Eseguire l'autenticazione alle risorse di Azure dalle app JavaScript locali

Le app in esecuzione all'esterno di Azure (ad esempio, in locale o in un data center di terze parti) devono usare un'entità servizio dell'applicazione per eseguire l'autenticazione in Azure quando accedono alle risorse di Azure. Creare oggetti principali del servizio applicazione tramite il processo di registrazione applicativa in Azure. Quando si crea un principale di servizio dell'applicazione, si ottiene un ID client e un segreto del client per l'app. Archiviare l'ID client, il segreto client e l'ID tenant nelle variabili di ambiente in modo che Azure SDK per JavaScript usi queste variabili per autenticare l'app in Azure in fase di esecuzione.

Creare una registrazione dell'app diversa per ogni ambiente(ad esempio test, fase, produzione) in cui viene eseguita l'app. Questa configurazione consente di configurare autorizzazioni di risorse specifiche dell'ambiente per ogni entità servizio e di garantire che un'app distribuita in un ambiente non accinga alle risorse di Azure in un altro ambiente.

1 - Registrare l'applicazione in Azure

È possibile registrare un'app in Azure usando il portale di Azure o l'interfaccia della riga di comando di Azure.

Azure portal

Accedere al portale di Azure e seguire la procedura seguente.

Instructions	Screenshot
Nel portale di Azure: Immettere registrazioni app nella barra di ricerca nella parte superiore del portale di Azure. Selezionare l'elemento etichettato Registrazioni app sotto l'intestazione Servizi nel menu visualizzato sotto la barra di ricerca.
Nella pagina registrazioni app, selezionare + Nuova registrazione.
Nella pagina Registrare un'applicazione, compilare il modulo come segue. Nome → Immettere un nome per la registrazione app in Azure. È consigliabile che questo nome includa il nome dell'app e l'ambiente (test, prod) per il quale è stata eseguita la registrazione dell'app. Tipi di account supportati → Account solo in questa directory organizzativa. Selezionare Registra per registrare l'app e creare l'entità servizio dell'applicazione.
Nella pagina Registrazione app per l'app: ID applicazione (client) → Questo è l'ID app che verrà usato dall'app per accedere ad Azure durante lo sviluppo locale. Copiare questo valore in una posizione temporanea in un editor di testo perché sarà necessario in un passaggio futuro. ID directory (tenant) → Questo valore sarà necessario anche per l'app quando esegue l'autenticazione in Azure. Copiare questo valore in una posizione temporanea in un editor di testo, in quanto sarà necessario in un passaggio futuro. Credenziali client → È necessario impostare le credenziali client per l'app prima che l'app possa eseguire l'autenticazione in Azure e usare i servizi di Azure. Selezionare Aggiungi un certificato o un segreto per aggiungere le credenziali per l'app.
Nella pagina Certificati e segreti, selezionare + Nuovo segreto client.
La finestra di dialogo Aggiungi un segreto client verrà visualizzata dal lato destro della pagina. In questa finestra di dialogo: Descrizione → Immettere un valore Corrente. Scade → Selezionare un valore di 24 mesi. Selezionare Aggiungere per aggiungere il segreto. IMPORTANTE: impostare un promemoria nel calendario prima della data di scadenza del segreto. In questo modo, è possibile aggiungere un nuovo segreto prima e aggiornare le app prima della scadenza di questo segreto, evitando un'interruzione del servizio nell'app.
Nella pagina Certificati e segreti viene visualizzato il valore del segreto client. Copiare questo valore in una posizione temporanea in un editor di testo perché è necessario in un passaggio futuro. IMPORTANTE: questo è l'unico caso in cui si visualizzerà questo valore. Una volta lasciata o aggiornata la pagina, non sarà più possibile visualizzare questo valore. È possibile aggiungere un altro segreto client senza invalidare il segreto client, ma questo valore non verrà visualizzato di nuovo.

Azure CLI

az ad sp create-for-rbac --name <app-name>

L'output del comando è simile all'esempio seguente. Prendere nota di questi valori o mantenere aperta questa finestra perché sono necessari questi valori nel passaggio successivo e non è possibile visualizzare di nuovo il valore della password (segreto client).

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-sdk-auth-prod",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffffaaaa-5555-bbbb-6666-cccc7777dddd"
}

2 - Assegnare ruoli all'entità servizio dell'applicazione

Determinare quindi i ruoli (autorizzazioni) necessari per le risorse necessarie per l'app e assegnare tali ruoli all'app. Assegnare ruoli nell'ambito della risorsa, del gruppo di risorse o della sottoscrizione. Questo esempio illustra come assegnare ruoli per l'entità servizio nell'ambito del gruppo di risorse perché la maggior parte delle applicazioni raggruppa tutte le risorse di Azure in un singolo gruppo di risorse.

