다음을 통해 공유


외부 ID 공급자를 신뢰하도록 사용자가 할당한 관리 ID 구성

이 문서에서는 Microsoft Entra ID의 사용자가 할당한 관리 ID에서 페더레이션 ID 자격 증명을 관리하는 방법을 설명합니다. 페더레이션 ID 자격 증명은 사용자가 할당한 관리 ID와 외부 IdP(ID 공급자) 간의 트러스트 관계를 만듭니다. 시스템이 할당한 관리 ID에서 페더레이션 ID 자격 증명을 구성하는 것은 지원되지 않습니다.

외부 IdP를 신뢰하도록 사용자가 할당한 관리 ID를 구성한 후 외부 IdP의 토큰을 Microsoft ID 플랫폼의 액세스 토큰으로 교환하도록 외부 소프트웨어 워크로드를 구성합니다. 외부 워크로드는 액세스 토큰을 사용하여 비밀을 관리할 필요 없이(지원되는 시나리오에서) Microsoft Entra 보호 리소스에 액세스할 수 있습니다. 토큰 교환 워크플로에 대한 자세한 내용은 워크로드 ID 페더레이션을 읽어보세요.

이 문서에서는 사용자가 할당한 관리 ID에서 페더레이션 ID 자격 증명을 만들고 나열하고 삭제하는 방법을 알아봅니다.

중요 고려 사항 및 제한 사항

최대 20개의 페더레이션 ID 자격 증명을 애플리케이션 또는 사용자가 할당한 관리 ID에 추가할 수 있습니다.

페더레이션 ID 자격 증명을 구성할 때는 몇 가지 중요한 정보를 제공해야 합니다.

  • 발급자주체는 신뢰 관계를 설정하는 데 필요한 주요 정보입니다. issuersubject의 조합은 앱에서 고유해야 합니다. 외부 소프트웨어 워크로드가 외부 토큰을 액세스 토큰으로 교환하도록 Microsoft ID 플랫폼에 요청하면 페더레이션 ID 자격 증명의 발급자주체 값이 외부 토큰에 제공된 issuersubject 클레임에 대해 검사됩니다. 유효성 검사를 통과하면 Microsoft ID 플랫폼에서는 외부 소프트웨어 워크로드에 액세스 토큰을 발급합니다.

  • 발급자는 외부 ID 공급자의 URL이며 교환되는 외부 토큰의 issuer 클레임과 일치해야 합니다. 필수입니다. issuer 클레임 값에 선행 또는 후행 공백이 있으면 토큰 교환이 차단됩니다. 이 필드는 문자 수가 600자로 제한됩니다.

  • 주체는 외부 소프트웨어 워크로드의 식별자이며 교환되는 외부 토큰의 sub(subject) 클레임과 일치해야 합니다. 주체는 고정된 형식이 없으며(각 IdP는 고유한 형식 사용), 경우에 따라 GUID, 콜론으로 구분된 식별자, 경우에 따라 임의의 문자열을 사용합니다. 이 필드는 문자 수가 600자로 제한됩니다.

    Important

    주체 설정 값은 GitHub 워크플로 구성의 구성과 정확히 일치해야 합니다. 그렇지 않으면 Microsoft ID 플랫폼에서 들어오는 외부 토큰을 보고 액세스 토큰에 대한 교환을 거부합니다. 오류가 발생하지 않고 교환이 오류 없이 실패합니다.

    Important

    주체 설정에 잘못된 외부 워크로드 정보를 실수로 추가하면 페더레이션 ID 자격 증명이 오류 없이 성공적으로 만들어집니다. 토큰 교환이 실패할 때까지 오류가 명확해지지 않습니다.

  • 대상은 외부 토큰에 표시할 수 있는 대상을 나열합니다. 필수입니다. 600자로 제한되는 단일 대상 그룹 값을 추가해야 합니다. 권장 값은 "api://AzureADTokenExchange"입니다. 들어오는 토큰의 aud 클레임에서 수락해야 하는 Microsoft ID 플랫폼을 나타냅니다.

