub-címke nevét.

Példa lekéréses kérelemre

Lekéréses kérelem eseménye által aktivált munkafolyamat esetén adja meg a lekéréses kérelem entitástípusát

Az Azure-erőforrásokhoz hozzáférő Kubernetes

Töltse ki a fürtkibocsátó URL-címét, a névteret, a szolgáltatásfiók nevét és a Név mezőt:

• A fürtkibocsátó URL-címe a felügyelt fürt OIDC-kiállítójának URL-címe , vagy egy ön által felügyelt fürt OIDC-kiállítójának URL-címe .
• A szolgáltatásfiók neve a Kubernetes szolgáltatásfiók neve, amely identitást biztosít a podban futó folyamatokhoz.
• A névtér a szolgáltatásfiók névtere.
• A név az összevont hitelesítő adatok neve, amelyet később nem lehet módosítani.

Válassza a Hozzáadás lehetőséget az összevont hitelesítő adatok konfigurálásához.

Egyéb

Válassza ki az Egyéb kiállítói forgatókönyvet a legördülő menüből.

Adja meg a következő mezőket (példaként a Google Cloudban futó szoftveres számítási feladatokat):

• A név az összevont hitelesítő adatok neve, amelyet később nem lehet módosítani.
• Tulajdonosazonosító: meg kell egyeznie a sub külső identitásszolgáltató által kibocsátott jogkivonat jogcímével. Ebben a Példában a Google Cloud használatával a tárgy a használni kívánt szolgáltatásfiók egyedi azonosítója.
• Kiállító: a iss külső identitásszolgáltató által kibocsátott jogkivonatban szereplő jogcímnek egyeznie kell. Az OIDC Discovery specifikációjának megfelelő URL-cím. A Microsoft Entra ID ezzel a kiállítói URL-címmel kéri le a jogkivonat érvényesítéséhez szükséges kulcsokat. A Google Cloud esetében a kiállító a következő: "https://accounts.google.com".

Válassza a Hozzáadás lehetőséget az összevont hitelesítő adatok konfigurálásához.

Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson

A Microsoft Entra Felügyeleti központban keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet ön hozott létre. A bal oldali navigációs sáv Gépház alatt válassza az Összevont hitelesítő adatok lehetőséget.

A felhasználó által hozzárendelt felügyelt identitáson konfigurált összevont identitás hitelesítő adatai szerepelnek a listában.

Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból

A Microsoft Entra Felügyeleti központban keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet ön hozott létre. A bal oldali navigációs sáv Gépház alatt válassza az Összevont hitelesítő adatok lehetőséget.

A felhasználó által hozzárendelt felügyelt identitáson konfigurált összevont identitás hitelesítő adatai szerepelnek a listában.

Egy adott összevont identitás hitelesítő adatainak törléséhez válassza a hitelesítő adatok Törlés ikont.

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
• Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
• Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
• A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
• Felhasználó által hozzárendelt, rugalmas identitás létrehozása
• Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson

Futtassa az az identity federated-credential create parancsot egy új összevont identitás hitelesítő adatainak létrehozásához a felhasználó által hozzárendelt felügyelt identitáson (amelyet a név határoz meg). Adja meg a nevet, a kiállítót, a tárgyat és az egyéb paramétereket.

az login

# set variables
location="centralus"
subscription="{subscription-id}"
rg="fic-test-rg"

# user assigned identity name
uaId="fic-test-ua"

# federated identity credential name
ficId="fic-test-fic-name"

# create prerequisites if required.
# otherwise make sure that existing resources names are set in variables above
az account set --subscription $subscription
az group create --location $location --name $rg
az identity create --name $uaId --resource-group $rg --location $location --subscription $subscription

# Create/update a federated identity credential
az identity federated-credential create --name $ficId --identity-name $uaId --resource-group $rg --issuer 'https://aks.azure.com/issuerGUID' --subject 'system:serviceaccount:ns:svcaccount' --audiences 'api://AzureADTokenExchange'

Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson

Futtassa az az identity federated-credential list parancsot a felhasználó által hozzárendelt felügyelt identitáson konfigurált összes összevont identitás hitelesítő adatainak beolvasásához:

az login

# Set variables
rg="fic-test-rg"

# User assigned identity name
uaId="fic-test-ua"

# Read all federated identity credentials assigned to the user-assigned managed identity
az identity federated-credential list --identity-name $uaId --resource-group $rg

