Konfigurace aplikace tak, aby důvěřovala spravované identitě

Tento článek popisuje, jak nakonfigurovat aplikaci Microsoft Entra tak, aby důvěřovala spravované identitě. Token spravované identity pak můžete vyměnit za přístupový token, který má přístup k prostředkům chráněným Microsoft Entra, aniž byste museli používat nebo spravovat tajné kódy aplikací.

Požadavky

Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
Tento účet Azure musí mít oprávnění k aktualizaci přihlašovacích údajů aplikace. Kterákoli z následujících rolí Microsoft Entra zahrnuje potřebná oprávnění:
- Správce aplikace
- Vývojář aplikace
- správce cloudových aplikací
Porozumění konceptům o spravovaných identitách pro prostředky Azure.
Spravovaná identita přiřazená uživatelem přiřazená k výpočetnímu prostředku Azure (například virtuálnímu počítači nebo službě Azure App Service), která hostuje vaši úlohu.
Registrace aplikace v Microsoft Entra ID. Tato registrace aplikace musí patřit do stejného klienta jako spravovaná identita.
- Pokud potřebujete získat přístup k prostředkům v jiném tenantovi, musí být registrace aplikace víceklientská aplikace a zřízená v jiném tenantovi. Přečtěte si, jak přidat víceklientskou aplikaci do jiných tenantů.
Registrace aplikace musí mít udělený přístup k prostředkům chráněným Microsoft Entra (například Azure, Microsoft Graph, Microsoft 365 atd.). Tento přístup je možné udělit prostřednictvím oprávnění rozhraní API nebo delegovaných oprávnění.

Důležité aspekty a omezení

Pro vytvoření, aktualizaci nebo odstranění pověření federované identity musí účet, který akci provádí, mít roli Správce aplikací, Vývojář aplikací, Správce cloudových aplikacínebo Vlastník aplikace. Je vyžadováno oprávnění microsoft.directory/applications/credentials/update k aktualizaci přihlašovacích údajů federované identity.

Do aplikace nebo spravované identity přiřazené uživatelem je možné přidat maximálně 20 přihlašovacích údajů federované identity.

Při konfiguraci přihlašovacích údajů federované identity je k dispozici několik důležitých informací:

vystavitele, předmět jsou klíčové informace potřebné k nastavení vztahu důvěryhodnosti. Když úloha Azure požádá platformu Microsoft Identity Platform o výměnu tokenu spravované identity za přístupový token aplikace Entra, kontrolují se hodnoty vystavitele a subjektu přihlašovacích údajů federované identity proti issuer a subject deklaracím poskytnutým v tokenu spravované identity. Pokud kontrola ověření projde, platforma Microsoft Identity Platform vydá přístupový token pro úlohy externího softwaru.
vystavitel je URL autority tenanta Microsoft Entra ve formě https://login.microsoftonline.com/{tenant}/v2.0. Aplikace Microsoft Entra i spravovaná identita musí patřit do stejného tenanta. Pokud deklarace identity issuer obsahuje počáteční nebo koncové prázdné znaky v hodnotě, výměna tokenů se zablokuje.
subject: Toto je identifikátor GUID rozlišující malá a velká písmena ID objektu (principal) spravované identity přiřazeného k úloze Azure. Spravovaná identita musí být ve stejném tenantu jako registrace aplikace, i když je cílový zdroj v jiném cloudu. Platforma Microsoft Identity odmítne výměnu tokenu, pokud subject v konfiguraci přihlašovacích údajů federované identity přesně neodpovídá ID Principála spravované identity.
Publikum specifikuje hodnotu, která se zobrazí v aud deklaraci v tokenu spravované identity (povinné). Hodnota musí být jedna z následujících v závislosti na cílovém cloudu.
- Globální služba Microsoft Entra ID: api://AzureADTokenExchange
- Microsoft Entra ID pro státní správu USA: api://AzureADTokenExchangeUSGov
- Microsoft Entra China provozovaný společností 21Vianet: api://AzureADTokenExchangeChina
Důležité

Přístup k prostředkům v jiném tenantovi se podporuje. Přístup k prostředkům v jiném cloudu se nepodporuje. Požadavky na tokeny do jiných cloudů selžou.

