Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Appar kan använda Azure Identity-biblioteket för att autentisera till Microsoft Entra ID, vilket gör att apparna kan komma åt Azure tjänster och resurser. Det här autentiseringskravet gäller om appen distribueras till Azure, finns lokalt eller körs lokalt på en arbetsstation för utvecklare. I de kommande avsnitten beskrivs de rekommenderade metoderna för att autentisera en app mot Microsoft Entra ID i olika miljöer när du använder Azure SDK-klientbibliotek.
Rekommenderad metod för appautentisering
Tokenbaserad autentisering via Microsoft Entra ID är den rekommenderade metoden för att autentisera appar till Azure, i stället för att använda anslutningssträngar eller nyckelbaserade alternativ. I Azure Identity Library finns klasser som stöder tokenbaserad autentisering och låter appar autentiseras för att Azure resurser oavsett om appen körs lokalt, på Azure eller på en lokal server.
Fördelar med tokenbaserad autentisering
Tokenbaserad autentisering ger följande fördelar jämfört med anslutningssträngar:
- Tokenbaserad autentisering säkerställer att endast de specifika appar som är avsedda att komma åt den Azure resursen kan göra det, medan alla eller appar med en connection string kan ansluta till en Azure resurs.
- Med tokenbaserad autentisering kan du ytterligare begränsa Azure resursåtkomst till endast de specifika behörigheter som krävs av appen. Detta följer -principen om lägsta behörighet. Däremot ger en connection string fullständiga rättigheter till den Azure resursen.
- När du använder en hanterad identitet för tokenbaserad autentisering, hanterar Azure administrativa funktioner åt dig, så du behöver inte bekymra dig om uppgifter som att skydda eller rotera hemligheter. Detta gör appen säkrare eftersom det inte finns någon connection string eller programhemlighet som kan komprometteras.
- Det Azure identitetsbiblioteket hämtar och hanterar Microsoft Entra token åt dig.
Användning av anslutningssträngar bör begränsas till scenarier där tokenbaserad autentisering inte är ett alternativ, initiala konceptbevisappar eller utvecklingsprototyper som inte har åtkomst till produktionsdata eller känsliga data. Använd när det är möjligt de tokenbaserade autentiseringsklasserna som är tillgängliga i Azure Identity-biblioteket för att autentisera till Azure resurser.
Autentisering i olika miljöer
Den specifika typen av tokenbaserad autentisering som en app ska använda för att autentisera för att Azure resurser beror på var appen körs. Följande diagram innehåller vägledning för olika scenarier och miljöer:
När en app är:
- Hosted på Azure: Appen bör autentiseras mot Azure-resurserna med hjälp av en hanterad identitet. Det här alternativet beskrivs mer detaljerat vid autentisering i servermiljöer.
- Kör lokalt under utveckling: Appen kan autentiseras mot Azure med hjälp av ett developer-konto, en mäklare eller ett tjänstehuvudman. Varje alternativ diskuteras mer detaljerat under autentisering under lokal utveckling.
- Hosted on-premises: Appen bör autentisera sig mot Azure-resurser med en programtjänstens huvudprincip eller en hanterad identitet vid användning av Azure Arc. Lokala arbetsflöden beskrivs mer i detalj på Autentisering för appar som finns på plats.
Autentisering för Azure värdbaserade appar
När appen finns på Azure kan den använda hanterade identiteter för att autentisera för att Azure resurser utan att behöva hantera några autentiseringsuppgifter. Det finns två typer av hanterade identiteter: användartilldelade och systemtilldelade.
Använda en användartilldelad hanterad identitet
En användartilldelad hanterad identitet skapas som en fristående Azure resurs. Den kan tilldelas till en eller flera Azure resurser, så att dessa resurser kan dela samma identitet och behörigheter. Om du vill autentisera med hjälp av en användartilldelad hanterad identitet skapar du identiteten, tilldelar den till din Azure resurs och konfigurerar sedan din app så att den använder den här identiteten för autentisering genom att ange dess klient-ID, resurs-ID eller objekt-ID.
Använda en systemtilldelad hanterad identitet
En systemtilldelad hanterad identitet aktiveras direkt på en Azure resurs. Identiteten är kopplad till resursens livscykel och tas bort automatiskt när resursen tas bort. Om du vill autentisera med en systemtilldelad hanterad identitet aktiverar du identiteten på din Azure resurs och konfigurerar sedan appen så att den använder den här identiteten för autentisering.
Autentisering under lokal utveckling
Under lokal utveckling kan du autentisera mot Azure-resurser med dina utvecklarkontouppgifter eller en tjänstprincip. På så sätt kan du testa appens autentiseringslogik utan att distribuera den till Azure.
Använda autentiseringsuppgifter för utvecklare
Du kan använda dina egna Azure-autentiseringsuppgifter för att autentisera mot Azure-resurser vid lokal utveckling. Detta görs vanligtvis med hjälp av ett utvecklingsverktyg, till exempel Azure CLI eller Visual Studio Code, som kan ge din app de token som krävs för att få åtkomst till Azure tjänster. Den här metoden är praktisk men bör endast användas i utvecklingssyfte.
Använd en mäklare
Mäklad autentisering samlar in användarens autentiseringsuppgifter med hjälp av systemautentiseringsmäklaren för att autentisera en app. En systemautentiseringskoordinator körs på en användares dator och hanterar handskakningar för autentisering och tokenunderhåll för alla anslutna konton.
Använda tjänstens huvudnamn
En tjänsteprincip skapas i en Microsoft Entra-klientorganisation som representerar en app och används för att autentisera mot Azure-resurser. Du kan konfigurera din app så att den använder autentiseringsuppgifter för tjänstens huvudnamn under den lokala utvecklingen. Den här metoden är säkrare än att använda autentiseringsuppgifter för utvecklare och är närmare hur din app ska autentiseras i produktion. Det är dock fortfarande mindre idealiskt än att använda en hanterad identitet på grund av behovet av hemligheter.
Autentisering för appar som finns lokalt
För appar som finns lokalt kan du använda ett tjänstehuvudnamn för att autentisera mot Azure-resurser. Det innebär att skapa ett huvudnamn för tjänsten i Microsoft Entra ID, tilldela den nödvändiga behörigheter och konfigurera appen att använda sina autentiseringsuppgifter. Med den här metoden kan din lokala app på ett säkert sätt komma åt Azure tjänster.