Az Azure által üzemeltetett JavaScript-alkalmazások hitelesítése Azure-erőforrásokra felhasználó által hozzárendelt felügyelt identitással

Az Azure által üzemeltetett alkalmazások más Azure-erőforrásokra való hitelesítésének ajánlott módszere a felügyelt identitás használata. Ez a megközelítés a legtöbb Azure-szolgáltatás esetében támogatott, beleértve az Azure App Service-ben, az Azure Container Appsben és az Azure-beli virtuális gépeken üzemeltetett alkalmazásokat is. A hitelesítés áttekintési oldalán további információkat talál a különböző hitelesítési technikákról és módszerekről. Az alábbi szakaszokban a következő ismereteket fogja elsajátítani:

• Alapvető felügyelt identitásfogalmak
• Felhasználó által hozzárendelt felügyelt identitás létrehozása az alkalmazáshoz
• Szerepkörök hozzárendelése a felhasználó által hozzárendelt felügyelt identitáshoz
• Hitelesítés a felhasználó által hozzárendelt felügyelt identitással az alkalmazáskódból

Alapvető felügyelt identitásfogalmak

A felügyelt identitással az alkalmazás biztonságosan csatlakozhat más Azure-erőforrásokhoz titkos kulcsok vagy más alkalmazáskulcsok használata nélkül. Az Azure belsőleg nyomon követi az identitást, és hogy mely erőforrásokhoz csatlakozhat. Az Azure ezeket az információkat arra használja, hogy automatikusan lekérjük a Microsoft Entra-jogkivonatokat az alkalmazáshoz, hogy más Azure-erőforrásokhoz csatlakozzon.

A felügyelt identitások kétféleképpen konfigurálhatók a üzemeltetett alkalmazás konfigurálásakor:

• A rendszer által hozzárendelt felügyelt identitások közvetlenül egy Azure-erőforráson vannak engedélyezve, és az életciklusukhoz vannak kötve. Az erőforrás törlésekor az Azure automatikusan törli az Identitást. A rendszer által hozzárendelt identitások minimalista megközelítést biztosítanak a felügyelt identitások használatához.
• A felhasználó által hozzárendelt felügyelt identitások önálló Azure-erőforrásokként jönnek létre, és nagyobb rugalmasságot és képességeket biztosítanak. Olyan megoldásokhoz ideálisak, amelyek több Olyan Azure-erőforrást tartalmaznak, amelyeknek azonos identitással és engedélyekkel kell rendelkezniük. Ha például több virtuális gépnek kell elérnie ugyanazt az Azure-erőforráskészletet, a felhasználó által hozzárendelt felügyelt identitás újrahasználhatóságot és optimalizált felügyeletet biztosít.

Jótanács

További információ a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitások kiválasztásáról és kezeléséről a felügyelt identitásokkal kapcsolatos ajánlott eljárásokra vonatkozó javaslatokkal foglalkozó cikkben.

Az alábbi szakaszok ismertetik a felhasználó által hozzárendelt felügyelt identitás azure-beli alkalmazásokhoz való engedélyezésének és használatának lépéseit. Ha rendszer által hozzárendelt felügyelt identitást kell használnia, további információért tekintse meg a rendszer által hozzárendelt felügyelt identitásokról szóló cikket.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

A felhasználó által hozzárendelt felügyelt identitások önálló erőforrásként jönnek létre az Azure-előfizetésben az Azure Portal vagy az Azure CLI használatával. Az Azure CLI-parancsok futtathatók az Azure Cloud Shellben vagy egy munkaállomáson, amelyen telepítve van az Azure CLI.

Azure Portál

1. Az Azure Portalon adja meg a felügyelt identitásokat a fő keresősávon, és válassza ki a megfelelő eredményt a Szolgáltatások szakaszban.

2. A Felügyelt identitások lapon válassza a + Létrehozás lehetőséget.

   

3. A Felhasználó által hozzárendelt felügyelt identitás létrehozása lapon válassza ki a felhasználó által hozzárendelt felügyelt identitáshoz tartozó előfizetést, erőforráscsoportot és régiót, majd adjon meg egy nevet.

4. Válassza a Véleményezés + létrehozás lehetőséget a bemenetek áttekintéséhez és érvényesítéséhez.

   

5. Válassza a Létrehozás lehetőséget a felhasználó által hozzárendelt felügyelt identitás létrehozásához.

6. Az identitás létrehozása után válassza az Ugrás az erőforrásra lehetőséget.

7. Az új identitás Áttekintés lapján másolja ki az ügyfél-azonosító értékét, amelyet az alkalmazáskód konfigurálásakor később használhat.

