Felügyelt identitások használata az App Configuration eléréséhez

  • Cikk

A Microsoft Entra által felügyelt identitások leegyszerűsítik a titkos kódok kezelését a felhőalkalmazás számára. Felügyelt identitással a kód használhatja a futtatott Azure-szolgáltatáshoz létrehozott szolgáltatásnevet. Felügyelt identitást használ az Azure Key Vaultban vagy egy helyi kapcsolati sztring tárolt különálló hitelesítő adat helyett.

Azure-alkalmazás Konfiguráció és annak .NET-, .NET-keretrendszer- és Java Spring-ügyfélkódtárai beépített felügyelt identitástámogatással rendelkeznek. Bár nem kell használnia, a felügyelt identitás nem igényel titkos kulcsokat tartalmazó hozzáférési jogkivonatot. A kód csak a szolgáltatásvégpont használatával fér hozzá az Alkalmazáskonfigurációs áruházhoz. Ezt az URL-címet közvetlenül beágyazhatja a kódba anélkül, hogy titkos kódot tárt fel.

Ez a cikk bemutatja, hogyan használhatja ki a felügyelt identitás előnyeit az alkalmazáskonfiguráció eléréséhez. A rövid útmutatókban bemutatott webalkalmazásra épül. A folytatás előtt először hozzon létre egy ASP.NET Core-alkalmazást az alkalmazáskonfigurációval .

Ez a cikk bemutatja, hogyan használhatja ki a felügyelt identitás előnyeit az alkalmazáskonfiguráció eléréséhez. A rövid útmutatókban bemutatott webalkalmazásra épül. A folytatás előtt először hozzon létre egy Java Spring-alkalmazást Azure-alkalmazás Konfigurációval.

Fontos

A felügyelt identitás nem használható helyileg futó alkalmazások hitelesítésére. Az alkalmazást egy olyan Azure-szolgáltatásban kell üzembe helyezni, amely támogatja a felügyelt identitást. Ez a cikk példaként Azure-alkalmazás szolgáltatást használja. Ugyanez a fogalom azonban minden olyan Azure-szolgáltatásra vonatkozik, amely támogatja a felügyelt identitást. Ilyenek például az Azure Kubernetes Service, az Azure Virtual Machine és az Azure Container Instances. Ha a számítási feladat ezen szolgáltatások valamelyikében van üzemeltetve, a szolgáltatás felügyelt identitástámogatását is használhatja.

Az oktatóanyag lépéseit bármely kódszerkesztővel elvégezheti. A Visual Studio Code kiváló lehetőség Windows, macOS és Linux platformokon.

Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Felügyelt identitás hozzáférésének biztosítása az alkalmazáskonfigurációhoz.
  • Konfigurálja az alkalmazást úgy, hogy felügyelt identitást használjon az alkalmazáskonfigurációhoz való csatlakozáskor.

Előfeltételek

Az oktatóanyag teljesítéséhez a következőkre lesz szüksége:

Ha nem rendelkezik Azure-előfizetéssel, első lépésként hozzon létre egy ingyenes Azure-fiókot.

Felügyelt identitás hozzáadása

A felügyelt identitás portálon való beállításához először létre kell hoznia egy alkalmazást, majd engedélyeznie kell a funkciót.

  1. Az App Services-erőforrás elérése az Azure Portalon. Ha nem rendelkezik meglévő App Services-erőforrással, hozzon létre egyet.

  2. Görgessen le a bal oldali panel Gépház csoportjához, és válassza az Identitás lehetőséget.

  3. A Rendszerhez rendelt lapon váltson Be állapotra, és válassza a Mentés lehetőséget.

  4. Amikor a rendszer kéri, válassza az Igen választ a rendszer által hozzárendelt felügyelt identitás bekapcsolásához.

    Screenshot of how to add a managed identity in App Service.

Hozzáférés biztosítása az alkalmazáskonfigurációhoz

Az alábbi lépések azt mutatják be, hogyan rendelheti hozzá az Alkalmazáskonfigurációs adatolvasó szerepkört az App Service-hez. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

  1. Az Azure Portalon válassza ki az alkalmazáskonfigurációs áruházat.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget>.

    Screenshot that shows the Access control (IAM) page with Add role assignment menu open.

    Ha nincs engedélye szerepkörök hozzárendelésére, a szerepkör-hozzárendelés hozzáadása lehetőség le lesz tiltva. További információ: Beépített Azure-szerepkörök.

  4. A Szerepkör lapon válassza az Alkalmazáskonfiguráció adatolvasó szerepkört, majd a Tovább lehetőséget.

    Screenshot that shows the Add role assignment page with Role tab selected.

  5. A Tagok lapon válassza a Felügyelt identitás, majd a Tagok kijelölése lehetőséget.

    Screenshot that shows the Add role assignment page with Members tab selected.

  6. Válassza ki az Azure-előfizetést, a felügyelt identitáshoz válassza az App Service-t, majd válassza ki az App Service nevét.

    Screenshot that shows the select managed identities page.

  7. A szerepkör hozzárendeléséhez a Felülvizsgálat + hozzárendelés lapon válassza a Felülvizsgálat + hozzárendelés lehetőséget.

Felügyelt identitás használata

  1. Adjon hozzá egy hivatkozást a Azure.Identity csomaghoz:

    dotnet add package Azure.Identity

  2. Keresse meg az Alkalmazáskonfigurációs áruház végpontját. Ez az URL-cím az Azure Portalon található áruház Hozzáférési kulcsok lapján jelenik meg.

