Konfigurera en hanterad identitet för ett utvecklingscenter
Den här guiden beskriver hur du lägger till och konfigurerar en hanterad identitet för utvecklingscentret för Azure Deployment Environments för att möjliggöra säker distribution för utvecklingsteam.
Azure Deployment Environments använder hanterade identiteter för att ge utvecklingsteam självbetjäningsdistributionsfunktioner utan att ge dem åtkomst till de prenumerationer där Azure-resurser skapas. En hanterad identitet lägger till funktioner för utökade privilegier och säker autentisering till alla tjänster som stöder Microsoft Entra-autentisering.
Den hanterade identitet som är kopplad till ett utvecklingscenter ska tilldelas både rollen Deltagare och rollen Administratör för användaråtkomst i distributionsprenumerationerna för varje miljötyp. När en miljödistribution begärs ger tjänsten lämpliga behörigheter till de distributionsidentiteter som har konfigurerats för den miljötyp som ska distribueras åt användaren. Den hanterade identitet som är kopplad till ett utvecklingscenter används också för att lägga till i en katalog och komma åt miljödefinitioner i katalogen.
Lägga till en hanterad identitet
I Azure Deployment Environments kan du välja mellan två typer av hanterade identiteter:
- Systemtilldelad identitet: En systemtilldelad identitet är kopplad till utvecklingscentret eller till projektmiljötypen. En systemtilldelad identitet tas bort när den anslutna resursen tas bort. Ett utvecklingscenter eller en projektmiljötyp kan bara ha en systemtilldelad identitet.
- Användartilldelad identitet: En användartilldelad identitet är en fristående Azure-resurs som du kan tilldela till utvecklingscentret eller till en projektmiljötyp. För Azure-distributionsmiljöer kan ett utvecklingscenter eller en projektmiljötyp bara ha en användartilldelad identitet.
Om du väljer att använda användartilldelade identiteter bör du använda olika identiteter för projektet och för utvecklingscentret. Projektidentiteter bör ha mer begränsad åtkomst till resurser jämfört med ett utvecklingscenter.
Kommentar
Om du lägger till både en systemtilldelad identitet och en användartilldelad identitet i Azure-distributionsmiljöer används endast den användartilldelade identiteten.
Lägga till en systemtilldelad hanterad identitet
Logga in på Azure Portal och gå till Azure Deployment Environments.
I Dev Centers väljer du ditt utvecklingscenter.
På den vänstra menyn under Inställningar väljer du Identitet.
Under Systemtilldelat anger du Status till På.
Välj Spara.
I dialogrutan Aktivera systemtilldelad hanterad identitet väljer du Ja.
Lägga till en användartilldelad hanterad identitet
Logga in på Azure Portal och gå till Azure Deployment Environments.
I Dev Centers väljer du ditt utvecklingscenter.
På den vänstra menyn under Inställningar väljer du Identitet.
Under Användartilldelad väljer du Lägg till för att bifoga en befintlig identitet.
På Lägg till användartilldelad hanterad identitet anger eller väljer du följande information:
- I Prenumeration väljer du den prenumeration där identiteten finns.
- På Användartilldelade hanterade identiteter väljer du en befintlig identitet.
- Markera Lägga till.
Tilldela en prenumerationsrolltilldelning
Identiteten som är kopplad till utvecklingscentret ska tilldelas rollerna Deltagare och Administratör för användaråtkomst för alla distributionsprenumerationer och rollen Läsare för alla prenumerationer som innehåller det relevanta projektet. När en användare skapar eller distribuerar en miljö ger tjänsten lämplig åtkomst till distributionsidentiteten som är kopplad till projektmiljötypen. Distributionsidentiteten använder åtkomsten för att utföra distributioner åt användaren. Du kan använda den hanterade identiteten för att ge utvecklare möjlighet att skapa miljöer utan att ge dem åtkomst till prenumerationen.
