Azure Container Apps 中的身分識別管理 - 登陸區域加速器

若要保護您的應用程式，您可以透過身分識別提供者啟用驗證和授權，例如 Microsoft Entra ID 或 Microsoft Entra 外部 ID（預覽版）。

請考慮使用 受控識別 ，而不是服務主體來連線到容器應用程式中的其他資源。 最好使用受控識別，因為它會否定管理認證的需求。 您可以使用 系統指派或使用者指派的受控識別 。 系統指派的受控識別提供與連結的 Azure 資源分享生命週期的優點，例如容器應用程式。 相反地，使用者指派的受控識別是可跨多個資源重複使用的獨立 Azure 資源，可提升身分識別管理的更有效率且集中式的方法。

建議

• 如果需要驗證，請使用 Azure Entra ID 或 Azure Entra ID B2C 作為識別提供者。

• 針對應用程式環境使用不同的應用程式註冊。 例如，為開發與測試與生產環境建立不同的註冊。

• 除非有強式需求使用系統指派的受控識別，否則請使用使用者指派的受控識別。 登陸區域加速器實作會基於下列原因使用使用者指派的受控識別：

  • 可重複使用性：因為您可以將身分識別與指派的 Azure 資源分開建立和管理，這可讓您跨多個資源重複使用相同的受控識別，從而提升身分識別管理的更有效率且集中的方法。
  • 身分識別生命週期管理：您可以獨立建立、刪除及管理使用者指派的受控識別，讓您更輕鬆地管理與身分識別相關的工作，而不會影響 Azure 資源。
  • 授與許可權：您可以透過使用者指派的受控識別來授與許可權有更大的彈性。 您可以視需要將這些身分識別指派給特定資源或服務，讓您更輕鬆地控制各種資源和服務的存取權。

• 使用 Azure 內建角色 ，將最低許可權許可權指派給資源和使用者。

• 請確定對生產環境的存取受到限制。 在理想情況下，沒有人能夠持續存取生產環境，而是依賴自動化來處理部署和 Privileged Identity Management 以進行緊急存取。

• 在個別的 Azure 訂用帳戶中建立生產環境和非生產環境，以劃定其安全性界限。