Authentifizieren von von Azure gehosteten Apps für Azure-Ressourcen mit dem Azure SDK für JavaScript

Wenn eine App in Azure gehostet wird (mit einem Dienst wie Azure-App Service, Azure Virtual Machines oder Azure Container Instances), empfiehlt es sich, eine App für Azure-Ressourcen zu authentifizieren, um eine verwaltete Identität zu verwenden.

Eine verwaltete Identität stellt eine Identität für Ihre App bereit, sodass Ihre App eine Verbindung mit anderen Azure-Ressourcen herstellt, ohne einen geheimen Schlüssel verwenden zu müssen (z. B. eine Verbindungszeichenfolge des Schlüssels). Intern kennt Azure die Identität Ihrer App und die Ressourcen, mit der eine Verbindung hergestellt werden darf. Azure verwendet diese Informationen, um Automatisch Microsoft Entra-Token für die App abzurufen, damit sie eine Verbindung mit anderen Azure-Ressourcen herstellen kann, ohne dass Sie die Authentifizierungsschlüssel verwalten (erstellen oder drehen) müssen.

Arten von verwalteten Identitäten

Es gibt zwei Arten von verwalteten Identitäten:

• Vom System zugewiesene verwaltete Identitäten – einzelne Azure-Ressource
• Vom Benutzer zugewiesene verwaltete Identitäten – mehrere Azure-Ressourcen

In diesem Artikel werden die Schritte zum Aktivieren und Verwenden einer vom System zugewiesenen verwalteten Identität für eine App beschrieben. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden müssen, lesen Sie den Artikel Verwalten benutzerseitig zugewiesener verwalteter Identitäten , um zu erfahren, wie Sie eine benutzerseitig zugewiesene verwaltete Identität erstellen.

Vom System zugewiesene verwaltete Identitäten für einzelne Ressourcen

Vom System zugewiesene verwaltete Identitäten werden von einer Azure-Ressource bereitgestellt und direkt verknüpft. Wenn Sie die verwaltete Identität für eine Azure-Ressource aktivieren, erhalten Sie eine systemseitig zugewiesene verwaltete Identität für diese Ressource. Sie ist an den Lebenszyklus der Azure-Ressource gebunden. Azure löscht automatisch die Identität, wenn die Ressource gelöscht wird. Da Sie nur die verwaltete Identität für die Azure-Ressource aktivieren müssen, die Ihren Code hostt, ist dies der am einfachsten zu verwendende Typ der verwalteten Identität.

Vom Benutzer zugewiesene verwaltete Identitäten für mehrere Ressourcen

Konzeptionell ist diese Identität eine eigenständige Azure-Ressource. Dies wird am häufigsten verwendet, wenn Ihre Lösung über mehrere Workloads verfügt, die auf mehreren Azure-Ressourcen ausgeführt werden und die alle dieselbe Identität und dieselben Berechtigungen gemeinsam nutzen müssen. Wenn Ihre Lösung beispielsweise Komponenten hatte, die auf mehreren App Service- und virtuellen Computerinstanzen ausgeführt wurden und sie alle Zugriff auf dieselbe Gruppe von Azure-Ressourcen benötigten, wäre das Erstellen und Verwenden einer vom Benutzer zugewiesenen verwalteten Identität für diese Ressourcen sinnvoll.

1 – Systemzuweisung: In gehosteter App aktivieren

Der erste Schritt besteht darin, die verwaltete Identität in der Azure-Ressource zu aktivieren, die Ihre App hosten soll. Wenn Sie beispielsweise eine Django-Anwendung mit Azure-App Dienst hosten, müssen Sie die verwaltete Identität für diese App Service-Web-App aktivieren. Wenn Sie einen virtuellen Computer zum Hosten Ihrer App verwenden, würden Sie Ihrem virtuellen Computer die Verwendung einer verwalteten Identität ermöglichen.

Sie können die Verwendung der verwalteten Identität für eine Azure-Ressource mithilfe der Azure-Portal oder der Azure CLI aktivieren.

