Authentifizieren von von Azure gehosteten Go-Apps für Azure-Ressourcen mithilfe einer vom System zugewiesenen verwalteten Identität

Der empfohlene Ansatz zum Authentifizieren einer von Azure gehosteten App für andere Azure-Ressourcen besteht darin, eine verwaltete Identität zu verwenden. Dieser Ansatz wird für die meisten Azure-Dienste unterstützt, einschließlich Apps, die auf Azure App Service, Azure-Container-Apps und virtuellen Azure-Computern gehostet werden. Erfahren Sie mehr über verschiedene Authentifizierungstechniken und Ansätze auf der Seite "Authentifizierungsübersicht ". In den folgenden Abschnitten erfahren Sie:

• Grundlegende Konzepte für verwaltete Identitäten
• So erstellen Sie eine vom System zugewiesene verwaltete Identität für Ihre App
• Zuweisen von Rollen zur vom System zugewiesenen verwalteten Identität
• So authentifizieren Sie sich mithilfe der vom System zugewiesenen verwalteten Identität aus Ihrem App-Code

Grundlegende Konzepte für verwaltete Identitäten

Mit einer verwalteten Identität kann Ihre App sicher eine Verbindung mit anderen Azure-Ressourcen herstellen, ohne geheime Schlüssel oder andere geheime Anwendungsschlüssel zu verwenden. Intern verfolgt Azure die Identität und welche Ressourcen es erlaubt, eine Verbindung herzustellen. Azure verwendet diese Informationen, um Automatisch Microsoft Entra-Token für die App abzurufen, damit sie eine Verbindung mit anderen Azure-Ressourcen herstellen kann.

Es gibt zwei Arten von verwalteten Identitäten, die Sie beim Konfigurieren Ihrer gehosteten App berücksichtigen sollten:

• Vom System zugewiesene verwaltete Identitäten werden direkt auf einer Azure-Ressource aktiviert und sind an den Lebenszyklus gebunden. Wenn die Ressource gelöscht wird, löscht Azure automatisch die Identität für Sie. Vom System zugewiesene Identitäten bieten einen minimalistischen Ansatz für die Verwendung verwalteter Identitäten.
• Vom Benutzer zugewiesene verwaltete Identitäten werden als eigenständige Azure-Ressourcen erstellt und bieten mehr Flexibilität und Funktionen. Sie eignen sich ideal für Lösungen mit mehreren Azure-Ressourcen, die dieselbe Identität und Berechtigungen gemeinsam nutzen müssen. Wenn beispielsweise mehrere virtuelle Computer auf denselben Satz von Azure-Ressourcen zugreifen müssen, bietet eine vom Benutzer zugewiesene verwaltete Identität wiederverwendbarkeit und optimierte Verwaltung.

Tipp

Erfahren Sie mehr über das Auswählen und Verwalten von vom System zugewiesenen und vom Benutzer zugewiesenen verwalteten Identitäten im Empfehlungsartikel zu bewährten Methoden für verwaltete Identitäten .

In den folgenden Abschnitten werden die Schritte zum Aktivieren und Verwenden einer vom System zugewiesenen verwalteten Identität für eine von Azure gehostete App beschrieben. Wenn Sie eine vom Benutzer zugewiesene verwaltete Identität verwenden müssen, besuchen Sie den Artikel über vom Benutzer zugewiesene verwaltete Identitäten , um weitere Informationen zu erhalten.

Aktivieren einer vom System zugewiesenen verwalteten Identität in der Azure-Hostingressource

Um mit der Verwendung einer vom System zugewiesenen verwalteten Identität mit Ihrer App zu beginnen, aktivieren Sie die Identität in der Azure-Ressource, die Ihre App hosten, z. B. einen Azure App-Dienst, eine Azure-Container-App oder einen virtuellen Azure-Computer.

Sie können eine vom System zugewiesene verwaltete Identität für eine Azure-Ressource entweder über das Azure-Portal oder die Azure CLI aktivieren.

Azure-Portal

1. Navigieren Sie im Azure-Portal zu der Ressource, die Ihren Anwendungscode hostt, z. B. eine Azure App Service- oder Azure-Container-App-Instanz.

2. Erweitern Sie auf der Seite "Übersicht " der Ressource "Einstellungen" , und wählen Sie " Identität " aus der Navigation aus.

3. Schalten Sie auf der Seite "Identität " den Statusschieberegler auf "Ein".

4. Wählen Sie "Speichern" aus, um Ihre Änderungen anzuwenden.

   

Azure CLI

Azure CLI-Befehle können in der Azure Cloud Shell oder auf einer Workstation mit installierter Azure CLI ausgeführt werden.

