Ověřování javascriptových aplikací hostovaných v Azure s využitím spravované identity přiřazené uživatelem

Doporučeným přístupem k ověření aplikace hostované v Azure u jiných prostředků Azure je použití spravované identity. Tento přístup je podporovaný pro většinu služeb Azure, včetně aplikací hostovaných v Azure App Service, Azure Container Apps a Azure Virtual Machines. Další informace o různých technikách ověřování a přístupech najdete na stránce přehledu ověřování . V dalších částech se dozvíte:

• Základní koncepty spravované identity
• Vytvoření spravované identity přiřazené uživatelem pro vaši aplikaci
• Přiřazení rolí spravované identitě přiřazené uživatelem
• Ověření pomocí spravované identity přiřazené uživatelem z kódu aplikace

Základní koncepty spravované identity

Spravovaná identita umožňuje aplikaci bezpečně připojit k jiným prostředkům Azure bez použití tajných klíčů nebo jiných tajných kódů aplikací. Azure interně sleduje identitu a prostředky, ke kterým se může připojit. Azure tyto informace používá k automatickému získání tokenů Microsoft Entra pro aplikaci, aby se mohla připojit k dalším prostředkům Azure.

Při konfiguraci hostované aplikace je potřeba zvážit dva typy spravovaných identit:

• Spravované identity přiřazené systémem jsou povolené přímo u prostředku Azure a jsou svázané s jeho životním cyklem. Když se prostředek odstraní, Azure automaticky odstraní identitu za vás. Identity přiřazené systémem poskytují minimalistický přístup k používání spravovaných identit.
• Spravované identity přiřazené uživatelem se vytvářejí jako samostatné prostředky Azure a nabízejí větší flexibilitu a možnosti. Jsou ideální pro řešení zahrnující více prostředků Azure, které potřebují sdílet stejnou identitu a oprávnění. Pokud například více virtuálních počítačů potřebuje přístup ke stejné sadě prostředků Azure, spravovaná identita přiřazená uživatelem poskytuje opakovaně použitelný a optimalizovanou správu.

Návod

Další informace o výběru a správě spravovaných identit přiřazených systémem a přiřazených uživatelem najdete v článku s doporučeními k osvědčeným postupům spravované identity .

Následující části popisují postup povolení a použití spravované identity přiřazené uživatelem pro aplikaci hostované v Azure. Pokud potřebujete použít spravovanou identitu přiřazenou systémem, další informace najdete v článku o spravovaných identitách přiřazených systémem .

Vytvořit uživatelsky přiřazenou spravovanou identitu

Spravované identity přiřazené uživatelem se ve vašem předplatném Azure vytvářejí jako samostatné prostředky pomocí webu Azure Portal nebo Azure CLI. Příkazy Azure CLI je možné spouštět v Azure Cloud Shellu nebo na pracovní stanici s nainstalovaným Azure CLI.

Azure Portal

1. Na webu Azure Portal zadejte na hlavním panelu hledání spravované identity a v části Služby vyberte odpovídající výsledek.

2. Na stránce Spravované identity vyberte + Vytvořit.

   

3. Na stránce Vytvořit spravovanou identitu přiřazenou uživatelem vyberte předplatné, skupinu prostředků a oblast spravované identity přiřazené uživatelem a zadejte název.

4. Vyberte Zkontrolovat a vytvořit , abyste zkontrolovali a ověřili vaše vstupy.

   

5. Výběrem možnosti Vytvořit vytvořte spravovanou identitu přiřazenou uživatelem.

6. Po vytvoření identity vyberte Přejít k prostředku.

7. Na stránce Přehled nové identity zkopírujte hodnotu ID klienta , která se použije pro pozdější použití při konfiguraci kódu aplikace.

Azure CLI

Pomocí příkazu az identity create Azure CLI vytvořte spravovanou identitu:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

Výstup příkazu vytiskne ID klienta vytvořené spravované identity přiřazené uživatelem. ID klienta slouží ke konfiguraci kódu aplikace, který závisí na identitě.

