Jak používat spravované identity pro App Service a Azure Functions

V tomto článku se dozvíte, jak vytvořit spravovanou identitu pro aplikace App Service a Azure Functions a jak ji používat pro přístup k dalším prostředkům.

Důležité

Vzhledem k tomu, že spravované identity nepodporují scénáře napříč adresáři, nebudou se chovat podle očekávání, pokud se vaše aplikace migruje mezi předplatnými nebo tenanty. Pokud chcete po tomto přesunu spravované identity znovu vytvořit spravované identity, přečtěte si téma Automaticky se vytvoří spravované identity, pokud přesunu předplatné do jiného adresáře? Podřízené prostředky také musí mít aktualizované zásady přístupu, aby používaly novou identitu.

Poznámka:

Spravované identity nejsou dostupné pro aplikace nasazené v Azure Arc.

Spravovaná identita z Microsoft Entra ID umožňuje vaší aplikaci snadný přístup k dalším prostředkům chráněným Microsoft Entra, jako je Azure Key Vault. Identitu spravuje platforma Azure a nevyžaduje, abyste zřizovali nebo rotovali tajné kódy. Další informace o spravovaných identitách v Microsoft Entra ID najdete v tématu Spravované identity pro prostředky Azure.

Vaší aplikaci je možné udělit dva typy identit:

• Identita přiřazená systémem je svázaná s vaší aplikací a při odstranění aplikace se odstraní. Aplikace může mít pouze jednu identitu přiřazenou systémem.
• Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší aplikaci. Aplikace může mít více identit přiřazených uživatelem.

Konfigurace spravované identity je specifická pro slot. Pokud chcete nakonfigurovat spravovanou identitu pro slot nasazení na portálu, nejprve přejděte do slotu. Pokud chcete najít spravovanou identitu pro webovou aplikaci nebo slot nasazení v tenantovi Microsoft Entra z webu Azure Portal, vyhledejte ji přímo na stránce Přehled vašeho tenanta. Název slotu je obvykle podobný <app-name>/slots/<slot-name>.

V tomto videu se dozvíte, jak používat spravované identity pro Službu App Service.

Kroky ve videu jsou popsané také v následujících částech.

Přidání identity přiřazené systémem

Azure Portal

1. V levém navigačním panelu stránky aplikace se posuňte dolů ke skupině Nastavení.

2. Vyberte Identitu.

3. Na kartě Přiřazený systém přepněte stav na Zapnuto. Klikněte na Uložit.

   

Azure CLI

Spuštěním az webapp identity assign příkazu vytvořte identitu přiřazenou systémem:

az webapp identity assign --name myApp --resource-group myResourceGroup

Azure PowerShell

Pro App Service

Spuštěním Set-AzWebApp -AssignIdentity příkazu vytvořte identitu přiřazenou systémem pro Službu App Service:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name> 

Pro funkce

Spuštěním Update-AzFunctionApp -IdentityType příkazu vytvořte identitu přiřazenou systémem pro aplikaci funkcí:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Šablona ARM

Šablonu Azure Resource Manageru můžete použít k automatizaci nasazení prostředků Azure. Další informace o nasazení do služby App Service a Functions najdete v tématu Automatizace nasazení prostředků ve službě App Service a automatizace nasazení prostředků ve službě Azure Functions.

Libovolný prostředek typu Microsoft.Web/sites lze vytvořit s identitou zahrnutím následující vlastnosti do definice prostředku:

"identity": {
    "type": "SystemAssigned"
}

Přidání typu přiřazeného systémem říká Azure, aby vytvořila a spravuje identitu pro vaši aplikaci.

Například šablona webové aplikace může vypadat jako následující JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Při vytváření webu má následující další vlastnosti:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

Vlastnost tenantId určuje, do jakého tenanta Microsoft Entra patří identita. PrincipalId je jedinečný identifikátor nové identity aplikace. V rámci ID Microsoft Entra má instanční objekt stejný název, který jste zadali vaší instanci služby App Service nebo Azure Functions.

