Felügyelt identitások használata az App Service-hez és az Azure Functionshez

Cikk
02/25/2025

Feljegyzés

2024. június 1-től az újonnan létrehozott App Service-alkalmazások létrehozhatnak egy egyedi alapértelmezett gazdagépnevet, amely az elnevezési konvenciót <app-name>-<random-hash>.<region>.azurewebsites.nethasználja. A meglévő alkalmazásnevek változatlanok maradnak. Példa:

myapp-ds27dh7271aah175.westus-01.azurewebsites.net

További információ: Az App Service-erőforrás egyedi alapértelmezett gazdagépneve.

Ez a cikk bemutatja, hogyan hozhat létre felügyelt identitást az App Service-hez és az Azure Functions-alkalmazásokhoz, és hogyan használhatja azt más erőforrások eléréséhez.

Fontos

Mivel a felügyelt identitások nem támogatják a címtárközi forgatókönyveket, nem fognak a várt módon viselkedni, ha az alkalmazást előfizetések vagy bérlők között migrálják. A felügyelt identitások ilyen áthelyezés utáni újbóli létrehozásához lásd : Automatikusan létrejönnek-e a felügyelt identitások, ha egy előfizetést áthelyezek egy másik könyvtárba?. Az alsóbb rétegbeli erőforrásoknak is frissíteniük kell a hozzáférési szabályzatokat az új identitás használatához.

Feljegyzés

A felügyelt identitások nem érhetők el az Azure Arcban üzembe helyezett alkalmazásokhoz.

A Microsoft Entra-azonosítóból származó felügyelt identitás lehetővé teszi az alkalmazás számára, hogy könnyen hozzáférjen más, Microsoft Entra által védett erőforrásokhoz, például az Azure Key Vaulthoz. Az identitás kezelését az Azure-platform végzi, és nem szükséges hozzá semmilyen titkos kulcs kiosztása vagy rotálása. A Microsoft Entra ID-ban található felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

Az alkalmazás számára kétféle identitástípust lehet megadni:

A rendszer által hozzárendelt identitás az alkalmazáshoz van kötve, és az alkalmazás törlésekor törlődik. Egy alkalmazás csak egy rendszer által hozzárendelt identitással rendelkezhet.
A felhasználó által hozzárendelt identitás különálló Azure-erőforrás, amely hozzárendelhető az alkalmazáshoz. Egy alkalmazás több felhasználó által hozzárendelt identitással rendelkezhet, és egy felhasználó által hozzárendelt identitás több Azure-erőforráshoz, például két App Service-alkalmazáshoz is hozzárendelhető.

A felügyelt identitás konfigurációja a ponthoz tartozik. Ha egy felügyelt identitást szeretne konfigurálni egy üzembehelyezési ponthoz a portálon, először keresse meg a pontot. Ha meg szeretné keresni a webalkalmazás vagy üzembehelyezési pont felügyelt identitását a Microsoft Entra-bérlőben az Azure Portalon, keresse meg közvetlenül a bérlő Áttekintés lapján. A pont neve általában a következőhöz <app-name>/slots/<slot-name>hasonló.

Ez a videó bemutatja, hogyan használhat felügyelt identitásokat az App Service-ben.

A videó lépéseit a következő szakaszokban is ismertetjük.

Előfeltételek

A dokumentum lépéseinek végrehajtásához rendelkeznie kell az Azure-erőforrásokra vonatkozó minimális engedélykészlettel. A szükséges engedélyek a forgatókönyvtől függően változnak. A leggyakoribb forgatókönyveket az alábbi táblázat foglalja össze:

Eset	Szükséges engedély	Példa beépített szerepkörökre
Rendszer által hozzárendelt identitás létrehozása az alkalmazáshoz	`Microsoft.Web/sites/write` az alkalmazáson keresztül (vagy `Microsoft.Web/sites/slots/write` a pont felett)	Webhely közreműködője
Felhasználó által hozzárendelt identitás létrehozása	`Microsoft.ManagedIdentity/userAssignedIdentities/write` azon az erőforráscsoporton, amelyben az identitás létrejön	Felügyelt identitás közreműködője
Felhasználó által hozzárendelt identitás hozzárendelése az alkalmazáshoz	`Microsoft.Web/sites/write` az alkalmazáson keresztül (vagy `Microsoft.Web/sites/slots/write` a pont felett), `Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action` az identitás felett	Webhely közreműködője és felügyelt identitáskezelője
Azure-szerepkör-hozzárendelések létrehozása	`Microsoft.Authorization/roleAssignments/write` (a célerőforrás hatóköre felett)	Szerepköralapú hozzáférés-vezérlési rendszergazda vagy felhasználói hozzáférés-rendszergazda

Más forgatókönyvekhez eltérő engedélyekre lehet szükség.