Vlastnosti spravované identity můžete kdykoli znovu zobrazit pomocí az identity show příkazu:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Přiřazení spravované identity k aplikaci

Spravovanou identitu přiřazenou uživatelem je možné přidružit k jednomu nebo více prostředkům Azure. Všechny prostředky, které tuto identitu používají, získají oprávnění použitá prostřednictvím rolí identity.

Azure Portal

1. Na webu Azure Portal přejděte k prostředku, který je hostitelem kódu vaší aplikace, jako je azure App Service nebo instance kontejnerové aplikace Azure.

2. Na stránce Přehled prostředku rozbalte Nastavení a v navigaci vyberte Identita .

3. Na stránce Identita přepněte na kartu Přiřazené uživatelem.

4. Výběrem + Přidat otevřete panel Přidat spravovanou identitu přiřazenou uživatelem .

5. Na panelu Přidat spravovanou identitu přiřazenou uživatelem použijte rozevírací seznam Předplatné k filtrování výsledků hledání pro vaše identity. Pomocí vyhledávacího pole spravované identity přiřazené uživatelem vyhledejte spravovanou identitu přiřazenou uživatelem, kterou jste povolili pro prostředek Azure hostující vaši aplikaci.

6. Vyberte identitu a pokračujte výběrem možnosti Přidat v dolní části panelu.

   

Azure CLI

Azure CLI poskytuje různé příkazy pro přiřazení spravované identity přiřazené uživatelem k různým typům hostitelských služeb.

1. Pokud chcete přiřadit spravovanou identitu přiřazenou uživatelem k prostředku, jako je webová aplikace Azure App Service pomocí Azure CLI, budete potřebovat ID prostředku identity. Pomocí příkazu načtěte az identity show ID prostředku:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Jakmile budete mít ID prostředku, pomocí příkazu az <resourceType> identity assign Azure CLI přidružte spravovanou identitu přiřazenou uživatelem k různým prostředkům, například k následujícím prostředkům:

   Pro Azure App Service použijte příkaz az webapp identity assignAzure CLI:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Pro Azure Container Apps použijte příkaz az containerapp identity assignAzure CLI:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   V případě virtuálních počítačů Azure použijte příkaz az vm identity assignAzure CLI:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Přiřazení rolí ke spravované identitě

Dále určete, které role vaše aplikace potřebuje, a přiřaďte tyto role spravované identitě. Spravované identitě můžete přiřadit role v následujících oborech:

• Prostředek: Přiřazené role se vztahují pouze na tento konkrétní prostředek.
• Skupina prostředků: Přiřazené role se vztahují na všechny prostředky obsažené ve skupině prostředků.
• Předplatné: Přiřazené role se vztahují na všechny prostředky obsažené v předplatném.

Následující příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože mnoho aplikací spravuje všechny související prostředky Azure pomocí jedné skupiny prostředků.

Azure Portal

1. Přejděte na stránku Přehled skupiny prostředků, která obsahuje aplikaci se spravovanou identitou přiřazenou uživatelem.

2. V levém navigačním panelu vyberte Řízení přístupu (IAM ).

3. Na stránce Řízení přístupu (IAM) v horní nabídce vyberte + Přidat a pak zvolte Přidat přiřazení role a přejděte na stránku Přidat přiřazení role .

   

4. Stránka Přidat přiřazení role obsahuje záložku s vícekrokovým pracovním postupem pro přiřazení rolí identitám. Na úvodní kartě Role vyhledejte pomocí vyhledávacího pole v horní části roli, kterou chcete přiřadit k identitě.

