Ověřování aplikací .NET hostovaných v Azure s využitím spravované identity přiřazené uživatelem

Doporučeným přístupem k ověření aplikace hostované v Azure u jiných prostředků Azure je použití spravované identity. Tento přístup je podporovaný pro většinu služeb Azure, včetně aplikací hostovaných v Azure App Service, Azure Container Apps a Azure Virtual Machines. Další informace o různých technikách ověřování a přístupech najdete na stránce s přehledem ověřování . V dalších částech se dozvíte:

• Základní koncepty spravované identity
• Vytvoření spravované identity přiřazené uživatelem pro vaši aplikaci
• Přiřazení rolí spravované identitě přiřazené uživatelem
• Jak se ověřit pomocí spravované identity přiřazené uživatelem z vašeho aplikačního kódu

Základní koncepty spravované identity

Spravovaná identita umožňuje aplikaci bezpečně připojit k jiným prostředkům Azure bez použití tajných klíčů nebo jiných tajných kódů aplikací. Azure interně sleduje identitu a prostředky, ke kterým se může připojit. Azure tyto informace používá k automatickému získání tokenů Microsoft Entra pro aplikaci, aby se mohla připojit k dalším prostředkům Azure.

Při konfiguraci hostované aplikace je potřeba zvážit dva typy spravovaných identit:

• systémově přiřazené spravované identity jsou povoleny přímo na prostředku Azure a jsou svázané s jeho životním cyklem. Když se prostředek odstraní, Azure automaticky odstraní identitu za vás. Identity přiřazené systémem poskytují minimalistický přístup k používání spravovaných identit.
• spravované identity přiřazené uživatelem se vytvářejí jako samostatné prostředky Azure a nabízejí větší flexibilitu a možnosti. Jsou ideální pro řešení zahrnující více prostředků Azure, které potřebují sdílet stejnou identitu a oprávnění. Pokud například více virtuálních počítačů potřebuje přístup ke stejné sadě prostředků Azure, spravovaná identita přiřazená uživatelem poskytuje opakovaně použitelný a optimalizovanou správu.

Spropitné

Další informace o výběru a správě spravovaných identit přiřazených systémem a přiřazených uživatelem najdete v článku s doporučeními k osvědčeným postupům spravované identity .

Následující části popisují kroky pro povolení a použití spravované identity přiřazené uživatelem pro aplikaci hostované v Azure. Pokud potřebujete použít spravovanou identitu přiřazenou systémem, další informace najdete v článku o spravovaných identitách přiřazených systémem .

Vytvořit spravovanou identitu přiřazenou uživatelem

Spravované identity přiřazené uživatelem se ve vašem předplatném Azure vytvářejí jako samostatné prostředky pomocí Azure portálu nebo Azure CLI. Příkazy Azure CLI je možné spouštět v Azure Cloud Shellu nebo na pracovní stanici s nainstalovaným Azure CLI.

Azure Portal

1. V Azure portálu do hlavního panelu hledání zadejte spravované identity a v sekci Služby vyberte odpovídající výsledek.

2. Na stránce Spravované identity vyberte + Vytvořit.

   

3. Na stránce Vytvořit spravovanou identitu přiřazenou uživatelem vyberte předplatné, skupinu prostředků a oblast spravované identity přiřazené uživatelem a zadejte název.

4. Vyberte Zkontrolovat a vytvořit pro revizi a ověření vašich vstupů.

   

5. Vyberte Vytvořit a vytvořte spravovanou identitu přiřazenou uživatelem.

6. Po vytvoření identity vyberte Přejít k prostředku.

7. Na stránce Přehled nové identity zkopírujte hodnotu ID klienta , která se použije pro pozdější použití při konfiguraci kódu aplikace.

Azure CLI

Pomocí příkazu Azure CLI az identity create vytvořte spravovanou identitu:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

Výstup příkazu zobrazí ID klienta pro uživatelem přiřazenou spravovanou identitu. ID klienta slouží ke konfiguraci kódu aplikace, který závisí na identitě.

Vlastnosti spravované identity můžete kdykoli znovu zobrazit pomocí příkazu az identity show:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Přiřazení spravované identity k aplikaci

Spravovanou identitu přiřazenou uživatelem je možné přidružit k jednomu nebo více prostředkům Azure. Všechny prostředky, které tuto identitu používají, získají oprávnění získaná skrze role identity.

Azure Portal

1. Na webu Azure Portal přejděte k prostředku, který je hostitelem kódu vaší aplikace, jako je azure App Service nebo instance kontejnerové aplikace Azure.

2. Na stránce přehledu prostředku rozbalte nastavení a v navigaci vyberte Identitu.

3. Na stránce Identita přepněte na záložku uživatelsky přiřazené.

4. Výběrem + Přidat otevřete panel Přidat uživatelem přiřazenou spravovanou identitu.

5. Na panelu Přidat uživatelsky přiřazenou spravovanou identitu použijte rozevírací seznam Předplatné k filtrování výsledků vyhledávání pro vaše identity. Pomocí vyhledávacího pole uživatelsky přiřazené spravované identity vyhledejte uživatelsky přiřazenou spravovanou identitu, kterou jste povolili pro prostředek Azure hostující vaši aplikaci.

