Konfigurera en användartilldelad hanterad identitet för att lita på en extern identitetsprovider

I den här artikeln beskrivs hur du hanterar federerade identitetsautentiseringsuppgifter för en användartilldelad hanterad identitet i Microsoft Entra-ID. Den federerade identitetsautentiseringsuppgiften skapar en förtroenderelation mellan en användartilldelad hanterad identitet och en extern identitetsprovider (IdP). Det går inte att konfigurera en federerad identitetsautentiseringsuppgift för en systemtilldelad hanterad identitet.

När du har konfigurerat din användartilldelade hanterade identitet för att lita på en extern IdP konfigurerar du din externa programvaruarbetsbelastning för att byta ut en token från den externa IdP:t mot en åtkomsttoken från Microsofts identitetsplattform. Den externa arbetsbelastningen använder åtkomsttoken för att komma åt Microsoft Entra-skyddade resurser utan att behöva hantera hemligheter (i scenarier som stöds). Mer information om arbetsflödet för tokenutbyte finns i om arbetsbelastningsidentitetsfederation.

I den här artikeln får du lära dig hur du skapar, listar och tar bort federerade identitetsautentiseringsuppgifter för en användartilldelad hanterad identitet.

Viktiga överväganden och begränsningar

Högst 20 federerade identitetsuppgifter kan läggas till i ett program eller en användartilldelad hanterad identitet.

När du konfigurerar en federerad identitetsautentiseringsuppgift finns det flera viktiga uppgifter att tillhandahålla:

• utfärdare och ämne är de viktigaste delarna av informationen som behövs för att konfigurera förtroenderelationen. Kombinationen av issuer och subject måste vara unik för appen. När den externa programvaruarbetsbelastningen begär Microsofts identitetsplattform att byta ut den externa token mot en åtkomsttoken, kontrolleras utfärdaren och ämnesvärdena för den federerade identitetsautentiseringsuppgiften mot och subject anspråken issuer som anges i den externa token. Om verifieringskontrollen godkänns utfärdar Microsofts identitetsplattform en åtkomsttoken till den externa programvaruarbetsbelastningen.

• utfärdaren är URL:en för den externa identitetsprovidern och måste matcha anspråket issuer för den externa token som utbyts. Obligatoriska. Om anspråket issuer har inledande eller avslutande blanksteg i värdet blockeras tokenutbytet. Det här fältet har en teckengräns på 600 tecken.

• ämne är identifieraren för den externa programvaruarbetsbelastningen och måste matcha (subject) anspråket sub för den externa token som utbyts. subjektet har inget fast format, eftersom varje IdP använder sitt eget – ibland ett GUID, ibland en kolonavgränsad identifierare, ibland godtyckliga strängar. Det här fältet har en teckengräns på 600 tecken.

  Viktigt!

  Ämnesinställningsvärdena måste exakt matcha konfigurationen i GitHub-arbetsflödeskonfigurationen. Annars tittar Microsofts identitetsplattform på den inkommande externa token och avvisar utbytet för en åtkomsttoken. Du får inget fel. Utbytet misslyckas utan fel.

  Viktigt!

  Om du av misstag lägger till felaktig extern arbetsbelastningsinformation i ämnesinställningen skapas den federerade identitetsautentiseringsuppgiften utan fel. Felet blir inte uppenbart förrän tokenutbytet misslyckas.

• målgrupper visar de målgrupper som kan visas i den externa token. Obligatoriska. Du måste lägga till ett enstaka målgruppsvärde som har en gräns på 600 tecken. Det rekommenderade värdet är "api://AzureADTokenExchange". Det står vad Microsofts identitetsplattform måste acceptera i anspråket aud i den inkommande token.

• name är den unika identifieraren för den federerade identitetsautentiseringsuppgiften. Obligatoriska. Det här fältet har en teckengräns på 3–120 tecken och måste vara URL-vänligt. Alfanumeriska tecken, bindestreck eller understreck stöds. Det första tecknet får endast vara alfanumeriskt.  Den är oföränderlig när den har skapats.