Pokud potřebujete odkazovat na tyto vlastnosti v pozdější fázi šablony, můžete to udělat pomocí reference() funkce šablony s příznakem 'Full' , jak je znázorněno v tomto příkladu:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Přidání identity přiřazené uživatelem

Vytvoření aplikace s identitou přiřazenou uživatelem vyžaduje, abyste identitu vytvořili a pak do konfigurace aplikace přidali její identifikátor prostředku.

Azure Portal

Nejprve budete muset vytvořit prostředek identity přiřazený uživatelem.

1. Podle těchto pokynů vytvořte prostředek spravované identity přiřazené uživatelem.

2. V levém navigačním panelu stránky aplikace se posuňte dolů ke skupině Nastavení.

3. Vyberte Identitu.

4. Vyberte Přidat přiřazený>uživatelem.

5. Vyhledejte identitu, kterou jste vytvořili dříve, vyberte ji a vyberte Přidat.

   

   Jakmile vyberete Přidat, aplikace se restartuje.

Azure CLI

1. Vytvořte identitu přiřazenou uživatelem.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Spuštěním az webapp identity assign příkazu přiřaďte identitu aplikaci.

   az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>
   

Azure PowerShell

Pro App Service

Přidání identity přiřazené uživatelem ve službě App Service se v současné době nepodporuje.

Pro funkce

1. Vytvořte identitu přiřazenou uživatelem.

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>
   

2. Spuštěním Update-AzFunctionApp -IdentityType UserAssigned -IdentityId příkazu přiřaďte identitu ve službě Functions:

   Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id
   

Šablona ARM

Šablonu Azure Resource Manageru můžete použít k automatizaci nasazení prostředků Azure. Další informace o nasazení do služby App Service a Functions najdete v tématu Automatizace nasazení prostředků ve službě App Service a automatizace nasazení prostředků ve službě Azure Functions.

Libovolný prostředek typu Microsoft.Web/sites lze vytvořit s identitou zahrnutím následujícího bloku do definice prostředku a nahrazením <resource-id> ID prostředku požadované identity:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Poznámka:

Aplikace může mít současně přiřazené systémové i uživatelem přiřazené identity. V tomto případě by vlastnost type byla SystemAssigned,UserAssigned

Přidání typu přiřazeného uživatelem říká Azure, aby používala identitu přiřazenou uživatelem určenou pro vaši aplikaci.

Například šablona webové aplikace může vypadat jako následující JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Při vytváření webu má následující další vlastnosti:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

PrincipalId je jedinečný identifikátor identity, která se používá pro správu Microsoft Entra. ClientId je jedinečný identifikátor nové identity aplikace, která se používá k určení identity, která se má použít při volání modulu runtime.

Konfigurace cílového prostředku

Možná budete muset nakonfigurovat cílový prostředek tak, aby umožňoval přístup z vaší aplikace nebo funkce. Pokud například požadujete token pro přístup ke službě Key Vault, musíte také přidat zásadu přístupu, která zahrnuje spravovanou identitu vaší aplikace nebo funkce. Jinak budou vaše volání do služby Key Vault odmítnuta, i když použijete platný token. Totéž platí pro Azure SQL Database. Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete v tématu Služby Azure, které podporují ověřování Microsoft Entra.

Důležité

Back-endové služby pro spravované identity uchovávají mezipaměť na identifikátor URI prostředku přibližně po dobu 24 hodin. Pokud aktualizujete zásady přístupu konkrétního cílového prostředku a okamžitě načtete token pro tento prostředek, můžete token uložený v mezipaměti získat se zastaralými oprávněními, dokud nevyprší platnost tohoto tokenu. V současné době neexistuje způsob, jak vynutit aktualizaci tokenu.

Připojení ke službám Azure v kódu aplikace

Pomocí spravované identity může aplikace získat tokeny pro prostředky Azure, které jsou chráněné id Microsoft Entra, jako je Azure SQL Database, Azure Key Vault a Azure Storage. Tyto tokeny představují aplikaci, která přistupuje k prostředku, a ne k žádnému konkrétnímu uživateli aplikace.