Die Azure CLI-Befehle, die zum Aktivieren der verwalteten Identität für eine Azure-Ressource verwendet werden, weisen das Formular az <command-group> identity --resource-group <resource-group-name> --name <resource-name>auf. Bestimmte Befehle für beliebte Azure-Dienste werden unten angezeigt.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Virtueller Azure-Computer:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Die Ausgabe sieht ungefähr so aus:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Der principalId Wert ist die eindeutige ID der verwalteten Identität. Bewahren Sie eine Kopie dieser Ausgabe auf, da Sie diese Werte im nächsten Schritt benötigen.

Zuweisen von Rollen zur verwalteten Identität

Ermitteln Sie als Nächstes, welche Rollen Ihre App benötigt, und weisen Sie diese Rollen der verwalteten Identität zu. Sie können einer verwalteten Identität rollen in den folgenden Bereichen zuweisen:

• Ressource: Die zugewiesenen Rollen gelten nur für diese bestimmte Ressource.
• Ressourcengruppe: Die zugewiesenen Rollen gelten für alle Ressourcen, die in der Ressourcengruppe enthalten sind.
• Abonnement: Die zugewiesenen Rollen gelten für alle Im Abonnement enthaltenen Ressourcen.

Das folgende Beispiel zeigt, wie Rollen im Ressourcengruppenbereich zugewiesen werden, da viele Apps alle zugehörigen Azure-Ressourcen mithilfe einer einzelnen Ressourcengruppe verwalten.

Azure-Portal

1. Navigieren Sie zur Seite "Übersicht" der Ressourcengruppe, die die App mit der vom System zugewiesenen verwalteten Identität enthält.

2. Wählen Sie access control (IAM) in der linken Navigation aus.

3. Wählen Sie auf der Seite access control (IAM)die Option +Hinzufügen im oberen Menü aus, und wählen Sie dann " Rollenzuweisung hinzufügen " aus, um zur Seite " Rollenzuweisung hinzufügen " zu navigieren.

   

4. Auf der Seite " Rollenzuweisung hinzufügen " wird ein mehrstufiger Registerkartenworkflow zum Zuweisen von Rollen zu Identitäten angezeigt. Verwenden Sie auf der ersten Registerkarte " Rolle " das Suchfeld oben, um die Rolle zu suchen, die Sie der Identität zuweisen möchten.

5. Wählen Sie die Rolle aus den Ergebnissen aus, und wählen Sie dann "Weiter" aus, um zur Registerkarte " Mitglieder " zu wechseln.

6. Wählen Sie für die Option "Zugriff zuweisen"die Option "Verwaltete Identität" aus.

7. Wählen Sie für die Option "Mitglieder " die Option "Mitglieder auswählen " aus, um den Bereich "Verwaltete Identitäten auswählen " zu öffnen.

8. Verwenden Sie im Bereich "Verwaltete Identitäten auswählen " die Dropdowns " Abonnement " und "Verwaltete Identität ", um die Suchergebnisse nach Ihren Identitäten zu filtern. Verwenden Sie das Suchfeld "Auswählen ", um die Systemidentität zu finden, die Sie für die Azure-Ressource aktiviert haben, die Ihre App hosten soll.

   

9. Wählen Sie die Identität aus, und wählen Sie unten im Bereich die Option "Auswählen " aus, um den Vorgang fortzusetzen.

10. Wählen Sie "Überprüfen" und "Zuweisen " am unteren Rand der Seite aus.

11. Wählen Sie auf der letzten Registerkarte "Überprüfen+ Zuweisen" die Option "Überprüfen" und "Zuweisen" aus, um den Workflow abzuschließen.

Azure CLI

Einer verwalteten Identität wird eine Rolle in Azure zugewiesen, indem der Befehl "az role assignment create " verwendet wird:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Um die Rollennamen abzurufen, denen ein Dienstprinzipal zugewiesen werden kann, verwenden Sie den Befehl " az role definition list ":

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Um beispielsweise die verwaltete Identität mit der ID des Lesens, Schreibens und Löschens aaaaaaaa-bbbb-cccc-1111-222222222222 des Zugriffs auf Azure Storage-Blobcontainer und -Daten auf alle Speicherkonten in der Beispielressourcengruppe msdocs-sdk-auth zuzulassen , weisen Sie den Anwendungsdienstprinzipal der Rolle " Storage Blob Data Contributor " mithilfe des folgenden Befehls zu:

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Informationen zum Zuweisen von Berechtigungen auf Ressourcen- oder Abonnementebene mithilfe der Azure CLI finden Sie im Artikel "Zuweisen von Azure-Rollen mithilfe der Azure CLI".

