Använda hanterade identiteter för Azure med Azure Monitor SCOM Managed Instance
En vanlig utmaning när du skapar molnprogram är hur du på ett säkert sätt hanterar autentiseringsuppgifterna i koden för att autentisera olika tjänster utan att spara dem lokalt på en utvecklararbetsstation eller i källkontroll.
Hanterade identiteter för Azure löser det här problemet för alla dina resurser i Azure Active Directory genom att förse dem med automatiskt hanterade identiteter. Du kan använda en tjänsts identitet för att autentisera alla tjänster som stöder Azure Active Directory-autentisering, inklusive Nyckelvalv, utan att sortera några autentiseringsuppgifter i koden.
Anteckning
- Hanterade identiteter för Azure är det nya namnet på tjänsten som tidigare kallades hanterad tjänstidentitet (MSI).
- Hanterade identiteter för Azure-resurser är kostnadsfria med Azure Active Directory för Azure-prenumerationer. Det kostar inget extra.
Begrepp
Hanterade identiteter för Azure baseras på flera viktiga begrepp:
Klient-ID – en unik identifierare som genereras av Azure Active Directory och som är kopplad till ett program och tjänstens huvudnamn under den första etableringen. Mer information finns i Program -ID (klient) ID.
Huvudnamns-ID – objekt-ID för objektet för tjänstens huvudnamn för din hanterade identitet som används för att bevilja rollbaserad åtkomst till en Azure-resurs.
Tjänstens huvudnamn – ett Azure Active Directory-objekt som representerar projektionen av ett Azure Active Directory-program i en viss klientorganisation. Mer information finns i Tjänstens huvudnamn.
Hanterade identitetstyper
Det finns två typer av hanterade identiteter:
Systemtilldelad hanterad identitet: Aktiverad direkt på en Azure-tjänstinstans. Livscykeln för en systemtilldelad identitet är unik för den Azure-tjänstinstans som den är aktiverad på.
Användartilldelad hanterad identitet: Skapad som en fristående Azure-resurs. Identiteten kan tilldelas till en eller flera Azure-tjänstinstanser och hanteras separat från livscykeln för dessa instanser.
Mer information om hanterade identitetstyper finns i Hur fungerar hanterade identiteter för Azure-resurser?.
Scenarier som stöds för SCOM Managed Instance
SCOM Managed Instance stöder både systemtilldelad hanterad identitet och användartilldelad hanterad identitet för de SCOM-hanterade instanser som distribueras i Azure. SCOM Managed Instance skapar andra beroenderesurser som Virtual Machine Scale Sets-kluster (VMSS) som värd för hanteringsservrar. SCOM Managed Instance registrerade hanterade identiteter med HOBO v2 så att den tilldelade identiteten delegeras till den underliggande infrastrukturen för autentisering med mottagarresurser. Dessa identiteter används för att autentisera andra Azure-tjänster i olika scenarier.
Systemtilldelad hanterad identitet
- SCOM Managed Instance skickar olika hälso- eller prestandamått till Geneva Cluster Services och övervakar instansbeteendet vid körning. Den systemtilldelade identiteten, som delegeras till SCOM Managed Instance-resursen, används för att autentisera med Azure Geneva Cluster-tjänster.
Användartilldelad hanterad identitet
För SCOM Managed Instance ersätter en hanterad identitet de traditionella fyra System Center Operations Manager-tjänstkontona och används för att komma åt SQL Managed Instance-databasen. SCOM Managed Instance läser/skriver övervakningsdata för kundarbetsbelastningar till SQL-hanterade instansdatabaser. Den användartilldelade identiteten som tilldelats SCOM Managed Instance-resursen används för autentisering från System Center Operations Manager-servrar till SQL Managed Instance.
Registreringsprocessen för SCOM Managed Instance tar domänanvändarens autentiseringsuppgifter som lagras i Customer Key Vault. Hemligheterna i customer key-valvet används med hjälp av den hanterade identitet som tilldelats till SCOM Managed Instance.
Under registrering av SCOM Managed Instance måste du ange den användarhanterade identiteten, som har åtkomst till customer key vault och SQL Managed Instance.
Skapa en hanterad tjänstidentitet (MSI)
Skapa en hanterad tjänstidentitet och ge den rätt åtkomstnivå för Azure-resursen.
Skapa ett nyckelvalv och lägg till autentiseringsuppgifter som en hemlighet i nyckelvalvet
Lagra det domänkonto som du skapar i Active Directory i ett Nyckelvalvskonto för säkerhet. Azure Key Vault är en molntjänst som tillhandahåller ett säkert arkiv för nycklar, hemligheter och certifikat. Mer information finns i Azure Key Vault.
- Skapa ett nyckelvalv.
- Skapa en hemlighet för domänkontot.
- Tilldela rollen Läsare i det här nyckelvalvet till den hanterade tjänstidentiteten (MSI). Mer information finns i Tilldela en nyckelvalvsåtkomstprincip.
Ange värdet för Active Directory Admin i SQL Managed Instance
Ange värdet för Active Directory Admin i SQL Managed Instance.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för