gebeurtenis
9 apr, 15 - 10 apr, 12
Codeer de toekomst met AI en maak verbinding met Java-peers en experts op JDConf 2025.
Nu registrerenWat zijn beheerde identiteiten voor Azure-resources?
Een veelvoorkomende uitdaging voor ontwikkelaars is het beheer van geheimen, referenties, certificaten en sleutels om communicatie tussen services te beveiligen. Dankzij beheerde identiteiten hoeven ontwikkelaars geen referenties meer te beheren.
Hoewel ontwikkelaars de geheimen veilig kunnen opslaan in Azure Key Vault, moeten services een manier hebben om toegang te krijgen tot Azure Key Vault. Beheerde identiteiten bieden een automatisch beheerde identiteit in Microsoft Entra ID voor toepassingen die worden gebruikt om verbinding te maken met resources die Microsoft Entra-verificatie ondersteunen. Toepassingen kunnen beheerde identiteiten gebruiken om Microsoft Entra-tokens te verkrijgen zonder referenties te hoeven beheren.
In de volgende video ziet u hoe u beheerde identiteiten kunt gebruiken:
Hier ziet u een paar voordelen van het gebruik van beheerde identiteiten:
- U hoeft geen referenties te beheren. Referenties zijn niet eens voor u toegankelijk.
- U kunt beheerde identiteiten gebruiken om te verifiëren bij elke resource die ondersteuning biedt voor Microsoft Entra-verificatie, inclusief uw eigen toepassingen.
- Beheerde identiteiten kunnen zonder extra kosten worden gebruikt.
Er zijn twee typen beheerde identiteit:
Door het systeem toegewezen. Met sommige Azure-resources, zoals virtuele machines, kunt u een beheerde identiteit rechtstreeks op de resource inschakelen. Wanneer u een door het systeem toegewezen beheerde identiteit inschakelt:
- Er wordt een serviceprincipal van een speciaal type gemaakt in Microsoft Entra ID voor de identiteit. De service-principal is gekoppeld aan de levenscyclus van die Azure-resource. Wanneer de Azure-resource wordt verwijderd, verwijdert Azure automatisch de service-principal voor u.
- Standaard kan alleen die Azure-resource deze identiteit gebruiken voor het aanvragen van tokens van Microsoft Entra ID.
- U machtigt de beheerde identiteit om toegang te hebben tot een of meer services.
- De naam van de door het systeem toegewezen service-principal is altijd dezelfde als de naam van de Azure-resource waarvoor deze is gemaakt. Voor een implementatieslot is de naam van de door het systeem toegewezen identiteit
<app-name>/slots/<slot-name>.
Door de gebruiker toegewezen. U kunt ook een beheerde identiteit maken als een zelfstandige Azure-resource. U kunt een door de gebruiker toegewezen beheerde identiteit maken en deze toewijzen aan een of meer Azure-resources. Wanneer u een door de gebruiker toegewezen beheerde identiteit inschakelt:
- Er wordt een serviceprincipal van een speciaal type gemaakt in Microsoft Entra ID voor de identiteit. De service-principal wordt afzonderlijk beheerd van de resources die deze gebruiken.
- Door de gebruiker toegewezen identiteiten kunnen door meerdere resources worden gebruikt.
- U machtigt de beheerde identiteit om toegang te hebben tot een of meer services.
In de volgende tabel ziet u de verschillen tussen de twee typen beheerde identiteiten:
| Eigendom | Door het systeem toegewezen beheerde identiteit | Door de gebruiker toegewezen beheerde identiteit |
|---|---|---|
| Creatie | Gemaakt als onderdeel van een Azure-resource (bijvoorbeeld Microsoft Azure Virtual Machines of Azure App Service). | Gemaakt als een zelfstandige Azure-resource. |
| Levenscyclus | Gedeelde levenscyclus met de Azure-resource waarmee de beheerde identiteit wordt gemaakt. Wanneer de hoofdresource wordt verwijderd, wordt ook de beheerde identiteit verwijderd. |
Onafhankelijke levenscyclus. Moet expliciet worden verwijderd. |
| Delen tussen Azure-resources | Kan niet worden gedeeld. Deze kan alleen worden gekoppeld aan één Azure-resource. |
Kan worden gedeeld. Dezelfde door de gebruiker toegewezen beheerde identiteit kan worden gekoppeld aan meer dan één Azure-resource. |
| Veelvoorkomende toepassingen | Workloads worden binnen één Azure-resource bevat. Workloads die onafhankelijke identiteiten nodig hebben. Bijvoorbeeld een toepassing die op één virtuele machine wordt uitgevoerd. |
Werkbelastingen die werken op meerdere resources en een gedeelde identiteit kunnen hebben. Workloads die vooraf moeten worden geautoriseerd voor een beveiligde resource, als onderdeel van een voorzieningsproces. Werkbelastingen waarbij middelen regelmatig worden gerecycled, maar de machtigingen consistent moeten blijven. Bijvoorbeeld een werkbelasting waarbij meerdere virtuele machines toegang moeten hebben tot dezelfde resource. |
U kunt beheerde identiteiten gebruiken door de onderstaande stappen te volgen:
- Maak een beheerde identiteit in Azure. U kunt kiezen tussen een door het systeem toegewezen beheerde identiteit of een door de gebruiker toegewezen beheerde identiteit.
