Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uygulamalar, Uygulamaların Azure hizmetlerine ve kaynaklarına erişmesini sağlayan Microsoft Entra Id kimlik doğrulaması yapmak için Azure Kimlik kitaplığını kullanabilir. Bu kimlik doğrulama gereksinimi, uygulamanın Azure'a dağıtılıp dağıtılmadığını, şirket içinde barındırılıp barındırılmadığını veya bir geliştirici iş istasyonunda yerel olarak çalıştırılmasını sağlar. İlerideki bölümlerde, Azure SDK istemci kitaplıklarını kullanırken farklı ortamlarda microsoft entra id'sine yönelik bir uygulamanın kimliğini doğrulamak için önerilen yaklaşımlar açıklanmaktadır.
Uygulama kimlik doğrulaması için önerilen yaklaşım
Microsoft Entra ID aracılığıyla belirteç tabanlı kimlik doğrulaması, bağlantı dizelerini veya anahtar tabanlı seçenekleri kullanmak yerine uygulamaların Azure'da kimlik doğrulaması için önerilen yaklaşımdır. C++ için Azure Identity istemci kitaplığı belirteç tabanlı kimlik doğrulaması sağlar ve uygulamanın yerel olarak, Azure'da veya şirket içi sunucuda çalıştırılması fark etmeksizin uygulamaların Azure kaynaklarında kimlik doğrulaması yapmasına olanak tanır.
Belirteç tabanlı kimlik doğrulamasının avantajları
Belirteç tabanlı kimlik doğrulaması, bağlantı dizelerine göre aşağıdaki avantajları sunar:
- Belirteç tabanlı kimlik doğrulaması yalnızca Azure kaynağına erişmeyi amaçlayan belirli uygulamaların bunu yapabilmesini sağlarken, bağlantı dizesi olan herkes veya herhangi bir uygulama bir Azure kaynağına bağlanabilir.
- Belirteç tabanlı kimlik doğrulaması, Azure kaynak erişimini yalnızca uygulamanın ihtiyaç duyduğu belirli izinlerle sınırlamanıza olanak tanır. Bu , en az ayrıcalık ilkesini izler. Buna karşılık, bir bağlantı dizesi Azure kaynağına tam haklar verir.
- Belirteç tabanlı kimlik doğrulaması için yönetilen kimlik kullanırken, Azure sizin için yönetim işlevlerini işler, bu nedenle gizli dizileri güvenli hale getirme veya döndürme gibi görevler konusunda endişelenmeniz gerekmez. Bu, gizliliği ihlal edilebilecek bir bağlantı dizesi veya uygulama gizli dizisi olmadığından uygulamayı daha güvenli hale getirir.
- Bağlantı dizeleri işlevsel olarak kimlik bilgilerine eşdeğerdir ve yanlışlıkla sızıntıyı önlemek için özel işleme gerektirir. Bunlar güvenli bir şekilde depolanmalı (örneğin, Azure Key Vault'ta) ve hiçbir zaman uygulamanızda sabit kodlanmamalı veya kaynak denetimine işlenmemelidir. Microsoft Secure Future Initiative (SFI), bağlantı dizelerinin ve benzer uzun ömürlü gizli dizilerin kullanımını yasaklar çünkü bunlar dikkatle yönetilmemesi durumunda uygulamanızın güvenliğini tehlikeye atmak için kullanılabilir.
- Azure Kimlik kitaplığı sizin için Microsoft Entra belirteçlerini alır ve yönetir.
Bağlantı dizelerinin kullanımı, belirteç tabanlı kimlik doğrulamasının bir seçenek olmadığı senaryolarla, ilk kavram kanıtı uygulamalarıyla veya üretim veya hassas verilere erişmeyen geliştirme prototipleriyle sınırlı olmalıdır. Mümkün olduğunda, Azure kaynaklarında kimlik doğrulaması yapmak için Azure Kimlik kitaplığındaki kimlik bilgisi türlerini kullanın.
Farklı ortamlarda kimlik doğrulaması
Bir uygulamanın Azure kaynaklarında kimlik doğrulaması yapmak için kullanması gereken belirteç tabanlı kimlik doğrulaması türü, uygulamanın nerede çalıştığına bağlıdır. Aşağıdaki diyagramda farklı senaryolar ve ortamlar için rehberlik sağlanır:
Bir uygulama şu durumlarda:
- Azure'da barındırılan: Uygulamanın yönetilen kimlik kullanarak Azure kaynaklarında kimlik doğrulaması yapması gerekir. Bu seçenek , Azure'da barındırılan uygulamalar için kimlik doğrulaması bölümünde daha ayrıntılı olarak açıklanmaktadır.