Azure CLI

Felügyelt identitás létrehozása az Azure CLI-paranccsal az identity create :

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

A parancs kimenete kinyomtatja a felhasználó által hozzárendelt felügyelt identitás ügyfél-azonosítóját. Az ügyfélazonosító az identitásra támaszkodó alkalmazáskód konfigurálására szolgál.

A felügyelt identitás tulajdonságai mindig újra megtekinthetők a az identity show következő paranccsal:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Felügyelt identitás hozzárendelése az alkalmazáshoz

A felhasználó által hozzárendelt felügyelt identitás egy vagy több Azure-erőforráshoz társítható. Az identitást használó összes erőforrás az identitás szerepkörei által alkalmazott engedélyeket szerzi be.

Azure Portál

1. Az Azure Portalon keresse meg az alkalmazáskódot tároló erőforrást, például egy Azure App Service-t vagy egy Azure Container App-példányt.

2. Az erőforrás Áttekintés lapján bontsa ki a Beállítások elemet, és válassza az Identitás lehetőséget a navigációs sávon.

3. Az Identitás lapon váltson a Felhasználó által hozzárendelt lapra.

4. Válassza a + Hozzáadás lehetőséget a felhasználó által hozzárendelt felügyelt identitás hozzáadása panel megnyitásához.

5. A Felhasználó által hozzárendelt felügyelt identitás hozzáadásapanelen az Előfizetés legördülő listával szűrheti az identitások keresési eredményeit. A Felhasználó által hozzárendelt felügyelt identitások keresőmezővel keresse meg az alkalmazást üzemeltető Azure-erőforráshoz engedélyezett felhasználó által hozzárendelt felügyelt identitást.

6. Válassza ki az identitást, és a folytatáshoz válassza a Panel alján található Hozzáadás lehetőséget.

   

Azure CLI

Az Azure CLI különböző parancsokat biztosít a felhasználó által hozzárendelt felügyelt identitások különböző típusú üzemeltetési szolgáltatásokhoz való hozzárendeléséhez.

1. Ha felhasználó által hozzárendelt felügyelt identitást szeretne hozzárendelni egy erőforráshoz, például egy Azure App Service-webalkalmazáshoz az Azure CLI használatával, szüksége lesz az identitás erőforrás-azonosítójára. az identity show A parancs használatával kérje le az erőforrás-azonosítót:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Miután megkapta az erőforrás-azonosítót, az Azure CLI parancsával az <resourceType> identity assign társíthatja a felhasználó által hozzárendelt felügyelt identitást különböző erőforrásokhoz, például az alábbiakhoz:

   Az Azure App Service-ben használja az Azure CLI parancsot az webapp identity assign:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Az Azure Container Apps esetében használja az Azure CLI parancsot az containerapp identity assign:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Azure Virtual Machines esetén használja az Azure CLI parancsot az vm identity assign:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Szerepkörök hozzárendelése a felügyelt identitáshoz

Ezután határozza meg, hogy az alkalmazásnak mely szerepkörökre van szüksége, és rendelje hozzá ezeket a szerepköröket a felügyelt identitáshoz. A szerepköröket a következő hatókörökben rendelheti hozzá egy felügyelt identitáshoz:

• Erőforrás: A hozzárendelt szerepkörök csak az adott erőforrásra vonatkoznak.
• Erőforráscsoport: A hozzárendelt szerepkörök az erőforráscsoportban található összes erőforrásra vonatkoznak.
• Előfizetés: A hozzárendelt szerepkörök az előfizetésben található összes erőforrásra érvényesek.

Az alábbi példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel számos alkalmazás egyetlen erőforráscsoport használatával kezeli az összes kapcsolódó Azure-erőforrást.

Azure Portál

1. Lépjen a felhasználó által hozzárendelt felügyelt identitással rendelkező alkalmazást tartalmazó erőforráscsoport Áttekintés lapjára.

2. A bal oldali navigációs sávon válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + Hozzáadás lehetőséget a felső menüben, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget választva lépjen a Szerepkör-hozzárendelés hozzáadása lapra.

   

4. A Szerepkör-hozzárendelés hozzáadása lap egy többlépéses, többlépéses munkafolyamatot jelenít meg a szerepkörök identitásokhoz való hozzárendeléséhez. A kezdeti Szerepkör lapon a felső keresőmezővel keresse meg az identitáshoz hozzárendelni kívánt szerepkört.

5. Válassza ki a szerepkört az eredmények közül, majd a Tovább gombra kattintva lépjen a Tagok lapra.

6. A Hozzáférés hozzárendelése beállításhoz válassza a Felügyelt identitás lehetőséget.

7. A Tagok beállításnál válassza a + Tagok kijelölése lehetőséget a Felügyelt identitások kiválasztása panel megnyitásához.

