问题标签 [azure-managed-identity]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
199 浏览

azure - Azure 容器注册表 + MSI(在服务结构中)- 可能吗?

这是设置:

  • Azure 容器注册表
  • 服务结构
    • 具有 SystemAssigned 身份的 VMSS(又名“托管服务身份”又名 MSI)
    • 授予对 Azure 容器注册表的“读者”角色访问权限的 VMSS 身份
  • 应用程序清单.xml
    • ServiceManifest.xml 引用注册表中的容器

凉爽的。

除了服务结构无法启动应用程序的实例,因为它无法从注册表中提取容器。当我 RDP 进入 VM 并拉取时,它告诉我“需要身份验证”

我知道我可以添加 <RepositoryCredentials ...> 进入我的 ApplicationManifest.xml。用我的密码。到容器管理员帐户。即使加密,这似乎是“坏的”。绝对不如让 MSI 工作方便。

在本地工作,MSI 在几个小az acr命令后工作正常。

能否以某种方式将其全部包含在 ApplicationManifest/ServiceManifest.xml 文件中,以便在从 Azure 容器注册表中提取时尊重 MSI?

0 投票
2 回答
2772 浏览

azure-data-lake - 可以将系统分配的托管服务标识添加到 AAD 组吗?

我有一个使用 MSI 标识运行的 Azure 数据工厂 V2 服务。该服务需要访问具有数千个文件夹和数百万个文件的 Data Lake Gen 1。

为了提高效率,我们为数据湖的根分配了一个组,该组具有 RX 权限,这些权限在整个树中被继承和默认。

我想将上述 ADF MSI 添加到该组,但我无法弄清楚如何通过门户 AAD 刀片。

我可以将此 MSI 直接分配给数据湖,但它必须更新数百万个速度缓慢且容易出错的文件(刀片需要在应用权限时保持打开状态,这通常会因网络而在数小时内失败毛刺)。

标记。

0 投票
1 回答
546 浏览

azure-managed-identity - 从 VM 中查询 IMDS 时,检索令牌的默认 MSI 身份是什么

如果 VM 配置有多个身份,此链接描述如何检索特定托管身份的令牌。

如果请求中没有指定身份,会有什么行为?为哪个身份返回令牌?是系统身份,还是第一个用户身份,还是虚拟机上配置的第一个身份,还是随机的?

0 投票
1 回答
252 浏览

azure-active-directory - Azure AppService 到 AppService 调用的托管标识

我正在探索为托管在 Azure 应用服务中的 REST API 实施托管标识的可能性。此 API 使用多个第三方 API,这些 API 不在我们的控制范围内并由 AAD 保护。

目前,我们将 AAD ApplicationId / Secret 存储在配置中。每当我们需要使用任何第三方 API 时,我们都会遵循以下流程 -

  1. 使用 ApplicationId & Secret 生成 Token
  2. 使用标头中的令牌调用第三方 API
  3. 在通话期间检查令牌中的 clientId 以获得授权

我可以在这种情况下使用托管身份吗?这是否需要对其中任何 API 进行代码更改?我能否访问可以载入第三方 API 以进行授权的 ClientId?

0 投票
1 回答
338 浏览

azure - Azure MSI 身份验证的瞬态错误处理

托管服务身份 (MSI) 身份验证是否存在暂时且值得重试的错误?

通读实现,我可以看到 HttpRequestException 和 Exception 被框架吸收并被重新抛出为 AzureServiceTokenProviderException 而没有内部异常。

https://github.com/Azure/azure-sdk-for-net/blob/25adfede2b99391c29b5913fc289ff9511c9b26d/src/SdkCommon/AppAuthentication/Azure.Services.AppAuthentication/TokenProviders/MsiAccessTokenProvider.cs

我想知道(如果可能出现任何暂时性错误),我是否需要检查异常消息以提取消息中的嵌入式 http 状态代码并重新抛出例如我自己的 AzureServiceTokenProvider瞬态异常,在我的重试逻辑中捕获它。

我最初的问题是 MSI 身份验证是否存在任何已知的瞬时异常,其次是否有任何内置的重试逻辑或推荐做法?

0 投票
1 回答
106 浏览

azure-managed-identity - 为 Azure 资源配置托管标识

我有一些具有两种部署类型的服务:虚拟机规模集和基于 RDFE 的部署。

我想将托管标识添加到这些服务中,但是对于如何为第二种部署类型(基于 RDFE)执行此操作有点困惑。

我看过这个 Microsoft 文档

它表示在 1.19 中将不推荐使用 MSI 扩展,但 IMDS 似乎不支持 PaaS 部署。

我应该如何将托管身份添加到 RDFE 部署以及我应该使用什么端点?

0 投票
1 回答
1838 浏览

azure - Azure DevOps 托管生成代理 MSI

我有一个 ASP.Net Core 2.1 项目,其中包含一些集成测试,这些测试项目需要/需要 Azure 托管服务标识访问才能成功运行(从 KeyVault 获取机密)。我正在使用 Azure DevOps VS2017 Hosted Build Agent 来构建项目以部署到 Azure 应用服务。我遇到的问题是,当测试在构建管道之后运行时,它们会失败,因为 MSI 访问在托管的构建代理上不可用。如何设置托管构建代理所需的适当 MSI 访问?是否可以通过 Powershell 任务或类似的东西来做到这一点?

谢谢!

0 投票
2 回答
3142 浏览

azure - 使用 Azure MSI 访问 Azure 表存储

我最近将我的 .net 核心应用程序设置为使用 MSI(托管标识)与 Azure Blob 进行通信。

MSI 是否适用于 Azure 表存储?似乎找不到任何关于它的文档。

我正在尝试使用 MSI,因此我不必再管理我的密钥(无密钥)。

0 投票
2 回答
1667 浏览

azure - Azure 存储帐户拒绝托管服务标识的颁发者

我正在使用 .NET 的 Microsoft.Azure.Services.AppAuthentication 库 (v1.0.3)使用托管服务标识从 Azure Function 应用程序连接到 blob 存储。授权码:

无论给定 RBAC 角色如何,一个现有存储帐户都拒绝接受 MSI:

storageException.RequestInformation.ExtendedErrorInformation.AdditionalDetails抱怨的其他异常细节AuthenticationErrorDetail: Issuer validation failed. Issuer did not match.

解码失败的 jwt 令牌时,颁发者似乎没问题:

当我创建新的相同设置的存储帐户时,相同的功能应用程序 MSI 和身份验证代码工作,甚至令牌中的颁发者也完全相同。所以客户端功能应用程序和它的 MSI 身份不是这里的罪魁祸首。

为什么这个存储帐户无法授权以及如何让它接受 MSI?

更新: 交叉张贴到 MS 论坛以引起 MS 的注意,以验证这是否是一个天蓝色的错误。

0 投票
1 回答
841 浏览

azure - 如何以编程方式将用户分配的托管标识分配给 Azure Web 应用暂存槽?

我可以在门户中手动分配用户分配的托管标识。

作为部署管道的一部分,在部署到暂存槽期间如何执行此操作?

我可以使用 PowerShell 来设置系统分配的托管标识,Set-AzureRMWebAppSlot但是我找不到为用户分配的方法。