Authentifizieren von Azure-Diensten aus Ihrer App

Das Azidentity-Modul bietet verschiedene Anmeldeinformationen – Implementierungen, die TokenCredential an die Unterstützung verschiedener Szenarien und Microsoft Entra-Authentifizierungsflüsse angepasst sind. Da verwaltete Identität bei der lokalen Ausführung nicht verfügbar ist, zeigen die folgenden Schritte, welche Anmeldeinformationen in welchem Szenario verwendet werden sollen:

• Lokale Entwicklungsumgebung: Verwenden Sie während der lokalen Entwicklung nurDefaultAzureCredential für eine vordefinierte, vorkonfigurierte Anmeldeinformationskette. DefaultAzureCredential ermittelt Benutzeranmeldeinformationen aus Ihren lokalen Entwicklungstools, z. B. der Azure CLI. Außerdem bietet es Flexibilität und Komfort für Wiederholungen, Wartezeiten für Antworten und Unterstützung für mehrere Authentifizierungsoptionen. Besuchen Sie den Artikel zur Authentifizierung bei Azure-Diensten während des lokalen Entwicklungsartikels , um mehr zu erfahren.
• In Azure gehostete Apps: Wenn Ihre App in Azure ausgeführt wird, verwenden Sie ManagedIdentityCredential , um die für Ihre App konfigurierte verwaltete Identität sicher zu ermitteln. Wenn Sie diesen genauen Anmeldeinformationstyp angeben, wird verhindert, dass andere verfügbare Anmeldeinformationen unerwartet aufgenommen werden.

Implementieren des Codes

Fügen Sie das Azidentity-Modul hinzu.

Navigieren Sie in einem Terminal Ihrer Wahl zum Anwendungsprojektverzeichnis, und führen Sie die folgenden Befehle aus:

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Auf Azure-Dienste wird über spezielle Clients aus den verschiedenen Azure SDK-Clientbibliotheken zugegriffen. Für jeden Go-Code, der einen Azure SDK-Client in Ihrer App instanziiert, müssen Sie:

1. Importieren Sie das azidentity Paket.
2. Erstellen Sie eine Instanz vom DefaultAzureCredential Typ.
3. Übergeben Sie die Instanz des Typs DefaultAzureCredential an den Azure SDK-Clientkonstruktor.

Ein Beispiel für diese Schritte ist im folgenden Codesegment mit einem Azure Storage Blob-Client dargestellt.

import (
	"context"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
	  // TODO: handle error
	}

	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}

	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Wie im Artikel zur Übersicht über die Azure SDK für Go-Authentifizierung erläutert, unterstützt DefaultAzureCredential mehrere Authentifizierungsmethoden und legt fest, welche Authentifizierungsmethode zur Laufzeit verwendet wird. Der Vorteil dieses Ansatzes besteht darin, dass Ihre App unterschiedliche Authentifizierungsmethoden in verschiedenen Umgebungen verwenden kann, ohne umgebungsspezifischen Code zu implementieren. Wenn der vorangehende Code während der lokalen Entwicklung auf Ihrer Arbeitsstation ausgeführt wird, verwendet DefaultAzureCredential entweder einen App-Dienstprinzipal, der durch Umgebungseinstellungen bestimmt wird, oder Anmeldeinformationen von Entwicklertools, um sich bei anderen Azure-Ressourcen zu authentifizieren. Daher kann derselbe Code verwendet werden, um Ihre App bei Azure-Ressourcen sowohl während der lokalen Entwicklung als auch bei der Bereitstellung in Azure zu authentifizieren.

Von Bedeutung

DefaultAzureCredential vereinfacht die Authentifizierung beim Entwickeln von Anwendungen, die für Azure bereitgestellt werden, indem Anmeldeinformationen in Azure-Hostingumgebungen und Anmeldeinformationen kombiniert werden, die in der lokalen Entwicklung verwendet werden. In der Produktion ist es besser, einen bestimmten Anmeldeinformationstyp zu verwenden, damit die Authentifizierung vorhersehbarer und einfacher zu debuggen ist.

Eine Alternative zu DefaultAzureCredential ist die Verwendung von ManagedIdentityCredential. Die Schritte für die Verwendung ManagedIdentityCredential sind identisch mit der Verwendung des DefaultAzureCredential Typs.

Ein Beispiel für diese Schritte ist im folgenden Codesegment mit einem Azure Storage Blob-Client dargestellt.

import (
	"context"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
                    // Replace placeholder text with your storage account name
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewManagedIdentityCredential(nil)
	
	// When using User Assigned Managed Identity use this instead and pass your client id in the options
	// clientID := azidentity.ClientID("abcd1234-...")
	// opts := azidentity.ManagedIdentityCredentialOptions{ID: clientID}
	// cred, err := azidentity.NewManagedIdentityCredential(&opts)
	
	if err != nil {
	  // TODO: handle error
	}
	
	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Der vorangehende Code verhält sich je nach Umgebung, in der er ausgeführt wird, anders:

• Sucht auf Ihrer lokalen Entwicklungsarbeitsstation DefaultAzureCredential in den Umgebungsvariablen nach einem Anwendungsdienstprinzipal oder in lokal installierten Entwicklertools wie Azure CLI nach spezifischen Entwickleranmeldeinformationen.
• Wenn Sie in Azure bereitgestellt werden, werden Ihre verwalteten Identitätskonfigurationen ermittelt, ManagedIdentityCredential um sich automatisch bei anderen Diensten zu authentifizieren.