• beskrivning är den användardefinierade beskrivningen av de federerade identitetsautentiseringsuppgifterna. Valfritt. Beskrivningen verifieras inte eller kontrolleras inte av Microsoft Entra-ID. Det här fältet har en gräns på 600 tecken.

Jokertecken stöds inte i något federerat egenskapsvärde för identitetsautentiseringsuppgifter.

Mer information om regioner som stöds, tid för att sprida federerade uppdateringar av autentiseringsuppgifter, utfärdare som stöds med mera finns i Viktiga överväganden och begränsningar för federerade identitetsautentiseringsuppgifter.

Förutsättningar

• Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa översiktsavsnittet. Se till att granska skillnaden mellan en systemtilldelad och användartilldelad hanterad identitet.
• Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
• Hämta informationen för din externa IdP och programvaruarbetsbelastning, som du behöver i följande steg.
• För att skapa en användartilldelad hanterad identitet och konfigurera en federerad identitetsautentisering behöver ditt konto rolltilldelningen Deltagare eller Ägare .
• Skapa en användartilldelad hanterad identitet
• Leta reda på namnet på den användartilldelade hanterade identiteten, som du behöver i följande steg.

Konfigurera en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

I administrationscentret för Microsoft Entra navigerar du till den användartilldelade hanterade identiteten som du skapade. Under Inställningar i det vänstra navigeringsfältet väljer du Federerade autentiseringsuppgifter och sedan Lägg till autentiseringsuppgifter.

I listrutan Scenario för federerade autentiseringsuppgifter väljer du ditt scenario.

GitHub Actions distribuerar Azure-resurser

Följ dessa steg för att lägga till en federerad identitet för GitHub-åtgärder:

1. För Entitetstyp väljer du Miljö, Gren, Pull-begäran eller Tagg och anger värdet. Värdena måste exakt matcha konfigurationen i GitHub-arbetsflödet. Mer information finns i exemplen.

2. Lägg till ett namn för de federerade autentiseringsuppgifterna.

3. Fälten Utfärdare, Målgrupper och Ämnesidentifierare fylls i automatiskt baserat på de värden som du har angett.

4. Välj Lägg till för att konfigurera federerade autentiseringsuppgifter.

Använd följande värden från din Microsoft Entra-hanterade identitet för ditt GitHub-arbetsflöde:

• AZURE_CLIENT_IDklient-ID för hanterad identitet

• AZURE_SUBSCRIPTION_ID prenumerations-ID :t.

  Följande skärmbild visar hur du kopierar det hanterade identitets-ID:t och prenumerations-ID:t.

  

• AZURE_TENANT_IDID:t för katalog (klientorganisation). Lär dig hur du hittar ditt Klient-ID för Microsoft Entra.

Exempel på entitetstyp

Grenexempel

För ett arbetsflöde som utlöses av en push- eller pull-begärandehändelse på huvudgrenen:

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

Ange en entitetstyp för Branch och ett GitHub-grennamn för "main".

Miljöexempel

För Jobb som är knutna till en miljö med namnet "produktion":

on:
  push:
    branches:
      - main

jobs:
  deployment:
    runs-on: ubuntu-latest
    environment: production
    steps:
      - name: deploy
        # ...deployment-specific steps

Ange en entitetstyp för miljö och ett GitHub-miljönamn för "produktion".

Taggexempel

Till exempel för ett arbetsflöde som utlöses av en push-överföring till taggen med namnet "v2":

on:
  push:
    # Sequence of patterns matched against refs/heads
    branches:
      - main
      - 'mona/octocat'
      - 'releases/**'
    # Sequence of patterns matched against refs/tags
    tags:
      - v2
      - v1.*

Ange en entitetstyp för tagg och ett GitHub-taggnamn för "v2".

Exempel på pull-begäran

För ett arbetsflöde som utlöses av en pull-begärandehändelse anger du en entitetstyp för Pull-begäran

Kubernetes får åtkomst till Azure-resurser

Fyll i fälten Cluster issuer URL, Namespace, Service account name och Name :

• Url för kluster utfärdare är OIDC-utfärdarens URL för det hanterade klustret eller URL:en för OIDC-utfärdaren för ett självhanterat kluster.
• Namnet på tjänstkontot är namnet på Kubernetes-tjänstkontot, som tillhandahåller en identitet för processer som körs i en podd.
• Namnområde är namnområdet för tjänstkontot.
• Namn är namnet på den federerade autentiseringsuppgiften, som inte kan ändras senare.

