Sdílet prostřednictvím

Ověřování pomocí spravované identity

  • Článek

PLATÍ PRO: Všechny úrovně služby API Management

Použijte zásadu authentication-managed-identity k ověření pomocí back-endové služby pomocí spravované identity. Tato zásada v podstatě používá spravovanou identitu k získání přístupového tokenu z ID Microsoft Entra pro přístup k zadanému prostředku. Po úspěšném získání tokenu zásada nastaví hodnotu tokenu Authorization v hlavičce pomocí schématu Bearer . Služba API Management token ukládá do mezipaměti, dokud nevyprší platnost.

K vyžádání tokenu je možné použít identitu přiřazenou systémem i některou z více identit přiřazených uživatelem. Pokud client-id není zadána, předpokládá se identita přiřazená systémem. client-id Pokud je proměnná zadaná, bude token požadován pro tuto identitu přiřazenou uživatelem z ID Microsoft Entra.

Poznámka:

Nastavte prvky zásad a podřízené prvky v pořadí uvedeném v prohlášení o zásadách. Přečtěte si další informace o tom, jak nastavit nebo upravit zásady služby API Management.

Prohlášení o zásadách

<authentication-managed-identity resource="resource" client-id="clientid of user-assigned identity" output-token-variable-name="token-variable" ignore-error="true|false"/>

Atributy

Atribut Popis Požaduje se Výchozí
resource Řetězec. ID aplikace cílového webového rozhraní API (zabezpečený prostředek) v Microsoft Entra ID. Výrazy zásad jsou povolené. Yes
id klienta Řetězec. ID klienta identity přiřazené uživatelem v Microsoft Entra ID. Výrazy zásad nejsou povolené. No Není k dispozici. Pokud atribut neexistuje, použije se identita přiřazená systémem.
output-token-variable-name Řetězec. Název kontextové proměnné, která obdrží hodnotu tokenu jako objekt typu string. Výrazy zásad nejsou povolené. No
ignore-error Logický. Pokud je nastavená hodnota true, kanál zásad se bude dál spouštět i v případě, že se přístupový token nezístane. No false

Využití

Příklady

Použití spravované identity k ověření pomocí back-endové služby

<authentication-managed-identity resource="https://graph.microsoft.com"/> 

<authentication-managed-identity resource="https://cognitiveservices.azure.com"/> <!--Azure OpenAI-->

<authentication-managed-identity resource="https://management.azure.com/"/> <!--Azure Resource Manager-->

<authentication-managed-identity resource="https://vault.azure.net"/> <!--Azure Key Vault-->

<authentication-managed-identity resource="https://servicebus.azure.net/"/> <!--Azure Service Bus-->

<authentication-managed-identity resource="https://eventhubs.azure.net/"/> <!--Azure Event Hub-->

<authentication-managed-identity resource="https://storage.azure.com/"/> <!--Azure Blob Storage-->

<authentication-managed-identity resource="https://database.windows.net/"/> <!--Azure SQL-->

<authentication-managed-identity resource="https://signalr.azure.com"/> <!--Azure SignalR-->

<authentication-managed-identity resource="AD_application_id"/> <!--Application (client) ID of your own Azure AD Application-->

Ruční použití spravované identity a nastavení hlavičky

<authentication-managed-identity resource="AD_application_id"
   output-token-variable-name="msi-access-token" ignore-error="false" /> <!--Application (client) ID of your own Azure AD Application-->
<set-header name="Authorization" exists-action="override">
   <value>@("Bearer " + (string)context.Variables["msi-access-token"])</value>
</set-header>

Použití spravované identity v zásadách odesílání žádostí

<send-request mode="new" timeout="20" ignore-error="false">
    <set-url>https://example.com/</set-url>
    <set-method>GET</set-method>
    <authentication-managed-identity resource="ResourceID"/>
</send-request>

Související obsah

Další informace o práci se zásadami najdete v tématech: