你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 容器应用中的标识管理 - 登陆区域加速器

若要保护应用程序，可以通过标识提供者（如 Microsoft Entra ID 或 Microsoft Entra 外部 ID（预览版）启用身份验证和授权。

请考虑使用 托管标识 而不是服务主体连接到容器应用中的其他资源。 托管标识是可取的，因为它否定了管理凭据的需求。 可以使用 系统分配的或用户分配的托管标识。 系统分配的托管标识提供与附加的 Azure 资源（例如容器应用）共享生命周期的优势。 相反，用户分配的托管标识是一个独立的 Azure 资源，可在多个资源之间重复使用，从而提升标识管理的更高效和集中的方法。

建议

• 如果需要身份验证，请使用 Azure Entra ID 或 Azure Entra ID B2C 作为标识提供者。

• 为应用程序环境使用单独的应用注册。 例如，为开发与测试与生产创建不同的注册。

• 除非对使用系统分配的托管标识有很强的要求，否则请使用用户分配的托管标识。 登陆区域加速器实现出于以下原因使用用户分配的托管标识：

  • 可重用性：由于可以独立于分配标识的 Azure 资源创建和管理标识，因此可以跨多个资源重复使用相同的托管标识，从而提升标识管理的更高效和集中的方法。
  • 标识生命周期管理：可以独立创建、删除和管理用户分配的托管标识，从而更轻松地管理与标识相关的任务，而不会影响 Azure 资源使用它们。
  • 授予权限：使用用户分配的托管标识授予权限具有更大的灵活性。 可以根据需要将这些标识分配给特定资源或服务，从而更轻松地控制对各种资源和服务的访问。

• 使用 Azure 内置角色 为资源和用户分配最低权限。

• 确保对生产环境的访问权限受到限制。 理想情况下，没有人能够长期访问生产环境，而是依靠自动化来处理部署和 Privileged Identity Management 进行紧急访问。

• 在单独的 Azure 订阅中创建生产环境和非生产环境，以划定其安全边界。