App Service a Azure Functions poskytují interně přístupný koncový bod REST pro načtení tokenu . Koncový bod REST je přístupný z aplikace pomocí standardního příkazu HTTP GET, který je možné implementovat s obecným klientem HTTP v každém jazyce. Klientská knihovna Azure Identity poskytuje pro .NET, JavaScript, Java a Python abstrakci tohoto koncového bodu REST a zjednodušuje vývojové prostředí. Připojení do jiných služeb Azure je stejně jednoduché jako přidání objektu přihlašovacích údajů do klienta specifického pro službu.

HTTP GET

Nezpracovaný požadavek HTTP GET vypadá jako v následujícím příkladu:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Ukázková odpověď může vypadat nějak takto:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Tato odpověď je stejná jako odpověď pro požadavek přístupového tokenu microsoft Entra service-to-service. Pro přístup ke službě Key Vault pak přidáte hodnotu access_token připojení klienta k trezoru.

.NET

Poznámka:

Při připojování ke zdrojům dat Azure SQL pomocí Entity Framework Core zvažte použití Microsoft.Data.SqlClient, které poskytuje speciální připojovací řetězec pro připojení spravovaných identit. Příklad najdete v tématu Kurz: Zabezpečení připojení ke službě Azure SQL Database ze služby App Service pomocí spravované identity.

Pro aplikace a funkce .NET je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro .NET. Podrobné pokyny najdete v kurzu: Připojení do databází Azure ze služby App Service bez tajných kódů využívajících spravovanou identitu.

Informace najdete v příslušných záhlavích dokumentace klientské knihovny:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Je užitečná pro většinu scénářů, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

JavaScript

Pro aplikace Node.js a javascriptové funkce je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro JavaScript. Podrobné pokyny najdete v kurzu: Připojení do databází Azure ze služby App Service bez tajných kódů využívajících spravovanou identitu.

Informace najdete v příslušných záhlavích dokumentace klientské knihovny:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Je užitečná pro většinu scénářů, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

Další příklady kódu klientské knihovny Azure Identity pro JavaScript najdete v příkladech identit Azure.

Python

Pro aplikace a funkce Pythonu je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro Python. Podrobné pokyny najdete v kurzu: Připojení do databází Azure ze služby App Service bez tajných kódů využívajících spravovanou identitu.

Informace najdete v příslušných záhlavích dokumentace klientské knihovny:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Je užitečná pro většinu scénářů, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

Java

Pro aplikace a funkce v Javě je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro Javu. Podrobné pokyny najdete v kurzu: Připojení do databází Azure ze služby App Service bez tajných kódů využívajících spravovanou identitu.

Informace najdete v příslušných záhlavích dokumentace klientské knihovny:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Je užitečná pro většinu scénářů, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

Další příklady kódu klientské knihovny Azure Identity pro Javu najdete v tématu Příklady identit Azure.

PowerShell

Pomocí následujícího skriptu načtěte token z místního koncového bodu zadáním identifikátoru URI prostředku služby Azure:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Další informace o koncovém bodu REST najdete v referenčních informacích ke koncovému bodu REST.

Odebrání identity

Když odeberete identitu přiřazenou systémem, odstraní se z ID Microsoft Entra. Identity přiřazené systémem se také automaticky odeberou z ID Microsoft Entra při odstranění samotného prostředku aplikace.

Azure Portal

1. V levém navigačním panelu stránky aplikace se posuňte dolů ke skupině Nastavení.

2. Vyberte Identitu. Pak postupujte podle kroků založených na typu identity:

   • Identita přiřazená systémem: Na kartě Přiřazený systém přepněte Stav na Vypnuto. Klikněte na Uložit.
   • Identita přiřazená uživatelem: Vyberte kartu Přiřazený uživatel, zaškrtněte políčko pro identitu a vyberte Odebrat. Potvrďte výběrem možnosti Ano.