Välj Lägg till för att konfigurera federerade autentiseringsuppgifter.

Övrigt

Välj scenariot Annan utfärdare i den nedrullningsbara menyn.

Ange följande fält (med en programvaruarbetsbelastning som körs i Google Cloud som exempel):

• Namn är namnet på den federerade autentiseringsuppgiften, som inte kan ändras senare.
• Ämnesidentifierare: måste matcha anspråket sub i den token som utfärdats av den externa identitetsprovidern. I det här exemplet med Google Cloud är ämnet unikt ID för det tjänstkonto som du planerar att använda.
• Utfärdare: måste matcha anspråket iss i den token som utfärdats av den externa identitetsprovidern. En URL som uppfyller OIDC Discovery-specifikationen. Microsoft Entra ID använder den här utfärdarens URL för att hämta de nycklar som krävs för att verifiera token. För Google Cloud är utfärdaren "https://accounts.google.com".

Välj Lägg till för att konfigurera federerade autentiseringsuppgifter.

Lista federerade identitetsuppgifter för en användartilldelad hanterad identitet

I administrationscentret för Microsoft Entra navigerar du till den användartilldelade hanterade identiteten som du skapade. Under Inställningar i det vänstra navigeringsfältet och välj Federerade autentiseringsuppgifter.

De federerade identitetsautentiseringsuppgifterna som konfigurerats för den användartilldelade hanterade identiteten visas.

Ta bort en federerad identitetsautentiseringsuppgift från en användartilldelad hanterad identitet

I administrationscentret för Microsoft Entra navigerar du till den användartilldelade hanterade identiteten som du skapade. Under Inställningar i det vänstra navigeringsfältet och välj Federerade autentiseringsuppgifter.

De federerade identitetsautentiseringsuppgifterna som konfigurerats för den användartilldelade hanterade identiteten visas.

Om du vill ta bort en specifik federerad identitetsautentiseringsuppgift väljer du ikonen Ta bort för autentiseringsuppgifterna.

Förutsättningar

• Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa översiktsavsnittet. Se till att granska skillnaden mellan en systemtilldelad och användartilldelad hanterad identitet.
• Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
• Hämta informationen för din externa IdP och programvaruarbetsbelastning, som du behöver i följande steg.
• För att skapa en användartilldelad hanterad identitet och konfigurera en federerad identitetsautentisering behöver ditt konto rolltilldelningen Deltagare eller Ägare .
• Skapa en användartilldelad hanterad identitet
• Leta reda på namnet på den användartilldelade hanterade identiteten, som du behöver i följande steg.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

Konfigurera en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

Kör kommandot az identity federated-credential create för att skapa en ny federerad identitetsautentiseringsuppgift för din användartilldelade hanterade identitet (anges med namnet). Ange namn, utfärdare, ämne och andra parametrar.

az login

# set variables
location="centralus"
subscription="{subscription-id}"
rg="fic-test-rg"

# user assigned identity name
uaId="fic-test-ua"

# federated identity credential name
ficId="fic-test-fic-name"

# create prerequisites if required.
# otherwise make sure that existing resources names are set in variables above
az account set --subscription $subscription
az group create --location $location --name $rg
az identity create --name $uaId --resource-group $rg --location $location --subscription $subscription

# Create/update a federated identity credential
az identity federated-credential create --name $ficId --identity-name $uaId --resource-group $rg --issuer 'https://aks.azure.com/issuerGUID' --subject 'system:serviceaccount:ns:svcaccount' --audiences 'api://AzureADTokenExchange'

Lista federerade identitetsuppgifter för en användartilldelad hanterad identitet

Kör kommandot az identity federated-credential list för att läsa alla federerade identitetsuppgifter som konfigurerats för en användartilldelad hanterad identitet:

az login

# Set variables
rg="fic-test-rg"

# User assigned identity name
uaId="fic-test-ua"

# Read all federated identity credentials assigned to the user-assigned managed identity
az identity federated-credential list --identity-name $uaId --resource-group $rg