Rendszer által hozzárendelt identitás hozzáadása

Ha engedélyezni szeretné a rendszer által hozzárendelt felügyelt identitást az alkalmazásban vagy a pontban, írási engedélyekre van szüksége az adott alkalmazáson vagy ponton. A Webhely közreműködője szerepkör biztosítja ezeket az engedélyeket.

Az alkalmazás beállításainak elérése az Azure Portalon , a bal oldali navigációs panel Beállítások csoportjában.
Válassza ki az Identitás elemet.
A rendszer által hozzárendelt lapon kapcsolja be az Állapot beállítást. Kattintson a Mentés gombra.

Futtassa a az webapp identity assign parancsot egy rendszer által hozzárendelt identitás létrehozásához:

az webapp identity assign --name myApp --resource-group myResourceGroup

App Service esetén

Futtassa a Set-AzWebApp -AssignIdentity parancsot egy rendszer által hozzárendelt identitás létrehozásához az App Service-hez:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name>

Függvények esetén

Futtassa a Update-AzFunctionApp -IdentityType parancsot egy függvényalkalmazás rendszer által hozzárendelt identitásának létrehozásához:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Azure Resource Manager-sablon használatával automatizálhatja az Azure-erőforrások üzembe helyezését. Az App Service-ben és a Functionsben való üzembe helyezésről további információt az erőforrás-üzembe helyezés automatizálása az App Service-ben és az Erőforrás-üzembe helyezés automatizálása az Azure Functionsben című témakörben talál .

Bármilyen típusú Microsoft.Web/sites erőforrás létrehozható identitással, ha az erőforrásdefinícióban a következő tulajdonságot is belefoglalja:

"identity": {
    "type": "SystemAssigned"
}

A rendszer által hozzárendelt típus hozzáadásával az Azure-nak létre kell hoznia és kezelnie kell az alkalmazás identitását.

Egy webalkalmazás sablonja például a következő JSON-hoz hasonlíthat:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

A webhely létrehozásakor a következő további tulajdonságokkal rendelkezik:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

A tenantId tulajdonság azonosítja, hogy melyik Microsoft Entra-bérlőhöz tartozik az identitás. A principalId az alkalmazás új identitásának egyedi azonosítója. A Microsoft Entra-azonosítón belül a szolgáltatásnév ugyanazzal a névvel rendelkezik, mint amelyet az App Service-nek vagy az Azure Functions-példánynak adott.

Ha a sablon egy későbbi szakaszában kell hivatkoznia ezekre a tulajdonságokra, ezt a reference() sablonfüggvényen keresztül teheti meg a jelölővel, ahogyan ebben a 'Full' példában is látható:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Felhasználó által hozzárendelt identitás hozzáadása

Felhasználó által hozzárendelt identitással rendelkező alkalmazás létrehozásához létre kell hoznia az identitást, majd hozzá kell adnia annak erőforrás-azonosítóját az alkalmazáskonfigurációhoz.

Ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni az alkalmazáshoz vagy a ponthoz, írási engedélyekre van szüksége az adott alkalmazáshoz vagy ponthoz. A Webhely közreműködője szerepkör biztosítja ezeket az engedélyeket. A felhasználó által hozzárendelt felügyelt identitás hozzárendeléséhez is rendelkeznie kell engedéllyel. A Felügyelt identitáskezelő szerepkör biztosítja ezeket az engedélyeket.

Először létre kell hoznia egy felhasználó által hozzárendelt identitáserőforrást.

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitáserőforrást az utasításoknak megfelelően.
Az alkalmazás lapjának bal oldali navigációs sávján görgessen le a Beállítások csoporthoz.
Válassza ki az Identitás elemet.
Válassza a Felhasználó által hozzárendelt>Hozzáadás lehetőséget.
Keresse meg a korábban létrehozott identitást, jelölje ki, és válassza a Hozzáadás lehetőséget.

