Compartir a través de

Autenticación en recursos de Azure desde aplicaciones de JavaScript locales

  • Artículo

Las aplicaciones que se ejecutan fuera de Azure (por ejemplo, locales o en un centro de datos de terceros) deben usar una entidad de servicio de aplicación para autenticarse en Azure al acceder a los recursos de Azure. Los objetos de entidad de servicio de aplicación se crean mediante el proceso de registro de aplicaciones en Azure. Cuando se crea una entidad de servicio de aplicación, se genera un identificador de cliente y un secreto de cliente para la aplicación. El identificador de cliente, el secreto de cliente y el identificador de inquilino se almacenan en variables de entorno para que El SDK de Azure para JavaScript use las variables de entorno para autenticar la aplicación en Azure en tiempo de ejecución.

Se debe crear un registro de aplicación diferente para cada entorno (por ejemplo, prueba, fase, producción) en el que se ejecuta la aplicación. Esto permite configurar permisos de recursos específicos del entorno para cada entidad de servicio y asegurarse de que una aplicación implementada en un entorno no se comunica con los recursos de Azure que forman parte de otro entorno.

1: Registro de la aplicación en Azure AD

Una aplicación se puede registrar en Azure mediante Azure Portal o la CLI de Azure.

Inicie sesión en Azure Portal y siga los pasos siguientes.

Instrucciones Instantánea
En el Portal de Azure:
  1. Escriba registros de aplicación en la barra de búsqueda de la parte superior de Azure Portal.
  2. Seleccione el elemento con la etiqueta Registros de aplicaciones bajo el encabezado Servicios, en el menú que aparece bajo la barra de búsqueda.
 A screenshot showing how to use the top search bar in the Azure portal to find and navigate to the App registrations page.
En la página Registros de aplicaciones, seleccione + Nuevo registro. A screenshot showing the location of the New registration button in the App registrations page.
En la página Registrar una aplicación, rellene el formulario como se indica a continuación.
  1. Nombre → Escriba un nombre para el registro de la aplicación en Azure. Se recomienda que este nombre incluya el nombre de la aplicación y el entorno (prueba, producción) para el que se realiza el registro de la aplicación.
  2. Tipos de cuenta admitidosSolo las cuentas de este directorio organizativo.
Seleccione Registrar para registrar la aplicación y crear la entidad de servicio de la aplicación.		 A screenshot to fill out Register by giving the app a name and specifying supported account types as accounts in this organizational directory only.
En la página Registro de aplicaciones de la aplicación:
  1. Id. de aplicación (cliente) → Este es el identificador de aplicación que usará la aplicación para acceder a Azure durante el desarrollo local. Copie este valor en una ubicación temporal en un editor de texto, ya que lo necesitará en un paso futuro.
  2. Id. de directorio (inquilino) → La aplicación también necesitará este valor cuando se autentique en Azure. Copie este valor en una ubicación temporal en un editor de texto, ya que también lo necesitará en un paso futuro.
  3. Credenciales de cliente → Debe establecer las credenciales de cliente para la aplicación antes de que la aplicación pueda autenticarse en Azure y usar los servicios de Azure. Seleccione Agregar un certificado o un secreto para agregar credenciales para la aplicación.
 A screenshot of the App registration after completion. This screenshot shows the application and tenant IDs, which will be needed in a future step.
En la página Certificados y secretos, seleccione + Nuevo secreto de cliente. A screenshot showing the location of the link to use to create a new client secret on the certificates and secrets page.
Aparecerá el cuadro de diálogo Agregar un secreto de cliente desde el lado derecho de la página. En este cuadro de diálogo:
  1. Descripción → Escriba un valor de Actual.
  2. Expira → Seleccione un valor de 24 meses.
Seleccione Agregar para agregar el secreto.

IMPORTANTE: Establezca un aviso en el calendario antes de la fecha de expiración del secreto. De este modo, puede agregar un nuevo secreto antes y actualizar las aplicaciones antes de la expiración de este secreto y evitar una interrupción del servicio en la aplicación.		 A screenshot showing the page where a new client secret is added for the application service principal created by the app registration process.
La página Certificados y secretos muestra el valor del secreto de cliente.

Copie este valor en una ubicación temporal en un editor de texto porque lo necesita en un paso futuro.

IMPORTANTE: Esta es la única vez que verá este valor. Una vez que deje o actualice esta página, no podrá volver a ver este valor. Puede agregar otro secreto de cliente sin invalidar este secreto de cliente, pero no volverá a ver este valor.		 A screenshot showing the page with the generated client secret.

