Freigeben über

Verwenden verwalteter Identitäten zum Authentifizieren bei Ursprüngen (Vorschau)

Gilt für: ✔️ Front Door Standard ✔️ Front Door Premium

Verwaltete Identitäten, die von Microsoft Entra ID bereitgestellt werden, ermöglichen Ihrer Azure Front Door Standard/Premium-Instanz den sicheren Zugriff auf andere von Microsoft Entra geschützte Ressourcen, z. B. Azure Blob Storage, ohne dass Anmeldeinformationen verwaltet werden müssen. Weitere Informationen finden Sie im unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

Nachdem Sie die verwaltete Identität für Azure Front Door aktiviert und der verwalteten Identität die erforderlichen Berechtigungen für Ihren Ursprung erteilt haben, verwendet Front Door die verwaltete Identität, um ein Zugriffstoken von Microsoft Entra ID für den Zugriff auf die angegebene Ressource abzurufen. Nach dem erfolgreichen Abrufen des Tokens legt Front Door den Wert des Tokens im Autorisierungsheader mithilfe des Bearer-Schemas fest und leitet dann die Anforderung an den Ursprung weiter. Front Door zwischenspeichert das Token, bis es abläuft.

Note

Dieses Feature wird derzeit für Ursprünge mit aktivierter privatem Link in Front Door nicht unterstützt.

Azure Front Door unterstützt zwei Arten von verwalteten Identitäten:

  • Vom System zugewiesene Identität: Diese Identität ist an Ihren Dienst gebunden und wird gelöscht, wenn der Dienst gelöscht wird. Jeder Dienst kann nur über eine systemseitig zugewiesene Identität verfügen.
  • Vom Benutzer zugewiesene Identität: Dies ist eine eigenständige Azure-Ressource, die Ihrem Dienst zugewiesen werden kann. Jeder Dienst kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

Verwaltete Identitäten sind spezifisch für den Microsoft Entra-Mandanten, in dem Ihr Azure-Abonnement gehostet wird. Wenn ein Abonnement in ein anderes Verzeichnis verschoben wird, müssen Sie die Identität neu erstellen und konfigurieren.

Prerequisites

Aktivieren einer verwalteten Identität

  1. Navigieren Sie zu Ihrem vorhandenen Azure Front Door-Profil. Wählen Sie im linken Menü unter "Sicherheit" die Option "Identität" aus.

  2. Wählen Sie entweder eine vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identität aus.

    • System zugewiesen – Eine verwaltete Identität, die an den Azure Front Door-Profillebenszyklus gebunden ist.

    • Benutzer zugewiesen – Eine eigenständige verwaltete Identitätsressource mit eigenem Lebenszyklus.

    Vom System zugewiesen

    1. Schalten Sie den Status auf "Ein" , und wählen Sie " Speichern" aus.

      Screenshot: Konfigurationsseite für die systemseitig zugewiesene verwaltete Identität.

    2. Bestätigen Sie die Erstellung einer vom System verwalteten Identität für Ihr Front Door-Profil, indem Sie " Ja " auswählen, wenn Sie dazu aufgefordert werden.

    Vom Benutzer zugewiesen

    Um eine benutzerseitig zugewiesene verwaltete Identität zu verwenden, müssen Sie bereits eine erstellt haben. Anweisungen zum Erstellen einer neuen Identität finden Sie unter Erstellen einer benutzerseitig zugewiesenen verwalteten Identität.

    1. Wählen Sie auf der Registerkarte "Benutzer zugewiesen " +Hinzufügen aus, um eine vom Benutzer zugewiesene verwaltete Identität hinzuzufügen.

    2. Suchen Sie die benutzerseitig zugewiesene verwaltete Identität, und wählen Sie sie aus. Wählen Sie dann "Hinzufügen" aus, um es an das Azure Front Door-Profil anzufügen.

    3. Der Name der ausgewählten benutzerseitig zugewiesenen verwalteten Identität wird im Azure Front Door-Profil angezeigt.

      Screenshot: Dem Front Door-Profil hinzugefügte benutzerseitig zugewiesene verwaltete Identität

Zuordnen der Identität zu einer Ursprungsgruppe

Note

Die Zuordnung funktioniert nur, wenn

  • Die Ursprungsgruppe enthält keine Ursprünge mit aktivierter privater Verbindung.
  • Das Integritätstestprotokoll wird unter den Einstellungen der Ursprungsgruppe auf „HTTPS“ festgelegt.
  • Das Weiterleitungsprotokoll wird unter den Routeneinstellungen auf "HTTPS Only" festgelegt.
  • Das Weiterleitungsprotokoll ist auf "HTTPS Only" festgelegt, falls Sie eine Aktion "Routingkonfiguration außer Kraft setzen" in Regelsätzen verwenden.

