Настройка Устойчивые функции с помощью идентификатора Microsoft Entra
Идентификатор Microsoft Entra (Идентификатор Microsoft Entra) — это облачная служба управления удостоверениями и доступом. Подключения на основе удостоверений позволяют Устойчивые функции выполнять авторизованные запросы к защищенным ресурсам Microsoft Entra, например учетной записи служба хранилища Azure, без необходимости управлять секретами вручную. Используя поставщик хранилища Azure по умолчанию, Устойчивые функции необходимо пройти проверку подлинности в учетной записи хранения Azure. В этой статье показано, как настроить приложение Устойчивые функции для использования двух видов подключений на основе удостоверений: учетных данных управляемого удостоверения и учетных данных секрета клиента.
Настройка приложения для использования управляемого удостоверения (рекомендуется)
Управляемое удостоверение позволяет приложению легко получить доступ к другим защищенным ресурсам Microsoft Entra, таким как Azure Key Vault. Управляемое удостоверение поддерживается в Устойчивые функции расширения версии 2.7.0 и более поздних версий.
Примечание.
Строго говоря, управляемое удостоверение доступно только приложениям при выполнении в Azure. При настройке использования подключений на основе удостоверений локально выполняющееся приложение будет использовать учетные данные разработчика для проверки подлинности с помощью ресурсов Azure. Затем при развертывании в Azure вместо этого будет использоваться конфигурация управляемого удостоверения.
Необходимые компоненты
В следующих шагах предполагается, что вы начинаете работу с существующим приложением Устойчивые функции и знакомы с его использованием. В частности, в этом кратком руководстве предполагается, что у вас уже есть:
- Создайте проект Устойчивые функции в портал Azure или развернули локальный Устойчивые функции в Azure.
Если это не так, мы рекомендуем начать с одной из следующих статей, в которой приведены подробные инструкции по достижению всех указанных выше требований:
- Создание первой устойчивой функции — C#
- Создание первой устойчивой функции — JavaScript
- Создание первой устойчивой функции — Python
- Создание первой устойчивой функции — PowerShell
- Создание первой устойчивой функции — Java
Включение управляемого удостоверения
Для функции требуется только одно удостоверение, назначаемое системой управляемое удостоверение или назначаемое пользователем управляемое удостоверение. Чтобы включить управляемое удостоверение для функции и узнать больше о различиях между двумя удостоверениями, ознакомьтесь с подробными инструкциями здесь.
Назначение контроль доступа на основе ролей (RBAC) управляемому удостоверению
Перейдите к ресурсу хранилища приложения в портал Azure. Следуйте этим инструкциям , чтобы назначить следующие роли ресурсу управляемого удостоверения.
- Участник для данных очереди хранилища
- Участник данных BLOB-объектов хранилища
- Участник данных таблицы хранилища
Добавление конфигурации управляемого удостоверения в портал Azure
Перейдите на страницу конфигурации приложения-функции Azure и выполните следующие изменения:
- Удалите значение по умолчанию AzureWebJobs служба хранилища.
Свяжите учетную запись хранения Azure, добавив один из следующих параметров.
AzureWebJobs служба хранилища__accountName: например:
mystorageaccount123AzureWebJobs служба хранилища__blobServiceUri: пример:
https://mystorageaccount123.blob.core.windows.net/AzureWebJobs служба хранилища__queueServiceUri: пример:
https://mystorageaccount123.queue.core.windows.net/AzureWebJobs служба хранилища__tableServiceUri: пример:
https://mystorageaccount123.table.core.windows.net/Примечание.
Если вы используете Azure для государственных организаций или любое другое облако, отличное от глобальной среды Azure, вам потребуется использовать этот второй вариант для предоставления определенных URL-адресов службы. Значения этих параметров можно найти на вкладке "Конечные точки" в учетной записи хранения. Дополнительные сведения об использовании служба хранилища Azure с Azure для государственных организаций см. в документации по Azure для государственных организаций API разработки с помощью служба хранилища.