Összevont identitás hitelesítő adatainak lekérése felhasználó által hozzárendelt felügyelt identitáson

Futtassa az az identity federated-credential show parancsot az összevont identitás hitelesítő adatainak megjelenítéséhez (azonosító szerint):

az login

# Set variables
rg="fic-test-rg"

# User assigned identity name
uaId="fic-test-ua"

# Federated identity credential name
ficId="fic-test-fic-name"

# Show the federated identity credential
az identity federated-credential show --name $ficId --identity-name $uaId --resource-group $rg

Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból

Futtassa az az identity federated-credential delete parancsot az összevont identitás hitelesítő adatainak törléséhez egy meglévő felhasználó által hozzárendelt identitás alatt.

az login

# Set variables
# in Linux shell remove $ from set variable statement
$rg="fic-test-rg"

# User assigned identity name
$uaId="fic-test-ua"

# Federated identity credential name
$ficId="fic-test-fic-name"

az identity federated-credential delete --name $ficId --identity-name $uaId --resource-group $rg

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
• Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
• Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
• A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
• A példaszkriptek futtatásához két lehetősége van:
  • Használja az Azure Cloud Shellt, amelyet a kódblokkok jobb felső sarkában található Kipróbálás gombbal nyithat meg.
  • Futtassa helyileg a szkripteket az Azure PowerShell használatával, a következő szakaszban leírtak szerint.
• Felhasználó által hozzárendelt, rugalmas identitás létrehozása
• Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.

Az Azure PowerShell helyi konfigurálása

Az Azure PowerShell helyi használata ehhez a cikkhez a Cloud Shell használata helyett:

1. Ha még nem tette meg, telepítse az Azure PowerShell legújabb verzióját.

2. Sign in to Azure.

   Connect-AzAccount
   

3. Telepítse a PowerShellGet legújabb verzióját.

   Install-Module -Name PowerShellGet -AllowPrerelease
   

   Előfordulhat, hogy a következő lépéshez Exit a parancs futtatása után ki kell lépnie az aktuális PowerShell-munkamenetből.

4. Telepítse a modult Az.ManagedServiceIdentity a felhasználó által hozzárendelt felügyelt identitásműveletek végrehajtásához ebben a cikkben.

   Install-Module -Name Az.ManagedServiceIdentity
   

Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson

Futtassa a New-AzFederatedIdentityCredentials parancsot egy új összevont identitás hitelesítő adatainak létrehozásához a felhasználó által hozzárendelt felügyelt identitáson (a név határozza meg). Adja meg a nevet, a kiállítót, a tárgyat és az egyéb paramétereket.

New-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 `
    -Name fic-pwsh01 -Issuer "https://kubernetes-oauth.azure.com" -Subject "system:serviceaccount:ns:svcaccount"

Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson

Futtassa a Get-AzFederatedIdentityCredentials parancsot a felhasználó által hozzárendelt felügyelt identitáson konfigurált összes összevont identitás hitelesítő adatainak beolvasásához:

Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01

Összevont identitás hitelesítő adatainak lekérése felhasználó által hozzárendelt felügyelt identitáson

Futtassa a Get-AzFederatedIdentityCredentials parancsot egy összevont identitás hitelesítő adatainak megjelenítéséhez (név szerint):

Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01

Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból

Futtassa a Remove-AzFederatedIdentityCredentials parancsot egy összevont identitás hitelesítő adatainak törléséhez egy meglévő felhasználó által hozzárendelt identitás alatt.

Remove-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
• Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
• Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
• A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
• Felhasználó által hozzárendelt, rugalmas identitás létrehozása
• Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.

