#azure #azure-active-directory #azure-managed-identity
#azure #azure-active-directory #azure-managed-identity
Вопрос:
У меня есть приложение, в котором я планирую использовать управляемую идентификацию для извлечения токенов для аутентификации в API. Управляемой идентификации будет присвоено соответствующее одобрение основной роли базовой службы API, которую я настроил как тип роли «Приложение». Что мне нужно сделать, чтобы отладить это приложение на моем компьютере? Должен ли я предоставить моей учетной записи Azure (той, в которую я вошел в Visual Studio) такое же присвоение этой роли? И если да, будет ли это означать, что мне нужно будет сделать роль allowedMembershipType как «User», так и «Application»? Разве это плохая идея? Кажется нецелесообразным изменять мою роль только для того, чтобы я мог выполнять локальную отладку. Каков рекомендуемый подход здесь?
Комментарии:
1. «Должен ли я предоставить моей учетной записи Azure (той, в которую я вошел в Visual Studio) такое же разрешение на назначение этой роли?» -> да, именно так вы бы это сделали. Очевидно, что у вас должны быть разные роли для ваших систем разработки и разработки, и вы должны добавлять своего пользователя только в роль системы разработки
2. Хорошо, спасибо. И да, роль diff, потому что я использую разные участники службы для каждой среды.
Ответ №1:
Несомненно, требуется та же роль приложения. Если вы используете учетную запись пользователя, вошедшего в VS для авторизации, конечно, вам нужно установить allowedMemberTypes с User помощью и Application .
Это неплохая идея, не стесняйтесь использовать ее, но если вы хотите избежать этого, вы также можете зарегистрировать приложение в Azure AD, создать участника службы и создать секрет, использовать его для аутентификации, я предпочитаю этот способ. Во-первых, вам не нужно изменять allowedMemberTypes , во-вторых, MSI (managed identity) также является участником службы, это больше похоже на производственную среду.