Miután a Hozzáadás lehetőséget választja, az alkalmazás újraindul.

Hozzon létre egy felhasználó által hozzárendelt identitást.

az identity create --resource-group <group-name> --name <identity-name>

Futtassa a az webapp identity assign parancsot az identitás alkalmazáshoz való hozzárendeléséhez.

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>

App Service esetén

Felhasználó által hozzárendelt identitás hozzáadása az App Service-ben jelenleg nem támogatott.

Függvények esetén

Hozzon létre egy felhasználó által hozzárendelt identitást.

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>

Futtassa a Update-AzFunctionApp -IdentityType UserAssigned -IdentityId parancsot az identitás hozzárendeléséhez a Functionsben:

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Bármilyen típusú Microsoft.Web/sites erőforrás létrehozható identitással az erőforrásdefiníció következő blokkjának belefoglalásával, a kívánt identitás erőforrás-azonosítójára cserélve <resource-id> :

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Feljegyzés

Egy alkalmazás egyszerre rendelkezhet rendszer által hozzárendelt és felhasználó által hozzárendelt identitásokkal is. Ebben az esetben a type tulajdonság SystemAssigned,UserAssigned

A felhasználó által hozzárendelt típus hozzáadása arra utasítja az Azure-t, hogy használja az alkalmazáshoz megadott felhasználó által hozzárendelt identitást.

Egy webalkalmazás sablonja például a következő JSON-hoz hasonlíthat:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

A webhely létrehozásakor a következő további tulajdonságokkal rendelkezik:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

A principalId a Microsoft Entra felügyeletéhez használt identitás egyedi azonosítója. A clientId az alkalmazás új identitásának egyedi azonosítója, amely a futtatókörnyezeti hívások során használandó identitás megadására szolgál.

Célerőforrás konfigurálása

Konfigurálnia kell a célerőforrást az alkalmazásból való hozzáférés engedélyezéséhez. A legtöbb Azure-szolgáltatás esetében ezt egy szerepkör-hozzárendelés létrehozásával teheti meg. Egyes szolgáltatások nem az Azure RBAC-t használják. A hozzáférés identitással való konfigurálásához tekintse meg az egyes célerőforrások dokumentációját. Ha többet szeretne megtudni arról, hogy mely erőforrások támogatják a Microsoft Entra-jogkivonatokat, tekintse meg a Microsoft Entra-hitelesítést támogató Azure-szolgáltatásokat.

Ha például jogkivonatot kér egy titkos kulcs eléréséhez a Key Vaultban, létre kell hoznia egy szerepkör-hozzárendelést is, amely lehetővé teszi, hogy a felügyelt identitás titkos kulcsokkal működjön a céltartóban. Ellenkező esetben a Rendszer elutasítja a Key Vaultba irányuló hívásokat, még akkor is, ha érvényes jogkivonatot használ. Ugyanez igaz az Azure SQL Database-hez és más szolgáltatásokhoz is.

Fontos

A felügyelt identitások háttérszolgáltatásai erőforrás-URI-nként körülbelül 24 órán át gyorsítótárat tartanak fenn. Ez azt jelenti, hogy a felügyelt identitás csoport- vagy szerepkör-tagságának módosítása több órát is igénybe vehet. Jelenleg nem kényszeríthető a felügyelt identitás jogkivonatának frissítése a lejárat előtt. Ha módosítja egy felügyelt identitás csoport- vagy szerepkör-tagságát az engedélyek hozzáadásához vagy eltávolításához, előfordulhat, hogy több órát kell várnia, amíg az Azure-erőforrás az identitással rendelkezik a megfelelő hozzáféréshez. A csoportok vagy szerepkör-tagságok alternatíváit a felügyelt identitások hitelesítéshez való használatának korlátozásával kapcsolatos cikkben találhatja meg.

