Ověřování ve službě Vault se spravovanými identitami pro prostředky Azure

Dokončeno

Azure Key Vault používá Microsoft Entra ID k ověřování uživatelů a aplikací, které se pokoušejí o přístup k trezoru. Pokud chcete naší webové aplikaci udělit přístup k trezoru, musíte nejdřív zaregistrovat aplikaci v Microsoft Entra ID. Registrací se pro aplikaci vytvoří identita. Jakmile má aplikace identitu, můžete k ní přiřadit oprávnění trezoru.

Aplikace a uživatelé se ověřují ve službě Key Vault pomocí ověřovacího tokenu Microsoft Entra. Získání tokenu z ID Microsoft Entra vyžaduje tajný klíč nebo certifikát. Každý, kdo má token, by mohl použít identitu aplikace pro přístup ke všem tajným kódům v trezoru.

Tajné kódy aplikací jsou v trezoru zabezpečené, ale pro přístup k nim stále potřebujete zachovat tajný klíč nebo certifikát mimo trezor. Tento problém se označuje jako problém se spuštěním a Azure pro něj má řešení.

Spravované identity pro prostředky Azure

Spravované identity pro prostředky Azure jsou funkce Azure, kterou vaše aplikace může použít pro přístup ke službě Key Vault a dalším službám Azure bez nutnosti spravovat jeden tajný kód mimo trezor. Použití spravované identity je jednoduchým a bezpečným způsobem, jak využít službu Key Vault z webové aplikace.

Když ve webové aplikaci povolíte spravovanou identitu, Azure aktivuje samostatnou službu REST pro udělování tokenů speciálně pro vaši aplikaci. Vaše aplikace požaduje tokeny z této služby místo přímo z ID Microsoft Entra. Pro přístup k této službě potřebuje aplikace tajný kód. Tento tajný kód se ale při spuštění vloží do proměnných prostředí vaší aplikace službou App Service. Hodnotu tohoto tajného kódu není potřeba spravovat ani nikam ukládat. Tajný kód ani koncový bod služby tokenů spravované identity navíc nejsou mimo vaši aplikaci přístupné.

Spravované identity pro prostředky Azure za vás také zaregistrují vaši aplikaci v Microsoft Entra ID. Id Microsoft Entra odstraní registraci, pokud webovou aplikaci odstraníte nebo zakážete její spravovanou identitu.

Spravované identity jsou k dispozici ve všech edicích ID Microsoft Entra, včetně edice Free, která je součástí předplatného Azure. Používání ve službě App Service nemá žádné další náklady a nevyžaduje žádnou konfiguraci a v aplikaci ji můžete kdykoli povolit nebo zakázat.

K povolení spravované identity pro webovou aplikaci stačí jediný příkaz Azure CLI bez jakékoliv konfigurace. Později ji provedete při nastavování aplikace App Service a jejím nasazení do Azure. Před tím ale využijte své znalosti o spravovaných identitách k napsání kódu pro naši aplikaci.

Kontrola znalostí

1.

Jak použití spravovaných identit pro prostředky Azure mění způsob, jakým se aplikace ověřuje ve službě Azure Key Vault?

Aplikace místo tajného kódu používá k ověření certifikát.

Každý uživatel aplikace musí zadat heslo.

Aplikace místo ID Microsoft Entra získá tokeny ze služby tokenů.

Spravované identity se automaticky rozpoznávají ve službě Azure Key Vault a ověřují se také automaticky.

2.

Které z těchto tvrzení popisuje hlavní výhodu použití spravovaných identit pro prostředky Azure k ověřování aplikace ve službě Key Vault?

Použití spravovaných identit vylepšuje výkon aplikace.

Použití spravovaných identit eliminuje nutnost zpracovávat během konfigurace tajné kódy.

Spravované identity můžou automaticky udělovat oprávnění služby Azure Key Vault.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.