Завершите настройку управляемого удостоверения:
Если назначаемое системой удостоверение должно использоваться, укажите ничего другого.
Если назначаемое пользователем удостоверение должно использоваться, добавьте следующие значения параметров приложения в конфигурацию приложения:
AzureWebJobs служба хранилища__credential: managedidentity
AzureWebJobs служба хранилища__clientId. (Это значение GUID, полученное из Центра администрирования Microsoft Entra)
Настройка приложения для использования учетных данных секрета клиента
Регистрация клиентского приложения в идентификаторе Microsoft Entra — это другой способ настройки доступа к службе Azure. В следующих шагах вы узнаете, как использовать учетные данные секрета клиента для проверки подлинности в вашей учетной записи служба хранилища Azure. Этот метод можно использовать приложениями-функциями как локально, так и в Azure. Однако учетные данные секрета клиента не рекомендуется, чем управляемое удостоверение, так как для настройки и управления ими требуется общий доступ к секретным учетным данным в службе Функции Azure.
Необходимые компоненты
В следующих шагах предполагается, что вы начинаете работу с существующим приложением Устойчивые функции и знакомы с его использованием. В частности, в этом кратком руководстве предполагается, что у вас уже есть:
- Создайте проект Устойчивые функции на локальном компьютере или в портал Azure.
Регистрация клиентского приложения в идентификаторе Microsoft Entra
Зарегистрируйте клиентское приложение в идентификаторе Microsoft Entra в портал Azure в соответствии с этими инструкциями.
Создайте секрет клиента для клиентского приложения. В зарегистрированном приложении:
Выберите сертификаты и секреты и выберите новый секрет клиента.
Введите описание и выберите допустимое время секрета в поле "Срок действия ".
Скопируйте и сохраните значение секрета тщательно, так как оно не будет отображаться снова после выхода страницы.
Назначение контроль доступа на основе ролей (RBAC) клиентскому приложению
Назначьте эти три роли клиентскому приложению, выполнив следующие действия.
- Участник для данных очереди хранилища
- Участник данных BLOB-объектов хранилища
- Участник данных таблицы хранилища
Перейдите на страницу учетной записи хранения функции контроль доступа (IAM) и добавьте новое назначение ролей.
Выберите необходимую роль, нажмите кнопку далее, а затем найдите приложение, просмотрите и добавьте.
Добавление конфигурации секрета клиента
Чтобы запустить и протестировать в Azure, укажите следующие сведения на странице конфигурации приложения-функции Azure в портал Azure. Чтобы выполнить и проверить локально, укажите следующее в файле local.settings.json функции.
Удалите значение по умолчанию AzureWebJobs служба хранилища.
Свяжите учетную запись хранения Azure, добавив один из следующих параметров.
AzureWebJobs служба хранилища__accountName: например:
mystorageaccount123AzureWebJobs служба хранилища__blobServiceUri: пример:
https://mystorageaccount123.blob.core.windows.net/AzureWebJobs служба хранилища__queueServiceUri: пример:
https://mystorageaccount123.queue.core.windows.net/AzureWebJobs служба хранилища__tableServiceUri: пример:
https://mystorageaccount123.table.core.windows.net/
Значения этих переменных URI можно найти в учетной записи хранения на вкладке "Конечные точки".
Добавьте учетные данные секрета клиента, указав следующие значения:
AzureWebJobs служба хранилища__clientId: (это значение GUID, найденное на странице приложения Microsoft Entra)
AzureWebJobs служба хранилища__ClientSecret: (это значение секрета, созданное в Центре администрирования Microsoft Entra на предыдущем шаге).
AzureWebJobs служба хранилища__tenantId: (это идентификатор клиента, в который зарегистрировано приложение Microsoft Entra)
Значения идентификатора клиента и идентификатора клиента можно найти на странице обзора клиентского приложения. Значение секрета клиента — это значение, которое было тщательно сохранено на предыдущем шаге. Он не будет доступен после обновления страницы.