Sablon létrehozása és szerkesztése

A Resource Manager-sablonok segítségével üzembe helyezhet egy Azure-erőforráscsoport által definiált új vagy módosított erőforrásokat. A sablonszerkesztéshez és az üzembe helyezéshez számos lehetőség áll rendelkezésre, helyi és portálalapú egyaránt. You can:

• Az Azure Marketplace-ről származó egyéni sablonokkal létrehozhat egy sablont az alapoktól, vagy egy meglévő általános vagy gyorsútmutató-sablonra alapozhatja azt.
• Sablon exportálásával származtat egy meglévő erőforráscsoportból. Exportálhatja őket az eredeti üzembe helyezésből vagy az üzembe helyezés aktuális állapotából.
• Használjon helyi JSON-szerkesztőt (például VS Code-ot), majd töltse fel és telepítse a PowerShell vagy az Azure CLI használatával.
• Sablon létrehozása és üzembe helyezése a Visual Studio Azure Resource Group projekt használatával.

Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson

Az összevont identitás hitelesítő adatai és a szülőfelhasználó által hozzárendelt identitás az alábbi sablon eszközeiként hozható létre vagy frissíthető. ARM-sablonokat az Azure Portalon helyezhet üzembe.

Minden sablonparaméter kötelező.

Az összevont identitás hitelesítő adatainak hossza legfeljebb 3–120 karakter lehet. Alfanumerikusnak, kötőjelnek, aláhúzásjelnek kell lennie. Az első szimbólum csak alfanumerikus.

Pontosan egy célközönséget kell hozzáadnia egy összevont identitás hitelesítő adataihoz. A rendszer ellenőrzi a célközönséget a tokencsere során. Alapértelmezett értékként használja a "api://AzureADTokenExchange" értéket.

A listázási, lekérési és törlési műveletek nem érhetők el sablonnal. Ezekhez a műveletekhez tekintse meg az Azure CLI-t. Alapértelmezés szerint az összes gyermek összevont identitás hitelesítő adatai párhuzamosan jönnek létre, ami egyidejűségészlelési logikát aktivál, és az üzembe helyezés egy 409-ütközéses HTTP-állapotkóddal meghiúsul. A függőségek egymás utáni létrehozásához adja meg a függőségek láncát a dependsOn tulajdonság használatával.

Győződjön meg arról, hogy bármilyen automatizálás egymás után hozza létre az összevont identitás hitelesítő adatait ugyanabban a szülőidentitásban. Az összevont identitás hitelesítő adatai különböző felügyelt identitások esetén korlátozás nélkül, párhuzamosan hozhatók létre.

{

    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "variables": {},
    "parameters": {
        "location": {
            "type": "string",
            "defaultValue": "westcentralus",
            "metadata": {
                "description": "Location for identities resources. FIC should be enabled in this region."
            }
        },
        "userAssignedIdentityName": {
            "type": "string",
            "defaultValue": "FIC_UA",
            "metadata": {
                "description": "Name of the User Assigned identity (parent identity)"
            }
        },
        "federatedIdentityCredential": {
            "type": "string",
            "defaultValue": "testCredential",
            "metadata": {
                "description": "Name of the Federated Identity Credential"
            }
        },
        "federatedIdentityCredentialIssuer": {
            "type": "string",
            "defaultValue": "https://aks.azure.com/issuerGUID",
            "metadata": {
                "description": "Federated Identity Credential token issuer"
            }
        },
        "federatedIdentityCredentialSubject": {
            "type": "string",
            "defaultValue": "system:serviceaccount:ns:svcaccount",
            "metadata": {
                "description": "Federated Identity Credential token subject"
            }
        },
        "federatedIdentityCredentialAudience": {
            "type": "string",
            "defaultValue": " api://AzureADTokenExchange",
            "metadata": {
                "description": "Federated Identity Credential audience. Single value is only supported."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
            "apiVersion": "2018-11-30",
            "name": "[parameters('userAssignedIdentityName')]",
            "location": "[parameters('location')]",
            "tags": {
                "firstTag": "ficTest"
            },
            "resources": [
                {
                    "type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials",
                    "apiVersion": "2022-01-31-PREVIEW",
                    "name": "[concat(parameters('userAssignedIdentityName'), '/', parameters('federatedIdentityCredential'))]",
                    "dependsOn": [
                      "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentityName'))]"
                    ],
                    "properties": {
                        "issuer": "[parameters('federatedIdentityCredentialIssuer')]",
                        "subject": "[parameters('federatedIdentityCredentialSubject')]",
                        "audiences": [
                            "[parameters('federatedIdentityCredentialAudience')]"
                        ]
                    }
                }
            ]
        }
    ]
}