- Geliştirme sırasında yerel olarak çalışıyor: Uygulama, yerel geliştirme için bir uygulama hizmet sorumlusu kullanarak veya geliştiricinin Azure kimlik bilgilerini kullanarak Azure'da kimlik doğrulaması yapabilir. Her seçenek , yerel geliştirme sırasında kimlik doğrulamasında daha ayrıntılı olarak ele alınır.
- Şirket içinde barındırılan: Uygulama, bir uygulama hizmet sorumlusu veya Azure Arc söz konusu olduğunda yönetilen bir kimlik kullanarak Azure kaynaklarında kimlik doğrulaması yapmalıdır. Şirket içi iş akışları, şirket içinde barındırılan uygulamalar için kimlik doğrulaması bölümünde daha ayrıntılı olarak ele alınmaktadır.
Azure tarafından barındırılan uygulamalar için kimlik doğrulaması
Uygulamanız Azure'da barındırıldığında, kimlik bilgilerini yönetmeye gerek kalmadan Azure kaynaklarında kimlik doğrulaması yapmak için yönetilen kimlikleri kullanabilir. İki tür yönetilen kimlik vardır: kullanıcı tarafından atanan ve sistem tarafından atanan.
Kullanıcı tarafından atanan yönetilen kimlik kullanma
Kullanıcı atanan yönetilen kimlik, bağımsız bir Azure kaynağı olarak oluşturulur. Bir veya daha fazla Azure kaynağına atanarak bu kaynakların aynı kimlik ve izinleri paylaşmasına olanak tanıyabilirsiniz. Kullanıcı tarafından atanan yönetilen kimliği kullanarak kimlik doğrulaması yapmak için, kimliği oluşturun, Azure kaynağınıza atayın ve ardından uygulamanızı istemci kimliğini, kaynak kimliğini veya nesne kimliğini belirterek kimlik doğrulaması için bu kimliği kullanacak şekilde yapılandırın.
Sistem tarafından atanan yönetilen kimlik kullanma
Sistem tarafından atanan yönetilen kimlik doğrudan bir Azure kaynağında etkinleştirilir. Kimlik, bu kaynağın yaşam döngüsüne bağlıdır ve kaynak silindiğinde otomatik olarak silinir. Sistem tarafından atanan yönetilen kimliği kullanarak kimlik doğrulaması yapmak için Azure kaynağınızda kimliği etkinleştirin ve ardından uygulamanızı kimlik doğrulaması için bu kimliği kullanacak şekilde yapılandırın.
Yerel geliştirme sırasında kimlik doğrulaması
Yerel geliştirme sırasında, geliştirici kimlik bilgilerinizi veya hizmet sorumlunuzu kullanarak Azure kaynaklarında kimlik doğrulaması yapabilirsiniz. Bu, uygulamanızın kimlik doğrulama mantığını Azure'a dağıtmadan test etmenizi sağlar.
Geliştirici kimlik bilgilerini kullanma
Yerel geliştirme sırasında Azure kaynaklarında kimlik doğrulaması yapmak için kendi Azure kimlik bilgilerinizi kullanabilirsiniz. Bu genellikle, uygulamanıza Azure hizmetlerine erişmek için gerekli belirteçleri sağlayabilen Azure CLI gibi bir geliştirme aracı kullanılarak yapılır. Bu yöntem kullanışlıdır ancak yalnızca geliştirme amacıyla kullanılmalıdır.
Hizmet ilkesi kullanma
Bir uygulamayı temsil etmek için bir Microsoft Entra kiracısında bir hizmet sorumlusu oluşturulur ve Azure kaynaklarında kimlik doğrulaması yapmak için kullanılır. Uygulamanızı yerel geliştirme sırasında hizmet sorumlusu kimlik bilgilerini kullanacak şekilde yapılandırabilirsiniz. Bu yöntem, geliştirici kimlik bilgilerini kullanmaktan daha güvenlidir ve uygulamanızın üretimde kimlik doğrulamasına daha yakındır. Ancak, gizli bilgilere duyulan ihtiyaç nedeniyle yönetilen kimlik kullanmak kadar ideal değildir.
Şirket içinde barındırılan uygulamalar için kimlik doğrulaması
Şirket içinde barındırılan uygulamalarda, Azure kaynaklarında kimlik doğrulaması yapmak için bir hizmet sorumlusu kullanabilirsiniz. Bu, Microsoft Entra Id'de bir hizmet sorumlusu oluşturmayı, gerekli izinleri atamayı ve uygulamanızı kimlik bilgilerini kullanacak şekilde yapılandırmayı içerir. Bu yöntem, şirket içi uygulamanızın Azure hizmetlerine güvenli bir şekilde erişmesini sağlar.