Hämta en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

Kör kommandot az identity federated-credential show för att visa en federerad identitetsautentisering (efter ID):

az login

# Set variables
rg="fic-test-rg"

# User assigned identity name
uaId="fic-test-ua"

# Federated identity credential name
ficId="fic-test-fic-name"

# Show the federated identity credential
az identity federated-credential show --name $ficId --identity-name $uaId --resource-group $rg

Ta bort en federerad identitetsautentiseringsuppgift från en användartilldelad hanterad identitet

Kör kommandot az identity federated-credential delete för att ta bort en federerad identitetsautentiseringsuppgift under en befintlig användartilldelad identitet.

az login

# Set variables
# in Linux shell remove $ from set variable statement
$rg="fic-test-rg"

# User assigned identity name
$uaId="fic-test-ua"

# Federated identity credential name
$ficId="fic-test-fic-name"

az identity federated-credential delete --name $ficId --identity-name $uaId --resource-group $rg

Förutsättningar

• Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa översiktsavsnittet. Se till att granska skillnaden mellan en systemtilldelad och användartilldelad hanterad identitet.
• Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
• Hämta informationen för din externa IdP och programvaruarbetsbelastning, som du behöver i följande steg.
• För att skapa en användartilldelad hanterad identitet och konfigurera en federerad identitetsautentisering behöver ditt konto rolltilldelningen Deltagare eller Ägare .
• Om du vill köra exempelskripten har du två alternativ:
  • Använd Azure Cloud Shell, som du kan öppna med hjälp av knappen Prova i det övre högra hörnet av kodblock.
  • Kör skript lokalt med Azure PowerShell enligt beskrivningen i nästa avsnitt.
• Skapa en användartilldelad hanterad identitet
• Leta reda på namnet på den användartilldelade hanterade identiteten, som du behöver i följande steg.

Konfigurera Azure PowerShell lokalt

Så här använder du Azure PowerShell lokalt för den här artikeln i stället för att använda Cloud Shell:

1. Installera den senaste versionen av Azure PowerShell om du inte redan har gjort det.

2. Logga in i Azure.

   Connect-AzAccount
   

3. Installera den senaste versionen av PowerShellGet.

   Install-Module -Name PowerShellGet -AllowPrerelease
   

   Du kan behöva Exit avsluta den aktuella PowerShell-sessionen när du har kört det här kommandot för nästa steg.

4. Installera modulen Az.ManagedServiceIdentity för att utföra de användartilldelade hanterade identitetsåtgärderna i den här artikeln.

   Install-Module -Name Az.ManagedServiceIdentity
   

Konfigurera en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

Kör kommandot New-AzFederatedIdentityCredentials för att skapa en ny federerad identitetsautentisering på din användartilldelade hanterade identitet (anges med namnet). Ange namn, utfärdare, ämne och andra parametrar.

New-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 `
    -Name fic-pwsh01 -Issuer "https://kubernetes-oauth.azure.com" -Subject "system:serviceaccount:ns:svcaccount"

Lista federerade identitetsuppgifter för en användartilldelad hanterad identitet

Kör kommandot Get-AzFederatedIdentityCredentials för att läsa alla federerade identitetsuppgifter som konfigurerats för en användartilldelad hanterad identitet:

Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01

Hämta en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

Kör kommandot Get-AzFederatedIdentityCredentials för att visa en federerad identitetsautentiseringsuppgift (efter namn):

Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01

Ta bort en federerad identitetsautentiseringsuppgift från en användartilldelad hanterad identitet

Kör kommandot Remove-AzFederatedIdentityCredentials för att ta bort en federerad identitetsautentisering under en befintlig användartilldelad identitet.

Remove-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01

Förutsättningar

• Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa översiktsavsnittet. Se till att granska skillnaden mellan en systemtilldelad och användartilldelad hanterad identitet.
• Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
• Hämta informationen för din externa IdP och programvaruarbetsbelastning, som du behöver i följande steg.
• För att skapa en användartilldelad hanterad identitet och konfigurera en federerad identitetsautentisering behöver ditt konto rolltilldelningen Deltagare eller Ägare .
• Skapa en användartilldelad hanterad identitet
• Leta reda på namnet på den användartilldelade hanterade identiteten, som du behöver i följande steg.