Warnung

Ab hier sind, wenn Sie die Ursprungsauthentifizierung zwischen Front Door und Storage verwenden, die Abfolge der Schritte zum Aktivieren der Ursprungsauthentifizierung sehr wichtig und verursachen Probleme, wenn die entsprechende Sequenz nicht befolgt wird.

  • Wenn Sie ein Speicherkonto mit aktiviertem öffentlichen anonymen Zugriff verwenden, führen Sie die folgenden Schritte in der genauen Reihenfolge aus: "Zuordnen der Identität zu einer Ursprungsgruppe" gefolgt von "Bereitstellen des Zugriffs an der Ursprungsressource". Sobald alle Schritte abgeschlossen sind, können Sie den öffentlichen anonymen Zugriff deaktivieren, um nur den Zugriff auf Ihr Speicherkonto von Front Door aus zuzulassen.
  • Wenn Sie ein Speicherkonto mit deaktiviertem öffentlichen anonymen Zugriff verwenden, müssen Sie einer anderen Reihenfolge folgen. Führen Sie zunächst die Schritte für "Bereitstellen des Zugriffs an der Ursprungsressource" gefolgt von "Zuordnen der Identität zu einer Ursprungsgruppe" aus. Beginnen Sie mit dem Senden des Datenverkehrs über Front Door an das Speicherkonto erst nach Abschluss aller Schritte in der oben genannten Sequenz.

  1. Navigieren Sie zu Ihrem vorhandenen Azure Front Door-Profil und öffnen Sie Ursprungsgruppen.

  2. Wählen Sie eine vorhandene Ursprungsgruppe aus, für die bereits Ursprünge konfiguriert sind.

  3. Scrollen Sie nach unten zum Abschnitt "Authentifizierung ".

  4. Aktivieren Sie die Origin-Authentifizierung.

  5. Wählen Sie zwischen der vom System zugewiesenen oder der vom Benutzer zugewiesenen verwalteten Identität aus.

  6. Geben Sie den richtigen Bereich im Scope-Feld ein.

  7. Klicken Sie auf Aktualisieren.

    Screenshot der Zuordnung der Identität zu einer Ursprungsgruppe.

Bereitstellen des Zugriffs auf die Ursprungsressource

  1. Navigieren Sie zur Verwaltungsseite Ihrer Ursprungsressource. Wenn der Ursprung beispielsweise ein Azure Blob Storage ist, wechseln Sie zu dieser Verwaltungsseite des Speicherkontos.

Note

Bei den nächsten Schritten wird davon ausgegangen, dass Ihr Ursprung ein Azure Blob Storage ist. Wenn Sie einen anderen Ressourcentyp verwenden, stellen Sie sicher, dass Sie während der Rollenzuweisung die entsprechende Rollenfunktionsrolle auswählen. Andernfalls bleiben die Schritte für die meisten Ressourcentypen gleich.

  1. Wechseln Sie zum Abschnitt Access Control (IAM), und klicken Sie auf "Hinzufügen". Wählen Sie im Dropdownmenü " Rollenzuweisung hinzufügen " aus. Screenshot der Einstellungen für die Zugriffssteuerung.
  2. Wählen Sie auf der Registerkarte "Rollen" unter "Aufgabenrollen" eine entsprechende Rolle (z. B. "Storage Blob Data Reader") aus der Liste aus, und klicken Sie dann auf "Weiter". Screenshot der Registerkarte

Von Bedeutung

Wenn Sie Identitäten, einschließlich einer verwalteten Identität, Berechtigungen für den Zugriff auf Dienste gewähren, gewähren Sie immer die geringstmöglichen Berechtigungen, die erforderlich sind, um die gewünschten Aktionen auszuführen. Wenn beispielsweise eine verwaltete Identität zum Lesen von Daten aus einem Speicherkonto verwendet wird, müssen diese Identitätsberechtigungen nicht auch Daten in das Speicherkonto schreiben. Wenn Sie zusätzliche Berechtigungen erteilen, indem Sie beispielsweise die verwaltete Identität zu einem Mitwirkenden eines Speicherkontos machen, obwohl dies nicht erforderlich ist, können über AFD Anfragen gesendet werden, die in der Lage sind, Schreib- und Löschvorgänge auszuführen.