Důležité

Pokud omylem přidáte nesprávné informace v nastavení vystavitele, předmětu nebo cílové skupiny, přihlašovací údaje federované identity se přesto úspěšně vytvoří bez chyby. Tato chyba se neprojeví, dokud se výměna tokenu nezdaří.
název je jedinečný identifikátor přihlašovacích údajů federované identity. (Povinné) Toto pole má limit znaků 3–120 znaků a musí být popisný pro adresu URL. Podporují se alfanumerické znaky, pomlčky nebo podtržítka a první znak musí být jenom alfanumerický. Po vytvoření je neměnný.
popis je popis přihlašovacích údajů federované identity (volitelné). Popis se neověřuje ani nekontroluje podle ID Microsoft Entra. Toto pole má limit 600 znaků.

Zástupné znaky nejsou podporovány v žádné z hodnot vlastností přihlašovacích údajů o federované identitě.

Konfigurace přihlašovacích údajů federované identity v aplikaci

V této části nakonfigurujete přihlašovací údaje federované identity v existující aplikaci tak, aby důvěřovaly spravované identitě. Na následujících kartách můžete zvolit, jak nakonfigurovat přihlašovací údaje federované identity v existující aplikaci.

Přihlaste se do Centra pro správu Microsoft Entra. Zkontrolujte, že jste v tenantovi, ve kterém je vaše aplikace zaregistrovaná.
Přejděte kregistracím aplikace> a v hlavním okně vyberte svou aplikaci.
V části Spravovat vyberte Certifikáty a tajné kódy.
Vyberte kartu Federované přihlašovací údaje a vyberte Přidat přihlašovací údaje.

V rozevíracím seznamu Scénář federovaných přihlašovacích údajů vyberte Spravovanou identitu a vyplňte hodnoty podle následující tabulky:

(No improvements necessary, the translation is already optimal.)	Popis	Příklad
Vydavatel	Adresa URL autority Microsoft Entra ID pro vystavování tokenu spravované identity pomocí OAuth 2.0 / OIDC. Tato hodnota se automaticky naplní aktuálním vystavitelem tenanta Entra.	`https://login.microsoftonline.com/{tenantID}/v2.0`
Výběr spravované identity	Kliknutím na tento odkaz vyberte spravovanou identitu, která bude fungovat jako přihlašovací údaje federované identity. Jako přihlašovací údaje můžete používat pouze spravované identity User-Assigned.	msi-webapp1
Popis (volitelné)	Popis přihlašovacích údajů federované identity zadaný uživatelem.	Důvěřovat UAMI úlohám jako přihlašovacímu údaji mé aplikace
Obecenstvo	Hodnota cílové skupiny, která se musí objevit v externím tokenu.	Musí být nastavená na jednu z následujících hodnot: • Globální služba Entra ID: api://AzureADTokenExchange • Entra ID pro státní správu USA: api://AzureADTokenExchangeUSGov • Entra ID Čína provozovaná společností 21Vianet: api://AzureADTokenExchangeChina

Snímek obrazovky s oknem přihlašovacích údajů v Centru pro správu Microsoft Entra

Otevřete terminál v preferovaném integrovaném vývojovém prostředí a spuštěním následujícího příkazu vytvořte v aplikaci přihlašovací údaje federované identity.

az ad app federated-credential create --id 00001111-aaaa-2222-bbbb-3333cccc4444 --parameters credential.json

Parametr id určuje ID aplikace (ID objektu). Parametr parameters určuje konfiguraci přihlašovacích údajů federované identity ve formátu JSON.

Toto je příklad pro obsah credential.json. subject Identifikátor GUID nahraďte ID objektu (instančního objektu) spravované identity a {tenantID} ID tenanta vaší aplikace. Hodnota cílové skupiny musí být nastavená na jednu z následujících hodnot:
• Globální služba Entra ID: api://AzureADTokenExchange
• Entra ID pro státní správu USA: api://AzureADTokenExchangeUSGov
• Entra ID Čína provozovaná společností 21Vianet: api://AzureADTokenExchangeChina

{
    "name": "msi-webapp1",
    "issuer": "https://login.microsoftonline.com/{tenantID}/v2.0",
    "subject": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "description": "Trust the workload's UAMI to impersonate the App",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

V preferovaném integrovaném vývojovém prostředí otevřete terminál PowerShellu a spuštěním následujícího příkazu vytvořte v aplikaci přihlašovací údaje federované identity. Subject Identifikátor GUID nahraďte ID objektu (instančního objektu) spravované identity a {tenantID} ID tenanta vaší aplikace.