Skapa och redigera mallar

Med Resource Manager-mallar kan du distribuera nya eller ändrade resurser som definierats av en Azure-resursgrupp. Det finns flera alternativ för mallredigering och distribution, både lokalt och portalbaserat. Du kan:

• Använd en anpassad mall från Azure Marketplace för att skapa en mall från grunden eller basera den på en befintlig gemensam mall eller snabbstartsmall.
• Härled från en befintlig resursgrupp genom att exportera en mall. Du kan exportera dem från antingen den ursprungliga distributionen eller från distributionens aktuella tillstånd.
• Använd en lokal JSON-redigerare (till exempel VS Code) och ladda sedan upp och distribuera med hjälp av PowerShell eller Azure CLI.
• Använd Visual Studio Azure Resource Group-projektet för att skapa och distribuera en mall.

Konfigurera en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

Federerade identitetsautentiseringsuppgifter och överordnad användartilldelad identitet kan skapas eller uppdateras med hjälp av mallen nedan. Du kan distribuera ARM-mallar från Azure-portalen.

Alla mallparametrar är obligatoriska.

Det finns en gräns på 3–120 tecken för en federerad namnlängd för identitetsautentiseringsuppgifter. Det måste vara alfanumeriskt, streck, understreck. Den första symbolen är endast alfanumerisk.

Du måste lägga till exakt en målgrupp till en federerad identitetsautentiseringsuppgift. Målgruppen verifieras under tokenutbytet. Använd "api://AzureADTokenExchange" som standardvärde.

List-, Get- och Delete-åtgärder är inte tillgängliga med mallen. Se Azure CLI för dessa åtgärder. Som standard skapas alla underordnade federerade identitetsuppgifter parallellt, vilket utlöser samtidighetsidentifieringslogik och gör att distributionen misslyckas med en HTTP-statuskod med 409 konflikter. Om du vill skapa dem sekventiellt anger du en kedja med beroenden med hjälp av egenskapen dependsOn .

Se till att alla typer av automatisering skapar federerade identitetsuppgifter under samma överordnade identitet sekventiellt. Federerade identitetsautentiseringsuppgifter under olika hanterade identiteter kan skapas parallellt utan några begränsningar.

{

    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "variables": {},
    "parameters": {
        "location": {
            "type": "string",
            "defaultValue": "westcentralus",
            "metadata": {
                "description": "Location for identities resources. FIC should be enabled in this region."
            }
        },
        "userAssignedIdentityName": {
            "type": "string",
            "defaultValue": "FIC_UA",
            "metadata": {
                "description": "Name of the User Assigned identity (parent identity)"
            }
        },
        "federatedIdentityCredential": {
            "type": "string",
            "defaultValue": "testCredential",
            "metadata": {
                "description": "Name of the Federated Identity Credential"
            }
        },
        "federatedIdentityCredentialIssuer": {
            "type": "string",
            "defaultValue": "https://aks.azure.com/issuerGUID",
            "metadata": {
                "description": "Federated Identity Credential token issuer"
            }
        },
        "federatedIdentityCredentialSubject": {
            "type": "string",
            "defaultValue": "system:serviceaccount:ns:svcaccount",
            "metadata": {
                "description": "Federated Identity Credential token subject"
            }
        },
        "federatedIdentityCredentialAudience": {
            "type": "string",
            "defaultValue": " api://AzureADTokenExchange",
            "metadata": {
                "description": "Federated Identity Credential audience. Single value is only supported."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
            "apiVersion": "2018-11-30",
            "name": "[parameters('userAssignedIdentityName')]",
            "location": "[parameters('location')]",
            "tags": {
                "firstTag": "ficTest"
            },
            "resources": [
                {
                    "type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials",
                    "apiVersion": "2022-01-31-PREVIEW",
                    "name": "[concat(parameters('userAssignedIdentityName'), '/', parameters('federatedIdentityCredential'))]",
                    "dependsOn": [
                      "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentityName'))]"
                    ],
                    "properties": {
                        "issuer": "[parameters('federatedIdentityCredentialIssuer')]",
                        "subject": "[parameters('federatedIdentityCredentialSubject')]",
                        "audiences": [
                            "[parameters('federatedIdentityCredentialAudience')]"
                        ]
                    }
                }
            ]
        }
    ]
}

