Kluisverificatie met beheerde identiteiten voor Azure-resources

Voltooid

Azure Key Vault gebruikt Microsoft Entra-id om gebruikers en apps te verifiëren die toegang proberen te krijgen tot een kluis. Als u onze web-app toegang wilt verlenen tot de kluis, moet u eerst uw app registreren bij Microsoft Entra ID. Hierdoor wordt een identiteit voor de app aangemaakt. Nadat de app een identiteit heeft, kunt u er kluismachtigingen aan toewijzen.

Apps en gebruikers verifiëren zich bij Key Vault met behulp van een Microsoft Entra-verificatietoken. Voor het ophalen van een token van Microsoft Entra-id is een geheim of certificaat vereist. Iedereen met een token kan de app-identiteit gebruiken om toegang te krijgen tot alle geheimen in de kluis.

Uw app-geheimen zijn beveiligd in de kluis, maar u moet nog steeds een geheim of certificaat buiten de kluis bewaren om er toegang toe te krijgen. Dit probleem wordt het bootstrapping-probleem genoemd en Azure heeft er een oplossing voor.

Beheerde identiteiten voor Azure-resources

Beheerde identiteiten voor Azure-resources is een Azure-functie die uw app kan gebruiken voor toegang tot Key Vault en andere Azure-services zonder dat u één geheim buiten de kluis hoeft te beheren. Het gebruik van een beheerde identiteit is een eenvoudige en veilige manier om Key Vault in te zetten voor uw web-app.

Wanneer u beheerde identiteit inschakelt in uw web-app, activeert Azure een afzonderlijke rest-service voor tokens die specifiek voor uw app moet worden gebruikt. Uw app vraagt tokens aan bij deze service in plaats van rechtstreeks vanuit Microsoft Entra-id. Uw app moet een geheim gebruiken om toegang te krijgen tot deze service. Dit geheim wordt door App Service aan de omgevingsvariabelen van uw app toegevoegd wanneer de app wordt opgestart. Deze geheime waarde hoeft u niet op te slaan of te beheren, want dit geheim of het service-eindpunt voor het token van een beheerde identiteit is uitsluitend toegankelijk voor uw app.

Beheerde identiteiten voor Azure-resources registreren ook uw app in Microsoft Entra ID voor u. Microsoft Entra ID verwijdert de registratie als u de web-app verwijdert of de beheerde identiteit uitschakelt.

Beheerde identiteiten zijn beschikbaar in alle edities van Microsoft Entra ID, inclusief de gratis editie die is opgenomen in een Azure-abonnement. Het gebruik ervan in App Service heeft geen extra kosten en vereist geen configuratie en u kunt deze op elk gewenst moment in- of uitschakelen voor een app.

Voor het inschakelen van een beheerde identiteit voor een web-app is slechts één Azure CLI-opdracht nodig waarvoor geen configuratie is vereist. U doet dit later wanneer u een App Service-app instelt en implementeert in Azure. Pas hiervoor echter uw kennis van beheerde identiteiten toe om de code voor onze app te schrijven.

Kennis testen

1.

Hoe verandert het gebruik van beheerde identiteiten voor Azure-resources de manier waarop via een app verificatie bij Azure Key Vault wordt uitgevoerd?

De app maakt gebruik van een certificaat voor verificatie in plaats van een geheim.

Elke gebruiker van de app moet een wachtwoord invoeren.

De app haalt tokens op van een tokenservice in plaats van Microsoft Entra-id.

Beheerde identiteiten worden automatisch herkend en geverifieerd in Azure Key Vault.

2.

Welke van deze uitspraken beschrijft een belangrijk voordeel van het gebruik van beheerde identiteiten voor Azure-resources om een app te verifiëren bij Key Vault?

Het gebruik van beheerde identiteiten verbetert de prestaties van de toepassing.

Het gebruik van beheerde identiteiten neemt de noodzaak weg om geheimen af te handelen tijdens de configuratie.

Beheerde identiteiten kunnen automatisch machtigingen voor Azure Key Vault toewijzen.

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.