Cha*_*dra 1 azure azure-active-directory azure-keyvault
我是 Azure 新手。在使用 Azure SDK 探索 Azure KMS 服务使用情况时(因为我需要我的应用程序与 Azure 服务进行通信),我遇到了 AAD,我在其中进行了新应用程序注册,然后使用 KMS 中的服务主体。
现在,我可以使用托管服务身份实现相同的目标。那么两种方法之间有什么区别。哪一种最好?
以下是参考链接:
[https://learn.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview][1]
一般来说,最好使用托管身份(系统分配的或用户分配的)而不是您自己管理的应用程序注册。
当您创建应用程序注册(Application 对象)并在租户(ServicePrincipal 对象)中实例化该应用程序时,您必须管理该应用程序的凭据。您需要安全地生成、存储和更新凭证(机密或证书),并且需要在应用程序代码中使用此凭证来获取访问令牌。
托管标识还将在 Azure AD 中具有相应的 ServicePrincipal 对象。然而,使用托管身份,您不再需要担心生成、更新或保护凭证。所有这些都由服务为您管理,为您提供一个非常简单的界面来获取令牌,并让您专注于构建您的解决方案。
在某些情况下,您无法直接使用托管身份(例如,如果您正在构建 Web 应用程序并想要实现授权代码流程,则无法使用托管身份作为 OAuth 2.0 客户端)。在这些情况下,使用托管标识来引导应用程序对凭据的访问通常非常有用:使用服务的托管标识来访问存储在 Azure Key Vault 中的证书或机密,然后使用该凭据作为常规的一部分OAuth 2.0 流(例如使用 MSAL 库)。
| 归档时间: |
|
| 查看次数: |
2624 次 |
| 最近记录: |