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, tekintse meg az áttekintési szakaszt. Mindenképpen tekintse át a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitás közötti különbséget.
• Ha még nem rendelkezik Azure-fiókkal, a folytatás előtt regisztráljon egy ingyenes fiókra .
• Kérje le a külső identitásszolgáltató és a szoftveres számítási feladat adatait, amelyekre az alábbi lépésekben van szüksége.
• A felhasználó által hozzárendelt felügyelt identitás létrehozásához és az összevont identitás hitelesítő adatainak konfigurálásához a fióknak közreműködői vagy tulajdonosi szerepkör-hozzárendelésre van szüksége.
• A cikkben szereplő összes parancsot futtathatja a felhőben vagy helyileg:
  • A felhőben való futtatáshoz használja az Azure Cloud Shellt.
  • A helyi futtatáshoz telepítse a Curl-t és az Azure CLI-t.
• Felhasználó által hozzárendelt, rugalmas identitás létrehozása
• Keresse meg a felhasználó által hozzárendelt felügyelt identitás nevét, amelyre az alábbi lépésekben van szüksége.

Tulajdonosi hozzáférési jogkivonat beszerzése

1. Ha helyileg fut, jelentkezzen be az Azure-ba az Azure CLI-vel.

   az login
   

2. Hozzáférési jogkivonat beszerzése az az account get-access-token használatával.

   az account get-access-token
   

Összevont identitás hitelesítő adatainak konfigurálása felhasználó által hozzárendelt felügyelt identitáson

Összevont identitás hitelesítő adatainak létrehozása vagy frissítése a megadott felhasználó által hozzárendelt felügyelt identitáson.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/provider
s/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdenti
tyCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview' -X PUT -d '{"properties": "{ "properties": { "issuer": "<ISSUER>", "subject": "<SUBJECT>", "audiences": [ "api://AzureADTokenExchange" ] }}"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview

{
 "properties": {
 "issuer": "https://oidc.prod-aks.azure.com/IssuerGUID",
 "subject": "system:serviceaccount:ns:svcaccount",
 "audiences": [
 "api://AzureADTokenExchange"
 ]
 }
}

Kérelemfejlécek

Kérelem fejléce	Leírás
Tartalomtípus	Szükséges. Állítsa application/json értékre.
Authorization	Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

Kérelem törzse

Name	Leírás
properties.audiences	Szükséges. A kibocsátott jogkivonatban megjeleníthető célközönségek listája.
properties.issuer	Szükséges. A megbízható kiállító URL-címe.
properties.subject	Szükséges. A külső identitás azonosítója.

Összevont identitás hitelesítő adatainak listázása felhasználó által hozzárendelt felügyelt identitáson

A megadott felhasználó által hozzárendelt felügyelt identitás összes összevont identitás-hitelesítő adatainak listázása.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview' -H "Content-Type: application/json" -X GET -H "Authorization: Bearer <ACCESS TOKEN>"

GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview

Kérelemfejlécek

Kérelem fejléce	Leírás
Tartalomtípus	Szükséges. Állítsa application/json értékre.
Authorization	Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

Összevont identitás hitelesítő adatainak lekérése felhasználó által hozzárendelt felügyelt identitáson

Összevont identitás hitelesítő adatainak lekérése a megadott felhasználó által hozzárendelt felügyelt identitáson.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X GET -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview

Kérelemfejlécek

Kérelem fejléce	Leírás
Tartalomtípus	Szükséges. Állítsa application/json értékre.
Authorization	Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

Összevont identitás hitelesítő adatainak törlése felhasználó által hozzárendelt felügyelt identitásból

Törölje az összevont identitás hitelesítő adatait a megadott felhasználó által hozzárendelt felügyelt identitáson.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X DELETE -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

DELETE
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview

Kérelemfejlécek

Kérelem fejléce	Leírás
Tartalomtípus	Szükséges. Állítsa application/json értékre.
Authorization	Szükséges. Állítson be érvényes Bearer hozzáférési jogkivonatot.

Következő lépések

• A külső identitásszolgáltatók által létrehozott JWT-k kötelező formátumával kapcsolatos információkért olvassa el a helyességi formátumot.