5. Ve výsledcích vyberte roli a pak zvolte Další a přejděte na kartu Členové .

6. U možnosti Přiřadit přístup vyberte Spravovaná identita.

7. U možnosti Členové zvolte + Vybrat členy a otevřete panel Vybrat spravované identity .

8. Na panelu Vybrat spravované identity pomocí rozevíracích nabídek Předplatné a Spravovaná identita vyfiltrujte výsledky hledání pro vaše identity. Pomocí vyhledávacího pole Vybrat vyhledejte spravovanou identitu přiřazenou uživatelem, kterou jste povolili pro prostředek Azure hostující vaši aplikaci.

   

9. Vyberte identitu a pokračujte výběrem možnosti Vybrat v dolní části panelu.

10. V dolní části stránky vyberte Zkontrolovat a přiřadit .

11. Na poslední kartě Revize a přiřazení vyberte Zkontrolovat a přiřadit a dokončete pracovní postup.

Azure CLI

1. Pokud chcete přiřadit roli spravované identitě přiřazené uživatelem pomocí Azure CLI, budete potřebovat ID objektu zabezpečení identity. Pomocí příkazu načtěte az identity show ID objektu zabezpečení:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Pomocí příkazu az role definition list prozkoumejte, které role se dají přiřadit spravované identitě:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Přiřazení role spravované identitě pomocí příkazu az role assignment create :

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Pokud chcete například povolit spravovanou identitu s ID 99999999-9999-9999-9999-999999999999 čtení, zápisu a odstranění přístupu ke kontejnerům objektů blob a datům Azure Storage ke všem účtům úložiště v ukázkové skupině prostředků msdocs-sdk-auth-example , přiřaďte instanční objekt aplikace k roli Přispěvatel dat objektů blob služby Storage pomocí následujícího příkazu:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v článku Přiřazení rolí Azure pomocí Azure CLI.

Ověřování ve službách Azure z vaší aplikace

Knihovna Identit Azure poskytuje různé přihlašovací údaje – implementace TokenCredential přizpůsobené podpoře různých scénářů a toků ověřování Microsoft Entra. Vzhledem k tomu, že spravovaná identita není při místním spuštění dostupná, předvádějí kroky, které se mají použít v tomto scénáři:

• Místní vývojové prostředí: Pouze při místním vývoji použijte třídu s názvem DefaultAzureCredential pro předkonfigurovaný řetězec přihlašovacích údajů. DefaultAzureCredential zjistí přihlašovací údaje uživatele z místního nástroje nebo integrovaného vývojového prostředí(IDE), jako je Azure CLI nebo Visual Studio Code. Poskytuje také flexibilitu a pohodlí pro opakování, doby čekání na odpovědi a podporu více možností ověřování. Další informace najdete v článku o ověřování ve službách Azure v místním vývojovém článku.
• Aplikace hostované v Azure: Když je vaše aplikace spuštěná v Azure, použijte ManagedIdentityCredential k bezpečnému zjištění spravované identity nakonfigurované pro vaši aplikaci. Zadáním tohoto přesného typu přihlašovacích údajů zabráníte neočekávanému vyzvednutí dalších dostupných přihlašovacích údajů.

Implementace kódu

V projektu JavaScriptu přidejte balíček @azure/identity . V terminálu podle vašeho výběru přejděte do adresáře projektu aplikace a spusťte následující příkazy:

npm install @azure/identity

Ke službám Azure se přistupuje pomocí specializovaných klientských tříd z různých klientských knihoven Azure SDK. Provedením index.jsnásledujících kroků nakonfigurujte ověřování na základě tokenu:

1. Importujte @azure/identity balíček.
2. Předejte klientovi příslušnou TokenCredential instanci:
   • Použijte DefaultAzureCredential , když je vaše aplikace spuštěná místně.
   • Použijte ManagedIdentityCredential , když je vaše aplikace spuštěná v Azure, a nakonfigurujte ID klienta, ID prostředku nebo ID objektu.

ID klienta

ID klienta slouží k identifikaci spravované identity při konfiguraci aplikací nebo služeb, které je potřeba ověřit pomocí této identity.

