Delen via

Beheerde identiteiten gebruiken voor toegang tot Azure Key Vault-certificaten

  • Artikel

Met beheerde identiteiten van Microsoft Entra-id kan uw Azure Front Door-exemplaar veilig toegang krijgen tot andere met Microsoft Entra beveiligde resources, zoals Azure Key Vault, zonder referenties te hoeven beheren. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie.

Notitie

Ondersteuning voor beheerde identiteiten in Azure Front Door is beperkt tot toegang tot Azure Key Vault. Het kan niet worden gebruikt om te verifiëren van Front Door naar origins zoals Blob Storage of Web Apps.

Nadat u een beheerde identiteit voor Azure Front Door hebt ingeschakeld en de benodigde machtigingen aan uw Azure Key Vault hebt verleend, gebruikt Front Door de beheerde identiteit om toegang te krijgen tot certificaten. Zonder deze machtigingen mislukt de automatischerotatie van aangepaste certificaten en het toevoegen van nieuwe certificaten. Als beheerde identiteit is uitgeschakeld, wordt Azure Front Door teruggezet naar het gebruik van de oorspronkelijk geconfigureerde Microsoft Entra-app. Dit wordt niet aanbevolen en wordt in de toekomst afgeschaft.

Azure Front Door ondersteunt twee typen beheerde identiteiten:

  • Door het systeem toegewezen identiteit: deze identiteit is gekoppeld aan uw service en wordt verwijderd als de service wordt verwijderd. Elke service kan slechts één door het systeem toegewezen identiteit hebben.
  • Door de gebruiker toegewezen identiteit: dit is een zelfstandige Azure-resource die kan worden toegewezen aan uw service. Elke service kan meerdere door de gebruiker toegewezen identiteiten hebben.

Beheerde identiteiten zijn specifiek voor de Microsoft Entra-tenant waar uw Azure-abonnement wordt gehost. Als een abonnement wordt verplaatst naar een andere map, moet u de identiteit opnieuw maken en opnieuw configureren.

U kunt Toegang tot Azure Key Vault configureren met behulp van op rollen gebaseerd toegangsbeheer (RBAC) of toegangsbeleid.

Vereisten

Voordat u een beheerde identiteit instelt voor Azure Front Door, moet u ervoor zorgen dat u een Azure Front Door Standard- of Premium-profiel hebt. Zie Een Azure Front Door maken om een nieuw profiel te maken.

Beheerde identiteit inschakelen

  1. Navigeer naar uw bestaande Azure Front Door-profiel. Selecteer Identiteit onder Beveiliging in het linkermenu.

    Schermopname van de knop Identiteit onder instellingen voor een Front Door-profiel.

  2. Kies een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit.

    • Systeem toegewezen : een beheerde identiteit die is gekoppeld aan de levenscyclus van het Azure Front Door-profiel, dat wordt gebruikt voor toegang tot Azure Key Vault.

    • Door de gebruiker toegewezen : een zelfstandige beheerde identiteitsresource met een eigen levenscyclus, die wordt gebruikt voor verificatie bij Azure Key Vault.

    Door het systeem toegewezen

    1. Schakel de status in op Aan en selecteer Opslaan.

      Schermopname van de door het systeem toegewezen configuratiepagina voor beheerde identiteiten.

    2. Bevestig het maken van een door het systeem beheerde identiteit voor uw Front Door-profiel door Ja te selecteren wanneer hierom wordt gevraagd.

      Schermopname van het bevestigingsbericht van de door het systeem toegewezen beheerde identiteit.

    3. Nadat u de Id van Microsoft Entra hebt gemaakt en geregistreerd, gebruikt u de object-id (principal) om Azure Front Door toegang te verlenen tot uw Azure Key Vault.

      Schermopname van de door het systeem toegewezen beheerde identiteit die is geregistreerd bij Microsoft Entra ID.

    Door de gebruiker toegewezen

    Als u een door de gebruiker toegewezen beheerde identiteit wilt gebruiken, moet u er al een hebben gemaakt. Zie Een door de gebruiker toegewezen beheerde identiteit maken voor instructies over het maken van een nieuwe identiteit.

