مشاركة عبر

استخدام الهويات المدارة للوصول إلى شهادات Azure Key Vault

  • مقالة

تمكن الهويات المدارة التي يوفرها معرف Microsoft Entra مثيل Azure Front Door من الوصول بأمان إلى موارد Microsoft Entra المحمية الأخرى، مثل Azure Key Vault، دون الحاجة إلى إدارة بيانات الاعتماد. لمزيد من المعلومات، راجع ما الهويات المدارة لموارد Azure؟.

إشعار

يقتصر دعم الهوية المدارة في Azure Front Door على الوصول إلى Azure Key Vault. لا يمكن استخدامه للمصادقة من Front Door إلى أصول مثل Blob Storage أو Web Apps.

بعد تمكين الهوية المدارة ل Azure Front Door ومنح الأذونات اللازمة ل Azure Key Vault، سيستخدم Front Door الهوية المدارة للوصول إلى الشهادات. بدون هذه الأذونات، تفشل عملية التشغيل التلقائي للشهادة المخصصة وإضافة شهادات جديدة. إذا تم تعطيل الهوية المدارة، فسيعود Azure Front Door إلى استخدام تطبيق Microsoft Entra الأصلي المكون، والذي لا يوصى به وسيتم إهماله في المستقبل.

يدعم Azure Front Door نوعين من الهويات المدارة:

  • الهوية المعينة من قبل النظام: ترتبط هذه الهوية بالخدمة الخاصة بك ويتم حذفها إذا تم حذف الخدمة. يمكن أن يكون لكل خدمة هوية واحدة فقط يعينها النظام.
  • الهوية المعينة من قبل المستخدم: هذا مورد Azure مستقل يمكن تعيينه للخدمة الخاصة بك. يمكن أن يكون لكل خدمة هويات متعددة يعينها المستخدم.

الهويات المدارة خاصة بالمستأجر Microsoft Entra حيث تتم استضافة اشتراك Azure الخاص بك. إذا تم نقل اشتراك إلى دليل مختلف، فستحتاج إلى إعادة إنشاء الهوية وإعادة تكوينها.

يمكنك تكوين الوصول إلى Azure Key Vault باستخدام إما التحكم في الوصول استنادا إلى الدور (RBAC) أو نهج الوصول.

المتطلبات الأساسية

قبل إعداد الهوية المدارة ل Azure Front Door، تأكد من أن لديك ملف تعريف Azure Front Door Standard أو Premium. لإنشاء ملف تعريف جديد، راجع إنشاء Azure Front Door.

تمكين الهوية المُدارة

  1. انتقل إلى ملف تعريف Azure Front Door الحالي. حدد Identity ضمن Security في القائمة اليسرى.

  2. اختر إما هوية مدارة معينة من قبل النظام أو هوية مدارة معينة من قبل المستخدم.

    • النظام المعين - هوية مدارة مرتبطة لدورة حياة ملف تعريف Azure Front Door، تستخدم للوصول إلى Azure Key Vault.

    • تم تعيين المستخدم - مورد هوية مدار مستقل مع دورة حياته الخاصة، ويستخدم للمصادقة على Azure Key Vault.

    النظام المعين

    1. قم بتبديل الحالة إلى تشغيل وحدد حفظ.

      لقطة شاشة لصفحة تكوين الهوية المدارة المعينة من قبل النظام.

    2. تأكد من إنشاء هوية مدارة من قبل النظام لملف تعريف Front Door الخاص بك عن طريق تحديد نعم عند مطالبتك.

    3. بمجرد إنشائه وتسجيله باستخدام معرف Microsoft Entra، استخدم معرف الكائن (الأساسي) لمنح Azure Front Door حق الوصول إلى Azure Key Vault.

      لقطة شاشة للهوية المدارة المعينة من قبل النظام المسجلة مع معرف Microsoft Entra.

    المستخدم المعين

    لاستخدام هوية مدارة يعينها المستخدم، يجب أن يكون لديك هوية تم إنشاؤها بالفعل. للحصول على إرشادات حول إنشاء هوية جديدة، راجع إنشاء هوية مدارة يعينها المستخدم.

    1. في علامة التبويب تعيين المستخدم، حدد + إضافة لإضافة هوية مدارة معينة من قبل المستخدم.

    2. ابحث عن الهوية المدارة المعينة من قبل المستخدم وحددها. ثم حدد إضافة لإرفاقه إلى ملف تعريف Azure Front Door.

    3. يظهر اسم الهوية المدارة المحددة المعينة من قبل المستخدم في ملف تعريف Azure Front Door.

      لقطة شاشة للهوية المدارة المعينة من قبل المستخدم المضافة إلى ملف تعريف Front Door.

تكوين إذن الوصول إلى Key Vault

يمكنك تكوين الوصول إلى Azure Key Vault باستخدام أي من الطرق التالية:

لمزيد من المعلومات، راجع التحكم في الوصول المستند إلى دور Azure (Azure RBAC) مقابل نهج الوصول.

التحكم في الوصول استنادًا إلى الدور (RBAC)

  1. انتقل إلى Azure Key Vault. حدد Access control (IAM) من قائمة Settings ، ثم حدد + Add واختر Add role assignment.

  2. في صفحة إضافة تعيين دور، ابحث عن Key Vault Secret User وحدده من نتائج البحث.

    لقطة شاشة لصفحة إضافة تعيين دور ل Key Vault.

  3. انتقل إلى علامة التبويب Members ، وحدد Managed identity، ثم حدد + Select members.

  4. اختر الهوية المدارة المعينة من قبل النظام أو المعينة من قبل المستخدم المقترنة ب Azure Front Door، ثم حدد تحديد.

  5. حدد Review + assign لإنهاء تعيين الدور.

نهج الوصول

  1. انتقل إلى Azure Key Vault. ضمن Settings، حدد Access policies ثم حدد + Create.

  2. في صفحة إنشاء نهج وصول، انتقل إلى علامة التبويب أذونات . ضمن Secret permissions، حدد List and Get. ثم حدد التالي للمتابعة إلى علامة التبويب الأساسية.

  3. في علامة التبويب Principal ، أدخل معرف الكائن (الأساسي) للهوية المدارة المعينة من قبل النظام أو اسم الهوية المدارة المعينة من قبل المستخدم. ثم حدد «Review + create». يتم تخطي علامة تبويب التطبيق حيث يتم تحديد Azure Front Door تلقائيا.

    لقطة شاشة لعلامة التبويب الرئيسية لنهج الوصول إلى Key Vault.

  4. راجع إعدادات نهج الوصول وحدد Create لإنهاء نهج الوصول.

تحقق من الوصول

  1. انتقل إلى ملف تعريف Azure Front Door حيث قمت بتمكين الهوية المدارة وحدد Secrets ضمن Security.

  2. تأكد من ظهور الهوية المدارة ضمن عمود دور Access للشهادة المستخدمة في Front Door. إذا كنت تقوم بإعداد الهوية المدارة لأول مرة، فأضف شهادة إلى Front Door لمشاهدة هذا العمود.

    لقطة شاشة ل Azure Front Door باستخدام الهوية المدارة للوصول إلى الشهادة في Key Vault.

الخطوات التالية