Freigeben über

Identitätsverwaltung in Azure Container Apps – Zielzonenbeschleuniger

  • Artikel

Um Ihre Anwendung zu schützen, können Sie die Authentifizierung und Autorisierung über einen Identitätsanbieter wie Microsoft Entra ID oder Microsoft Entra External ID (Vorschau) aktivieren.

Erwägen Sie, eine verwaltete Identität anstelle eines Dienstprinzipals zu verwenden, um eine Verbindung mit anderen Ressourcen in Ihrer Container-App herzustellen. Eine verwaltete Identität ist vorzuziehen, da für sie keine Anmeldeinformationen verwaltet werden müssen. Sie können entweder system- oder benutzerseitig zugewiesene verwaltete Identitäten verwenden. Systemseitig zugewiesene verwaltete Identitäten bieten den Vorteil, dass sie einen Lebenszyklus mit der Azure-Ressource teilen, an die sie angehängt sind, z. B. eine Container-App. Umgekehrt ist eine benutzerseitig zugewiesene verwaltete Identität eine unabhängige Azure-Ressource, die über mehrere Ressourcen hinweg wiederverwendet werden kann, wodurch ein effizienterer und zentralisierterer Ansatz für die Identitätsverwaltung gefördert wird.

Empfehlungen

  • Wenn eine Authentifizierung erforderlich ist, verwenden Sie Azure Entra ID oder Azure Entra ID B2C als Identitätsanbieter.

  • Verwenden Sie separate Anwendungsregistrierungen für die Anwendungsumgebungen. Erstellen Sie z. B. eine andere Registrierung für die Entwicklung als für Test und Produktion.

  • Verwenden Sie benutzerseitig zugewiesene verwaltete Identitäten, es sei denn, die Verwendung von systemseitig zugewiesenen verwalteten Identitäten ist dringend notwendig. Die Implementierung des Zielzonenbeschleunigers verwendet aus folgenden Gründen benutzerseitig zugewiesene verwaltete Identitäten:

    • Wiederverwendbarkeit: Da Sie Identitäten getrennt von den Azure-Ressourcen, denen sie zugewiesen sind, erstellen und verwalten können, haben Sie die Möglichkeit, die gleiche verwaltete Identität über mehrere Ressourcen hinweg wiederzuverwenden und dadurch einen effizienteren und zentralisierteren Ansatz für die Identitätsverwaltung zu fördern.
    • Identity Lifecycle Management: Sie können vom benutzerseitig zugewiesene verwaltete Identitäten unabhängig erstellen, löschen und verwalten, sodass identitätsbezogene Aufgaben einfacher verwaltet werden können, ohne die Azure-Ressourcen, die sie verwenden, zu beeinträchtigen.
    • Erteilen von Berechtigungen: Benutzerseitig zugewiesene verwaltete Identitäten bieten Ihnen mehr Flexibilität beim Erteilen von Berechtigungen. Sie können diese Identitäten nach Bedarf bestimmten Ressourcen oder Diensten zuweisen, sodass Sie den Zugriff auf verschiedene Ressourcen und Dienste leichter steuern können.

  • Verwenden Sie integrierte Rollen von Azure, um Ressourcen und Benutzer*innen die geringsten Berechtigungen zuzuweisen.

  • Stellen Sie sicher, dass der Zugriff auf Produktionsumgebungen eingeschränkt wird. Im Idealfall verfügt niemand über ständigen Zugriff auf Produktionsumgebungen, sondern Sie stützen sich auf die Automatisierung bei der Bereitstellung und das Privileged Identity Management für den Zugriff im Notfall.

  • Erstellen Sie Produktionsumgebungen und Nicht-Produktionsumgebungen in separaten Azure-Abonnements, um ihre Sicherheitsgrenzen abzugrenzen.