Lägga till en rolltilldelning till en systemtilldelad hanterad identitet
I Azure Portal navigerar du till utvecklingscentret i Azure Deployment Environments.
På den vänstra menyn under Inställningar väljer du Identitet.
Under Systemtilldelade>behörigheter väljer du Azure-rolltilldelningar.
Om du vill ge deltagare åtkomst till prenumerationen väljer du Lägg till rolltilldelning (förhandsversion), anger eller väljer följande information och väljer sedan Spara:
Name Värde Definitionsområde Prenumeration Abonnemang Välj den prenumeration där den hanterade identiteten ska användas. Roll Deltagare Om du vill ge administratören för användaråtkomst åtkomst till prenumerationen väljer du Lägg till rolltilldelning (förhandsversion), anger eller väljer följande information och väljer sedan Spara:
Name Värde Definitionsområde Prenumeration Abonnemang Välj den prenumeration där den hanterade identiteten ska användas. Roll Administratör för användaråtkomst
Lägga till en rolltilldelning till en användartilldelad hanterad identitet
Gå till utvecklingscentret i Azure Portal.
På den vänstra menyn under Inställningar väljer du Identitet.
Under Användartilldelad väljer du identiteten.
Välj Azure-rolltilldelningar på den vänstra menyn.
Om du vill ge deltagare åtkomst till prenumerationen väljer du Lägg till rolltilldelning (förhandsversion), anger eller väljer följande information och väljer sedan Spara:
Name Värde Definitionsområde Prenumeration Abonnemang Välj den prenumeration där den hanterade identiteten ska användas. Roll Deltagare Om du vill ge administratören för användaråtkomst åtkomst till prenumerationen väljer du Lägg till rolltilldelning (förhandsversion), anger eller väljer följande information och väljer sedan Spara:
Name Värde Definitionsområde Prenumeration Abonnemang Välj den prenumeration där den hanterade identiteten ska användas. Roll Administratör för användaråtkomst
Ge den hanterade identiteten åtkomst till nyckelvalvets hemlighet
Du kan konfigurera ditt nyckelvalv så att det använder antingen en åtkomstprincip för nyckelvalvet eller rollbaserad åtkomstkontroll i Azure.
Kommentar
Innan du kan lägga till en lagringsplats som en katalog måste du ge den hanterade identiteten åtkomst till nyckelvalvshemligheten som innehåller lagringsplatsens personliga åtkomsttoken.
Åtkomstprincip för nyckelvalvet
Om nyckelvalvet har konfigurerats för att använda en åtkomstprincip för nyckelvalvet:
I Azure Portal går du till nyckelvalvet som innehåller hemligheten med den personliga åtkomsttoken.
På den vänstra menyn väljer du Åtkomstprinciper och sedan Skapa.
I Skapa en åtkomstprincip anger eller väljer du följande information:
- På fliken Behörigheter, under Hemliga behörigheter, markerar du kryssrutan Hämta och väljer sedan Nästa.
- På fliken Huvudnamn väljer du den identitet som är kopplad till utvecklingscentret.
- Välj Granska + skapa och välj sedan Skapa.
Azure rollbaserad åtkomstkontroll
Om nyckelvalvet har konfigurerats för att använda rollbaserad åtkomstkontroll i Azure:
I Azure Portal går du till nyckelvalvet som innehåller hemligheten med den personliga åtkomsttoken.
Välj Åtkomstkontroll (IAM) på den vänstra menyn.
Välj identiteten och välj Azure-rolltilldelningar på den vänstra menyn.
Välj Lägg till rolltilldelning och ange eller välj sedan följande information:
- För Omfång väljer du nyckelvalvet.
- För Prenumeration väljer du den prenumeration som innehåller nyckelvalvet.
- För Resurs väljer du nyckelvalvet.
- För Roll väljer du Key Vault Secrets User(Nyckelvalvshemlighetsanvändare).
- Välj Spara.