Поделиться через

Использование управляемых идентификаторов для аутентификации в источниках (в предварительном режиме)

Область применения: ✔️ Front Door Standard ✔️ Front Door Premium

Управляемые удостоверения, предоставляемые Microsoft Entra ID, позволяют вашему экземпляру Azure Front Door Standard/Premium безопасно получать доступ к другим защищенным ресурсам Microsoft Entra, таким как хранилище объектов Blob Azure, без необходимости управлять учетными данными. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure.

После включения управляемого удостоверения для Azure Front Door и предоставления этому удостоверению необходимых разрешений для доступа к вашему источнику, Front Door будет использовать управляемое удостоверение для получения токена доступа из Microsoft Entra ID для доступа к указанному ресурсу. После успешного получения токена Front Door установит значение токена в заголовке авторизации по схеме Bearer, а затем отправит запрос к источнику. Front Door кэширует маркер до истечения срока его действия.

Note

Эта функция в настоящее время не поддерживается для источников с включенным приватным каналом в Front Door.

Azure Front Door поддерживает два типа управляемых удостоверений:

  • Назначаемое системой удостоверение: это удостоверение привязано к службе и удаляется, если служба удаляется. Каждая служба может иметь только одно удостоверение, назначаемое системой.
  • Удостоверение, назначенное пользователем: Это автономный ресурс Azure, который может быть назначен вашей службе. Каждая служба может иметь несколько пользовательских удостоверений.

Управляемые удостоверения специфичны для клиента Microsoft Entra, в котором размещается ваша подписка Azure. Если подписка перемещается в другой каталог, необходимо заново создать и перенастроить идентификацию.

Prerequisites

Активировать управляемое удостоверение

  1. Перейдите к существующему профилю Azure Front Door. Выберите удостоверение в разделе "Безопасность " в меню слева.

  2. Выберите управляемое удостоверение, назначенное системой или назначаемое пользователем .

    Назначено системой

    1. Переключите Состояние на вкл и выберите Сохранить.

      Снимок экрана страницы конфигурации назначаемого системой управляемого удостоверения.

    2. Подтвердите создание управляемого удостоверения системы для профиля Front Door, выбрав "Да" в ответ на запрос.

    Пользователь назначен

    Чтобы использовать управляемое удостоверение, назначаемое пользователем, необходимо создать его. Инструкции по созданию удостоверения см. в статье о создании управляемого удостоверения, назначаемого пользователем.

    1. На вкладке "Назначено пользователем " выберите + Добавить , чтобы добавить управляемую идентичность, назначенную пользователем.

    2. Найдите и выберите назначенное пользователем управляемое удостоверение. Затем нажмите кнопку "Добавить ", чтобы присоединить ее к профилю Azure Front Door.

    3. Имя выбранной назначенной пользователем управляемой учетной записи отображается в профиле Azure Front Door.

      Снимок экрана: управляемое удостоверение, назначаемое пользователем, добавленное в профиль Front Door.

Связывание идентичности с первоначальной группой

Note

Связь будет работать только в том случае, если

  • Группа источников не содержит источников с включенной приватной ссылкой.
  • Протокол пробы работоспособности имеет значение "HTTPS" в параметрах группы источников.
  • Протокол пересылки имеет значение "Только HTTPS" в параметрах маршрута.
  • Протокол пересылки имеет значение "Только HTTPS" в случае использования действия "Переопределение конфигурации маршрута" в наборах правил.

Предупреждение

С этого момента, если вы используете проверку подлинности источника между Front Door и Хранилищем, последовательность действий по включению проверки подлинности имеет решающее значение и может вызвать проблемы, если не соблюдается правильная последовательность.

  • Если вы используете учетную запись хранения с включенным общедоступным анонимным доступом, выполните следующие действия в точной последовательности: "Связывание удостоверения с группой источников", а затем "Предоставление доступа к ресурсу источника". После завершения всех шагов вы можете отключить общедоступный анонимный доступ, чтобы разрешить доступ только к учетной записи хранения из Front Door.
  • Если вы используете учетную запись хранения с отключенным общедоступным анонимным доступом, необходимо выполнить другую последовательность. Сначала выполните шаги для "Предоставление доступа к исходному ресурсу", а затем для "Связывание идентификатора с группой исходников". Начните отправлять трафик через Front Door в учетную запись хранения только после выполнения всех шагов в приведенной выше последовательности.

  1. Перейдите к существующему профилю Azure Front Door и откройте группы источников.

  2. Выберите существующую группу источников, в которой источники уже настроены.

  3. Прокрутите вниз до раздела "Проверка подлинности ".

  4. Включите проверку подлинности источника.

  5. Выберите управляемое удостоверение, назначенное системой или назначаемое пользователем.

  6. Введите правильную область в поле «Область».

  7. Щелкните Обновить.