6. Vyberte identitu a dole na panelu zvolte Přidat, abyste pokračovali.

   

Azure CLI

Azure CLI poskytuje různé příkazy pro přiřazení spravované identity přiřazené uživatelem k různým typům hostitelských služeb.

1. Pokud chcete přiřadit uživatelsky přiřazenou spravovanou identitu k prostředku, jako je webová aplikace Azure App Service pomocí Azure CLI, budete potřebovat ID identity. Pomocí příkazu az identity show získáte ID prostředku:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Jakmile budete mít ID prostředku, pomocí příkazu Azure CLI az <resourceType> identity assign přidružte spravovanou identitu přiřazenou uživatelem k různým prostředkům, například k následujícím prostředkům:

   Pro Azure App Service použijte příkaz Azure CLI az webapp identity assign:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Pro Azure Container Apps použijte příkaz Azure CLI az containerapp identity assign:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --user-assigned <user-assigned-identity-resource-id>
   

   Ve službě Azure Virtual Machines použijte příkaz Azure CLI az vm identity assign:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Přiřazení rolí ke spravované identitě

Dále určete, které role vaše aplikace potřebuje, a přiřaďte tyto role spravované identitě. Spravované identitě můžete přiřadit role v následujících oborech:

• zdroj: Přiřazené role se vztahují pouze na tento konkrétní zdroj.
• skupiny prostředků: Přiřazené role se vztahují na všechny prostředky obsažené ve skupině prostředků.
• Předplatné: Přiřazené role se vztahují na všechny prostředky obsažené v předplatném.

Následující příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože mnoho aplikací spravuje všechny související prostředky Azure pomocí jedné skupiny prostředků.

Azure Portal

1. Přejděte na stránku Přehled skupiny prostředků, která obsahuje aplikaci s uživatelsky přiřazenou spravovanou identitou.

2. V levém navigačním panelu vyberte řízení přístupu (IAM).

3. Na stránce řízení přístupu (IAM) vyberte + Přidat v horní nabídce a potom zvolte Přidat přiřazení role a přejděte na stránku Přidat přiřazení role.

   

4. Na stránce Přidat přiřazení role se zobrazí vícekrokový pracovní postup se záložkami pro přiřazení rolí k identitám. Na úvodní kartě Role vyhledejte roli, kterou chcete přiřadit k identitě, pomocí vyhledávacího pole v horní části.

5. Ve výsledcích vyberte roli, poté zvolte Další a přejděte na kartu Členové.

6. Pro volbu Přiřazení přístupu k vyberte Spravovaná identita.

7. Pro otevření panelu Vybrat spravované identity vyberte u možnosti Členové volbu + Vybrat členy.

8. Na panelu Vyberte spravované identity použijte rozevírací seznamy Předplatné a Spravované identity k filtrování výsledků hledání pro vaše identity. Pomocí vyhledávacího pole Vybrat najděte uživatelsky přiřazenou spravovanou identitu, kterou jste povolili pro prostředek Azure hostující vaši aplikaci.

   

9. Vyberte identitu a zvolte Pokračujte výběrem v dolní části panelu.

10. Vyberte Zkontrolovat a přiřadit v dolní části stránky.

11. Na poslední kartě Zkontrolovat + přiřadit, vyberte možnost Zkontrolovat + přiřadit a dokončete pracovní postup.

Azure CLI

1. Pokud chcete přiřadit roli uživatelsky přiřazené spravované identitě pomocí Azure CLI, budete potřebovat ID objektu identity. Pomocí příkazu az identity show načtěte hlavní ID:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Pomocí příkazu az role definition list prozkoumejte, které role je možné přiřadit spravovanou identitu:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Přiřaďte spravované identitě roli pomocí příkazu az role assignment create:

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Pokud chcete například povolit spravovanou identitu s ID 99999999-9999-9999-9999-999999999999 číst, zapisovat a mazat přístup ke kontejnerům objektů blob služby Azure Storage a ke všem datům ve všech účtech úložiště ve skupině prostředků msdocs-dotnet-sdk-auth-example, přiřaďte aplikačního servisního principalu ke roli Storage Blob Data Contributor pomocí následujícího příkazu:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"
   

Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v článku Přiřazení rolí Azure pomocí azure CLI.

Ověřování ve službách Azure z vaší aplikace

Knihovna Azure Identity library poskytuje různé přihlašovací údaje– implementace TokenCredential přizpůsobené podpoře různých scénářů a toků ověřování Microsoft Entra. Vzhledem k tomu, že spravovaná identita není při místním spuštění dostupná, následující kroky ukazují, které přihlašovací údaje použít ve které situaci:

• místní vývojové prostředí: Pouze během místního vývoje, použijte třídu s názvem DefaultAzureCredential pro předkonfigurovaný a specifický řetězec přihlašovacích údajů. DefaultAzureCredential zjistí přihlašovací údaje uživatele z místního nástroje nebo integrovaného vývojového prostředí(IDE), jako je Azure CLI nebo Visual Studio. Poskytuje také flexibilitu a pohodlí pro opakování, doby čekání na odpovědi a podporu více možností ověřování. Další informace získáte v článku Ověřování ve službách Azure během místního vývoje.
• aplikace hostované v Azure: Pokud je vaše aplikace spuštěná v Azure, použijte ManagedIdentityCredential k bezpečnému zjištění spravované identity nakonfigurované pro vaši aplikaci. Zadáním tohoto přesného typu přihlašovacích údajů zabráníte neočekávanému vyzvednutí dalších dostupných přihlašovacích údajů.