Csatlakozás azure-szolgáltatásokhoz alkalmazáskódban

A felügyelt identitással az alkalmazások jogkivonatokat szerezhetnek be a Microsoft Entra ID által védett Azure-erőforrásokhoz, például az Azure SQL Database-hez, az Azure Key Vaulthoz és az Azure Storage-hoz. Ezek a jogkivonatok az erőforráshoz hozzáférő alkalmazást jelölik, nem pedig az alkalmazás egy adott felhasználóját.

Az App Service és az Azure Functions egy belsőleg elérhető REST-végpontot biztosít a jogkivonatok lekéréséhez. A REST-végpont egy szabványos HTTP GET-lel érhető el az alkalmazáson belül, amely minden nyelven implementálható egy általános HTTP-ügyféllel. A .NET, a JavaScript, a Java és a Python esetében az Azure Identity-ügyfélkódtár absztrakciót biztosít ezen REST-végponton, és leegyszerűsíti a fejlesztési élményt. A más Azure-szolgáltatásokhoz való csatlakozás olyan egyszerű, mintha hitelesítő objektumot ad hozzá a szolgáltatásspecifikus ügyfélhez.

A nyers HTTP GET-kérések a két megadott környezeti változót használják , és a következő példához hasonlóan néznek ki:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: <ip-address-:-port-in-IDENTITY_ENDPOINT>
X-IDENTITY-HEADER: <value-of-IDENTITY_HEADER>

A mintaválaszok pedig az alábbihoz hasonlóan nézhetnek ki:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "00001111-aaaa-2222-bbbb-3333cccc4444"
}

Ez a válasz ugyanaz, mint a Microsoft Entra szolgáltatás–szolgáltatás hozzáférési jogkivonat-kérésre adott válasz. A Key Vault eléréséhez ezután hozzáadja a tárolóval létesített ügyfélkapcsolat értékét access_token .

Feljegyzés

Ha Azure SQL-adatforrásokhoz csatlakozik az Entity Framework Core-nal, fontolja meg a Microsoft.Data.SqlClient használatát, amely speciális kapcsolati sztring biztosít a felügyelt identitáskapcsolatokhoz. Példa: Oktatóanyag: Azure SQL Database-kapcsolat biztonságossá tétele az App Service-ből felügyelt identitás használatával.

A .NET-alkalmazások és -függvények esetében a felügyelt identitások használatának legegyszerűbb módja a .NET-hez készült Azure Identity ügyfélkódtár. Részletes útmutatásért tekintse meg az Oktatóanyagot: Csatlakozás azure-adatbázisokhoz az App Service-ből titkos kulcsok nélkül felügyelt identitás használatával.

További információért tekintse meg az ügyfélkódtár megfelelő dokumentációs fejléceit:

A csatolt példák a következőt használják DefaultAzureCredential: A forgatókönyvek többsége számára hasznos, mert ugyanaz a minta működik az Azure-ban (felügyelt identitásokkal) és a helyi gépen (felügyelt identitások nélkül).

Az Node.js alkalmazások és JavaScript-függvények esetében a felügyelt identitások használatának legegyszerűbb módja a JavaScripthez készült Azure Identity ügyfélkódtár. Részletes útmutatásért tekintse meg az Oktatóanyagot: Csatlakozás azure-adatbázisokhoz az App Service-ből titkos kulcsok nélkül felügyelt identitás használatával.

További információért tekintse meg az ügyfélkódtár megfelelő dokumentációs fejléceit:

A JavaScripthez készült Azure Identity-ügyfélkódtár további kód példáiért tekintse meg az Azure Identity-példákat.

A Python-alkalmazások és -függvények esetében a felügyelt identitások használatának legegyszerűbb módja a PythonHoz készült Azure Identity ügyfélkódtár. Részletes útmutatásért tekintse meg az Oktatóanyagot: Csatlakozás azure-adatbázisokhoz az App Service-ből titkos kulcsok nélkül felügyelt identitás használatával.

További információért tekintse meg az ügyfélkódtár megfelelő dokumentációs fejléceit:

Java-alkalmazások és -függvények esetén a felügyelt identitások használatának legegyszerűbb módja a Java Azure Identity ügyfélkódtára. Részletes útmutatásért tekintse meg az Oktatóanyagot: Csatlakozás azure-adatbázisokhoz az App Service-ből titkos kulcsok nélkül felügyelt identitás használatával.