Azure portal

Anweisungen	Screenshot
Navigieren Sie zu der Ressource, die Ihren Anwendungscode im Azure-Portal hostet. Sie können beispielsweise den Namen Ihrer Ressource in das Suchfeld oben auf der Seite eingeben und zu ihr navigieren, indem Sie ihn im Dialogfeld auswählen.
Wählen Sie auf der Seite für Ihre Ressource im linken Menü das Menüelement Identität aus. Alle Azure-Ressourcen, die verwaltete Identität unterstützen können, verfügen über ein Identitätsmenüelement, auch wenn das Layout des Menüs geringfügig variieren kann.
Auf der Seite Identität : Schieben Sie den Schieberegler Status auf Ein. Wählen Sie Speichern. In einem Dialogfeld wird bestätigt, dass Sie die verwaltete Identität für Ihren Dienst aktivieren möchten. Antworten Sie mit Ja, um die verwaltete Identität für die Azure-Ressource zu aktivieren.

Azure-Befehlszeilenschnittstelle

Azure CLI-Befehle können in der Azure Cloud Shell oder auf einer Workstation mit installierter Azure CLI ausgeführt werden.

Die Azure CLI-Befehle, die zum Aktivieren der verwalteten Identität für eine Azure-Ressource verwendet werden, haben das Format az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Spezifische Befehle für beliebte Azure-Dienste sind unten dargestellt.

Azure App Service

az webapp identity assign --resource-group <resource-group-name> -name <web-app-name>

Dokumentation zu virtuellen Computern

az vm identity assign --resource-group <resource-group-name> -name <virtual-machine-name>

Die Ausgabe sieht wie folgt aus.

{
  "principalId": "<REPLACE_WITH_YOUR_PRINCIPAL_ID>",
  "tenantId": "<REPLACE_WITH_YOUR_TENANT_ID>",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Der principalId Wert ist die eindeutige ID der verwalteten Identität. Behalten Sie eine Kopie dieser Ausgabe bei, da Sie diese Werte im nächsten Schritt benötigen.

2 - Zuweisen einer Rolle zur verwalteten Identität

Als Nächstes müssen Sie ermitteln, welche Rollen (Berechtigungen) Ihre App benötigt, und die verwaltete Identität diesen Rollen in Azure zuweisen. Einer verwalteten Identität können Rollen in einem Ressourcen-, Ressourcengruppen- oder Abonnementbereich zugewiesen werden. In diesem Beispiel wird gezeigt, wie Sie Rollen auf der Ebene der Ressourcengruppe zuweisen, da die meisten Anwendungen alle ihre Azure-Ressourcen in einer einzigen Ressourcengruppe zusammenfassen.

Azure portal

Anweisungen	Screenshot
Suchen Sie die Ressourcengruppe für Ihre Anwendung, indem Sie über das Suchfeld oben im Azure-Portal nach dem Namen der Ressourcengruppe suchen. Navigieren Sie zu Ihrer Ressourcengruppe, indem Sie den Namen der Ressourcengruppe unter der Überschrift Ressourcengruppen im Dialogfeld auswählen.
Wählen Sie auf der Seite für die Ressourcengruppe im linken Menü Die Option Zugriffssteuerung (IAM) aus.
Klicken Sie auf der Seite Zugriffssteuerungseinstellungen: Klicken Sie auf die Registerkarte Rollenzuweisungen. Wählen Sie im oberen Menü + Hinzufügen und aus dem dann angezeigten Dropdownmenü die Option Rollenzuweisung hinzufügen aus.
Auf der Seite Rollenzuweisung hinzufügen werden alle Rollen aufgelistet, die der Ressourcengruppe zugewiesen werden können. Verwenden Sie das Suchfeld, um die Liste auf eine besser verwaltbare Größe zu filtern. In diesem Beispiel wird gezeigt, wie Sie nach Storage-Blobrollen filtern. Wählen Sie die Rolle aus, die Sie zuweisen möchten. Klicken Sie auf Weiter, um zum nächsten Bildschirm zu wechseln.
Auf der nächsten Seite Rollenzuweisung hinzufügen können Sie angeben, welchem Benutzer die Rolle zugewiesen werden soll. Wählen Sie unter Zugriff zuweisen zu die Option Verwaltete Identität aus. Wählen Sie unter Mitglieder die Option +Mitglieder auswählen aus. Auf der rechten Seite des Azure-Portal wird ein Dialogfeld geöffnet.
Im Dialogfeld Verwaltete Identitäten auswählen : Die Dropdownliste Verwaltete Identität und das Textfeld Auswählen können verwendet werden, um die Liste der verwalteten Identitäten in Ihrem Abonnement zu filtern. In diesem Beispiel werden nur verwaltete Identitäten angezeigt, die einem App Service zugeordnet sind, indem Sie App Service auswählen. Wählen Sie die verwaltete Identität für die Azure-Ressource aus, die Ihre Anwendung hostt. Wählen Sie Auswahl unten im Dialogfeld aus, um den Vorgang fortzusetzen.
Die verwaltete Identität wird auf dem Bildschirm Rollenzuweisung hinzufügen als ausgewählt angezeigt. Wählen Sie Überprüfen und zuweisen aus, um zur letzten Seite zu gelangen, und wählen Sie erneut Überprüfen und zuweisen aus, um den Vorgang abzuschließen.

