Autenticare le app JavaScript ospitate in Azure usando un'identità gestita assegnata dal sistema

L'approccio consigliato per autenticare un'app ospitata in Azure in altre risorse di Azure consiste nell'usare un'identità gestita. Questo approccio è supportato per la maggior parte dei servizi di Azure, incluse le app ospitate nel servizio app di Azure, nelle app di Azure Container e nelle macchine virtuali di Azure. Altre informazioni sulle diverse tecniche e approcci di autenticazione sono disponibili nella pagina di panoramica dell'autenticazione . Nelle sezioni successive si apprenderà quanto descritto di seguito:

• Concetti essenziali relativi all'identità gestita
• Come creare un'identità gestita assegnata dal sistema per l'app
• Come assegnare ruoli all'identità gestita assegnata dal sistema
• Come eseguire l'autenticazione usando l'identità gestita assegnata dal sistema dal codice dell'app

Concetti essenziali relativi all'identità gestita

Un'identità gestita consente all'app di connettersi in modo sicuro ad altre risorse di Azure senza usare chiavi segrete o altri segreti dell'applicazione. Internamente, Azure tiene traccia dell'identità e delle risorse a cui è consentito connettersi. Azure usa queste informazioni per ottenere automaticamente i token di Microsoft Entra per consentire all'app di connettersi ad altre risorse di Azure.

Esistono due tipi di identità gestite da considerare durante la configurazione dell'app ospitata:

• Le identità gestite assegnate dal sistema sono abilitate direttamente in una risorsa di Azure e sono associate al ciclo di vita. Quando la risorsa viene eliminata, Azure elimina automaticamente l'identità. Le identità assegnate dal sistema offrono un approccio minimalista all'uso delle identità gestite.
• Le identità gestite assegnate dall'utente vengono create come risorse di Azure autonome e offrono maggiore flessibilità e funzionalità. Sono ideali per soluzioni che coinvolgono più risorse di Azure che devono condividere la stessa identità e le stesse autorizzazioni. Ad esempio, se più macchine virtuali devono accedere allo stesso set di risorse di Azure, un'identità gestita assegnata dall'utente offre la riutilizzabilità e la gestione ottimizzata.

Suggerimento

Altre informazioni sulla selezione e sulla gestione delle identità gestite assegnate dal sistema e assegnate dall'utente sono disponibili nell'articolo Raccomandazioni sulle procedure consigliate sulle identità gestite .

Le sezioni seguenti descrivono i passaggi per abilitare e usare un'identità gestita assegnata dal sistema per un'app ospitata in Azure. Se è necessario usare un'identità gestita assegnata dall'utente, vedere l'articolo Identità gestite assegnate dall'utente per altre informazioni.

Abilitare un'identità gestita assegnata dal sistema nella risorsa di hosting di Azure

Per iniziare a usare un'identità gestita assegnata dal sistema con l'app, abilitare l'identità nella risorsa di Azure che ospita l'app, ad esempio un servizio app di Azure, un'app Azure Container o una macchina virtuale di Azure.

È possibile abilitare un'identità gestita assegnata dal sistema per una risorsa di Azure usando il portale di Azure o l'interfaccia della riga di comando di Azure.

Portale di Azure

1. Nel portale di Azure passare alla risorsa che ospita il codice dell'applicazione, ad esempio un servizio app di Azure o un'istanza dell'app Azure Container.

2. Nella pagina Panoramica della risorsa espandere Impostazioni e selezionare Identità nel riquadro di spostamento.

3. Nella pagina Identità attivare o disattivare il dispositivo di scorrimento Stato su Sì.

4. Seleziona Salva per applicare le modifiche.

   

CLI di Azure

I comandi dell'interfaccia della riga di comando di Azure possono essere eseguiti in Azure Cloud Shell o in una workstation con l'interfaccia della riga di comando di Azure installata.

I comandi dell'interfaccia della riga di comando di Azure usati per abilitare l'identità gestita per una risorsa di Azure sono nel formato az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Di seguito sono riportati comandi specifici per i servizi di Azure più diffusi.

Servizio app di Azure:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Macchina virtuale di Azure:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

L'output è simile al seguente:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Il principalId valore è l'ID univoco dell'identità gestita. Mantenere una copia di questo output, perché questi valori saranno necessari nel passaggio successivo.

Assegnare ruoli all'identità gestita

Successivamente, determinare i ruoli necessari per l'app e assegnare tali ruoli all'identità gestita. È possibile assegnare ruoli a un'identità gestita negli ambiti seguenti:

• Risorsa: i ruoli assegnati si applicano solo a tale risorsa specifica.
• Gruppo di risorse: i ruoli assegnati si applicano a tutte le risorse contenute nel gruppo di risorse.
• Sottoscrizione: i ruoli assegnati si applicano a tutte le risorse contenute nella sottoscrizione.

L'esempio seguente illustra come assegnare ruoli nell'ambito del gruppo di risorse, poiché molte app gestiscono tutte le risorse di Azure correlate usando un singolo gruppo di risorse.

Portale di Azure

1. Passare alla pagina Panoramica del gruppo di risorse che contiene l'app con l'identità gestita assegnata dal sistema.

2. Selezionare Controllo di accesso (IAM) nel riquadro di spostamento sinistro.

3. Nella pagina Controllo di accesso (IAM) selezionare + Aggiungi nel menu in alto e quindi scegliere Aggiungi assegnazione di ruolo per passare alla pagina Aggiungi assegnazione di ruolo .

