Udostępnij przez

Używanie tożsamości zarządzanych do uwierzytelniania w źródłach (wersja zapoznawcza)

Dotyczy: ✔️ Front Door Standard ✔️ Front Door Premium

Tożsamości zarządzane udostępniane przez Microsoft Entra ID umożliwiają instancji Azure Front Door Standard/Premium bezpieczny dostęp do innych chronionych zasobów Microsoft, takich jak usługa Azure Blob Storage, bez konieczności zarządzania poświadczeniami. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

Po włączeniu tożsamości zarządzanej dla usługi Azure Front Door i udzieleniu jej niezbędnych uprawnień do źródła, Front Door użyje tej tożsamości zarządzanej do uzyskania tokenu dostępu z Microsoft Entra ID w celu dostępu do określonego zasobu. Po pomyślnym uzyskaniu tokenu usługa Front Door ustawi wartość tokenu w nagłówku Autoryzacja przy użyciu schematu Bearer, a następnie przekaże żądanie do serwera źródłowego. Usługa Front Door buforuje token do momentu jego wygaśnięcia.

Note

Ta funkcja nie jest obecnie obsługiwana w przypadku źródeł z włączoną usługą Private Link w usłudze Front Door.

Usługa Azure Front Door obsługuje dwa typy tożsamości zarządzanych:

  • Tożsamość przypisana przez system: ta tożsamość jest powiązana z usługą i jest usuwana, jeśli usługa zostanie usunięta. Każda usługa może mieć tylko jedną tożsamość przypisaną przez system.
  • Tożsamość przypisana przez użytkownika: jest to autonomiczny zasób platformy Azure, który można przypisać do usługi. Każda usługa może mieć wiele tożsamości przypisanych przez użytkownika.

Tożsamości zarządzane są specyficzne dla dzierżawy Microsoft Entra, w obrębie której jest hostowana twoja subskrypcja Azure. Jeśli subskrypcja zostanie przeniesiona do innego katalogu, musisz ponownie utworzyć i ponownie skonfigurować tożsamość.

Prerequisites

Włącz tożsamość zarządzaną

  1. Przejdź do istniejącego profilu usługi Azure Front Door. Wybierz pozycję Tożsamość w obszarze Zabezpieczenia w menu po lewej stronie.

  2. Wybierz tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika .

    Przypisane przez system

    1. Przełącz pozycję Stan na Wł. , a następnie wybierz pozycję Zapisz.

      Zrzut ekranu przedstawiający stronę konfiguracji tożsamości zarządzanej przypisanej przez system.

    2. Potwierdź utworzenie identyfikatora zarządzanego przez system dla profilu Front Door, wybierając opcję Tak po pojawieniu się odpowiedniego komunikatu.

    Przypisany użytkownik

    Aby użyć tożsamości zarządzanej przypisanej przez użytkownika, musisz mieć już utworzoną. Aby uzyskać instrukcje dotyczące tworzenia nowej tożsamości, zobacz tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

    1. Na karcie Przypisano użytkownika wybierz pozycję + Dodaj, aby dodać przypisaną przez użytkownika tożsamość zarządzaną.

    2. Wyszukaj i wybierz tożsamość zarządzaną przypisaną przez użytkownika. Następnie wybierz pozycję Dodaj , aby dołączyć go do profilu usługi Azure Front Door.

    3. Nazwa wybranej tożsamości zarządzanej przypisanej przez użytkownika jest wyświetlana w profilu usługi Azure Front Door.

      Zrzut ekranu przedstawiający tożsamość zarządzaną przypisaną przez użytkownika dodaną do profilu usługi Front Door.

Kojarzenie tożsamości z grupą pochodzenia

Note

Skojarzenie będzie działać tylko wtedy, gdy

  • grupa źródeł nie zawiera żadnych źródeł z włączonym łączem prywatnym.
  • Protokół sondy monitorowania zdrowia jest ustawiony na wartość "HTTPS" w ustawieniach grupy źródłowej.
  • protokół przekazywania jest ustawiony na wartość "Tylko protokół HTTPS" w obszarze ustawienia trasy.
  • protokół przekazywania jest ustawiony na wartość "Tylko protokół HTTPS", jeśli używasz akcji "Przesłoń konfigurację trasy" w zestawach reguł.