  • 이름은 페더레이션 ID 자격 증명의 고유 식별자입니다. 필수입니다. 이 필드는 문자 수 3~120자로 제한되고 URL 친화적이어야 합니다. 영숫자, 대시 또는 밑줄 문자가 지원되며 첫 번째 문자는 영숫자만 사용해야 합니다. 만든 후에는 변경이 불가능합니다.

  • 설명은 페더레이션 ID 자격 증명에 대한 사용자 제공 설명입니다. 선택 사항. 설명은 Microsoft Entra ID로 유효성 검사되거나 확인되지 않습니다. 이 필드는 600자로 제한됩니다.

와일드카드 문자는 페더레이션 ID 자격 증명 속성 값에서 지원되지 않습니다.

지원되는 지역, 페더레이션 자격 증명 업데이트 전파 시간, 지원되는 발급자 등에 대해 자세히 알아보려면 페더레이션 ID 자격 증명에 대한 중요한 고려 사항 및 제한 사항을 참조하세요.

필수 조건

사용자가 할당한 관리 ID에서 페더레이션 ID 자격 증명 구성

Microsoft Azure 포털 에서 사용자 지정 관리 ID로 이동합니다. 왼쪽 탐색 모음의 설정에서 페더레이션된 자격 증명을 선택한 다음, 자격 증명 추가를 선택합니다.

페더레이션 자격 증명 시나리오 드롭다운 상자에서 시나리오를 선택합니다.

Azure 리소스를 배포하는 GitHub Actions

GitHub Actions에 대한 페더레이션 ID를 추가하려면 다음 단계를 수행합니다.

  1. 엔터티 형식의 경우 환경, 분기, 끌어오기 요청 또는 태그를 선택하고 값을 지정합니다. 값은 GitHub 워크플로의 구성과 정확히 일치해야 합니다. 자세한 내용은 예제를 참조하세요.

  2. 페더레이션된 자격 증명의 이름을 추가합니다.

  3. 발급자, 대상 그룹주체 식별자 필드는 입력한 값에 따라 자동으로 입력됩니다.

  4. 추가를 선택하여 페더레이션된 자격 증명을 구성합니다.

GitHub 워크플로에 대해 Microsoft Entra 관리 ID의 다음 값을 사용합니다.

  • AZURE_CLIENT_ID 관리 ID 클라이언트 ID입니다.

  • AZURE_SUBSCRIPTION_ID 구독 ID입니다.

    다음 스크린샷은 관리 ID 및 구독 ID를 복사하는 방법을 보여 줍니다.

    Azure Portal에서 관리 ID 및 구독 ID를 복사하는 방법을 보여 주는 스크린샷.

  • AZURE_TENANT_ID 디렉터리(테넌트) ID입니다. Microsoft Entra 테넌트 ID를 찾는 방법을 알아봅니다.

엔터티 형식 예제

분기 예제

기본 분기의 푸시 또는 풀 요청 이벤트에 의해 트리거되는 워크플로의 경우:

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

분기엔터티 형식과 "기본"의 GitHub 분기 이름을 지정합니다.

환경 예제

"프로덕션"이라는 환경에 연결된 작업의 경우:

on:
  push:
    branches:
      - main

jobs:
  deployment:
    runs-on: ubuntu-latest
    environment: production
    steps:
      - name: deploy
        # ...deployment-specific steps

환경엔터티 유형과 "프로덕션"의 GitHub 환경 이름을 지정합니다.

태그 예제

예를 들어 "v2"라는 태그에 푸시하여 트리거되는 워크플로의 경우:

on:
  push:
    # Sequence of patterns matched against refs/heads
    branches:
      - main
      - 'mona/octocat'
      - 'releases/**'
    # Sequence of patterns matched against refs/tags
    tags:
      - v2
      - v1.*

태그엔터티 형식과 "v2"의 GitHub 태그 이름을 지정합니다.