Implementace kódu

Přidejte balíček Azure.Identity. V projektu ASP.NET Core nainstalujte také balíček Microsoft.Extensions.Azure:

Příkazový řádek

V terminálu podle vašeho výběru přejděte do adresáře projektu aplikace a spusťte následující příkazy:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

správce balíčků NuGet

Klikněte pravým tlačítkem na projekt v okně Průzkumníka řešení sady Visual Studio a vyberte Spravovat balíčky NuGet. Vyhledejte Azure.Identitya nainstalujte odpovídající balíček. Tento postup opakujte pro balíček Microsoft.Extensions.Azure.

Ke službám Azure se přistupuje pomocí specializovaných klientských tříd z různých klientských knihoven Azure SDK. Tyto třídy a vlastní služby by se měly zaregistrovat pro injektáž závislostí, aby je bylo možné používat v celé aplikaci. V Program.csproveďte následující kroky a nakonfigurujte třídu klienta pro injektáž závislostí a ověřování na základě tokenů:

1. Zahrňte obory názvů Azure.Identity a Microsoft.Extensions.Azure pomocí direktiv using.
2. Zaregistrujte klienta služby Azure pomocí odpovídající metody rozšíření s předponou Add.
3. Použijte odpovídající TokenCredential instanci pro prostředí, ve kterém je vaše aplikace spuštěná. Když je vaše aplikace spuštěná:
   • V Azure předejte instanci ManagedIdentityCredential metodě UseCredential a nakonfigurujte buď ID klienta, ID prostředku, nebo ID objektu. ManagedIdentityCredential zjišťuje vaše konfigurace spravované identity pro automatické ověřování u jiných služeb.
   • Na místním vývojovém počítači se pro vás vytvoří instance DefaultAzureCredential. Volejte UseCredential jenom v případě, že chcete přizpůsobit DefaultAzureCredential nebo použít jiné přihlašovací údaje. DefaultAzureCredential vyhledá v proměnných prostředí instanční objekt aplikace nebo v místně nainstalovaných vývojářských nástrojích, jako je například Visual Studio, pro sadu přihlašovacích údajů vývojáře.

ID klienta

ID klienta slouží k identifikaci spravované identity při konfiguraci aplikací nebo služeb, které je potřeba ověřit pomocí této identity.

1. Pomocí následujícího příkazu načtěte ID klienta přiřazené spravované identitě přiřazené uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Nakonfigurujte ManagedIdentityCredential s ID klienta:

   builder.Services.AddAzureClients(clientBuilder =>
   {
       clientBuilder.AddBlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"));
   
       if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
       {
           // Managed identity token credential discovered when running in Azure environments
           ManagedIdentityCredential credential = new(
               ManagedIdentityId.FromUserAssignedClientId("<client-id>"));
           clientBuilder.UseCredential(credential);
       } 
   });
   

Identifikátor prostředku

ID prostředku jednoznačně identifikuje prostředek spravované identity v rámci vašeho předplatného Azure pomocí následující struktury:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

ID prostředků lze vytvořit podle konvence, což usnadňuje práci a činí ji pohodlnější, když pracujete s velkým počtem spravovaných identit, které přiřadili uživatelé ve vašem prostředí.

1. Pomocí následujícího příkazu načtěte ID zdroje pro uživatelsky přiřazenou spravovanou identitu.

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Nakonfigurujte ManagedIdentityCredential s ID zdroje:

   builder.Services.AddAzureClients(clientBuilder =>
   {
       clientBuilder.AddBlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"));
   
       if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
       {
           // Managed identity token credential discovered when running in Azure environments
           ManagedIdentityCredential credential = new(
               ManagedIdentityId.FromUserAssignedResourceId(new ResourceIdentifier("<resource-id>")));
           clientBuilder.UseCredential(credential);
       }
   });
   

ID objektu je dalším názvem pro hlavní ID.

1. Pomocí následujícího příkazu načtěte ID objektu pro spravovanou identitu přiřazenou uživatelem:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Nakonfigurujte ManagedIdentityCredential s ID objektu:

   builder.Services.AddAzureClients(clientBuilder =>
   {
       clientBuilder.AddBlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"));
           
       if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
       {
           // Managed identity token credential discovered when running in Azure environments
           ManagedIdentityCredential credential = new(
               ManagedIdentityId.FromUserAssignedObjectId("<object-id>"));
           clientBuilder.UseCredential(credential);
       }
   });