8. A Felügyelt identitások kiválasztásapanelen az Előfizetés és a Felügyelt identitás legördülő listával szűrheti az identitások keresési eredményeit. A Kiválasztás keresőmezővel keresse meg az alkalmazást üzemeltető Azure-erőforráshoz engedélyezett felhasználó által hozzárendelt felügyelt identitást.

   

9. Válassza ki az identitást, és a folytatáshoz válassza a Panel alján található Kijelölés lehetőséget.

10. Válassza a Véleményezés + hozzárendelés lehetőséget a lap alján.

11. A végső Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a munkafolyamat befejezéséhez.

Azure CLI

1. Ha szerepkört szeretne hozzárendelni egy felhasználó által hozzárendelt felügyelt identitáshoz az Azure CLI használatával, szüksége lesz az identitás fő azonosítójára. az identity show A parancs használatával kérje le az egyszerű azonosítót:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Az az role definition list paranccsal megtudhatja, hogy mely szerepkörök rendelhetők hozzá egy felügyelt identitáshoz:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Szerepkör hozzárendelése felügyelt identitáshoz az az role assignment create paranccsal:

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Ha például az 99999999-9999-9999-9999-999999999999 erőforráscsoportban lévő összes tárfiókhoz engedélyezni szeretné az Azure Storage blobtárolóihoz és adataihoz való olvasási, írási és törlési hozzáférés azonosítójával rendelkező felügyelt identitást, rendelje hozzá az alkalmazásszolgáltatásnevet a Storage Blob-adatszolgáltató szerepkörhöz az alábbi paranccsal:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Az engedélyek erőforrás- vagy előfizetési szinten az Azure CLI-vel való hozzárendeléséről az Azure CLI-vel történő Azure-szerepkörök hozzárendelése című cikk nyújt tájékoztatást.

Hitelesítés az Azure-szolgáltatásokban az alkalmazásból

Az Azure Identity-kódtár különböző hitelesítő adatokat biztosít – a TokenCredential különböző forgatókönyvekhez és a Microsoft Entra hitelesítési folyamatokhoz igazított implementációkat. Mivel a felügyelt identitás helyi futtatáskor nem érhető el, az alábbi lépések bemutatják, hogy melyik hitelesítő adatot melyik forgatókönyvben érdemes használni:

• Helyi fejlesztői környezet: Csak a helyi fejlesztés során használjon DefaultAzureCredential nevű osztályt a hitelesítő adatok véleményezett, előre konfigurált láncolatához. DefaultAzureCredential A felhasználói hitelesítő adatokat a helyi eszközkészletből vagy IDE-ből, például az Azure CLI-ből vagy a Visual Studio Code-ból észleli. Emellett rugalmasságot és kényelmet biztosít az újrapróbálkozáshoz, a válaszok várakozási idejéhez és a több hitelesítési lehetőség támogatásához is. További információért tekintse meg az Azure-szolgáltatások hitelesítését a helyi fejlesztési cikk során .
• Azure-ban üzemeltetett alkalmazások: Ha az alkalmazás az Azure-ban fut, biztonságosan ManagedIdentityCredential felderítheti az alkalmazáshoz konfigurált felügyelt identitást. Ennek a hitelesítő adattípusnak a megadása megakadályozza, hogy más elérhető hitelesítő adatok váratlanul átvehetők legyenek.

A kód implementálása

JavaScript-projektben adja hozzá a @azure/identitáscsomagot . Keresse meg az alkalmazásprojekt könyvtárát egy tetszőleges terminálon, és futtassa a következő parancsokat:

npm install @azure/identity

Az Azure-szolgáltatások speciális ügyfélosztályokkal érhetők el a különböző Azure SDK-ügyfélkódtárakból. Ebben index.jsa lépésben hajtsa végre a következő lépéseket a jogkivonatalapú hitelesítés konfigurálásához:

1. Importálja a @azure/identity csomagot.
2. Adjon át egy megfelelő TokenCredential példányt az ügyfélnek:
   • Akkor használja DefaultAzureCredential , ha az alkalmazás helyileg fut.
   • Akkor használható ManagedIdentityCredential , ha az alkalmazás az Azure-ban fut, és konfigurálja az ügyfél-azonosítót, az erőforrás-azonosítót vagy az objektumazonosítót.

Ügyfélazonosító

Az ügyfélazonosító egy felügyelt identitás azonosítására szolgál, amikor olyan alkalmazásokat vagy szolgáltatásokat konfigurál, amelyeknek hitelesíteni kell az adott identitással.