Hodnota cílové skupiny musí být nastavená na jednu z následujících hodnot:
• Globální služba Entra ID: api://AzureADTokenExchange
• Entra ID pro státní správu USA: api://AzureADTokenExchangeUSGov
• Entra ID Čína provozovaná společností 21Vianet: api://AzureADTokenExchangeChina

New-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -Audience api://AzureADTokenExchange -Issuer 'https://login.microsoftonline.com/{tenantID}/v2.0' -Name 'MyMsiFic' -Subject 'aaaabbbb-0000-cccc-1111-dddd2222eeee'

Otevřete terminál v preferovaném integrovaném vývojovém prostředí a spuštěním následujícího příkazu vytvořte v aplikaci přihlašovací údaje federované identity. Nastavte hodnotu subject na ID objektu (principála) spravované identity a {tenantID} na ID tenanta vaší aplikace.

az rest --method POST --uri 'https://graph.microsoft.com/applications/{app_registration_id}/federatedIdentityCredentials' --body '{"name":"MyMsiFicTest","issuer":"https://login.microsoftonline.com/{tenantID}/v2.0","subject":"{Managed_Identity_Principal_ID}","description":"Trust the workloads UAMI to impersonate the App","audiences":["api://AzureADTokenExchange"]}'

Tento příklad ukazuje, jak pomocí Bicep vytvořit FIC, aby vaše aplikace důvěřovala přiřazené spravované identitě. Zástupné symboly nahraďte příslušnými hodnotami.

extension 'br:mcr.microsoft.com/bicep/extensions/microsoftgraph/v1.0:0.1.8-preview'

param myWorkloadManagedIdentity string = '[MANAGED-IDENTITY-NAME]'
param applicationDisplayName string = '[APPLICATION-DISPLAYNAME]'
param applicationName string = '[APPLICATION-UNIQUE-NAME]'

resource myManagedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2023-01-31' existing = {
  name: myWorkloadManagedIdentity
}

resource myApp 'Microsoft.Graph/applications@v1.0' = {
  displayName: applicationDisplayName
  uniqueName: applicationName

  resource myMsiFic 'federatedIdentityCredentials@v1.0' = {
    name: '${myApp.uniqueName}/msiAsFic'
    description: 'Trust the workloads UAMI to impersonate the App'
    audiences: [
       'api://AzureADTokenExchange'
    ]
    issuer: '${environment().authentication.loginEndpoint}${tenant().tenantId}/v2.0'
    subject: myManagedIdentity.properties.principalId
  }
}

Aktualizace kódu aplikace pro vyžádání přístupového tokenu

Následující fragmenty kódu ukazují, jak získat token spravované identity a použít ho jako přihlašovací údaje pro vaši aplikaci Entra. Ukázky jsou platné v obou případech, kdy je cílový prostředek buď ve stejném tenantovi jako aplikace Entra, nebo v jiném tenantovi.

Klientské knihovny Azure Identity

Následující ukázky kódu ukazují přístup k tajnému kódu služby Azure Key Vault, ale dají se přizpůsobit pro přístup k jakémukoli prostředku chráněnému microsoftem Entra.

using Azure.Core;
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
string miAudience = "api://AzureADTokenExchange";

// Create an assertion with the managed identity access token, so that it can be
// exchanged for an app token. Client ID is passed here. Alternatively, either
// object ID or resource ID can be passed.
ManagedIdentityCredential miCredential = new(
    ManagedIdentityId.FromUserAssignedClientId("<YOUR_MI_CLIENT_ID>"));
TokenRequestContext tokenRequestContext = new([$"{miAudience}/.default"]);
ClientAssertionCredential clientAssertionCredential = new(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    async _ =>
        (await miCredential
            .GetTokenAsync(tokenRequestContext)
            .ConfigureAwait(false)).Token
);

