Ověření C++ aplikací hostovaných na Azure vůči prostředkům Azure pomocí spravované identity přiřazené uživatelem

Doporučeným přístupem k ověření Azure hostované aplikace u jiných prostředků Azure je použití managed identity. Tento přístup je podporován pro většinu služeb Azure, včetně aplikací hostovaných na Azure App Service, Azure Container Apps a Azure Virtual Machines. Další informace o různých technikách ověřování a přístupech najdete na stránce s přehledem ověřování . V dalších částech se dozvíte:

• Základní koncepty spravované identity
• Vytvoření spravované identity přiřazené uživatelem pro vaši aplikaci
• Přiřazení rolí spravované identitě přiřazené uživatelem
• Jak se ověřit pomocí spravované identity přiřazené uživatelem z vašeho aplikačního kódu

Základní koncepty spravované identity

Spravovaná identita umožňuje aplikaci bezpečně připojit k dalším Azure prostředkům bez použití tajných klíčů nebo jiných tajných kódů aplikací. Interně Azure sleduje identitu a prostředky, ke kterým se může připojit. Azure tyto informace používá k automatickému získání tokenů Microsoft Entra pro aplikaci, aby se mohla připojit k dalším Azure prostředkům.

Při konfiguraci hostované aplikace je potřeba zvážit dva typy spravovaných identit:

• Systemem přiřazené spravované identity jsou povoleny přímo na prostředku Azure a jsou vázány na jeho životní cyklus. Po odstranění prostředku Azure automaticky odstraní identitu za vás. Identity přiřazené systémem poskytují minimalistický přístup k používání spravovaných identit.
• Uživatelsky přiřazené spravované identity se vytvářejí jako samostatné prostředky Azure a nabízejí větší flexibilitu a schopnosti. Jsou ideální pro řešení zahrnující více Azure prostředků, které potřebují sdílet stejnou identitu a oprávnění. Pokud například více virtuálních počítačů potřebuje přístup ke stejné sadě Azure prostředků, poskytuje spravovaná identita přiřazená uživatelem možnost opakovaného použití a optimalizovanou správu.

Návod

Další informace o výběru a správě spravovaných identit přiřazených systémem a přiřazených uživatelem najdete v článku s doporučeními k osvědčeným postupům spravované identity .

Následující části popisují postup povolení a použití spravované identity přiřazené uživatelem pro Azure hostované aplikace. Pokud potřebujete použít spravovanou identitu přiřazenou systémem, další informace najdete v článku o spravovaných identitách přiřazených systémem .

Vytvořit uživatelsky přiřazenou spravovanou identitu

Spravované identity přiřazené uživatelem se ve vašem Azure předplatném vytvářejí jako samostatné prostředky pomocí portálu Azure nebo Azure CLI. Azure CLI příkazy je možné spouštět v Azure Cloud Shell nebo na pracovní stanici s nainstalovaným Azure CLI.

Azure

1. Na portálu Azure zadejte na hlavním panelu hledání Spravované identity a v části Services vyberte odpovídající výsledek.

2. Na stránce Spravované identity vyberte + Vytvořit.

   

3. Na stránce Vytvořit spravovanou identitu přiřazenou uživatelem vyberte předplatné, skupinu prostředků a oblast spravované identity přiřazené uživatelem a zadejte název.

4. Vyberte Zkontrolovat a vytvořit pro revizi a ověření vašich vstupů.

   

5. Vyberte Vytvořit a vytvořte spravovanou identitu přiřazenou uživatelem.

6. Po vytvoření identity vyberte Přejít k prostředku.

7. Na stránce Přehled nové identity zkopírujte hodnotu ID klienta , která se použije pro pozdější použití při konfiguraci kódu aplikace.

Azure CLI

Pomocí příkazu Azure CLI az identity create vytvořte spravovanou identitu:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

Výstup příkazu zobrazí ID klienta pro uživatelem přiřazenou spravovanou identitu. ID klienta slouží ke konfiguraci kódu aplikace, který závisí na identitě.

