Vad är hanterade identiteter för Azure-resurser?

En vanlig utmaning för utvecklare är hanteringen av hemligheter, autentiseringsuppgifter, certifikat och nycklar som används för att skydda kommunikationen mellan tjänster. Hanterade identiteter eliminerar behovet av att utvecklare hanterar dessa autentiseringsuppgifter.

Utvecklare kan lagra hemligheterna i Azure Key Vault på ett säkert sätt, men tjänsterna behöver ett sätt att komma åt Azure Key Vault. Hanterade identiteter tillhandahåller en automatiskt hanterad identitet i Microsoft Entra-ID för program som ska användas vid anslutning till resurser som stöder Microsoft Entra-autentisering. Program kan använda hanterade identiteter för att hämta Microsoft Entra-token utan att behöva hantera några autentiseringsuppgifter.

Följande video visar hur du kan använda hanterade identiteter:

Här är några av fördelarna med att använda hanterade identiteter:

  • Du behöver inte hantera autentiseringsuppgifter. Autentiseringsuppgifter är inte ens tillgängliga för dig.
  • Du kan använda hanterade identiteter för att autentisera till alla resurser som stöder Microsoft Entra-autentisering, inklusive dina egna program.
  • Hanterade identiteter kan användas utan extra kostnad.

Not

Hanterade identiteter för Azure-resurser är det nya namnet på tjänsten som tidigare kallades Hanterad tjänstidentitet (MSI).

Hanterade identitetstyper

Det finns två typer av hanterade identiteter:

  • Systemtilldelad. Med vissa Azure-resurser, till exempel virtuella datorer, kan du aktivera en hanterad identitet direkt på resursen. När du aktiverar en systemtilldelad hanterad identitet:

    • Ett huvudnamn för tjänsten av en särskild typ skapas i Microsoft Entra-ID för identiteten. Tjänstens huvudnamn är kopplat till livscykeln för den Azure-resursen. När Azure-resursen tas bort tar Azure automatiskt bort tjänstens huvudnamn åt dig.
    • Avsiktligt kan endast den Azure-resursen använda den här identiteten för att begära token från Microsoft Entra-ID.
    • Du ger den hanterade identiteten åtkomst till en eller flera tjänster.
    • Namnet på det systemtilldelade tjänstens huvudnamn är alltid detsamma som namnet på den Azure-resurs som den skapas för. För ett distributionsfack är <app-name>/slots/<slot-name>namnet på dess systemtilldelade identitet .
  • Användartilldelad. Du kan också skapa en hanterad identitet som en fristående Azure-resurs. Du kan skapa en användartilldelad hanterad identitet och tilldela den till en eller flera Azure-resurser. När du aktiverar en användartilldelad hanterad identitet:

    • Ett huvudnamn för tjänsten av en särskild typ skapas i Microsoft Entra-ID för identiteten. Tjänstens huvudnamn hanteras separat från de resurser som använder det.
    • Användartilldelade identiteter kan användas av flera resurser.
    • Du ger den hanterade identiteten åtkomst till en eller flera tjänster.

I följande tabell visas skillnaderna mellan de två typerna av hanterade identiteter:

Egenskap Systemtilldelad hanterad identitet Användartilldelad hanterad identitet
Skapelse Skapades som en del av en Azure-resurs (till exempel Azure Virtual Machines eller Azure App Service). Skapad som en fristående Azure-resurs.
Livscykel Delad livscykel med Den Azure-resurs som den hanterade identiteten skapas med.
När den överordnade resursen tas bort tas även den hanterade identiteten bort.
Oberoende livscykel.
Måste tas bort uttryckligen.
Dela mellan Azure-resurser Det går inte att dela.
Den kan bara associeras med en enda Azure-resurs.
Kan delas.
Samma användartilldelade hanterade identitet kan associeras med mer än en Azure-resurs.
Vanliga användningsfall Arbetsbelastningar som finns i en enda Azure-resurs.
Arbetsbelastningar som behöver oberoende identiteter.
Till exempel ett program som körs på en enda virtuell dator.
Arbetsbelastningar som körs på flera resurser och kan dela en enda identitet.
Arbetsbelastningar som behöver förhandsauktorisering till en säker resurs som en del av ett etableringsflöde.
Arbetsbelastningar där resurser återanvänds ofta, men behörigheter bör förbli konsekventa.
Till exempel en arbetsbelastning där flera virtuella datorer behöver komma åt samma resurs.

Hur kan jag använda hanterade identiteter för Azure-resurser?

Du kan använda hanterade identiteter genom att följa stegen nedan:

  1. Skapa en hanterad identitet i Azure. Du kan välja mellan systemtilldelad hanterad identitet eller användartilldelad hanterad identitet.
    1. När du använder en användartilldelad hanterad identitet tilldelar du den hanterade identiteten till Azure-källresursen, till exempel en virtuell dator, Azure Logic App eller en Azure-webbapp.
  2. Auktorisera den hanterade identiteten så att den har åtkomst till "måltjänsten".
  3. Använd den hanterade identiteten för att komma åt en resurs. I det här steget kan du använda Azure SDK med Azure.Identity-biblioteket. Vissa "källresurser" erbjuder anslutningsappar som vet hur du använder hanterade identiteter för anslutningarna. I så fall använder du identiteten som en funktion i den "källresursen".

Vilka Azure-tjänster stöder funktionen?

Hanterade identiteter för Azure-resurser kan användas för att autentisera till tjänster som stöder Microsoft Entra-autentisering. En lista över Azure-tjänster som stöds finns i Tjänster som stöder hanterade identiteter för Azure-resurser.

Vilka åtgärder kan jag utföra på hanterade identiteter?

Med resurser som stöder systemtilldelade hanterade identiteter kan du:

Om du väljer en användartilldelad hanterad identitet i stället:

Åtgärder på hanterade identiteter kan utföras med hjälp av en Azure Resource Manager-mall, Azure Portal, Azure CLI, PowerShell och REST-API:er.

Nästa steg