풀 요청 예제

풀 요청 이벤트로 트리거되는 워크플로의 경우 풀 요청엔터티 형식을 지정합니다.

Azure 리소스에 액세스하는 Kubernetes

클러스터 발급자 URL, 네임스페이스, 서비스 계정 이름이름 필드를 입력합니다.

  • 클러스터 발급자 URL은 관리형 클러스터의 OIDC 발급자 URL 또는 자체 관리형 클러스터의 OIDC 발급자 URL입니다.
  • 서비스 계정 이름은 Pod에서 실행되는 프로세스의 ID를 제공하는 Kubernetes 서비스 계정의 이름입니다.
  • 네임스페이스는 서비스 계정 네임스페이스입니다.
  • 이름은 나중에 변경할 수 없는 페더레이션 자격 증명의 이름입니다.

추가를 선택하여 페더레이션된 자격 증명을 구성합니다.

기타

드롭다운 메뉴에서 기타 발급자 시나리오를 선택합니다.

다음 필드를 지정합니다(예: Google Cloud에서 실행되는 소프트웨어 워크로드 사용).

  • 이름은 나중에 변경할 수 없는 페더레이션 자격 증명의 이름입니다.
  • 주체 식별자: 외부 ID 공급자에서 발급한 토큰의 sub 클레임과 일치해야 합니다. Google Cloud를 사용하는 이 예제에서 주체는 사용하려는 서비스 계정의 고유 ID입니다.
  • 발급자: 외부 ID 공급자에서 발급한 토큰의 iss 클레임과 일치해야 합니다. OIDC 검색 사양을 준수하는 URL입니다. Microsoft Entra ID는 이 발급자 URL을 사용하여 토큰의 유효성을 검사하는 데 필요한 키를 가져옵니다. Google Cloud의 경우 발급자는 "https://accounts.google.com"입니다.

추가를 선택하여 페더레이션된 자격 증명을 구성합니다.

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 나열

사용자가 생성한 사용자 할당 관리 ID로 이동하여 Microsoft Azure 포털 을 확인하세요. 왼쪽 탐색 모음의 설정에서 페더레이션된 자격 증명을 선택합니다.

해당 사용자 할당 관리 ID에 구성된 페더레이션된 ID 자격 증명이 나열됩니다.

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 삭제

Microsoft Azure Portal사용자가 할당한 관리 ID로 이동합니다. 왼쪽 탐색 모음의 설정에서 페더레이션된 자격 증명을 선택합니다.

해당 사용자 할당 관리 ID에 구성된 페더레이션된 ID 자격 증명이 나열됩니다.

특정 페더레이션된 ID 자격 증명을 삭제하려면 해당 자격 증명에 대한 삭제 아이콘을 선택합니다.

필수 조건

사용자가 할당한 관리 ID에서 페더레이션 ID 자격 증명 구성

az identity federated-credential create 명령을 실행하여 사용자가 할당한 관리 ID(이름에 의해 지정됨)에 새 페더레이션된 ID 자격 증명을 만듭니다. 이름, 발급자, 제목 및 기타 매개 변수를 지정합니다.

az login

# set variables
location="centralus"
subscription="{subscription-id}"
rg="fic-test-rg"

# user assigned identity name
uaId="fic-test-ua"

# federated identity credential name
ficId="fic-test-fic-name"

# create prerequisites if required.
# otherwise make sure that existing resources names are set in variables above
az account set --subscription $subscription
az group create --location $location --name $rg
az identity create --name $uaId --resource-group $rg --location $location --subscription $subscription

# Create/update a federated identity credential
az identity federated-credential create --name $ficId --identity-name $uaId --resource-group $rg --issuer 'https://aks.azure.com/issuerGUID' --subject 'system:serviceaccount:ns:svcaccount' --audiences 'api://AzureADTokenExchange'