1. Pomocí následujícího příkazu načtěte ID klienta přiřazené spravované identitě přiřazené uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Konfigurace ManagedIdentityCredential s ID klienta:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   console.log(process.env);
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const clientId = process.env.AZURE_CLIENT_ID;
           if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Identifikátor prostředku

ID prostředku jednoznačně identifikuje prostředek spravované identity v rámci vašeho předplatného Azure pomocí následující struktury:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

ID prostředků je možné sestavit podle konvence, což usnadňuje práci s velkým počtem spravovaných identit přiřazených uživatelem ve vašem prostředí.

1. Pomocí následujícího příkazu načtěte ID prostředku pro spravovanou identitu přiřazenou uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Konfigurace ManagedIdentityCredential s ID prostředku:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const resourceId = process.env.AZURE_RESOURCE_ID;
           if (!resourceId) throw Error('AZURE_RESOURCE_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(resourceId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

ID objektu je dalším názvem ID objektu.

1. Pomocí následujícího příkazu načtěte ID objektu pro spravovanou identitu přiřazenou uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Konfigurace ManagedIdentityCredential s ID objektu:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const objectId = process.env.AZURE_OBJECT_ID;
           if (!objectId) throw Error('AZURE_OBJECT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(objectId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Implementace kódu

V projektu TypeScript přidejte balíček @azure/identity . V terminálu podle vašeho výběru přejděte do adresáře projektu aplikace a spusťte následující příkazy:

npm install typescript @azure/identity @types/node

Ke službám Azure se přistupuje pomocí specializovaných klientských tříd z různých klientských knihoven Azure SDK. Provedením index.jsnásledujících kroků nakonfigurujte ověřování na základě tokenu:

1. Importujte @azure/identity balíček.
2. Předejte klientovi příslušnou TokenCredential instanci:
   • Použití DefaultAzureCredential při místním spuštění aplikace
   • Použijte ManagedIdentityCredential , když je vaše aplikace spuštěná v Azure, a nakonfigurujte ID klienta, ID prostředku nebo ID objektu.

ID klienta

ID klienta slouží k identifikaci spravované identity při konfiguraci aplikací nebo služeb, které je potřeba ověřit pomocí této identity.

1. Pomocí následujícího příkazu načtěte ID klienta přiřazené spravované identitě přiřazené uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Konfigurace ManagedIdentityCredential s ID klienta:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const clientId = process.env.AZURE_CLIENT_ID;
           if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Identifikátor prostředku

ID prostředku jednoznačně identifikuje prostředek spravované identity v rámci vašeho předplatného Azure pomocí následující struktury:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

ID prostředků je možné sestavit podle konvence, což usnadňuje práci s velkým počtem spravovaných identit přiřazených uživatelem ve vašem prostředí.

1. Pomocí následujícího příkazu načtěte ID prostředku pro spravovanou identitu přiřazenou uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Konfigurace ManagedIdentityCredential s ID prostředku:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const resourceId = process.env.AZURE_RESOURCE_ID;
           if (!resourceId) throw Error('AZURE_RESOURCE_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(resourceId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

ID objektu je dalším názvem ID objektu.

1. Pomocí následujícího příkazu načtěte ID objektu pro spravovanou identitu přiřazenou uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Konfigurace ManagedIdentityCredential s ID objektu:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const objectId = process.env.AZURE_OBJECT_ID;
           if (!objectId) throw Error('AZURE_OBJECT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(objectId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Předchozí kód se chová jinak v závislosti na prostředí, ve kterém je spuštěný:

• Na místní vývojové pracovní stanici DefaultAzureCredential hledá proměnné prostředí pro instanční objekt aplikace nebo v místně nainstalovaných vývojářských nástrojích, jako je Visual Studio Code, pro sadu přihlašovacích údajů vývojáře.
• Při nasazení do Azure zjistí konfigurace spravované identity, ManagedIdentityCredential které se automaticky ověřují v jiných službách.