    Снимок экрана: привязка идентификатора к группе источника.

Предоставление доступа к ресурсу источника

  1. Перейдите на страницу управления исходного ресурса. Например, если источник является хранилищем BLOB-объектов Azure, перейдите на страницу управления учетной записью хранения.

Note

Дальнейшие шаги предполагают, что ваш источник данных — это Azure Blob Storage. Если вы используете другой тип ресурса, обязательно выберите соответствующую роль функции задания во время назначения ролей. В противном случае шаги остаются одинаковыми для большинства типов ресурсов.

  1. Перейдите в раздел управления доступом (IAM) и нажмите кнопку "Добавить". Выберите "Добавить назначение ролей " в раскрывающемся меню. Снимок экрана: параметры управления доступом.
  2. В разделе Должностные функции на вкладке Роли выберите соответствующую роль (например, читатель данных хранилища BLOB) из списка, а затем нажмите Далее. Снимок экрана: вкладка

Это важно

При предоставлении любого удостоверения, включая управляемое удостоверение, разрешения на доступ к службам, всегда предоставляют минимальные разрешения, необходимые для выполнения требуемых действий. Например, если управляемое удостоверение используется для чтения данных из учетной записи хранения, нет необходимости предоставлять ему разрешения на запись данных в учетную запись хранения. Предоставление дополнительных разрешений, например назначение управляемого удостоверения в качестве участника учетной записи хранения, если это не требуется, может привести к тому, что запросы, проходящие через AFD, смогут выполнять операции записи и удаления.

  1. На вкладке "Члены" в разделе "Назначение доступа" выберите управляемое удостоверение и щелкните "Выбрать участников". Снимок экрана: вкладка
  2. Откроется окно Выбор управляемых удостоверений. Выберите подписку, в которой находится ваш Front Door. В выпадающем списке управляемой идентификации выберите профили Front Door и CDN. В раскрывающемся списке Select выберите управляемую идентичность, созданную для Front Door. Нажмите кнопку "Выбрать " в нижней части экрана.
  3. Выберите "Проверка и назначение", а затем выберите "Проверка и назначение" еще раз после завершения проверки.

Советы при использовании проверки подлинности источника

  • При возникновении ошибок во время настройки группы исходных данных
    • Убедитесь, что для протокола пробы работоспособности задано значение HTTPS.
    • Убедитесь, что для протокола пересылки в параметрах маршрута и /или переопределении параметров конфигурации маршрута (в наборах правил) задано значение "Только HTTPS".
    • Убедитесь, что в группе источников нет включенных частных ссылок.
  • Если отображается "Отказано в доступе; ответы из источника убедитесь, что у управляемого удостоверения есть соответствующая роль, назначенная для доступа к исходному ресурсу.
  • Переход от токенов SAS для хранилища: При переходе от токенов SAS на управляемые удостоверения следуйте пошаговому подходу, чтобы избежать простоя. Включите управляемое удостоверение, свяжите его с источником и остановите использование маркеров SAS.
  • После включения проверки подлинности источника в настройках группы источников не следует напрямую отключать или удалять идентификаторы из настроек удостоверений на портале Front Door, а также не следует удалять управляемое удостоверение, назначенное пользователем, на портале управляемых удостоверений. Это приведет к сбою проверки подлинности источника. Вместо этого, если вы хотите прекратить использование функции проверки подлинности источника или удалить/отключить удостоверения, сначала отключите ограничения доступа в разделе "Управление доступом" (IAM) ресурса источника, чтобы сделать источник доступным без необходимости использования управляемого удостоверения или токена Entra ID. Затем отключите проверку подлинности источника в параметрах группы источников Front Door. Подождите некоторое время, пока конфигурация будет обновлена, а затем удалите или отключите удостоверение при необходимости.
  • Если клиенты уже отправляют собственные токены в заголовке авторизации, значение токена будет перезаписано AFD с токеном аутентификации источника. Если вы хотите, чтобы AFD отправлял маркер клиента в источник, можно настроить правило AFD с помощью переменной сервера {http_req_header_Authorization} для отправки маркера в отдельном заголовке. Снимок экрана правила отправки клиентского токена в источник через другой заголовок.
  • Рекомендуется использовать разные управляемые удостоверения для аутентификации источника и аутентификации AFD в Azure Key Vault.
  • Для получения лучших рекомендаций по использованию управляемых удостоверений обратитесь к рекомендациям по лучшим практикам управляемых удостоверений.
  • Рекомендации по назначению роли RBAC для учетной записи хранения Azure см. в статье "Назначение роли Azure для доступа к данным BLOB-объектов"
  • Если аутентификация источника включена для группы источников, Front Door добавляет токен доступа в заголовок Authorization для зондов работоспособности, которые проверяют источники в группе источников, а не только для запросов пользовательского трафика.
  • Last updated on