微軟發布用於K8s的Azure AD工作負載身分識別

微軟對外開源一個稱為Azure AD工作負載身分識別（Workload Identity）的專案，這個專案可讓開發人員，使用Kubernetes原語以及Azure AD中的資源和身分識別，與Pod相關聯，也就是說透過這個專案，開發者可以使用服務帳戶和聯合（Federation）原生Kubernetes的概念，在不需要機密的情況下，存取受Azure AD保護的資源，諸如Azure和Microsoft Graph。

目前使用Azure AD Pod身分識別專案也能滿足這一個需求，但是Azure AD工作負載身分識別方法更容易使用和部署，而且克服了Azure AD Pod身分識別中的限制。官方提到，過去的方法存在規模和效能問題，而新的方法效能更好，更能應用在大規模場景中，而且支援託管在任意雲端的Kubernetes叢集，還可用於Linux和Windows工作負載，方法較簡單，能避免叢集角色分配等複雜且容易出錯的安裝步驟。

Azure AD工作負載身分識別的運作方式，是讓Kubernetes叢集成為令牌發行者，向Kubernetes服務帳戶發行令牌，這些令牌可以配置在Azure AD應用程式上，使其能夠被信任，接著使用Azure Identity SDK或是MSAL（Microsoft Authentication Library）交換這些令牌為Azure AD存取令牌。

適用Kubernetes的Azure AD工作負載身分識別聯合功能，目前僅支援Azure AD應用程式，微軟打算要擴展相同的模型至Azure受控身分識別。微軟提到，在接下來幾個月，他們計畫逐漸將Azure AD Pod身分識別替換成Azure AD工作負載身分識別，會提供用戶以最少的變更，進行搬遷的方法。