Vault-godkendelse med administrerede identiteter til Azure-ressourcer
Azure Key Vault bruger Microsoft Entra ID til at godkende brugere og apps, der forsøger at få adgang til en vault. Hvis du vil give vores webapp adgang til vaulten, skal du først registrere din app med Microsoft Entra ID. Registrering opretter en identitet for appen. Når appen har en identitet, kan du tildele vault-tilladelser til den.
Apps og brugere godkendes til Key Vault ved hjælp af et Microsoft Entra-godkendelsestoken. Hentning af et token fra Microsoft Entra-id kræver en hemmelighed eller et certifikat. Alle med et token kan bruge app-identiteten til at få adgang til alle hemmelighederne i boksen.
Dine apphemmeligheder er sikre i vaulten, men du skal stadig holde en hemmelighed eller et certifikat uden for boksen for at få adgang til dem! Dette problem kaldes bootstrapping-problemet, og Azure har en løsning til det.
Administrerede identiteter for Azure-ressourcer
Administrerede identiteter til Azure-ressourcer er en Azure-funktion, som din app kan bruge til at få adgang til Key Vault og andre Azure-tjenester uden at skulle administrere en enkelt hemmelighed uden for vaulten. Brug af en administreret identitet er en enkel og sikker måde at drage fordel af Key Vault fra din webapp på.
Når du aktiverer administreret identitet på din webapp, aktiverer Azure en separat REST-tjeneste, der tildeler tokens, specielt til din app. Din app anmoder om tokens fra denne tjeneste i stedet for direkte fra Microsoft Entra ID. Din app skal bruge en hemmelighed for at få adgang til denne tjeneste, men denne hemmelighed overføres til appens miljøvariabler af App Service, når den starter. Du behøver ikke at administrere eller gemme denne hemmelige værdi nogen steder, og intet uden for din app kan få adgang til denne hemmelighed eller slutpunktet for den administrerede identitetstokentjeneste.
Administrerede identiteter for Azure-ressourcer registrerer også din app i Microsoft Entra ID for dig. Microsoft Entra ID sletter registreringen, hvis du sletter webappen eller deaktiverer dens administrerede identitet.
Administrerede identiteter er tilgængelige i alle versioner af Microsoft Entra ID, herunder den gratis udgave, der er inkluderet i et Azure-abonnement. Brug af den i App Service har ingen ekstra omkostninger og kræver ingen konfiguration, og du kan når som helst aktivere eller deaktivere den i en app.
Aktivering af en administreret identitet for en webapp kræver kun en enkelt Kommandolinjegrænsefladekommando i Azure uden konfiguration. Du gør det senere, når du konfigurerer en App Service-app og installerer den på Azure. Før det skal du dog anvende din viden om administrerede identiteter for at skrive koden til vores app.