További információért tekintse meg az ügyfélkódtár megfelelő dokumentációs fejléceit:

A Java-hoz készült Azure Identity-ügyfélkódtár további kód példáiért tekintse meg az Azure Identity Examples című témakört.

A következő szkripttel lekérhet egy jogkivonatot a helyi végpontról egy Azure-szolgáltatás erőforrás-URI-jának megadásával:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

A REST-végpontról további információt a REST-végpont hivatkozásában talál.

Identitás eltávolítása

Ha eltávolít egy rendszer által hozzárendelt identitást, az törlődik a Microsoft Entra-azonosítóból. A rendszer által hozzárendelt identitások automatikusan törlődnek a Microsoft Entra-azonosítóból is, amikor törli magát az alkalmazáserőforrást.

Ha el szeretne távolítani egy felügyelt identitást az alkalmazásból vagy a pontból, írási engedélyekre van szüksége az adott alkalmazáson vagy ponton. A Webhely közreműködője szerepkör biztosítja ezeket az engedélyeket.

Az alkalmazás oldalának bal oldali navigációs sávján görgessen le a Beállítások csoporthoz.
Válassza ki az Identitás elemet. Ezután kövesse a lépéseket az identitástípus alapján:
- Rendszer által hozzárendelt identitás: A rendszer által hozzárendelt lapon kapcsolja ki az állapotot. Kattintson a Mentés gombra.
- Felhasználó által hozzárendelt identitás: Jelölje be a Felhasználó által hozzárendelt lapot, jelölje be az identitás jelölőnégyzetét, és válassza az Eltávolítás lehetőséget. Válassza az Igen lehetőséget a megerősítéshez.

A rendszer által hozzárendelt identitás eltávolítása:

az webapp identity remove --name <app-name> --resource-group <group-name>

Egy vagy több felhasználó által hozzárendelt identitás eltávolítása:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

A rendszer által hozzárendelt identitást a következőben megadott módon [system]--identitiesis eltávolíthatja.

App Service esetén

Futtassa a Set-AzWebApp -AssignIdentity parancsot az App Service rendszer által hozzárendelt identitásának eltávolításához:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

Függvények esetén

Az összes identitás eltávolítása az Azure PowerShellben (csak az Azure Functionsben):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

Az ARM-sablon összes identitásának eltávolítása:

"identity": {
    "type": "None"
}

Feljegyzés

Van egy alkalmazásbeállítás is, amely beállítható, WEBSITE_DISABLE_MSI, amely csak letiltja a helyi jogkivonat-szolgáltatást. Az identitást azonban a helyén hagyja, és az eszközkezelés továbbra is "bekapcsolva" vagy "engedélyezve" állapotban jeleníti meg a felügyelt identitást. Ennek eredményeképpen a beállítás használata nem ajánlott.

REST-végpont referenciája

Egy felügyelt identitással rendelkező alkalmazás két környezeti változó definiálásával teszi elérhetővé ezt a végpontot:

IDENTITY_ENDPOINT – a helyi jogkivonat-szolgáltatás URL-címe.
IDENTITY_HEADER – a kiszolgálóoldali hamisítási (SSRF) támadások enyhítésére szolgáló fejléc. Az értéket a platform elforgatja.

A IDENTITY_ENDPOINT egy helyi URL-cím, amelyről az alkalmazás jogkivonatokat kérhet. Ha jogkivonatot szeretne lekérni egy erőforráshoz, hozzon létre egy HTTP GET kérést erre a végpontra, beleértve a következő paramétereket:

Paraméter neve In Leírás

erőforrás Lekérdezés Annak az erőforrásnak a Microsoft Entra erőforrás-URI-ja, amelyhez jogkivonatot kell beszerezni. Ez lehet az egyik Olyan Azure-szolgáltatás, amely támogatja a Microsoft Entra-hitelesítést vagy bármely más erőforrás-URI-t.

api-verzió Lekérdezés A használni kívánt token API verziója. Használja az 2019-08-01 parancsot.

X-IDENTITY-HEADER Fejléc A IDENTITY_HEADER környezeti változó értéke. Ez a fejléc a kiszolgálóoldali hamisítási (SSRF-) támadások enyhítésére szolgál.