Förutsättningar

• Om du inte känner till hanterade identiteter för Azure-resurser kan du läsa översiktsavsnittet. Se till att granska skillnaden mellan en systemtilldelad och användartilldelad hanterad identitet.
• Om du inte redan har ett Azure-konto registrerar du dig för ett kostnadsfritt konto innan du fortsätter.
• Hämta informationen för din externa IdP och programvaruarbetsbelastning, som du behöver i följande steg.
• För att skapa en användartilldelad hanterad identitet och konfigurera en federerad identitetsautentisering behöver ditt konto rolltilldelningen Deltagare eller Ägare .
• Du kan köra alla kommandon i den här artikeln antingen i molnet eller lokalt:
  • Om du vill köra i molnet använder du Azure Cloud Shell.
  • Installera curl och Azure CLI för att köra lokalt.
• Skapa en användartilldelad hanterad identitet
• Leta reda på namnet på den användartilldelade hanterade identiteten, som du behöver i följande steg.

Hämta en ägaråtkomsttoken

1. Om du kör lokalt loggar du in på Azure via Azure CLI.

   az login
   

2. Hämta en åtkomsttoken med hjälp av az account get-access-token.

   az account get-access-token
   

Konfigurera en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

Skapa eller uppdatera en federerad identitetsautentiseringsuppgift för den angivna användartilldelade hanterade identiteten.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/provider
s/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdenti
tyCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview' -X PUT -d '{"properties": "{ "properties": { "issuer": "<ISSUER>", "subject": "<SUBJECT>", "audiences": [ "api://AzureADTokenExchange" ] }}"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview

{
 "properties": {
 "issuer": "https://oidc.prod-aks.azure.com/IssuerGUID",
 "subject": "system:serviceaccount:ns:svcaccount",
 "audiences": [
 "api://AzureADTokenExchange"
 ]
 }
}

Begärandehuvuden

Begärandehuvud	Description
Innehållstyp	Obligatoriska. Ange till application/json.
Auktorisering	Obligatoriska. Ange till en giltig Bearer åtkomsttoken.

Begärandetext

Namn	Beskrivning
properties.audiences	Obligatoriska. Listan över målgrupper som kan visas i den utfärdade token.
properties.issuer	Obligatoriska. Url:en till utfärdaren som ska vara betrodd.
properties.subject	Obligatoriska. Identifieraren för den externa identiteten.

Lista federerade identitetsuppgifter för en användartilldelad hanterad identitet

Visa en lista över alla autentiseringsuppgifter för federerad identitet för den angivna användartilldelade hanterade identiteten.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview' -H "Content-Type: application/json" -X GET -H "Authorization: Bearer <ACCESS TOKEN>"

GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview

Begärandehuvuden

Begärandehuvud	Description
Innehållstyp	Obligatoriska. Ange till application/json.
Auktorisering	Obligatoriska. Ange till en giltig Bearer åtkomsttoken.

Hämta en federerad identitetsautentiseringsuppgift för en användartilldelad hanterad identitet

Hämta en federerad identitetsautentiseringsuppgift för den angivna användartilldelade hanterade identiteten.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X GET -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview

Begärandehuvuden

Begärandehuvud	Description
Innehållstyp	Obligatoriska. Ange till application/json.
Auktorisering	Obligatoriska. Ange till en giltig Bearer åtkomsttoken.

Ta bort en federerad identitetsautentiseringsuppgift från en användartilldelad hanterad identitet

Ta bort en federerad identitetsautentiseringsuppgift för den angivna användartilldelade hanterade identiteten.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X DELETE -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

DELETE
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview

Begärandehuvuden

Begärandehuvud	Description
Innehållstyp	Obligatoriska. Ange till application/json.
Auktorisering	Obligatoriska. Ange till en giltig Bearer åtkomsttoken.

Nästa steg

• Information om det nödvändiga formatet för JWT:er som skapats av externa identitetsprovidrar finns i kontrollformatet.