Pal*_*lab 25 azure claims-based-identity azure-active-directory
我想知道是否总是建议在 Azure 中使用托管身份,主要是系统分配或服务主体?与托管标识相比,何时应在 Azure 中使用服务主体,两者相比有什么优势?任何帮助,将不胜感激。
ric*_*sch 32
在内部,托管标识是一种特殊类型的服务主体,它们被锁定为只能与 Azure 资源一起使用。删除托管标识时,会自动删除相应的服务主体。此外,当创建用户分配或系统分配的身份时,托管身份资源提供程序 (MSRP) 会在内部向该身份颁发证书。
和
那么有什么区别呢?
简而言之,托管身份和服务主体之间的区别在于托管身份代表您管理服务主体的创建和自动续订。
Gri*_*sha 16
托管身份是服务主体的一种类型。
服务主体可以是以下三种类型之一:应用程序、托管身份和遗留。类型的划分是根据其使用情况而定的。因此,它们的具体处理也根据其类型而有所不同。
rickvdbosch 提供了一篇文章的链接,该文章讨论了服务主体的托管身份类型的细节。对于那些想要了解服务主体对象及其类型的概念的人,这里有另一篇文章的链接: Azure Active Directory 中的应用程序和服务主体对象。
Gau*_*rma 16
服务负责人
\n我们可以说服务主体中最相关的部分是 Azure Active Directory 下的企业应用程序部分。这基本上是一个应用程序,允许您的用户应用程序基于 RBAC 进行身份验证和访问 Azure 资源。
\n它本质上是需要访问Azure资源的应用程序的ID。用外行人\xe2\x80\x99的术语来说,想象一下,如果您必须向同事分配某些访问权限,以便他/她可以访问Azure资源并执行所需的任务,您可以使用他们的电子邮件ID作为对用户进行身份验证的方式。
\n托管身份
\n我们可以说托管身份实际上是服务主体,并且它们所服务的功能和目的是相同的。
\n唯一的区别是,托管标识始终链接到 Azure 资源,这与上面提到的应用程序或第 3 方连接器不同。它们是自动为您创建的,包括凭据;这样做的一大好处是没有人知道凭证
\n有两种类型的托管身份:
\n1.) 系统分配;在这种情况下,身份链接到单个 Azure 资源,例如虚拟机、Web 应用程序、函数、\xe2\x80\xa6 等等几乎任何东西。接下来,它们还将 \xe2\x80\x9clive\xe2\x80\x9d 与 Azure 资源一起删除,这意味着当 Azure 资源被删除时,它们也会被删除。
\n2.) 用户分配的托管标识,这意味着您首先必须将其本身创建为独立的 Azure 资源,之后才能将其链接到多个 Azure 资源。这里的一个例子可能是与 Key Vault 的集成,其中属于同一应用程序堆栈的不同工作负载服务需要从 Key Vault 读取信息。在这种情况下,可以创建一个 \xe2\x80\x9cread KV\xe2\x80\x9d 托管标识,并将其链接到 Web 应用程序、存储帐户、函数、逻辑应用程序、\xe2\x80\xa6,所有这些都属于相同的应用程序架构。
\n小智 5
Azure 服务原理就像一个应用程序,其他 azure 资源可以使用其令牌来进行身份验证并授予对 azure 资源的访问权限。
\n托管标识是一种特殊类型的服务主体,它们被锁定为仅与 Azure 资源一起使用。
\n两者之间的主要区别在于,在托管身份中,您不需要在代码中指定任何凭据,而服务原则则需要指定应用程序 ID、客户端 ID 等来生成令牌来访问任何 Azure资源。理想情况下,仅当您使用的服务不支持托管标识时,您才应该选择服务主体。
\n| 归档时间: |
|
| 查看次数: |
16161 次 |
| 最近记录: |