Vlastnosti spravované identity můžete kdykoli znovu zobrazit pomocí příkazu az identity show:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Přiřazení spravované identity k aplikaci

Spravovanou identitu přiřazenou uživatelem je možné přidružit k jednomu nebo více prostředkům Azure. Všechny prostředky, které tuto identitu používají, získají oprávnění získaná skrze role identity.

Azure

1. Na portálu Azure přejděte k prostředku, který je hostitelem kódu aplikace, jako je Azure App Service nebo instance Azure Container Apps.

2. Na stránce přehledu prostředku rozbalte nastavení a v navigaci vyberte Identitu.

3. Na stránce Identita přepněte na záložku uživatelsky přiřazené.

4. Výběrem + Přidat otevřete panel Přidat uživatelem přiřazenou spravovanou identitu.

5. Na panelu Přidat uživatelsky přiřazenou spravovanou identitu použijte rozevírací seznam Předplatné k filtrování výsledků vyhledávání pro vaše identity. Pomocí vyhledávacího pole Uživateli přiřazené spravované identity vyhledejte spravovanou identitu přiřazenou uživatelem, kterou jste povolili pro prostředek Azure hostující vaši aplikaci.

6. Vyberte identitu a dole na panelu zvolte Přidat, abyste pokračovali.

   

Azure CLI

Azure CLI poskytuje různé příkazy pro přiřazení spravované identity přiřazené uživatelem různým typům hostitelských služeb.

1. Abyste mohli přiřadit spravovanou identitu přiřazenou uživatelem k prostředku, jako je webová aplikace Azure App Service, pomocí Azure CLI, budete potřebovat ID této identity. Pomocí příkazu az identity show získáte ID prostředku:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Jakmile budete mít ID prostředku, pomocí příkazu Azure CLI az <resourceType> identity assign přidružte spravovanou identitu přiřazenou uživatelem k různým prostředkům, například k následujícím prostředkům:

   Pro Azure App Service použijte příkaz Azure CLI az webapp identity assign:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Pro Azure Container Apps použijte příkaz Azure CLI az containerapp identity assign:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --user-assigned <user-assigned-identity-resource-id>
   

   Pro Azure Virtual Machines použijte příkaz Azure CLI az vm identity assign:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Přiřazení rolí ke spravované identitě

Dále určete, které role vaše aplikace potřebuje, a přiřaďte tyto role spravované identitě. Spravované identitě můžete přiřadit role v následujících oborech:

• zdroj: Přiřazené role se vztahují pouze na tento konkrétní zdroj.
• skupiny prostředků: Přiřazené role se vztahují na všechny prostředky obsažené ve skupině prostředků.
• Předplatné: Přiřazené role se vztahují na všechny prostředky obsažené v předplatném.

Následující příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože mnoho aplikací spravuje všechny související Azure prostředky pomocí jedné skupiny prostředků.

Azure

1. Přejděte na stránku Přehled skupiny prostředků, která obsahuje aplikaci s uživatelsky přiřazenou spravovanou identitou.

2. V levém navigačním panelu vyberte řízení přístupu (IAM).

3. Na stránce řízení přístupu (IAM) vyberte + Přidat v horní nabídce a potom zvolte Přidat přiřazení role a přejděte na stránku Přidat přiřazení role.

   

4. Na stránce Přidat přiřazení role se zobrazí vícekrokový pracovní postup se záložkami pro přiřazení rolí k identitám. Na úvodní kartě Role vyhledejte roli, kterou chcete přiřadit k identitě, pomocí vyhledávacího pole v horní části.

5. Ve výsledcích vyberte roli, potom klikněte na Další, abyste přešli na kartu Členové.

6. U možnosti Přiřadit přístup k vyberte možnost Spravovaná identita.

7. Pro otevření panelu Vybrat spravované identity vyberte u možnosti Členové volbu + Vybrat členy.

8. Na panelu Vyberte spravované identity použijte rozevírací seznamy Předplatné a Spravované identity k filtrování výsledků hledání pro vaše identity. Pomocí vyhledávacího pole Select vyhledejte spravovanou identitu přiřazenou uživatelem, kterou jste povolili pro prostředek Azure hostující vaši aplikaci.