1. Kérje le a felhasználó által hozzárendelt felügyelt identitáshoz rendelt ügyfélazonosítót a következő paranccsal:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Konfigurálás ManagedIdentityCredential az ügyfélazonosítóval:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   console.log(process.env);
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const clientId = process.env.AZURE_CLIENT_ID;
           if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Erőforrás-azonosító

Az erőforrás-azonosító egyedileg azonosítja a felügyelt identitás erőforrását az Azure-előfizetésben az alábbi struktúra használatával:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Az erőforrás-azonosítók konvenció szerint hozhatók létre, ami kényelmesebbé teszi őket, ha nagy számú felhasználó által hozzárendelt felügyelt identitással dolgoznak a környezetben.

1. Kérje le a felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítóját a következő paranccsal:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Konfigurálás ManagedIdentityCredential az erőforrás-azonosítóval:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const resourceId = process.env.AZURE_RESOURCE_ID;
           if (!resourceId) throw Error('AZURE_RESOURCE_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(resourceId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

objektumazonosító

Az egyszerű azonosító egy objektumazonosító másik neve.

1. A következő paranccsal kérje le a felhasználó által hozzárendelt felügyelt identitás objektumazonosítóját:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Konfigurálás ManagedIdentityCredential az objektumazonosítóval:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const objectId = process.env.AZURE_OBJECT_ID;
           if (!objectId) throw Error('AZURE_OBJECT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(objectId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

A kód implementálása

TypeScript-projektben adja hozzá a @azure/identitáscsomagot . Keresse meg az alkalmazásprojekt könyvtárát egy tetszőleges terminálon, és futtassa a következő parancsokat:

npm install typescript @azure/identity @types/node

Az Azure-szolgáltatások speciális ügyfélosztályokkal érhetők el a különböző Azure SDK-ügyfélkódtárakból. Ebben index.jsa lépésben hajtsa végre a következő lépéseket a jogkivonatalapú hitelesítés konfigurálásához:

1. Importálja a @azure/identity csomagot.
2. Adjon át egy megfelelő TokenCredential példányt az ügyfélnek:
   • Akkor használható DefaultAzureCredential , ha az alkalmazás helyileg fut
   • Akkor használható ManagedIdentityCredential , ha az alkalmazás az Azure-ban fut, és konfigurálja az ügyfél-azonosítót, az erőforrás-azonosítót vagy az objektumazonosítót.

Ügyfélazonosító

Az ügyfélazonosító egy felügyelt identitás azonosítására szolgál, amikor olyan alkalmazásokat vagy szolgáltatásokat konfigurál, amelyeknek hitelesíteni kell az adott identitással.

1. Kérje le a felhasználó által hozzárendelt felügyelt identitáshoz rendelt ügyfélazonosítót a következő paranccsal:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Konfigurálás ManagedIdentityCredential az ügyfélazonosítóval:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const clientId = process.env.AZURE_CLIENT_ID;
           if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Erőforrás-azonosító

Az erőforrás-azonosító egyedileg azonosítja a felügyelt identitás erőforrását az Azure-előfizetésben az alábbi struktúra használatával:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Az erőforrás-azonosítók konvenció szerint hozhatók létre, ami kényelmesebbé teszi őket, ha nagy számú felhasználó által hozzárendelt felügyelt identitással dolgoznak a környezetben.

1. Kérje le a felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítóját a következő paranccsal:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Konfigurálás ManagedIdentityCredential az erőforrás-azonosítóval:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const resourceId = process.env.AZURE_RESOURCE_ID;
           if (!resourceId) throw Error('AZURE_RESOURCE_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(resourceId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

objektumazonosító

Az egyszerű azonosító egy objektumazonosító másik neve.

1. A következő paranccsal kérje le a felhasználó által hozzárendelt felügyelt identitás objektumazonosítóját:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Konfigurálás ManagedIdentityCredential az objektumazonosítóval:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const objectId = process.env.AZURE_OBJECT_ID;
           if (!objectId) throw Error('AZURE_OBJECT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(objectId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Az előző kód eltérően viselkedik attól függően, hogy melyik környezetben fut:

• A helyi fejlesztői munkaállomáson DefaultAzureCredential keresse meg az alkalmazás-szolgáltatásnév környezeti változóit, vagy a helyileg telepített fejlesztői eszközök( például a Visual Studio Code) környezeti változóit a fejlesztői hitelesítő adatok készletéhez.
• Az Azure-ban ManagedIdentityCredential való üzembe helyezéskor felderíti a felügyelt identitáskonfigurációkat, hogy automatikusan hitelesítse magát más szolgáltatásokban.