2: Asignación de roles a la entidad de servicio de la aplicación

A continuación, debe determinar qué roles (permisos) necesita la aplicación y en qué recursos y asignar dichos roles a la aplicación. Los roles se pueden asignar a un rol en el ámbito de recurso, grupo de recursos o suscripción. En este ejemplo se muestra cómo asignar roles a la entidad de servicio en el ámbito del grupo de recursos, ya que la mayoría de las aplicaciones agrupan todos sus recursos de Azure en un único grupo de recursos.

Instrucciones Instantánea
Busque el grupo de recursos de la aplicación; para ello, busque el nombre del grupo de recursos mediante el cuadro de búsqueda situado en la parte superior de Azure Portal.

Vaya al grupo de recursos. Para ello, seleccione el nombre del grupo de recursos en el encabezado Grupos de recursos del cuadro de diálogo.		 A screenshot showing the top search box in the Azure portal to locate and navigate to the resource group you want to assign roles (permissions) to.
En la página del grupo de recursos, seleccione Control de acceso (IAM) en el menú izquierdo. A screenshot of the resource group page showing the location of the Access control (IAM) menu item.
En la página Control de acceso (IAM):
  1. Seleccione la pestaña Asignaciones de roles.
  2. Seleccione + Agregar en el menú superior y, a continuación, Agregar asignación de roles en el menú desplegable resultante.
 A screenshot showing how to navigate to the role assignments tab and the location of the button used to add role assignments to a resource group.
La página Agregar asignación de roles muestra todos los roles que se pueden asignar para el grupo de recursos.
  1. Use el cuadro de búsqueda para filtrar la lista a un tamaño más fácil de administrar. En este ejemplo se muestra cómo filtrar los roles de Storage Blob.
  2. Seleccione el rol que quiere asignar.
    Seleccione Siguiente para ir a la pantalla siguiente.
 A screenshot showing how to filter and select role assignments to be added to the resource group.
La siguiente página Agregar asignación de roles permite especificar a qué usuario se debe asignar el rol.
  1. Seleccione Usuario, grupo o entidad de servicio en Asignar acceso a.
  2. Seleccione + Seleccionar miembros en Miembros.
Se abre un cuadro de diálogo en el lado derecho de Azure Portal.		 A screenshot showing the radio button to select to assign a role to a Microsoft Entra group and the link used to select the group to assign the role to.
En el cuadro de diálogo Seleccionar miembros:
  1. El cuadro de texto Seleccionar se puede usar para filtrar la lista de usuarios y grupos de la suscripción. Si es necesario, escriba los primeros caracteres de la entidad de servicio que creó para que la aplicación filtre la lista.
  2. Seleccione la entidad de servicio asociada a la aplicación.
Seleccione Seleccionar en la parte inferior del cuadro de diálogo para continuar.		 A screenshot showing how to filter for and select the Microsoft Entra group for the application in the Select members dialog box.
La entidad de servicio se muestra como seleccionada en la pantalla Agregar asignación de roles.

Seleccione Revisar y asignar para ir a la página final y, a continuación, Revisar y asignar de nuevo para completar el proceso.		 A screenshot showing the completed Add role assignment page and the location of the Review + assign button used to complete the process.

3: Configuración de variables de entorno para la aplicación

Debe establecer las AZURE_CLIENT_IDvariables de entorno , AZURE_TENANT_IDy AZURE_CLIENT_SECRET para el proceso que ejecuta la aplicación de JavaScript para que las credenciales de la entidad de servicio de la aplicación estén disponibles para la aplicación en tiempo de ejecución. El DefaultAzureCredential objeto busca la información de la entidad de servicio en estas variables de entorno.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4: Implementación de DefaultAzureCredential en su aplicación

Para autenticar objetos de cliente del SDK de Azure en Azure, la aplicación debe usar la DefaultAzureCredential clase del paquete @azure/identity .

En primer lugar, agregue el paquete @azure/identity a la aplicación.

npm install @azure/identity

A continuación, para cualquier código javaScript que cree un objeto de cliente del SDK de Azure en la aplicación, querrá:

  1. Importe la DefaultAzureCredential clase desde el @azure/identity módulo.
  2. Crear un objeto DefaultAzureCredential.
  3. Pase el DefaultAzureCredential objeto al constructor de objetos de cliente del SDK de Azure.

En el segmento de código siguiente se muestra un ejemplo de esto.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Cuando el código anterior crea una instancia del DefaultAzureCredential objeto, DefaultAzureCredential lee las variables AZURE_SUBSCRIPTION_IDde entorno , AZURE_TENANT_ID, AZURE_CLIENT_IDy AZURE_CLIENT_SECRET para que la información de la entidad de servicio de la aplicación se conecte a Azure.