   

4. La pagina Aggiungi assegnazione di ruolo presenta un flusso di lavoro a schede in più passaggi per assegnare ruoli alle identità. Nella scheda Ruolo iniziale usare la casella di ricerca nella parte superiore per individuare il ruolo da assegnare all'identità.

5. Selezionare il ruolo nei risultati e quindi scegliere Avanti per passare alla scheda Membri .

6. Per l'opzione Assegna accesso a selezionare Identità gestita.

7. Per l'opzione Membri scegliere + Seleziona membri per aprire il pannello Seleziona identità gestite .

8. Nel pannello Seleziona identità gestite usare gli elenchi a discesa Sottoscrizione e Identità gestita per filtrare i risultati della ricerca per le identità. Usare la casella di ricerca Seleziona per individuare l'identità di sistema abilitata per la risorsa di Azure che ospita l'app.

   

9. Selezionare l'identità e scegliere Seleziona nella parte inferiore del pannello per continuare.

10. Selezionare Rivedi e assegna nella parte inferiore della pagina.

11. Nella scheda Finale Rivedi e assegna selezionare Rivedi e assegna per completare il flusso di lavoro.

CLI di Azure

A un'identità gestita viene assegnato un ruolo in Azure usando il comando az role assignment create :

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Per ottenere i nomi dei ruoli a cui è possibile assegnare un'entità servizio, usare il comando az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Ad esempio, per consentire l'identità gestita con l'ID di aaaaaaaa-bbbb-cccc-1111-222222222222 lettura, scrittura ed eliminazione dell'accesso ai contenitori BLOB e ai dati di Archiviazione di Azure a tutti gli account di archiviazione nel gruppo di risorse msdocs-sdk-auth-example , assegnare l'entità servizio dell'applicazione al ruolo Collaboratore dati BLOB di archiviazione usando il comando seguente:

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite l'interfaccia della riga di comando di Azure, vedere l'articolo Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

Eseguire l'autenticazione ai servizi di Azure dall'app

La libreria di identità di Azure fornisce varie credenziali : implementazioni di adattate al supporto di diversi scenari e flussi di TokenCredential autenticazione di Microsoft Entra. Poiché l'identità gestita non è disponibile durante l'esecuzione in locale, i passaggi successivi illustrano quali credenziali usare in quale scenario:

• Ambiente di sviluppo locale: durante lo sviluppo locale, usare solo una classe denominata DefaultAzureCredential per una catena di credenziali preconfigurata e con opinioni. DefaultAzureCredential individua le credenziali utente dagli strumenti locali o dall'IDE, ad esempio l'interfaccia della riga di comando di Azure o Visual Studio Code. Offre inoltre flessibilità e praticità per i tentativi, i tempi di attesa per le risposte e il supporto per più opzioni di autenticazione. Per altre informazioni, vedere l'articolo Eseguire l'autenticazione ai servizi di Azure durante lo sviluppo locale .
• App ospitate in Azure: quando l'app è in esecuzione in Azure, usare ManagedIdentityCredential per individuare in modo sicuro l'identità gestita configurata per l'app. La specifica di questo tipo esatto di credenziali impedisce che altre credenziali disponibili vengano prelevate in modo imprevisto.

Implementare il codice

In un progetto JavaScript aggiungere il pacchetto @azure/identity . In un terminale di propria scelta passare alla directory del progetto dell'applicazione ed eseguire i comandi seguenti:

npm install @azure/identity

È possibile accedere ai servizi di Azure usando classi client specializzate dalle varie librerie client di Azure SDK. In index.jscompletare i passaggi seguenti per configurare l'autenticazione basata su token:

1. Importare il @azure/identity pacchetto.

2. Passare un'istanza appropriata TokenCredential al client:

   • Usa DefaultAzureCredential quando l'app è in esecuzione in locale
   • Usare ManagedIdentityCredential quando l'app è in esecuzione in Azure.

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
   
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           return new BlobServiceClient(url, new ManagedIdentityCredential());
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Implementare il codice

In un progetto JavaScript aggiungere il pacchetto @azure/identity . In un terminale di propria scelta passare alla directory del progetto dell'applicazione ed eseguire i comandi seguenti:

npm install @azure/identity @types/node

È possibile accedere ai servizi di Azure usando classi client specializzate dalle varie librerie client di Azure SDK. In index.jscompletare i passaggi seguenti per configurare l'autenticazione basata su token:

1. Importare il @azure/identity pacchetto.

2. Passare un'istanza appropriata TokenCredential al client:

   • Usa DefaultAzureCredential quando l'app è in esecuzione in locale
   • Usare ManagedIdentityCredential quando l'app è in esecuzione in Azure.

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           return new BlobServiceClient(url, new ManagedIdentityCredential());
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Il codice precedente si comporta in modo diverso a seconda dell'ambiente in cui è in esecuzione:

• Nella workstation di sviluppo locale cercare DefaultAzureCredential nelle variabili di ambiente un'entità servizio dell'applicazione o in strumenti di sviluppo installati localmente, ad esempio Visual Studio Code, per un set di credenziali per sviluppatori.
• Quando viene distribuita in Azure, ManagedIdentityCredential individua automaticamente le configurazioni di identità gestite per l'autenticazione ad altri servizi.