   

9. Vyberte identitu a zvolte Pokračujte výběrem v dolní části panelu.

10. Vyberte Zkontrolovat a přiřadit v dolní části stránky.

11. Na poslední kartě Zkontrolovat + přiřadit, vyberte možnost Zkontrolovat + přiřadit a dokončete pracovní postup.

Azure CLI

1. Pro přiřazení role spravované identitě přiřazené uživatelem pomocí Azure CLI budete potřebovat ID hlavního názvu identity. Pomocí příkazu az identity show načtěte hlavní ID:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Pomocí příkazu az role definition list prozkoumejte, které role je možné přiřadit spravovanou identitu:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Přiřaďte spravované identitě roli pomocí příkazu az role assignment create:

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Pokud chcete například povolit spravované identitě s ID 99999999-9999-9999-9999-999999999999 čtení, zapisování a odstraňování přístupu ke kontejnerům objektů blob a datům Azure Storage ke všem účtům úložiště ve skupině prostředků msdocs-sdk-auth-example, přiřaďte instanční objekt aplikace k roli Storage Blob Data Contributor pomocí následujícího příkazu:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v článku Assignování rolí Azure pomocí Azure CLI.

Autentizace ke službám Azure z vaší aplikace

Knihovna identit Azure poskytuje různé pověření – implementace TokenCredential přizpůsobené podpoře různých scénářů a toků ověřování Microsoft Entra. Vzhledem k tomu, že spravovaná identita není při místním spuštění dostupná, následující kroky ukazují, které přihlašovací údaje použít ve které situaci:

• místní vývojové prostředí: Během místního vývoje pouzepoužijte třídu s názvem DefaultAzureCredential pro předkonfigurovaný řetězec přihlašovacích údajů. DefaultAzureCredential zjistí přihlašovací údaje uživatele z místního nástroje nebo integrovaného vývojového prostředí, jako je Azure CLI nebo Visual Studio. Poskytuje také flexibilitu a pohodlí pro opakování, doby čekání na odpovědi a podporu více možností ověřování. Další informace najdete v článku Autentizace ke službám Azure během místního vývoje.
• Azure hostované aplikace: Pokud je aplikace spuštěná v Azure, použijte ManagedIdentityCredential a bezpečně zjistěte spravovanou identitu nakonfigurovanou pro vaši aplikaci. Zadáním tohoto přesného typu přihlašovacích údajů zabráníte neočekávanému vyzvednutí dalších dostupných přihlašovacích údajů.

Implementace kódu

1. Přidejte do aplikace balíček azure-identity-cpp pomocí vcpkg.

   V terminálu podle vašeho výběru přejděte do adresáře projektu aplikace a spusťte následující příkaz:

   vcpkg add port azure-identity-cpp
   

2. Do souboru CMake přidejte následující:

   find_package(azure-identity-cpp CONFIG REQUIRED)
   target_link_libraries(<your project name> PRIVATE Azure::azure-identity)
   

3. Azure služby jsou přístupné pomocí specializovaných klientů z různých klientských knihoven Azure SDK. Pro každý kód jazyka C++, který vytvoří instanci klienta Azure SDK ve vaší aplikaci, musíte:

   1. Zahrňte azure/identity.hpp záhlaví.
   2. Vytvořte instanci DefaultAzureCredential.
   3. Předejte instanci DefaultAzureCredential konstruktoru klienta Azure SDK.
   4. Nastavte proměnnou AZURE_CLIENT_ID prostředí na ID klienta uživatelsky přiřazené spravované identity.
   5. Nastavte proměnnou prostředí AZURE_TOKEN_CREDENTIALS na ManagedIdentityCredential, abyste zajistili, že DefaultAzureCredential používá autentizační údaje spravované identity. Tento postup zpřehledňuje a usnadňuje ověřování a umožňuje snadnější ladění při nasazení na Azure. Další informace najdete v tématu Použití konkrétních přihlašovacích údajů.

   Příklad těchto kroků je znázorněn v následujícím segmentu kódu s klientem Azure Storage Blob.