Ostrzeżenie

Od tego momentu, jeśli korzystasz z uwierzytelniania źródła między usługą Front Door a magazynem, sekwencja kroków włączania uwierzytelniania źródła jest bardzo ważna i może powodować problemy, jeśli nie zostanie zachowana odpowiednia sekwencja.

  • Jeśli używasz konta magazynu z włączonym publicznym dostępem anonimowym, wykonaj poniższe kroki w dokładnej kolejności — "Kojarzenie tożsamości z grupą źródłową", a następnie "Zapewnianie dostępu do zasobu źródłowego". Po zakończeniu wszystkich kroków można wyłączyć publiczny anonimowy dostęp, aby pozwolić na dostęp do konta magazynowego tylko z usługi Front Door.
  • Jeśli używasz konta magazynowego z wyłączonym publicznym dostępem anonimowym, musisz postępować zgodnie z inną sekwencją. Najpierw wykonaj kroki "Zapewnianie dostępu do zasobu źródłowego", a następnie pozycję "Kojarzenie tożsamości z grupą źródłową". Rozpocznij wysyłanie ruchu za pośrednictwem usługi Front Door do konta magazynu dopiero po wykonaniu wszystkich kroków w wyżej wymienionej sekwencji.

  1. Przejdź do istniejącego profilu usługi Azure Front Door i grup otwartych źródeł.

  2. Wybierz istniejącą grupę źródeł, która ma już skonfigurowane źródła.

  3. Przewiń w dół do sekcji Uwierzytelnianie .

  4. Włącz uwierzytelnianie źródła.

  5. Wybierz między tożsamością zarządzaną przypisaną przez system lub przypisaną przez użytkownika.

  6. Wprowadź prawidłowy zakres w polu Zakres .

  7. Kliknij pozycję Aktualizuj.

    Zrzut ekranu przedstawiający kojarzenie tożsamości z grupą pochodzenia.

Zapewnianie dostępu do zasobu źródła

  1. Przejdź do strony zarządzania swoim zasobem źródłowym. Jeśli na przykład źródłem jest usługa Azure Blob Storage, przejdź do strony zarządzania kontem magazynu.

Note

Przy dalszych czynnościach przyjęto, że Twoje źródło danych to Azure Blob Storage. Jeśli używasz innego typu zasobu, pamiętaj, aby wybrać odpowiednią rolę funkcji zadania podczas przypisywania roli. W przeciwnym razie kroki pozostają takie same w przypadku większości typów zasobów.

  1. Przejdź do sekcji Kontrola dostępu (zarządzanie dostępem i tożsamościami) i kliknij pozycję Dodaj. Wybierz pozycję Dodaj przypisanie roli z menu rozwijanego. Zrzut ekranu przedstawiający ustawienia kontroli dostępu.
  2. Na karcie Role funkcji zadania w sekcji Role wybierz z listy odpowiednią rolę (na przykład Odczyt danych obiektów blob Storage), a następnie kliknij Dalej. Zrzut ekranu przedstawiający kartę Role w obszarze Dodawanie przypisania roli.

Ważne

W przypadku udzielania dowolnej tożsamości, w tym tożsamości zarządzanej, uprawnień dostępu do usług, zawsze udzielaj najmniejszych uprawnień wymaganych do wykonania żądanych akcji. Jeśli na przykład tożsamość zarządzana jest używana do odczytywania danych z konta magazynowego, nie ma potrzeby nadawać tej tożsamości uprawnień do zapisywania danych na tym koncie. Przyznanie dodatkowych uprawnień, na przykład uczynienie z tożsamości zarządzanej współtwórcy konta magazynu, gdy nie jest to konieczne, może sprawić, że żądania przychodzące za pośrednictwem usługi AFD będą w stanie wykonywać operacje zapisu i usuwania.

