Управление удостоверениями и доступом для приложений Python в Azure

В Azure управление удостоверениями и доступом (IAM) для приложений Python включает два ключевых понятия:

  • Проверка подлинности: проверка удостоверения пользователя, группы, службы или приложения
  • Авторизация: Определение действий, которые разрешено выполнять данной идентичности в ресурсах Azure

Azure предоставляет несколько вариантов IAM для соответствия требованиям безопасности приложения. В этой статье содержатся ссылки на основные ресурсы, которые помогут вам приступить к работе.

Дополнительные сведения см. в рекомендациях по управлению удостоверениями и доступом.

Подключения без пароля

По возможности используйте управляемые удостоверения, чтобы упростить управление удостоверениями и повысить безопасность. Управляемые удостоверения поддерживают проверку подлинности без пароля, поэтому не нужно внедрять конфиденциальные учетные данные, такие как пароли или секреты клиента, в переменные кода или среды. Такие службы Azure, как Azure App Service, Функции Azure и Контейнеры приложений Azure, поддерживают управляемые удостоверения. С помощью управляемых удостоверений приложения могут проходить проверку подлинности в Azure службах без управления учетными данными.

В следующих ресурсах показано, как использовать Azure SDK для Python с проверкой подлинности без пароля через DefaultAzureCredential. DefaultAzureCredential идеально подходит для большинства приложений, работающих в Azure, так как он легко поддерживает локальные среды разработки и рабочей среды путем цепочки нескольких типов учетных данных в безопасном и интеллектуальном порядке.

Соединитель служб

Многие ресурсы Azure, часто используемые в приложениях Python, поддерживают соединитель службы. Соединитель служб упрощает процесс настройки безопасных подключений между службами Azure. Она автоматизирует настройку проверки подлинности, сетевого доступа и строк подключения между вычислительными службами (такими как служба приложений или приложения-контейнеры) и зависимыми службами (например, службами хранилища Azure, SQL Azure или Cosmos DB). Эта автоматизация сокращает действия вручную, помогает применять рекомендации (например, использование управляемых удостоверений и частных конечных точек), а также повышает согласованность развертывания и безопасность.

Key Vault (Хранилище ключей)

Использование решения для управления ключами, например Azure Key Vault, обеспечивает более широкий контроль над секретами и учетными данными, хотя он добавляет сложность управления.

Проверка подлинности и удостоверение для входа пользователей в приложения

Вы можете разрабатывать приложения Python, которые позволяют пользователям входить с помощью удостоверений Microsoft, например учетных записей Microsoft Entra ID или внешних социальных учетных записей, таких как Google или Facebook. После проверки подлинности приложение может авторизовать пользователей для доступа к собственным API или API Майкрософт, таким как Microsoft Graph, для взаимодействия с ресурсами, такими как профили пользователей, календари и сообщения электронной почты.