// Create a new SecretClient using the assertion
SecretClient client = new(
    new Uri("https://testfickv.vault.azure.net/"), 
    clientAssertionCredential);

// Retrieve the secret
KeyVaultSecret secret = client.GetSecret("<SECRET_NAME>");

package main

import (
  "context"
  "log"

  "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
  "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
  "github.com/Azure/azure-sdk-for-go/sdk/security/keyvault/azsecrets"
)

func main() {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  azScopes := []string{"api://AzureADTokenExchange/.default"}

  // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
  mic, err := azidentity.NewManagedIdentityCredential(
    &azidentity.ManagedIdentityCredentialOptions{
      ID: azidentity.ClientID("<YOUR_MI_CLIENT_ID>"),
    },
  )
  if err != nil {
    log.Fatal("error constructing managed identity credential: ", err)
  }

  getAssertion := func(ctx context.Context) (string, error) {
    tk, err := mic.GetToken(ctx, policy.TokenRequestOptions{Scopes: azScopes})
    return tk.Token, err
  }
  cred, err := azidentity.NewClientAssertionCredential("<YOUR_TENANT_ID>", "<YOUR_APP_CLIENT_ID>", getAssertion, nil)
  if err != nil {
    log.Fatal("error constructing client assertion credential: ", err)
  }

  client := azsecrets.NewClient("https://testfickv.vault.azure.net", cred, nil)
	resp, err := client.GetSecret(context.TODO(), "<SECRET_NAME>", "", nil)
	if err != nil {
		// TODO: handle error
	}
}

import com.azure.core.credential.TokenRequestContext;
import com.azure.core.credential.*;
import com.azure.identity.*;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;

import reactor.core.publisher.Mono;

public class KeyVaultFIC {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  private static final String MI_AUDIENCE = "api://AzureADTokenExchange";

  public static void main(String[] args) throws Exception {
    ClientAssertionCredential clientAssertionCredential = new ClientAssertionCredentialBuilder()
        .tenantId("<YOUR_TENANT_ID>")
        .clientId("<YOUR_APP_CLIENT_ID>")
        .clientAssertion(() -> getTokenUsingManagedIdentity(MI_AUDIENCE).block())
        .build();

    SecretClient secretClient = new SecretClientBuilder()
        .vaultUrl("https://testfickv.vault.azure.net")
        .credential(clientAssertionCredential)
        .buildClient();

    KeyVaultSecret secret = secretClient.getSecret("<SECRET_NAME>");
  }

  private static Mono<String> getTokenUsingManagedIdentity(String audience) {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    ManagedIdentityCredential managedIdentityCredential = new ManagedIdentityCredentialBuilder()
        .clientId("<YOUR_MI_CLIENT_ID>")
        .build();
    TokenRequestContext requestContext = new TokenRequestContext()
        .addScopes(audience + "/.default");

    return managedIdentityCredential
        .getToken(requestContext)
        .map(accessToken -> accessToken.getToken());
  }
}

import { ManagedIdentityCredential, ClientAssertionCredential, TokenCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
const MI_AUDIENCE: string = "api://AzureADTokenExchange";

async function getAccessToken(credential: TokenCredential, audience: string[]): Promise<string> {
    const accessToken = await credential.getToken(audience);
    const token = accessToken?.token;
    if (!token)
        throw new Error(`Failed to obtain valid access token, received ${token}`);
    return token;
}

const main = async () => {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    const managedIdentityCredential = new ManagedIdentityCredential(
    {
        clientId: "<YOUR_MI_CLIENT_ID>"
    });
    const clientAssertionCredential = new ClientAssertionCredential(
        "<YOUR_TENANT_ID>",
        "<YOUR_APP_CLIENT_ID>",
        () => getAccessToken(managedIdentityCredential, [`${MI_AUDIENCE}/.default`]));
    const client = new SecretClient("https://testfickv.vault.azure.net", clientAssertionCredential);

    try {
        const secret = await client.getSecret("<SECRET_NAME>");
        console.log("Found the secret from Key Vault");
    } catch (error) {
        console.error("Failed to retrieve secret:", error);
        throw error;
    }
};

main();

from azure.identity import ManagedIdentityCredential, ClientAssertionCredential
from azure.keyvault.secrets import SecretClient