   #include <azure/identity.hpp>
   #include <azure/storage/blobs.hpp>
   #include <iostream>
   #include <memory>
   #include <cstdlib>
   
   int main() {
       try {
           // Set the AZURE_CLIENT_ID environment variable to your user-assigned managed identity client ID
           // This can be done in your deployment environment or in code (shown below for demonstration)
           // std::putenv("AZURE_CLIENT_ID=your-user-assigned-identity-client-id");
   
           // Create a credential - DefaultAzureCredential will use the AZURE_CLIENT_ID environment variable
           // Create a credential - DefaultAzureCredential will use the AZURE_CLIENT_ID and AZURE_TOKEN_CREDENTIALS environment variables
           auto credential = std::make_shared<Azure::Identity::DefaultAzureCredential>(true);
   
           // Create a client for the specified storage account
           std::string accountUrl = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/";
           Azure::Storage::Blobs::BlobServiceClient blobServiceClient(accountUrl, credential);
   
           // Get a reference to a container
           std::string containerName = "sample-container";
           auto containerClient = blobServiceClient.GetBlobContainerClient(containerName);
   
           // Get a reference to a blob
           std::string blobName = "sample-blob";
           auto blobClient = containerClient.GetBlobClient(blobName);
   
           // TODO: perform some action with the blob client
           // auto downloadResult = blobClient.DownloadTo("path/to/local/file");
   
           std::cout << "Successfully authenticated using user-assigned managed identity." << std::endl;
   
       } catch (const std::exception& ex) {
           std::cout << "Exception: " << ex.what() << std::endl;
           return 1;
       }
   
       return 0;
   }
   

Jak je popsáno v článku Azure SDK pro přehled ověřování jazyka C++DefaultAzureCredential podporuje více metod ověřování a určuje metodu ověřování, která se používá za běhu. Výhodou tohoto přístupu je, že vaše aplikace může používat různé metody ověřování v různých prostředích bez implementace kódu specifického pro prostředí. Pokud se předchozí kód spustí na pracovní stanici během místního vývoje, DefaultAzureCredential použije instanční objekt aplikace určený nastavením prostředí nebo přihlašovací údaje nástroje pro vývojáře k ověření s jinými prostředky Azure. Stejný kód je tedy možné použít k ověření vaší aplikace k prostředkům Azure během místního vývoje i při nasazení na Azure.

Důležité

DefaultAzureCredential zjednodušuje ověřování při vývoji aplikací, které se nasazují do Azure kombinováním přihlašovacích údajů používaných v prostředích hostování Azure a přihlašovacích údajů používaných v místním vývoji. V produkčním prostředí je lepší použít specifický typ přihlašovacích údajů, aby autentizace byla předvídatelnější a snáze debuggovatelná.

Alternativou k DefaultAzureCredential je použití ManagedIdentityCredential. Postup použití ManagedIdentityCredential je stejný jako pro použití typu DefaultAzureCredential .

Příklad těchto kroků je znázorněn v následujícím segmentu kódu s klientem Azure Storage Blob.

#include <azure/identity.hpp>
#include <azure/storage/blobs.hpp>
#include <iostream>
#include <memory>

int main() {
    try {
        // Create a user-assigned managed identity credential with the client ID
        Azure::Identity::ManagedIdentityCredentialOptions options;
        options.ClientId = "abcd1234-..."; // Replace with your user-assigned managed identity client ID
        auto credential = std::make_shared<Azure::Identity::ManagedIdentityCredential>(options);
        
        // Create a client for the specified storage account
        std::string accountUrl = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/";
        Azure::Storage::Blobs::BlobServiceClient blobServiceClient(accountUrl, credential);
        
        // Get a reference to a container
        std::string containerName = "sample-container";
        auto containerClient = blobServiceClient.GetBlobContainerClient(containerName);
        
        // Get a reference to a blob
        std::string blobName = "sample-blob";
        auto blobClient = containerClient.GetBlobClient(blobName);
        
        // TODO: perform some action with the blob client
        // auto downloadResult = blobClient.DownloadTo("path/to/local/file");
        
        std::cout << "Successfully authenticated using user-assigned managed identity." << std::endl;
        
    } catch (const std::exception& ex) {
        std::cout << "Exception: " << ex.what() << std::endl;
        return 1;
    }
    
    return 0;
}