Autentisering med hanterade identiteter

Slutförd

Hanterade identiteter i Azure är en funktion i Azure Active Directory (Azure AD) som du kan använda utan kostnad. Den här funktionen skapar automatiskt identiteter som gör att appar kan autentiseras mot resurser och tjänster i Azure.

Imagine att ditt företag har flyttat alla sina program från lokala servrar till azure-värdbaserade virtuella datorer (VM). De lokala programmen autentiserar sig mot Azure med hjälp av tjänstens huvudnamn. Nu när du är värd för programmen på virtuella datorer i Azure kan du använda hanterade identiteter.

I den här lektionen ska vi gå igenom funktionen med hanterade identiteter. Du får se hur den fungerar och vilka resurser du kan komma åt i Azure.

Vad är hanterade identiteter i Azure?

Du använder hanterade identiteter för att autentisera alla Azure-tjänster som stöder en funktion. Om du vill använda hanterade identiteter behöver du inte ange autentiseringsuppgifter i koden. Funktionen för hanterade identiteter löser problemet med autentiseringsuppgifter genom att bevilja en automatiskt hanterad identitet. Du använder tjänstens huvudnamn för autentisering mot Azure-tjänster.

I en hanterad identitet kombineras Azure AD-autentisering och rollbaserad åtkomstkontroll (RBAC) i Azure. För system tilldelade identiteter är det lika enkelt att konfigurera en hanterad identitet som att växla en växel.

När du använder hanterade identiteter behöver du inte rotera autentiseringsuppgifter eller bekymra dig om att certifikat ska upphöra att gälla. Azure hanterar rotationen och förfallotiden automatiskt i bakgrunden. När du ska konfigurera en hanterad identitet för ett program anropar du tjänsten med hjälp av den token du fick.

Termen Hanterad tjänstidentitet (MSI), som fortfarande används i en del klientbibliotek, har ersatts av hanterade identiteter för Azure-resurser.

Så här fungerar hanterade identiteter

När du arbetar med hanterade identiteter bör du känna till några vanliga termer:

  • Klient-ID: Ett unikt ID som är länkat till Azure AD-programmet och tjänstens huvudnamn som skapades när du etablerade identiteten.
  • Objekt-ID: Tjänstens huvudnamn för den hanterade identiteten.
  • Azure Instance Metadata Service: Ett REST-API som aktiveras när Azure Resource Manager etablerar en virtuell dator. Slutpunkten kan bara nås från den virtuella datorn.

Du kan skapa två typer av hanterade identiteter: system-tilldelad hanterad identitet och användar tilldelad hanterad identitet. De här typerna liknar varandra, men de används på olika sätt.

Systemtilldelad hanterad identitet

Du aktiverar system tilldelad hanterad identitet direkt på en Azure-tjänstinstans, till exempel en virtuell dator. När du aktiverar identiteten skapar Azure tjänstens huvudnamn via Azure Resource Manager.

Tjänstens huvudnamn gäller för den resurs som är kopplad till informationen om den hanterade identiteten för Azure AD-klientorganisationen. Om du till exempel har två virtuella datorer måste du aktivera den hanterade identiteten på båda.

Statusen för den hanterade identiteten är direkt kopplad till resursens status. Om du tar bort resursen tas även den hanterade identiteten bort. En resurs kan bara ha en systemtilldelad hanterad identitet.

Användartilldelad hanterad identitet

Användartilldelade hanterade identiteter skapas som fristående Azure-resurser. De är appoberoende. När användar tilldelad hanterad identitet etableras skapar Azure ett tjänsthuvudnamn precis som det gör för en system tilldelad hanterad identitet.

En användar tilldelad hanterad identitet är dock inte kopplad till en specifik resurs, så du kan tilldela den till fler än ett program. Om din webbapp till exempel distribueras på 10 virtuella datorer på frontend-sidan, skapar du en användartilldelade hanterad identitet för appen och associerar den sedan med alla 10 virtuella datorer. Om du använde en system tilldelad hanterad identitet skulle du behöva 10 identiteter och sedan hantera åtkomsten för var och en.

Använda hanterade identiteter med Azure-resurser

Ditt lagerspårningsprogram hämtar autentiseringsuppgifter för databasen från en Azure Key Vault. När programmet kördes lokalt användes tjänstens huvudnamn och certifikat för åtkomst till autentiseringsuppgifterna i valvet. Nu när du är värd för den virtuella datorn i Azure kan du använda en system tilldelad hanterad identitet i stället.

Så här konfigurerar du en hanterad identitet:

  1. Gå du till den virtuella dator som är värd för appen i Azure-portalen.
  2. På översiktssidan i det vänstra menyfönstret, under Inställningar väljer du Identitet.
  3. Välj en systemtilldelad eller en användartilldelad identitet. Det gör du genom att ändra statusen till .
  4. Spara ändringarna.

Därefter påminner systemet dig om att servern kommer att registreras med Azure AD och att du kan bevilja behörigheter till resurser där.

Du kan alltid se de aktuella hanterade identiteterna för prenumerationen i Azure AD i fönstret Företagsprogram. På översiktssidan kan du tilldela användare och ändra behörigheter.

Skärmbild av Azure-portalen med översiktssidan för en hanterad identitet.

Testa dina kunskaper

1.

Vad är Azure Instance Metadata Service?

2.

Varför kan inte ett anpassat program som körs lokalt använda hanterade identiteter?