# Audience value must be one of the below values depending on the target cloud:
# - Entra ID Global cloud: api://AzureADTokenExchange
# - Entra ID US Government: api://AzureADTokenExchangeUSGov
# - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
MI_AUDIENCE = "api://AzureADTokenExchange"

def get_managed_identity_token(credential, audience):
    return credential.get_token(audience).token

# Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
managed_identity_credential = ManagedIdentityCredential(client_id="<YOUR_MI_CLIENT_ID>")

client_assertion_credential = ClientAssertionCredential(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    lambda: get_managed_identity_token(managed_identity_credential, f"{MI_AUDIENCE}/.default"))

client = SecretClient(
    vault_url="https://testfickv.vault.azure.net",
    credential=client_assertion_credential)
retrieved_secret = client.get_secret("<SECRET_NAME>")

Microsoft.Identity.Web

Ve službě Microsoft.Identity.Web můžete nastavit ClientCredentials oddíl ve svém appsettings.json tak, aby umožňoval použití SignedAssertionFromManagedIdentity kódu s nakonfigurovanou spravovanou identitou jako přihlašovacích údajů:

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "YOUR_APPLICATION_ID",
    "TenantId": "YOUR_TENANT_ID",
    
    "ClientCredentials": [
      {
        "SourceType": "SignedAssertionFromManagedIdentity",
        "ManagedIdentityClientId": "YOUR_USER_ASSIGNED_MANAGED_IDENTITY_CLIENT_ID",
        "TokenExchangeUrl": "api://AzureADTokenExchange/.default"
      }
    ]
  }
}

MSAL (.NET)

V MSAL můžete pomocí třídy ManagedClientApplication získat token spravované identity. Tento token lze následně použít jako klientské tvrzení při vytváření důvěrné klientské aplikace.

using Microsoft.Identity.Client;
using Microsoft.Identity.Client.AppConfig;
using Azure.Storage.Blobs;
using Azure.Core;
using Azure.Storage.Blobs.Models;

internal class Program
{
  static async Task Main(string[] args)
  {
      string storageAccountName = "YOUR_STORAGE_ACCOUNT_NAME";
      string containerName = "CONTAINER_NAME";

      string appClientId = "YOUR_APP_CLIENT_ID";
      string resourceTenantId = "YOUR_RESOURCE_TENANT_ID";
      Uri authorityUri = new($"https://login.microsoftonline.com/{resourceTenantId}");
      string miClientId = "YOUR_MI_CLIENT_ID";
      string audience = "api://AzureADTokenExchange/.default";

      // Get mi token to use as assertion
      var miAssertionProvider = async (AssertionRequestOptions _) =>
      {
            var miApplication = ManagedIdentityApplicationBuilder
                .Create(ManagedIdentityId.WithUserAssignedClientId(miClientId))
                .Build();

            var miResult = await miApplication.AcquireTokenForManagedIdentity(audience)
                .ExecuteAsync()
                .ConfigureAwait(false);
            return miResult.AccessToken;
      };

      // Create a confidential client application with the assertion.
      IConfidentialClientApplication app = ConfidentialClientApplicationBuilder.Create(appClientId)
        .WithAuthority(authorityUri, false)
        .WithClientAssertion(miAssertionProvider)
        .WithCacheOptions(CacheOptions.EnableSharedCacheOptions)
        .Build();

        // Get the federated app token for the storage account
        string[] scopes = [$"https://{storageAccountName}.blob.core.windows.net/.default"];
        AuthenticationResult result = await app.AcquireTokenForClient(scopes).ExecuteAsync().ConfigureAwait(false);

        TokenCredential tokenCredential = new AccessTokenCredential(result.AccessToken);
        var containerClient = new BlobContainerClient(
            new Uri($"https://{storageAccountName}.blob.core.windows.net/{containerName}"),
            tokenCredential);

        await foreach (BlobItem blob in containerClient.GetBlobsAsync())
        {
            // TODO: perform operations with the blobs
            BlobClient blobClient = containerClient.GetBlobClient(blob.Name);
            Console.WriteLine($"Blob name: {blobClient.Name}, URI: {blobClient.Uri}");
        }
    }
}

Viz také

Důležité aspekty a omezení pro přihlašovací údaje federované identity

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-06-06