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 나열

az identity federated-credential list 명령을 실행하여 사용자가 할당한 관리 ID에 구성된 모든 페더레이션된 ID 자격 증명을 읽습니다.

az login

# Set variables
rg="fic-test-rg"

# User assigned identity name
uaId="fic-test-ua"

# Read all federated identity credentials assigned to the user-assigned managed identity
az identity federated-credential list --identity-name $uaId --resource-group $rg

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 가져오기

az identity federated-credential show 명령을 실행하여 페더레이션된 ID 자격 증명(ID별)을 표시합니다.

az login

# Set variables
rg="fic-test-rg"

# User assigned identity name
uaId="fic-test-ua"

# Federated identity credential name
ficId="fic-test-fic-name"

# Show the federated identity credential
az identity federated-credential show --name $ficId --identity-name $uaId --resource-group $rg

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 삭제

az identity federated-credential delete 명령을 실행하여 기존 사용자가 할당한 ID에서 페더레이션된 ID 자격 증명을 삭제합니다.

az login

# Set variables
# in Linux shell remove $ from set variable statement
$rg="fic-test-rg"

# User assigned identity name
$uaId="fic-test-ua"

# Federated identity credential name
$ficId="fic-test-fic-name"

az identity federated-credential delete --name $ficId --identity-name $uaId --resource-group $rg

필수 조건

  • Azure 리소스에 대한 관리 ID를 잘 모르는 경우 개요 섹션을 확인하세요. 시스템 할당 ID와 사용자가 할당한 관리 ID의 차이점을 반드시 검토하세요.
  • 아직 Azure 계정이 없으면 계속하기 전에 체험 계정에 등록해야 합니다.
  • 다음 단계에서 필요한 외부 IdP 및 소프트웨어 워크로드에 대한 정보를 가져옵니다.
  • 사용자가 할당한 관리 ID를 만들고 페더레이션된 ID 자격 증명을 구성하려면 계정에 기여자 또는 소유자 역할 할당이 필요합니다.
  • 예제 스크립트를 실행하려면 다음 두 가지 옵션을 사용합니다.
    • 코드 블록의 오른쪽 위 모서리에 있는 사용해 보기 단추를 사용하여 열 수 있는 Azure Cloud Shell을 사용합니다.
    • 다음 섹션에 설명된 대로 Azure PowerShell을 사용하여 로컬로 스크립트를 실행합니다.
  • 사용자가 할당한 관리 ID 만들기
  • 다음 단계에서 필요한 사용자가 할당한 관리 ID의 이름을 찾습니다.

로컬로 Azure PowerShell 구성

Cloud Shell을 사용하는 대신 이 문서에서 Azure PowerShell을 로컬로 사용하려면 다음을 수행합니다.

  1. 아직 설치하지 않은 경우 Azure PowerShell 최신 버전을 설치합니다.

  2. Azure에 로그인합니다.

    Connect-AzAccount
    
  3. PowerShellGet 최신 버전을 설치합니다.

    Install-Module -Name PowerShellGet -AllowPrerelease
    

    다음 단계에서 이 명령을 실행한 후 현재 PowerShell 세션에서 Exit를 제거해야 합니다.

  4. Az.ManagedServiceIdentity 모듈을 설치하여 이 문서에 있는 사용자가 할당한 관리 ID 작업을 수행합니다.

    Install-Module -Name Az.ManagedServiceIdentity
    

사용자가 할당한 관리 ID에서 페더레이션 ID 자격 증명 구성

New-AzFederatedIdentityCredentials 명령을 실행하여 사용자가 할당한 관리 ID(이름에 의해 지정됨)에 새 페더레이션된 ID 자격 증명을 만듭니다. 이름, 발급자, 제목 및 기타 매개 변수를 지정합니다.