  3. Nyissa meg a appsettings.json fájlt, és adja hozzá a következő szkriptet. Cserélje le <service_endpoint>, beleértve a zárójeleket is, az alkalmazáskonfigurációs áruház URL-címére.

    "AppConfig": {
    "Endpoint": "<service_endpoint>"
}

  4. Nyissa meg a Program.cs fájlt, és adjon hozzá egy hivatkozást a Azure.Identity névterekre:Microsoft.Azure.Services.AppAuthentication

    using Azure.Identity;

  5. Az Alkalmazáskonfigurációban tárolt értékek eléréséhez frissítse a konfigurációt Builder a AddAzureAppConfiguration() metódus használatára.

    var builder = WebApplication.CreateBuilder(args);

builder.Configuration.AddAzureAppConfiguration(options =>
    options.Connect(
        new Uri(builder.Configuration["AppConfig:Endpoint"]),
        new ManagedIdentityCredential()));

    Feljegyzés

    Ha felhasználó által hozzárendelt felügyelt identitást szeretne használni, mindenképpen adja meg a clientIdManagedIdentityCredential létrehozásakor.

    new ManagedIdentityCredential("<your_clientId>")

    Ahogy az Azure-erőforrások felügyelt identitásai gyakorlottan ismertetik, a felügyelt identitások használatának alapértelmezett módja van. Ebben az esetben az Azure Identity-kódtár kényszeríti a kívánt identitás megadására, hogy a jövőben elkerülhesse a futásidejű problémákat. Ha például új, felhasználó által hozzárendelt felügyelt identitást ad hozzá, vagy ha a rendszer által hozzárendelt felügyelt identitás engedélyezve van. Ezért akkor is meg kell adnia a clientId felhasználó által hozzárendelt felügyelt identitást, ha csak egy felhasználó által hozzárendelt felügyelt identitás van definiálva, és nincs rendszer által hozzárendelt felügyelt identitás.

  1. Keresse meg az Alkalmazáskonfigurációs áruház végpontját. Ez az URL-cím az Azure Portal áruházának Áttekintés lapján jelenik meg.

  2. Nyissa meg bootstrap.properties, távolítsa el a kapcsolati sztring tulajdonságot, és cserélje le a rendszer által hozzárendelt identitás végpontjaként:

spring.cloud.azure.appconfiguration.stores[0].endpoint=<service_endpoint>

felhasználó által hozzárendelt identitás esetén:

spring.cloud.azure.appconfiguration.stores[0].endpoint=<service_endpoint>
spring.cloud.azure.credential.managed-identity-enabled= true
spring.cloud.azure.credential.client-id= <client_id>

Feljegyzés

További információ: Spring Cloud Azure-hitelesítés.

Az alkalmazás üzembe helyezése

Felügyelt identitások használatakor telepítenie kell az alkalmazást egy Azure-szolgáltatásban. A felügyelt identitások nem használhatók helyileg futó alkalmazások hitelesítéséhez. A ASP.NET Core-alkalmazásban létrehozott .NET Core-alkalmazás alkalmazás alkalmazáskonfigurációs gyorsútmutatóval való üzembe helyezéséhez és a felügyelt identitások használatára való módosításához kövesse a webalkalmazás közzététele című útmutatót.

A felügyelt identitások használatához telepítenie kell az alkalmazást egy Azure-szolgáltatásban. A felügyelt identitások nem használhatók helyileg futó alkalmazások hitelesítéséhez. Ha a Java Spring-alkalmazásban létrehozott Spring-alkalmazást szeretné üzembe helyezni Azure-alkalmazás konfigurációs gyorsútmutatóval, és módosította a felügyelt identitások használatára, kövesse a webalkalmazás közzététele című útmutatót.

Az App Service mellett számos más Azure-szolgáltatás is támogatja a felügyelt identitásokat. További információ: Azure-erőforrások felügyelt identitását támogató szolgáltatások.

Az erőforrások eltávolítása

Ha nem szeretné folytatni a cikkben létrehozott erőforrások használatát, törölje az itt létrehozott erőforráscsoportot a díjak elkerülése érdekében.

Fontos

Az erőforráscsoport törlése nem vonható vissza. Az erőforráscsoport és a benne lévő összes erőforrás véglegesen törlődik. Győződjön meg arról, hogy nem véletlenül törli a rossz erőforráscsoportot vagy erőforrásokat. Ha a cikk erőforrásait olyan erőforráscsoporton belül hozta létre, amely más megtartani kívánt erőforrásokat tartalmaz, törölje az egyes erőforrásokat a megfelelő panelről az erőforráscsoport törlése helyett.

  1. Jelentkezzen be az Azure Portalra, és válassza ki az Erőforráscsoportokat.
  2. A Szűrés név szerint mezőbe írja be az erőforráscsoport nevét.
  3. Az eredménylistában válassza ki az erőforráscsoport nevét az áttekintés megtekintéséhez.
  4. Válassza az Erőforráscsoport törlése elemet.
  5. A rendszer az erőforráscsoport törlésének megerősítését kéri. Adja meg a megerősítéshez az erőforráscsoport nevét, és válassza a Törlés lehetőséget.

Néhány pillanat múlva az erőforráscsoport és annak összes erőforrása törlődik.

Következő lépések

Ebben az oktatóanyagban hozzáadott egy Azure-beli felügyelt identitást, amely leegyszerűsíti az alkalmazáskonfigurációhoz való hozzáférést, és javítja az alkalmazás hitelesítő adatainak kezelését. Ha többet szeretne megtudni az alkalmazáskonfiguráció használatáról, folytassa az Azure CLI-mintákkal.

CLI-minták