Azure Service Fabric 和托管服务标识
Azure Service Fabric and Managed Service Identities
我正在探索 MSI 在 Service Fabric 中的使用。
我可以通过 ARM 在规模集上启用 MSI - 没问题。
我的 Service Fabric 集群运行着许多应用程序,其中许多应用程序都有自己的应用程序注册。目前,我们已将这些应用程序的 clientId/secret 存储在 appmanifest 中。
通过 MSI,我可以将凭据存储在密钥库中并获取用于每个应用程序的 clientId/secret,但这似乎有点不对。
现在我的问题是:
是否可以在 MSI 应用程序注册和 Service Fabric 上的应用程序 运行 之间设置某种委托?只是为了完全避免存储客户端机密
如果您使用 clientid/client 秘密来获取访问令牌,而不是
也许您允许 MSI 应用程序注册访问其他应用程序,然后通过“on behalf of”方法使用 MSI 主体获取令牌?
相关代码here.
这样你只需要知道你要调用的服务的resourceID,不是秘密
我正在探索 MSI 在 Service Fabric 中的使用。 我可以通过 ARM 在规模集上启用 MSI - 没问题。
我的 Service Fabric 集群运行着许多应用程序,其中许多应用程序都有自己的应用程序注册。目前,我们已将这些应用程序的 clientId/secret 存储在 appmanifest 中。
通过 MSI,我可以将凭据存储在密钥库中并获取用于每个应用程序的 clientId/secret,但这似乎有点不对。
现在我的问题是: 是否可以在 MSI 应用程序注册和 Service Fabric 上的应用程序 运行 之间设置某种委托?只是为了完全避免存储客户端机密
如果您使用 clientid/client 秘密来获取访问令牌,而不是 也许您允许 MSI 应用程序注册访问其他应用程序,然后通过“on behalf of”方法使用 MSI 主体获取令牌?
相关代码here.
这样你只需要知道你要调用的服务的resourceID,不是秘密