Valvautentisering med hanterade identiteter för Azure-resurser
Azure Key Vault använder Microsoft Entra-ID för att autentisera användare och appar som försöker komma åt ett valv. För att ge vår webbapp åtkomst till valvet måste du först registrera din app med Microsoft Entra-ID. Vid registreringen skapas en identitet för appen. När appen har en identitet kan du tilldela valvbehörigheter till den.
Appar och användare autentiserar till Key Vault med en Microsoft Entra-autentiseringstoken. Att hämta en token från Microsoft Entra-ID kräver en hemlighet eller ett certifikat. Alla med en token kan använda appidentiteten för att komma åt alla hemligheter i valvet.
Dina apphemligheter är säkra i valvet, men du måste fortfarande ha en hemlighet eller ett certifikat utanför valvet för att få åtkomst till dem! Det här problemet kallas bootstrapping-problemet och Azure har en lösning för det.
Hanterade identiteter för Azure-resurser
Hanterade identiteter för Azure-resurser är en Azure-funktion som din app kan använda för att komma åt Key Vault och andra Azure-tjänster utan att behöva hantera en enda hemlighet utanför valvet. Att använda hanterad identitet är ett enkelt och säkert sätt att utnyttja Key Vault från din webbapp.
När du aktiverar hanterad identitet i webbappen aktiverar Azure en separat tokenbeviljande REST-tjänst som är specifik för din app att använda. Din app begär token från den här tjänsten i stället för direkt från Microsoft Entra-ID. Din app måste använda en hemlighet för att få åtkomst till den här tjänsten, men den hemligheten matas in i appens miljövariabler med App Service när den startas. Du behöver inte hantera eller lagra det här hemliga värdet någonstans, och inget utanför appen kan komma åt den här hemligheten eller den hanterade identitetens tokentjänstslutpunkt.
Hanterade identiteter för Azure-resurser registrerar även din app i Microsoft Entra-ID åt dig. Microsoft Entra-ID tar bort registreringen om du tar bort webbappen eller inaktiverar dess hanterade identitet.
Hanterade identiteter är tillgängliga i alla utgåvor av Microsoft Entra-ID, inklusive den kostnadsfria utgåvan som ingår i en Azure-prenumeration. Att använda det i App Service har ingen extra kostnad och kräver ingen konfiguration, och du kan aktivera eller inaktivera det i en app när som helst.
När du aktiverar en hanterad identitet för en webbapp krävs bara ett enda Azure CLI-kommando utan konfiguration. Du gör det senare när du konfigurerar en App Service-app och distribuerar den till Azure. Innan det kan du dock använda dina kunskaper om hanterade identiteter för att skriva koden för vår app.