Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Azure управление удостоверениями и доступом (IAM) для приложений Python включает два ключевых понятия:
- Проверка подлинности: проверка удостоверения пользователя, группы, службы или приложения
- Авторизация: Определение действий, которые разрешено выполнять данной идентичности в ресурсах Azure
Azure предоставляет несколько вариантов IAM для соответствия требованиям безопасности приложения. В этой статье содержатся ссылки на основные ресурсы, которые помогут вам приступить к работе.
Дополнительные сведения см. в рекомендациях по управлению удостоверениями и доступом.
Подключения без пароля
По возможности используйте управляемые удостоверения, чтобы упростить управление удостоверениями и повысить безопасность. Управляемые удостоверения поддерживают проверку подлинности без пароля, поэтому не нужно внедрять конфиденциальные учетные данные, такие как пароли или секреты клиента, в переменные кода или среды. Такие службы Azure, как Azure App Service, Функции Azure и Контейнеры приложений Azure, поддерживают управляемые удостоверения. С помощью управляемых удостоверений приложения могут проходить проверку подлинности в Azure службах без управления учетными данными.
В следующих ресурсах показано, как использовать Azure SDK для Python с проверкой подлинности без пароля через DefaultAzureCredential.
DefaultAzureCredential идеально подходит для большинства приложений, работающих в Azure, так как он легко поддерживает локальные среды разработки и рабочей среды путем цепочки нескольких типов учетных данных в безопасном и интеллектуальном порядке.
Соединитель служб
Многие ресурсы Azure, часто используемые в приложениях Python, поддерживают соединитель службы. Соединитель служб упрощает процесс настройки безопасных подключений между службами Azure. Она автоматизирует настройку проверки подлинности, сетевого доступа и строк подключения между вычислительными службами (такими как служба приложений или приложения-контейнеры) и зависимыми службами (например, службами хранилища Azure, SQL Azure или Cosmos DB). Эта автоматизация сокращает действия вручную, помогает применять рекомендации (например, использование управляемых удостоверений и частных конечных точек), а также повышает согласованность развертывания и безопасность.
Key Vault (Хранилище ключей)
Использование решения для управления ключами, например Azure Key Vault, обеспечивает более широкий контроль над секретами и учетными данными, хотя он добавляет сложность управления.
Краткое руководство. Клиентская библиотека сертификатов Azure Key Vault для Python
Краткое руководство. Клиентская библиотека ключей Azure Key Vault для Python
Краткое руководство. Клиентская библиотека секретов Azure Key Vault для Python
Проверка подлинности и удостоверение для входа пользователей в приложения
Вы можете разрабатывать приложения Python, которые позволяют пользователям входить с помощью удостоверений Microsoft, например учетных записей Microsoft Entra ID или внешних социальных учетных записей, таких как Google или Facebook. После проверки подлинности приложение может авторизовать пользователей для доступа к собственным API или API Майкрософт, таким как Microsoft Graph, для взаимодействия с ресурсами, такими как профили пользователей, календари и сообщения электронной почты.