ügyfél azonosítója Lekérdezés (Nem kötelező) A használni kívánt felhasználó által hozzárendelt identitás ügyfélazonosítója. Nem használható olyan kérelem esetén, amely tartalmazza principal_ida ( mi_res_idvagy object_id) elemet. Ha az összes azonosítóparaméter (client_id, , principal_id, object_idés mi_res_id) hiányzik, a rendszer által hozzárendelt identitást használja.

principal_id Lekérdezés (Nem kötelező) A használandó felhasználó által hozzárendelt identitás egyszerű azonosítója. object_id egy alias, amelyet használhat helyette. Nem használható client_id, mi_res_id vagy object_id tartalmazó kérelemhez. Ha az összes azonosítóparaméter (client_id, , principal_id, object_idés mi_res_id) hiányzik, a rendszer által hozzárendelt identitást használja.

mi_res_id Lekérdezés (Nem kötelező) A használandó felhasználó által hozzárendelt identitás Azure-erőforrás-azonosítója. Nem használható olyan kérelem esetén, amely tartalmazza principal_ida ( client_idvagy object_id) elemet. Ha az összes azonosítóparaméter (client_id, , principal_id, object_idés mi_res_id) hiányzik, a rendszer által hozzárendelt identitást használja.

Paraméter neve	In	Leírás
erőforrás	Lekérdezés	Annak az erőforrásnak a Microsoft Entra erőforrás-URI-ja, amelyhez jogkivonatot kell beszerezni. Ez lehet az egyik Olyan Azure-szolgáltatás, amely támogatja a Microsoft Entra-hitelesítést vagy bármely más erőforrás-URI-t.
api-verzió	Lekérdezés	A használni kívánt token API verziója. Használja az `2019-08-01` parancsot.
X-IDENTITY-HEADER	Fejléc	A IDENTITY_HEADER környezeti változó értéke. Ez a fejléc a kiszolgálóoldali hamisítási (SSRF-) támadások enyhítésére szolgál.
ügyfél azonosítója	Lekérdezés	(Nem kötelező) A használni kívánt felhasználó által hozzárendelt identitás ügyfélazonosítója. Nem használható olyan kérelem esetén, amely tartalmazza `principal_id`a ( `mi_res_id`vagy `object_id`) elemet. Ha az összes azonosítóparaméter (`client_id`, , `principal_id`, `object_id`és `mi_res_id`) hiányzik, a rendszer által hozzárendelt identitást használja.
principal_id	Lekérdezés	(Nem kötelező) A használandó felhasználó által hozzárendelt identitás egyszerű azonosítója. `object_id` egy alias, amelyet használhat helyette. Nem használható client_id, mi_res_id vagy object_id tartalmazó kérelemhez. Ha az összes azonosítóparaméter (`client_id`, , `principal_id`, `object_id`és `mi_res_id`) hiányzik, a rendszer által hozzárendelt identitást használja.
mi_res_id	Lekérdezés	(Nem kötelező) A használandó felhasználó által hozzárendelt identitás Azure-erőforrás-azonosítója. Nem használható olyan kérelem esetén, amely tartalmazza `principal_id`a ( `client_id`vagy `object_id`) elemet. Ha az összes azonosítóparaméter (`client_id`, , `principal_id`, `object_id`és `mi_res_id`) hiányzik, a rendszer által hozzárendelt identitást használja.

Fontos

Ha jogkivonatokat próbál beszerezni a felhasználó által hozzárendelt identitásokhoz, tartalmaznia kell az egyik választható tulajdonságot. Ellenkező esetben a jogkivonat-szolgáltatás megkísérli beszerezni a rendszer által hozzárendelt identitáshoz tartozó jogkivonatot, amely lehet, hogy létezik vagy nem létezik.

Megosztás a következőn keresztül:

Felügyelt identitások használata az App Service-hez és az Azure Functionshez

Előfeltételek

Rendszer által hozzárendelt identitás hozzáadása

App Service esetén

Függvények esetén

Felhasználó által hozzárendelt identitás hozzáadása

App Service esetén

Függvények esetén

Célerőforrás konfigurálása

Csatlakozás azure-szolgáltatásokhoz alkalmazáskódban

Identitás eltávolítása

App Service esetén

Függvények esetén

REST-végpont referenciája

Következő lépések

Visszajelzés

További források