Azure-Befehlszeilenschnittstelle

Einem verwaltete Identität wird mithilfe des Befehls az role assignment create eine Rolle in Azure zugewiesen.

az role assignment create --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Verwenden Sie den Befehl az role definition list , um die Rollennamen abzurufen, denen ein Dienstprinzipal zugewiesen werden kann.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Um beispielsweise zuzulassen, dass die verwaltete Identität den Zugriff auf Azure Storage-BLOB-Container und -Daten für alle Speicherkonten in der Beispielressourcengruppe "msdocs-sdk-auth" lesen, schreiben und löschen kann, würden Sie den Anwendungsdienstprinzipal der Rolle "Storage Blob Data Contributor " mit dem folgenden Befehl zuweisen.

az role assignment create --assignee aaaaaaaa-bbbb-cccc-7777-888888888888 \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-sdk-auth-example"

Informationen zum Zuweisen von Berechtigungen auf Ressourcen- oder Abonnementebene mithilfe der Azure CLI finden Sie im Artikel Zuweisen von Azure-Rollen mithilfe der Azure CLI.

3 - Implementieren von DefaultAzureCredential in Ihrer Anwendung

Die DefaultAzureCredential Klasse erkennt automatisch, dass eine verwaltete Identität verwendet wird, und verwendet die verwaltete Identität, um sich bei anderen Azure-Ressourcen zu authentifizieren. Wie im Übersichtsartikel zur Azure SDK für JavaScript-Authentifizierung erläutert, DefaultAzureCredential werden mehrere Authentifizierungsmethoden unterstützt und die Authentifizierungsmethode bestimmt, die zur Laufzeit verwendet wird. Auf diese Weise kann Ihre App verschiedene Authentifizierungsmethoden in verschiedenen Umgebungen verwenden, ohne umgebungsspezifischen Code zu implementieren.

Fügen Sie Ihrer Anwendung zunächst das Paket @azure/identity hinzu.

npm install @azure/identity

Als Nächstes möchten Sie für jeden JavaScript-Code, der ein Azure SDK-Clientobjekt in Ihrer App erstellt, Folgendes ausführen:

1. Importieren Sie die DefaultAzureCredential-Klasse aus dem @azure/identity-Modul.
2. Erstellen eines DefaultAzureCredential-Objekts
3. Übergeben Sie das DefaultAzureCredential-Objekt an den Azure SDK-Clientobjektkonstruktor.

Ein Beispiel dafür wird im folgenden Codeausschnitt gezeigt.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Wenn der obige Code während der lokalen Entwicklung auf Ihrer lokalen Arbeitsstation ausgeführt wird, suchen Sie die SDK-Methode DefaultAzureCredential(), in den Umgebungsvariablen nach einem Anwendungsdienstprinzipal oder bei VS Code, der Azure CLI oder Azure PowerShell für eine Reihe von Entwickleranmeldeinformationen, die entweder zum Authentifizieren der App bei Azure-Ressourcen während der lokalen Entwicklung verwendet werden können. Auf diese Weise kann dieser Code verwendet werden, um Ihre App bei Azure-Ressourcen sowohl während der lokalen Entwicklung als auch bei der Bereitstellung in Azure zu authentifizieren.