Vad är hanterade identiteter för Azure-resurser?

En vanlig utmaning för utvecklare är hanteringen av hemligheter, autentiseringsuppgifter, certifikat, nycklar osv. som används för att skydda kommunikationen mellan tjänster. Hanterade identiteter eliminerar behovet av att utvecklare hanterar dessa autentiseringsuppgifter.

Utvecklare kan lagra hemligheterna på ett säkert sätt i Azure Key Vault, men tjänsterna behöver ett sätt att komma åt Azure Key Vault. Hanterade identiteter tillhandahåller en automatiskt hanterad identitet i Azure Active Directory för program som ska användas vid anslutning till resurser som stöder Azure Active Directory (Azure AD) autentisering. Program kan använda hanterade identiteter för att hämta Azure AD token utan att behöva hantera några autentiseringsuppgifter.

Följande video visar hur du kan använda hanterade identiteter:

Här är några av fördelarna med att använda hanterade identiteter:

  • Du behöver inte hantera autentiseringsuppgifter. Autentiseringsuppgifter är inte ens tillgängliga för dig.
  • Du kan använda hanterade identiteter för att autentisera till alla resurser som stöder Azure AD autentisering, inklusive dina egna program.
  • Hanterade identiteter kan användas utan extra kostnad.

Anteckning

Hanterade identiteter för Azure-resurser är det nya namnet på tjänsten som tidigare hade namnet Hanterad tjänstidentitet (MSI).

Hanterade identitetstyper

Det finns två typer av hanterade identiteter:

  • Systemtilldelad. Med vissa Azure-tjänster kan du aktivera en hanterad identitet direkt på en tjänstinstans. När du aktiverar en systemtilldelad hanterad identitet skapas en identitet i Azure AD. Identiteten är kopplad till livscykeln för den tjänstinstansen. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Det är avsiktligt att endast den Azure-resursen kan använda den här identiteten för att begära token från Azure AD.
  • Användartilldelad. Du kan också skapa en hanterad identitet som en fristående Azure-resurs. Du kan skapa en användartilldelad hanterad identitet och tilldela den till en eller flera instanser av en Azure-tjänst. För användartilldelade hanterade identiteter hanteras identiteten separat från de resurser som använder den.

I följande tabell visas skillnaderna mellan de två typerna av hanterade identiteter:

Egenskap Systemtilldelad hanterad identitet Användartilldelad hanterad identitet
Skapa Skapas som en del av en Azure-resurs (till exempel Azure Virtual Machines eller Azure App Service). Skapad som en fristående Azure-resurs.
Livscykel Delad livscykel med Azure-resursen som den hanterade identiteten skapas med.
När den överordnade resursen tas bort tas även den hanterade identiteten bort.
Oberoende livscykel.
Måste tas bort uttryckligen.
Dela mellan Azure-resurser Det går inte att dela.
Den kan bara associeras med en enda Azure-resurs.
Kan delas.
Samma användartilldelade hanterade identitet kan associeras med mer än en Azure-resurs.
Vanliga användarsituationer Arbetsbelastningar som finns i en enda Azure-resurs.
Arbetsbelastningar som du behöver oberoende identiteter för.
Till exempel ett program som körs på en enda virtuell dator.
Arbetsbelastningar som körs på flera resurser och kan dela en enda identitet.
Arbetsbelastningar som behöver förauktorisering till en säker resurs som en del av ett etableringsflöde.
Arbetsbelastningar där resurser återanvänds ofta, men behörigheter bör förbli konsekventa.
Till exempel en arbetsbelastning där flera virtuella datorer behöver åtkomst till samma resurs.

Viktigt

Oavsett vilken typ av identitet som väljs är en hanterad identitet ett huvudnamn för tjänsten av en särskild typ som bara kan användas med Azure-resurser. När den hanterade identiteten tas bort tas motsvarande tjänsthuvudnamn bort automatiskt.


Hur använder jag hanterade identiteter för Azure-resurser?

För att använda hanterade identiteter bör du göra följande:

  1. Skapa en hanterad identitet i Azure. Du kan välja mellan systemtilldelad hanterad identitet eller användartilldelad hanterad identitet.
  2. När det gäller användartilldelad hanterad identitet tilldelar du den hanterade identiteten till Azure-källresursen, till exempel en Azure-logikapp eller en Azure-webbapp.
  3. Ge den hanterade identiteten åtkomst till måltjänsten.
  4. Använd den hanterade identiteten för att utföra åtkomst. För detta kan du använda Azure SDK med Azure.Identity-biblioteket. Vissa "källresurser" erbjuder anslutningsappar som vet hur man använder hanterade identiteter för anslutningarna. I så fall använder du bara identiteten som en funktion i den "källresursen".

Vilka Azure-tjänster stöder funktionen?

Hanterade identiteter för Azure-resurser kan användas för att autentisera till tjänster som stöder Azure AD-autentisering. En lista över Azure-tjänster som stöds finns i Tjänster som stöder hanterade identiteter för Azure-resurser.

Vilka åtgärder kan jag utföra med hanterade identiteter?

Med resurser som stöder systemtilldelade hanterade identiteter kan du:

Om du väljer en användartilldelad hanterad identitet i stället:

Åtgärder för hanterade identiteter kan utföras med hjälp av en Azure Resource Manager-mall, Azure Portal, Azure CLI, PowerShell och REST-API:er.

Nästa steg