Azure 流分析目前允许使用托管标识向其他 Azure 资源进行身份验证。 构建云应用程序时,常见的挑战是代码中的凭据管理来对云服务进行身份验证。 保护这些凭据是一项重要任务。 不应将这些凭据存储在开发人员工作站中,或将其提交到源代码管理。
Azure 资源的 Microsoft Entra 托管标识功能可解决此问题。 此功能为 Azure 服务赋予了 Microsoft Entra ID 中的自动化管理身份。 这样,便可以将标识分配给流分析作业,该作业随后可以向任何支持Microsoft Entra 身份验证的输入或输出进行身份验证,而无需任何凭据。 有关此服务的详细信息,请参阅 Azure 资源的托管标识概述页 。
托管标识类型
流分析支持两种类型的托管标识:
- 系统分配的标识:为作业启用系统分配的托管标识时,会在Microsoft Entra ID 中创建一个标识,该 ID 绑定到该作业的生命周期。 因此,删除资源时,Azure 会自动删除标识。
- 用户分配的身份:您也可以创建一个独立的 Azure 资源作为托管身份,并将其分配给您的 Stream Analytics 作业。 对于用户分配的托管标识,标识与使用它的资源分开管理。
重要
无论选择的标识类型如何,托管标识都是一种特殊类型的服务主体,只能与 Azure 资源一起使用。 删除托管标识时,会自动删除相应的服务主体。
使用托管标识将作业连接到其他 Azure 资源
下表显示了支持系统分配的托管标识或用户分配的托管标识的 Azure 流分析输入和输出:
| 类型 | Adapter | 用户分配的管理标识 | 系统分配的托管标识 |
|---|---|---|---|
| 存储帐户 | Blob/ADLS Gen 2 | 是的 | 是的 |
| 输入 | 事件中心 | 是的 | 是的 |
| IoT 中心 | 没有(可通过解决方法使用:用户可以将事件路由到事件中心) | 否 | |
| Blob/ADLS Gen 2 | 是的 | 是的 | |
| 引用数据 | Blob/ADLS Gen 2 | 是的 | 是的 |
| SQL | 是的 | 是的 | |
| 输出 | 事件中心 | 是的 | 是的 |
| SQL Database | 是的 | 是的 | |
| Blob/ADLS Gen 2 | 是的 | 是的 | |
| 表存储 | 否 | 否 | |
| 服务总线主题 | 是的 | 是的 | |
| 服务总线队列 | 是的 | 是的 | |
| Azure Cosmos DB | 是的 | 是的 | |
| Azure Functions | 否 | 否 | |
| Azure Database for PostgreSQL | 否 | 否 |