- Wanneer u een door de gebruiker toegewezen beheerde identiteit gebruikt, wijst u de beheerde identiteit toe aan de 'bron'-Azure-resource, zoals een virtuele machine, een logische Azure-app of een Azure-web-app.
- Autoriseer de beheerde identiteit zodat deze toegang heeft tot de 'doelservice'.
- Gebruik de beheerde identiteit om toegang te krijgen tot een resource. In deze stap kunt u de Azure SDK gebruiken met de Azure.Identity-bibliotheek. Sommige 'bronresources' bieden connectors die weten hoe beheerde identiteiten voor de verbindingen moeten worden gebruikt. In dat geval gebruikt u de identiteit als een functie van die 'bronresource'.
Beheerde identiteiten voor Azure-resources kunnen worden gebruikt voor verificatie bij services die ondersteuning bieden voor Microsoft Entra-verificatie. Zie Services die ondersteuning bieden voor beheerde identiteiten voor Azure-resources voor een lijst met ondersteunde Azure-services.
Met resources die door het systeem toegewezen beheerde identiteiten ondersteunen, kunt u het volgende doen:
- Beheerde identiteiten op resourceniveau in- of uitschakelen.
- Op rollen gebaseerd toegangsbeheer (RBAC) gebruiken om machtigingen te verlenen.
- CRUD-bewerkingen (Create, Read, Update en Delete) in Azure-activiteitenlogboeken weergeven.
- Aanmeldingsactiviteiten weergeven in aanmeldingslogboeken van Microsoft Entra ID.
Als u in plaats daarvan een door een gebruiker toegewezen beheerde identiteit kiest:
- U kunt de identiteiten maken, lezen, bijwerken en verwijderen.
- U kunt RBAC-roltoewijzingen gebruiken om machtigingen te verlenen.
- Door de gebruiker toegewezen beheerde identiteiten kunnen voor meer dan één resource worden gebruikt.
- CRUD-bewerkingen zijn beschikbaar voor controle in Azure-activiteitenlogboeken.
- Aanmeldingsactiviteiten weergeven in aanmeldingslogboeken van Microsoft Entra ID.
Bewerkingen op beheerde identiteiten kunnen worden uitgevoerd met behulp van een Azure Resource Manager-sjabloon, in Azure Portal, met Azure CLI, PowerShell en REST API's.
- Inleiding en richtlijnen voor ontwikkelaars
- Een door het VM-systeem toegewezen beheerde identiteit gebruiken voor toegang tot Resource Manager
- Beheerde identiteiten gebruiken voor App Service en Azure Functions
- Beheerde identiteiten gebruiken met Azure Container Instances
- Beheerde identiteiten implementeren voor Microsoft Azure-resources
- Gebruik identiteitsfederatie voor werkbelasting voor beheerde identiteiten om toegang te krijgen tot met Microsoft Entra beveiligde bronnen zonder geheimen te beheren.
Aanvullende resources
Training
Certificering
Microsoft Gecertificeerd: Identiteits- en Toegangsbeheerbeheerder Associate - Certifications
Demonstreer de functies van Microsoft Entra ID om identiteitsoplossingen te moderniseren, hybride oplossingen te implementeren en identiteitsbeheer te implementeren.
Documentatie
-
Ondersteuning voor Azure-services met beheerde identiteiten - Managed identities for Azure resources
Lijst met services die beheerde identiteiten ondersteunen
-
Door de gebruiker toegewezen beheerde identiteiten beheren - Managed identities for Azure resources
Door de gebruiker toegewezen beheerde identiteiten maken.
-
Aanbevelingen voor wanneer u door de gebruiker toegewezen beheerde identiteiten gebruikt en wanneer u door het systeem toegewezen beheerde identiteiten gebruikt