Authentifizieren von von Azure gehosteten JavaScript-Apps für Azure-Ressourcen mithilfe der Azure Identity-Bibliothek
Wenn eine App in Azure gehostet wird (mit einem Dienst wie Azure App Service, Azure Functions oder Azure Container-Apps), können Sie eine verwaltete Identität verwenden, um Ihre App sicher bei Azure-Ressourcen zu authentifizieren.
Eine verwaltete Identität stellt eine Identität für Ihre App bereit, sodass sie eine Verbindung mit anderen Azure-Ressourcen herstellen kann, ohne einen geheimen Schlüssel verwenden zu müssen (z. B. eine Verbindungszeichenfolge oder einen Schlüssel). Intern erkennt Azure die Identität Ihrer App und weiß, welche Ressourcen die App für den Zugriff autorisiert ist. Azure verwendet diese Informationen, um Microsoft Entra-Token für die App automatisch abzurufen, sodass sie eine Verbindung mit anderen Azure-Ressourcen herstellen kann, ohne dass Sie geheime Authentifizierungsschlüssel verwalten (erstellen oder drehen) müssen.
Arten von verwalteten Identitäten
Es gibt zwei Arten von verwalteten Identitäten:
- Vom System zugewiesene verwaltete Identitäten – einzelne Azure-Ressource
- Vom Benutzer zugewiesene verwaltete Identitäten – mehrere Azure-Ressourcen
In diesem Artikel werden die Schritte zum Aktivieren und Verwenden einer vom System zugewiesenen verwalteten Identität für eine App beschrieben. Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden müssen, lesen Sie den Artikel Verwalten benutzerseitig zugewiesener verwalteter Identitäten , um zu erfahren, wie Sie eine benutzerseitig zugewiesene verwaltete Identität erstellen.
Vom System zugewiesene verwaltete Identitäten für einzelne Ressourcen
Vom System zugewiesene verwaltete Identitäten werden von einer Azure-Ressource bereitgestellt und direkt verknüpft. Wenn Sie die verwaltete Identität für eine Azure-Ressource aktivieren, erhalten Sie eine systemseitig zugewiesene verwaltete Identität für diese Ressource. Die verwaltete Identität ist an den Lebenszyklus der Azure-Ressource gebunden. Azure löscht automatisch die Identität, wenn die Ressource gelöscht wird. Da Sie nur die verwaltete Identität für die Azure-Ressource aktivieren müssen, die Ihren Code hosten soll, ist dieser Identitätstyp der einfachste Typ der verwalteten Identität.
Vom Benutzer zugewiesene verwaltete Identitäten für mehrere Ressourcen
Eine vom Benutzer zugewiesene verwaltete Identität ist eine eigenständige Azure-Ressource. Dieser Identitätstyp wird am häufigsten verwendet, wenn Ihre Lösung über mehrere Workloads verfügt, die auf mehreren Azure-Ressourcen ausgeführt werden, die alle die gleiche Identität und dieselben Berechtigungen gemeinsam nutzen müssen. Angenommen, Ihre Lösung enthält Anwendungen, die auf mehreren App Service- und virtuellen Computerinstanzen ausgeführt werden. Alle Anwendungen benötigen Zugriff auf die gleichen Azure-Ressourcen. Das Erstellen und Verwenden einer vom Benutzer zugewiesenen verwalteten Identität in diesen Ressourcen ist die beste Entwurfsoption.
1 – Aktivieren der vom System zugewiesenen verwalteten Identität in gehosteter App
Der erste Schritt besteht darin, die verwaltete Identität in der Azure-Ressource zu aktivieren, die Ihre App hosten soll. Wenn Sie beispielsweise eine Express.js Anwendung mit Azure App Service hosten, müssen Sie die verwaltete Identität für diese App Service-Web-App aktivieren. Wenn Sie eine VM zum Hosten Ihrer App verwenden, aktivieren Sie Ihre VM für die Verwendung der verwalteten Identität.
Sie können die Verwendung der verwalteten Identität für eine Azure-Ressource mithilfe der Azure-Portal oder der Azure CLI aktivieren.
2 - Zuweisen einer Rolle zur verwalteten Identität
Als Nächstes müssen Sie ermitteln, welche Rollen (Berechtigungen) Ihre App benötigt, und die verwaltete Identität diesen Rollen in Azure zuweisen. Einer verwalteten Identität können Rollen in einem Ressourcen-, Ressourcengruppen- oder Abonnementbereich zugewiesen werden. In diesem Beispiel wird gezeigt, wie Sie Rollen auf der Ebene der Ressourcengruppe zuweisen, da die meisten Anwendungen alle ihre Azure-Ressourcen in einer einzigen Ressourcengruppe zusammenfassen.
3 - Implementieren von DefaultAzureCredential in Ihrer Anwendung
DefaultAzureCredential erkennt automatisch, dass eine verwaltete Identität verwendet wird und die verwaltete Identität verwendet wird, um sich bei anderen Azure-Ressourcen zu authentifizieren. Wie in der Azure Identity Library for JavaScript authentication overview Artikel erläutert, unterstützt DefaultAzureCredential
mehrere Authentifizierungsmethoden und bestimmt die Authentifizierungsmethode, die zur Laufzeit verwendet wird. Auf diese Weise kann Ihre App unterschiedliche Authentifizierungsmethoden in verschiedenen Umgebungen verwenden, ohne umgebungsspezifischen Code zu implementieren.
Fügen Sie Ihrer Anwendung zunächst das Paket @azure/identity hinzu.
npm install @azure/identity
Als Nächstes möchten Sie für jeden JavaScript-Code, der ein Azure SDK-Clientobjekt in Ihrer App erstellt, Folgendes ausführen:
- Importieren Sie die
DefaultAzureCredential
-Klasse aus dem@azure/identity
-Modul. - Erstellen eines
DefaultAzureCredential
-Objekts - Übergeben Sie das
DefaultAzureCredential
-Objekt an den Azure SDK-Clientobjektkonstruktor.
Ein Beispiel für diese Schritte ist im folgenden Codesegment dargestellt.
// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'
const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');
const blobServiceClient = new BlobServiceClient(
`https://${accountName}.blob.core.windows.net`,
new DefaultAzureCredential()
);