Azure portal

Instructions	Screenshot
Individuare il gruppo di risorse per l'applicazione cercando il nome del gruppo di risorse usando la casella di ricerca nella parte superiore del portale di Azure. Passare al gruppo di risorse selezionando il nome del gruppo di risorse nell'intestazione Gruppi di risorse della finestra di dialogo.
Nella pagina del gruppo di risorse selezionare Controllo di accesso (IAM) nel menu a sinistra.
Nella pagina Controllo di accesso (IAM): Selezionare la scheda Assegnazioni di ruolo. Selezionare + Aggiungi nel menu in alto e quindi Aggiungi assegnazione di ruolo nel menu a discesa risultante.
Nella pagina Aggiungi assegnazione di ruolo sono elencati tutti i ruoli che è possibile assegnare per il gruppo di risorse. Usare la casella di ricerca per filtrare l'elenco in modo da renderlo più gestibile. Questo esempio illustra come filtrare i ruoli di BLOB del servizio di archiviazione. Selezionare il ruolo che si vuole assegnare. Selezionare Avanti per passare alla schermata successiva.
La pagina Aggiungi assegnazione di ruolo successiva consente di specificare a quale utente assegnare il ruolo. Selezionare Utente, gruppo o servizio principale in Assegnazione dell'accesso a . Selezionare + Selezionare membri in Membri Viene aperta una finestra di dialogo sul lato destro del portale di Azure.
Nella finestra di dialogo Seleziona membri: La casella di testo Seleziona può essere usata per filtrare l'elenco di utenti e gruppi nella sottoscrizione. Se necessario, digitare i primi caratteri dell'entità servizio creata per l'app per filtrare l'elenco. Selezionare l'entità servizio associata all'applicazione. Selezionare Seleziona nella parte inferiore della finestra di dialogo per continuare.
L'entità servizio viene visualizzata come selezionata nella schermata Aggiungi assegnazione di ruolo. Selezionare Rivedi e assegna per passare alla pagina finale e quindi Rivedi e assegna di nuovo per completare il processo.

Azure CLI

Assegna un ruolo a un principale del servizio in Azure con il comando az role assignment create.

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} 

Per ottenere i nomi dei ruoli che possono essere assegnati a un principale del servizio, usare il comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Ad esempio, per concedere al principal di servizio l'accesso in lettura, scrittura e cancellazione ai contenitori BLOB e ai dati di archiviazione per tutti gli account di archiviazione nel gruppo di risorse msdocs-sdk-auth-example, assegnare al principal di servizio dell'applicazione il ruolo Collaboratore ai dati dei BLOB di archiviazione con il comando seguente.

az role assignment create --assignee "aaaaaaaa-bbbb-cccc-7777-888888888888" \
    --role "Storage Blob Data Contributor" \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-javascript-sdk-auth-example \

Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite l'interfaccia della riga di comando di Azure, vedere Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

3 - Configurare le variabili di ambiente per l'applicazione

Impostare le AZURE_CLIENT_IDvariabili di ambiente , AZURE_TENANT_IDe AZURE_CLIENT_SECRET per il processo che esegue l'app JavaScript. È necessario rendere disponibili le credenziali del principale di servizio dell'applicazione per l'app durante l'esecuzione. L'oggetto DefaultAzureCredential cerca le informazioni sull'entità servizio in queste variabili di ambiente.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4 - Implementare DefaultAzureCredential nell'applicazione

Per autenticare gli oggetti client di Azure SDK in Azure, usare la DefaultAzureCredential classe dal pacchetto @azure/identity.

Aggiungere prima di tutto il pacchetto di @azure/identità all'applicazione.

npm install @azure/identity

Successivamente, per qualsiasi codice JavaScript che crea un oggetto client azure SDK nell'app, seguire questa procedura:

1. Importare la DefaultAzureCredential classe dal @azure/identity modulo.
2. Creare un oggetto DefaultAzureCredential.
3. Passare l'oggetto al costruttore dell'oggetto DefaultAzureCredential client di Azure SDK.

Un esempio di questo codice è illustrato nel segmento di codice seguente.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Quando il codice crea un'istanza dell'oggetto DefaultAzureCredential, DefaultAzureCredential legge le variabili di ambiente AZURE_SUBSCRIPTION_ID, AZURE_TENANT_ID, AZURE_CLIENT_ID e AZURE_CLIENT_SECRET per le informazioni sull'entità servizio dell'applicazione con cui connettersi ad Azure.