New-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 `
    -Name fic-pwsh01 -Issuer "https://kubernetes-oauth.azure.com" -Subject "system:serviceaccount:ns:svcaccount"

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 나열

Get-AzFederatedIdentityCredentials 명령을 실행하여 사용자가 할당한 관리 ID에 구성된 모든 페더레이션된 ID 자격 증명을 읽습니다.

Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 가져오기

Get-AzFederatedIdentityCredentials 명령을 실행하여 페더레이션된 ID 자격 증명(이름별)을 표시합니다.

Get-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 삭제

Remove-AzFederatedIdentityCredentials 명령을 실행하여 기존 사용자가 할당한 ID에서 페더레이션된 ID 자격 증명을 삭제합니다.

Remove-AzFederatedIdentityCredentials -ResourceGroupName azure-rg-test -IdentityName uai-pwsh01 -Name fic-pwsh01

필수 조건

템플릿 만들기 및 편집

Resource Manager 템플릿을 사용하면 Azure 리소스 그룹에서 정의한 새 리소스 또는 수정된 리소스를 배포할 수 있습니다. 로컬 및 포털 기반 템플릿 편집 및 배포에 여러 가지 옵션이 제공됩니다. 다음이 가능합니다.

사용자가 할당한 관리 ID에서 페더레이션 ID 자격 증명 구성

페더레이션 ID 자격 증명 및 부모 사용자 할당 ID는 아래 템플릿을 통해 만들거나 업데이트할 수 있습니다. Azure Portal에서 ARM 템플릿을 배포할 수 있습니다.

모든 템플릿 매개 변수는 필수입니다.

페더레이션 ID 자격 증명 이름 길이는 3-120자로 제한됩니다. 영숫자, 대시, 밑줄이어야 합니다. 첫 번째 기호는 영숫자만 가능합니다.

페더레이션 자격 증명에 정확히 하나의 대상 그룹을 추가해야 합니다. 대상 그룹은 토큰 교환 중에 확인됩니다. "api://AzureADTokenExchange"를 기본값으로 사용합니다.

나열, 가져오기 및 삭제 작업은 템플릿에서 사용할 수 없습니다. 이러한 작업은 Azure CLI를 참조하세요. 기본적으로 모든 자식 페더레이션 ID 자격 증명은 병렬로 만들어져 동시성 검색 논리를 트리거하고 409 충돌 HTTP 상태 코드와 함께 배포가 실패합니다. 순차적으로 만들려면 dependsOn 속성을 사용하여 종속성 체인을 지정합니다.

모든 종류의 자동화가 동일한 부모 ID 아래에 페더레이션 ID 자격 증명을 순차적으로 만드는지 확인합니다. 서로 다른 관리 ID에서 페더레이션 ID 자격 증명을 제한 없이 병렬로 만들 수 있습니다.

{

    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "variables": {},
    "parameters": {
        "location": {
            "type": "string",
            "defaultValue": "westcentralus",
            "metadata": {
                "description": "Location for identities resources. FIC should be enabled in this region."
            }
        },
        "userAssignedIdentityName": {
            "type": "string",
            "defaultValue": "FIC_UA",
            "metadata": {
                "description": "Name of the User Assigned identity (parent identity)"
            }
        },
        "federatedIdentityCredential": {
            "type": "string",
            "defaultValue": "testCredential",
            "metadata": {
                "description": "Name of the Federated Identity Credential"
            }
        },
        "federatedIdentityCredentialIssuer": {
            "type": "string",
            "defaultValue": "https://aks.azure.com/issuerGUID",
            "metadata": {
                "description": "Federated Identity Credential token issuer"
            }
        },
        "federatedIdentityCredentialSubject": {
            "type": "string",
            "defaultValue": "system:serviceaccount:ns:svcaccount",
            "metadata": {
                "description": "Federated Identity Credential token subject"
            }
        },
        "federatedIdentityCredentialAudience": {
            "type": "string",
            "defaultValue": " api://AzureADTokenExchange",
            "metadata": {
                "description": "Federated Identity Credential audience. Single value is only supported."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
            "apiVersion": "2018-11-30",
            "name": "[parameters('userAssignedIdentityName')]",
            "location": "[parameters('location')]",
            "tags": {
                "firstTag": "ficTest"
            },
            "resources": [
                {
                    "type": "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials",
                    "apiVersion": "2022-01-31-PREVIEW",
                    "name": "[concat(parameters('userAssignedIdentityName'), '/', parameters('federatedIdentityCredential'))]",
                    "dependsOn": [
                      "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', parameters('userAssignedIdentityName'))]"
                    ],
                    "properties": {
                        "issuer": "[parameters('federatedIdentityCredentialIssuer')]",
                        "subject": "[parameters('federatedIdentityCredentialSubject')]",
                        "audiences": [
                            "[parameters('federatedIdentityCredentialAudience')]"
                        ]
                    }
                }
            ]
        }
    ]
}