  1. Na karcie Członkowie w obszarze Przypisz dostęp do wybierz pozycję Tożsamość zarządzana , a następnie kliknij pozycję Wybierz członków. Zrzut ekranu przedstawiający kartę Członkowie w obszarze Dodawanie przypisania roli.
  2. Zostanie otwarte okno Wybieranie tożsamości zarządzanych . Wybierz subskrypcję, w której znajduje się usługa Front Door, a następnie na liście rozwijanej Tożsamość zarządzana wybierz pozycję Profile usługi Front Door i CDN. Na liście rozwijanej Wybierz wybierz tożsamość zarządzaną utworzoną dla usługi Front Door. Kliknij przycisk Wybierz w dolnej części strony.
  3. Wybierz pozycję Przejrzyj i przypisz, a następnie wybierz pozycję Przejrzyj i przypisz ponownie po zakończeniu walidacji.

Porady dotyczące korzystania z uwierzytelniania źródła

  • Jeśli występują błędy podczas konfiguracji grupy pochodzenia,
    • Upewnij się, że protokół sondy kondycji jest ustawiony na HTTPS.
    • Upewnij się, że protokół przesyłania dalej w ustawieniach trasy i/lub ustawieniach nadpisania konfiguracji trasy w zestawach reguł został ustawiony na "Tylko HTTPS".
    • Upewnij się, że w grupie źródeł żadne źródło nie ma włączonego łącza prywatnego.
  • Jeśli widzisz komunikat "Odmowa dostępu; odpowiedzi z serwera źródłowego", sprawdź, czy tożsamość zarządzana ma przypisaną odpowiednią rolę do uzyskania dostępu do zasobu źródłowego.
  • Przejście z tokenów SAS dla magazynu: w przypadku przejścia z tokenów SAS do tożsamości zarządzanych postępuj zgodnie z podejściem krokowym, aby uniknąć przestojów. Włącz tożsamość zarządzaną, skojarz ją z źródłem, a następnie zatrzymaj korzystanie z tokenów SAS.
  • Po włączeniu uwierzytelniania pochodzenia w ustawieniach grupy pochodzenia nie należy bezpośrednio wyłączać ani bezpośrednio usuwać tożsamości z ustawień tożsamości w portalu Front Door ani bezpośrednio usuwać tożsamości zarządzanej przypisanej przez użytkownika w portalu tożsamości zarządzanej. Spowoduje to natychmiastowe niepowodzenie uwierzytelniania źródła. Zamiast tego, jeśli chcesz przestać korzystać z funkcji uwierzytelniania źródła lub chcesz usunąć/wyłączyć tożsamości, najpierw wyłącz ograniczenia dostępu w sekcji Kontrola dostępu (IAM) zasobu źródła, aby źródło było dostępne bez konieczności korzystania z tożsamości zarządzanej lub tokenu identyfikatora entra. Następnie wyłącz uwierzytelnianie źródła w obszarze Ustawienia grupy źródeł usługi Front Door. Poczekaj chwilę na zaktualizowanie konfiguracji, a następnie usuń/wyłącz tożsamość, jeśli jest to wymagane.
  • Jeśli klienci już wysyłają własne tokeny w nagłówku autoryzacji, usługa AFD zastąpi wartość tokenu tokenem uwierzytelniania źródła. Jeśli chcesz, aby AFD wysyłało token klienta do serwera źródłowego, możesz skonfigurować regułę AFD przy użyciu zmiennej serwera {http_req_header_Authorization}, aby wysłać token w osobnym nagłówku. Zrzut ekranu przedstawiający regułę wysyłania tokenu klienta do źródła za pośrednictwem innego nagłówka.
  • Zaleca się używanie różnych tożsamości zarządzanych do uwierzytelniania źródła oraz do uwierzytelniania AFD w Azure Key Vault.
  • Aby uzyskać najlepsze rozwiązania dotyczące korzystania z tożsamości zarządzanych, zapoznaj się z zaleceniami dotyczącymi najlepszych rozwiązań dotyczących tożsamości zarządzanych.
  • Aby uzyskać najlepsze rozwiązania dotyczące przypisywania roli RBAC dla konta usługi Azure Storage, zobacz Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych obiektów blob
  • Last updated on