  1. Wählen Sie auf der Registerkarte " Mitglieder " unter " Zugriff zuweisen" die Option "Verwaltete Identität " aus, und klicken Sie dann auf " Mitglieder auswählen". Screenshot der Registerkarte
  2. Das Fenster "Verwaltete Identitäten auswählen " wird geöffnet. Wählen Sie das Abonnement aus, in dem sich Ihre Front Door befindet, und wählen Sie im Dropdown-Menü Verwaltete Identität, dann Front Door und CDN-Profile. Wählen Sie im Dropdown-Menü "Auswählen" die verwaltete Identität aus, die für Ihre Front Door erstellt wurde. Klicken Sie unten auf die Schaltfläche "Auswählen ".
  3. Wählen Sie „Überprüfen und Zuweisen“ aus, und wählen Sie dann „Überprüfen und Zuweisen“ erneut aus, nachdem die Validierung abgeschlossen ist.

Tipps bei der Verwendung der Ursprungsauthentifizierung

  • Wenn während der Ursprungsgruppenkonfiguration Fehler auftreten,
    • Stellen Sie sicher, dass das Integritätssondenprotokoll auf HTTPS festgelegt ist.
    • Stellen Sie sicher, dass das Weiterleitungsprotokoll innerhalb von Routeneinstellungen und/oder Routingkonfigurationsüberschreibungseinstellungen (in Regelsätzen) auf "HTTPS Only" festgelegt ist.
    • Stellen Sie sicher, dass innerhalb der Ursprungsgruppe keine Quellen mit aktivierten privaten Links vorhanden sind.
  • Wenn 'Zugriff verweigert' angezeigt wird, überprüfen Sie die Antworten vom Ursprungsserver und vergewissern Sie sich, dass der verwalteten Identität die entsprechende Rolle für den Zugriff auf die Ursprungsressource zugewiesen wurde.
  • Übergang von SAS-Token für Speicher: Wenn Sie von SAS-Token zu verwalteten Identitäten wechseln, befolgen Sie einen schrittweisen Ansatz, um Ausfallzeiten zu vermeiden. Aktivieren Sie verwaltete Identität, ordnen Sie sie dem Ursprung zu, und beenden Sie dann die Verwendung von SAS-Token.
  • Nachdem Sie die Ursprungsauthentifizierung in den Ursprungsgruppeneinstellungen aktiviert haben, sollten Sie die Identitäten nicht direkt aus den Identitätseinstellungen im Front Door-Portal deaktivieren/löschen oder die vom Benutzer zugewiesene verwaltete Identität im Portal für verwaltete Identitäten direkt löschen. Dies führt dazu, dass die Ursprungsauthentifizierung sofort fehlschlägt. Wenn Sie die Verwendung des Ursprungsauthentifizierungsfeatures beenden oder die Identitäten löschen/deaktivieren möchten, deaktivieren Sie zuerst die Zugriffsbeschränkungen im Abschnitt "Zugriffssteuerung (IAM)" der Ursprungsressource, damit der Ursprung ohne die Notwendigkeit eines verwalteten Identitäts- oder Entra-ID-Tokens zugänglich ist. Deaktivieren Sie dann die Ursprungsauthentifizierung unter den Einstellungen der Front Door-Ursprungsgruppe. Warten Sie einige Zeit, bis die Konfiguration aktualisiert wird, und löschen/deaktivieren Sie die Identität bei Bedarf.
  • Wenn Ihre Clients bereits eigene Token unter dem Authorization-Header senden, wird der Tokenwert durch AFD mit dem Ursprungsauthentifizierungstoken überschrieben. Wenn AFD das Clienttoken an den Ursprung senden soll, können Sie eine AFD-Regel mithilfe der Servervariable {http_req_header_Authorization} konfigurieren, um das Token unter einem separaten Header zu senden. Screenshot der Regel zum Senden des Clienttokens an den Ursprung über einen anderen Header.
  • Es wird empfohlen, für die Ursprungsauthentifizierung und die Azure Key Vault-Authentifizierung von AFD unterschiedliche verwaltete Identitäten zu verwenden.
  • Bewährte Methoden bei der Verwendung von verwalteten Identitäten finden Sie in den Empfehlungen für bewährte Methoden für verwaltete Identitäten.
  • Bewährte Methoden beim Zuweisen der RBAC-Rolle für das Azure-Speicherkonto finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten
  • Last updated on