필수 조건

전달자 액세스 토큰 가져오기

  1. 로컬로 실행하는 경우 Azure CLI를 통해 Azure에 로그인합니다.

    az login
    
  2. Az account get-token을 사용하여 액세스 토큰을 가져옵니다.

    az account get-access-token
    

사용자가 할당한 관리 ID에서 페더레이션 ID 자격 증명 구성

지정된 사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명을 만들거나 업데이트합니다.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/provider
s/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdenti
tyCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview' -X PUT -d '{"properties": "{ "properties": { "issuer": "<ISSUER>", "subject": "<SUBJECT>", "audiences": [ "api://AzureADTokenExchange" ] }}"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
PUT https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL NAME>?api-version=2022-01-31-preview

{
 "properties": {
 "issuer": "https://oidc.prod-aks.azure.com/IssuerGUID",
 "subject": "system:serviceaccount:ns:svcaccount",
 "audiences": [
 "api://AzureADTokenExchange"
 ]
 }
}

요청 헤더

요청 헤더 설명
Content-Type 필수입니다. application/json로 설정합니다.
Authorization 필수입니다. 유효한 Bearer 액세스 토큰으로 설정합니다.

요청 본문

이름 설명
properties.audiences 필수입니다. 발급된 토큰에 나타날 수 있는 대상 그룹 목록입니다.
properties.issuer 필수입니다. 신뢰할 수 있는 발급자의 URL입니다.
properties.subject 필수입니다. 외부 ID의 식별자입니다.

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 나열

지정된 사용자가 할당한 관리 ID에서 모든 페더레이션된 ID 자격 증명을 나열합니다.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview' -H "Content-Type: application/json" -X GET -H "Authorization: Bearer <ACCESS TOKEN>"
GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials?api-version=2022-01-31-preview

요청 헤더

요청 헤더 설명
Content-Type 필수입니다. application/json로 설정합니다.
Authorization 필수입니다. 유효한 Bearer 액세스 토큰으로 설정합니다.

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 가져오기

지정된 사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명을 가져옵니다.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X GET -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
GET
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview

요청 헤더

요청 헤더 설명
Content-Type 필수입니다. application/json로 설정합니다.
Authorization 필수입니다. 유효한 Bearer 액세스 토큰으로 설정합니다.

사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명 삭제

지정된 사용자가 할당한 관리 ID에서 페더레이션된 ID 자격 증명을 삭제합니다.

curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview' -X DELETE -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"
DELETE
https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>/<RESOURCE NAME>/federatedIdentityCredentials/<FEDERATED IDENTITY CREDENTIAL RESOURCENAME>?api-version=2022-01-31-preview

요청 헤더

요청 헤더 설명
Content-Type 필수입니다. application/json로 설정합니다.
Authorization 필수입니다. 유효한 Bearer 액세스 토큰으로 설정합니다.

다음 단계

  • 외부 ID 공급자에서 만든 JWT의 필수 형식에 대한 정보는 어설션 형식을 참조하세요.