    1. Selecteer + Toevoegen op het tabblad Toegewezen gebruiker om een door de gebruiker toegewezen beheerde identiteit toe te voegen.

      Schermopname van de door de gebruiker toegewezen configuratiepagina voor beheerde identiteiten.

    2. Zoek en selecteer de door de gebruiker toegewezen beheerde identiteit. Selecteer Vervolgens Toevoegen om het toe te voegen aan het Azure Front Door-profiel.

      Schermopname van de pagina door de gebruiker toegewezen beheerde identiteit toevoegen.

    3. De naam van de geselecteerde door de gebruiker toegewezen beheerde identiteit wordt weergegeven in het Azure Front Door-profiel.

      Schermopname van de door de gebruiker toegewezen beheerde identiteit die is toegevoegd aan het Front Door-profiel.

Key Vault-toegang configureren

U kunt toegang tot Azure Key Vault configureren met behulp van een van de volgende methoden:

Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) versus toegangsbeleid voor meer informatie.

Op rollen gebaseerd toegangsbeheer (RBAC)

  1. Navigeer naar uw Azure Key Vault. Selecteer Toegangsbeheer (IAM) in het menu Instellingen en selecteer vervolgens + Toevoegen en kies Roltoewijzing toevoegen.

    Schermopname van de pagina toegangsbeheer (IAM) voor een Sleutelkluis.

  2. Zoek op de pagina Roltoewijzing toevoegen naar Key Vault Secret User en selecteer deze in de zoekresultaten.

    Schermopname van de pagina Roltoewijzing toevoegen voor een Sleutelkluis.

  3. Ga naar het tabblad Leden, selecteer Beheerde identiteit en selecteer vervolgens + Leden selecteren.

    Schermopname van het tabblad Leden voor de pagina Roltoewijzing toevoegen voor een Sleutelkluis.

  4. Kies de door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit die is gekoppeld aan uw Azure Front Door en selecteer Vervolgens Selecteren.

    Schermopname van de pagina Leden selecteren voor de pagina Roltoewijzing toevoegen voor een Sleutelkluis.

  5. Selecteer Beoordelen en toewijzen om de roltoewijzing te voltooien.

    Schermopname van de controle- en toewijzingspagina voor de pagina roltoewijzing toevoegen voor een Sleutelkluis.

Toegangsbeleid

  1. Navigeer naar uw Azure Key Vault. Selecteer onder Instellingen toegangsbeleid en selecteer vervolgens + Maken.

    Schermopname van de pagina toegangsbeleid voor een Sleutelkluis.

  2. Ga op de pagina Een toegangsbeleid maken naar het tabblad Machtigingen . Selecteer Onder Geheime machtigingen de optie Lijst en Ophalen. Selecteer vervolgens Volgende om door te gaan naar het tabblad Principal.

    Schermopname van het tabblad Machtigingen voor het toegangsbeleid van Key Vault.

  3. Voer op het tabblad Principal de object-id (principal) in voor een door het systeem toegewezen beheerde identiteit of de naam voor een door de gebruiker toegewezen beheerde identiteit. Selecteer vervolgens Controleren en maken. Het tabblad Toepassing wordt overgeslagen omdat Azure Front Door automatisch wordt geselecteerd.

    Schermopname van het principal-tabblad voor het key vault-toegangsbeleid.

  4. Controleer de instellingen voor het toegangsbeleid en selecteer Maken om het toegangsbeleid te voltooien.

    Schermopname van het tabblad Controleren en maken voor het key vault-toegangsbeleid.

Toegang verifiëren

  1. Ga naar het Azure Front Door-profiel waarin u beheerde identiteit hebt ingeschakeld en selecteer Geheimen onder Beveiliging.

    Schermopname van het openen van geheimen onder instellingen van een Front Door-profiel.

  2. Controleer of beheerde identiteit wordt weergegeven onder de kolom Toegangsrol voor het certificaat dat in Front Door wordt gebruikt. Als u beheerde identiteit voor de eerste keer instelt, voegt u een certificaat toe aan Front Door om deze kolom te zien.

    Schermopname van Azure Front Door met behulp van een beheerde identiteit voor toegang tot het certificaat in Key Vault.

Volgende stappen