Azure CLI

Odebrání identity přiřazené systémem:

az webapp identity remove --name <app-name> --resource-group <group-name>

Odebrání jedné nebo více identit přiřazených uživatelem:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

Identitu přiřazenou systémem můžete také odebrat zadáním [system] parametru --identities.

Azure PowerShell

Pro App Service

Spuštěním Set-AzWebApp -AssignIdentity příkazu odeberte identitu přiřazenou systémem pro Službu App Service:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name> 

Pro funkce

Odebrání všech identit v Azure PowerShellu (jenom Azure Functions):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

Šablona ARM

Odebrání všech identit v šabloně ARM:

"identity": {
    "type": "None"
}

Poznámka:

K dispozici je také nastavení aplikace, které je možné nastavit, WEBSITE_DISABLE_MSI, což pouze zakáže místní službu tokenů. Ponechá ale identitu na místě a nástroje budou dál zobrazovat spravovanou identitu jako zapnutou nebo povolenou. V důsledku toho se použití tohoto nastavení nedoporučuje.

Referenční informace ke koncovému bodu REST

Aplikace se spravovanou identitou zpřístupňuje tento koncový bod definováním dvou proměnných prostředí:

• IDENTITY_ENDPOINT – adresa URL místní služby tokenů.
• IDENTITY_HEADER – hlavička, která pomáhá zmírnit útoky SSRF (server-side request forgery). Hodnota se otočí platformou.

IDENTITY_ENDPOINT je místní adresa URL, ze které může vaše aplikace požadovat tokeny. Pokud chcete získat token pro prostředek, proveďte požadavek HTTP GET na tento koncový bod, včetně následujících parametrů:

Název parametru	In	Popis
resource	Dotaz	Identifikátor URI prostředku Microsoft Entra prostředku, pro který má být token získán. Může to být jedna ze služeb Azure, které podporují ověřování Microsoft Entra nebo jakýkoli jiný identifikátor URI prostředků.
verze-api	Dotaz	Verze rozhraní API tokenu, která se má použít. Použijte 2019-08-01.
HLAVIČKA X-IDENTITY-HEADER	Hlavička	Hodnota proměnné prostředí IDENTITY_HEADER. Tato hlavička slouží ke zmírnění útoků SSRF (server-side request forgery).
client_id	Dotaz	(Volitelné) ID klienta identity přiřazené uživatelem, které se má použít. Nelze použít u požadavku, který obsahuje principal_id, msi_res_idnebo object_id. Pokud jsou vynechány všechny parametry ID (client_id, principal_id, object_ida msi_res_id) , použije se identita přiřazená systémem.
Principal_id	Dotaz	(Volitelné) ID objektu zabezpečení identity přiřazené uživatelem, které se má použít. object_id je alias, který se místo toho může použít. Nelze použít u požadavku, který zahrnuje client_id, msi_res_id nebo object_id. Pokud jsou vynechány všechny parametry ID (client_id, principal_id, object_ida msi_res_id) , použije se identita přiřazená systémem.
msi_res_id	Dotaz	(Volitelné) ID prostředku Azure identity přiřazené uživatelem, které se má použít. Nelze použít u požadavku, který obsahuje principal_id, client_idnebo object_id. Pokud jsou vynechány všechny parametry ID (client_id, principal_id, object_ida msi_res_id) , použije se identita přiřazená systémem.

Důležité

Pokud se pokoušíte získat tokeny pro identity přiřazené uživatelem, musíte zahrnout jednu z volitelných vlastností. Jinak se služba tokenů pokusí získat token pro identitu přiřazenou systémem, která může nebo nemusí existovat.

Další kroky

• Kurz: Připojení ke službě SQL Database ze služby App Service bez tajných kódů pomocí spravované identity
• Zabezpečený přístup ke službě Azure Storage pomocí spravované identity
• Bezpečné volání Microsoft Graphu pomocí spravované identity
• Připojení bezpečně ke službám s tajnými klíči služby Key Vault