Delen via


Door Azure gehoste apps verifiëren bij Azure-resources met de Azure SDK voor JavaScript

Wanneer een app wordt gehost in Azure (met behulp van een service zoals Azure-app Service, Azure Virtual Machines of Azure Container Instances), is de aanbevolen benadering voor het verifiëren van een app bij Azure-resources het gebruik van een beheerde identiteit.

Een beheerde identiteit biedt een identiteit voor uw app, zodat uw app verbinding maakt met andere Azure-resources zonder dat u een geheim hoeft te gebruiken (zoals een verbindingsreeks sleutel). Intern kent Azure de identiteit van uw app en met welke resources verbinding mag worden gemaakt. Azure gebruikt deze informatie om automatisch Microsoft Entra-tokens voor de app te verkrijgen, zodat deze verbinding kan maken met andere Azure-resources, allemaal zonder dat u de verificatiegeheimen hoeft te beheren (maken of draaien).

Typen beheerde identiteiten

Er zijn twee typen beheerde identiteit:

  • Door het systeem toegewezen beheerde identiteiten - één Azure-resource
  • Door de gebruiker toegewezen beheerde identiteiten - meerdere Azure-resources

In dit artikel worden de stappen beschreven voor het inschakelen en gebruiken van een door het systeem toegewezen beheerde identiteit voor een app. Als u een door de gebruiker toegewezen beheerde identiteit wilt gebruiken, raadpleegt u het artikel Door de gebruiker toegewezen beheerde identiteiten beheren om te zien hoe u een door de gebruiker toegewezen beheerde identiteit maakt.

Door het systeem toegewezen beheerde identiteiten voor één resource

Door het systeem toegewezen beheerde identiteiten worden geleverd door en rechtstreeks gekoppeld aan een Azure-resource. Wanneer u beheerde identiteit inschakelt voor een Azure-resource, krijgt u een door het systeem toegewezen beheerde identiteit voor die resource. Deze is gekoppeld aan de levenscyclus van de Azure-resource. Als de resource wordt verwijderd, wordt de identiteit automatisch verwijderd. Omdat u alleen beheerde identiteit moet inschakelen voor de Azure-resource die als host fungeert voor uw code, is dit het eenvoudigste type beheerde identiteit dat u kunt gebruiken.

Door de gebruiker toegewezen beheerde identiteiten voor meerdere resources

Conceptueel is deze identiteit een zelfstandige Azure-resource. Dit wordt het meest gebruikt wanneer uw oplossing meerdere workloads heeft die worden uitgevoerd op meerdere Azure-resources die allemaal dezelfde identiteit en dezelfde machtigingen moeten delen. Als uw oplossing bijvoorbeeld onderdelen had die zijn uitgevoerd op meerdere Exemplaren van App Service en virtuele machines en ze allemaal toegang nodig hadden tot dezelfde set Azure-resources, zou het maken en gebruiken van een door de gebruiker toegewezen beheerde identiteit voor deze resources zinvol zijn.

1 - Door het systeem toegewezen: Inschakelen in gehoste app

De eerste stap is het inschakelen van een beheerde identiteit in de Azure-resource die als host fungeert voor uw app. Als u bijvoorbeeld een Django-toepassing host met behulp van Azure-app Service, moet u beheerde identiteit inschakelen voor die App Service-web-app. Als u een virtuele machine gebruikt om uw app te hosten, zou u uw VM in staat stellen beheerde identiteit te gebruiken.

U kunt een beheerde identiteit inschakelen voor een Azure-resource met behulp van De Azure-portal of de Azure CLI.

Instructies Schermafbeelding
Navigeer naar de resource die als host fungeert voor uw toepassingscode in Azure Portal.

U kunt bijvoorbeeld de naam van uw resource typen in het zoekvak boven aan de pagina en ernaar navigeren door deze te selecteren in het dialoogvenster.
Een schermopname van het gebruik van de bovenste zoekbalk in Azure Portal om naar een resource in Azure te zoeken en te navigeren.
Selecteer op de pagina voor uw resource het menu-item Identiteit in het linkermenu.

Alle Azure-resources die beheerde identiteit kunnen ondersteunen, hebben een menu-item Identiteit , ook al kan de indeling van het menu enigszins variëren.
Een schermopname van de locatie van het menu-item Identiteit in het linkermenu voor een Azure-resource.
Op de pagina Identiteit :
  1. Wijzig de schuifregelaar Status in Aan.
  2. Selecteer Opslaan.
In een bevestigingsvenster wordt gecontroleerd of u beheerde identiteit voor uw service wilt inschakelen. Antwoord Ja om beheerde identiteit voor de Azure-resource in te schakelen.
Een schermopname van het inschakelen van een beheerde identiteit voor een Azure-resource op de pagina Identiteit van de resource.

2 - Rollen toewijzen aan de beheerde identiteit

Vervolgens moet u bepalen welke rollen (machtigingen) uw app nodig heeft en de beheerde identiteit toewijzen aan die rollen in Azure. Aan een beheerde identiteit kunnen rollen worden toegewezen voor een resource, resourcegroep of abonnementsbereik. In dit voorbeeld ziet u hoe u rollen toewijst aan het bereik van de resourcegroep, omdat de meeste toepassingen al hun Azure-resources groeperen in één resourcegroep.

Instructies Schermafbeelding
Zoek de resourcegroep voor uw toepassing door te zoeken naar de naam van de resourcegroep met behulp van het zoekvak boven aan Azure Portal.

Navigeer naar uw resourcegroep door de naam van de resourcegroep te selecteren onder de kop Resourcegroepen in het dialoogvenster.
Een schermopname die laat zien hoe u de bovenste zoekbalk in Azure Portal gebruikt om naar een resourcegroep in Azure te zoeken en te navigeren.
Selecteer op de pagina voor de resourcegroep toegangsbeheer (IAM) in het menu aan de linkerkant. Een schermopname van de locatie van het menu-item Toegangsbeheer (I A M) in het linkermenu van een Azure-resourcegroep.
Op de pagina Toegangsbeheer (IAM):
  1. Selecteer het tabblad Roltoewijzingen.
  2. Selecteer + Toevoegen in het bovenste menu en voeg vervolgens roltoewijzing toe in de resulterende vervolgkeuzelijst.
Een schermopname van het navigeren naar het tabblad Roltoewijzingen en de locatie van de knop die wordt gebruikt om roltoewijzingen toe te voegen aan een resourcegroep.
De pagina Roltoewijzing toevoegen bevat alle rollen die kunnen worden toegewezen voor de resourcegroep.
  1. Gebruik het zoekvak om de lijst te filteren op een beter beheerbare grootte. In dit voorbeeld ziet u hoe u filtert op Storage Blob-rollen.
  2. Selecteer de rol die u wilt toewijzen.
    Selecteer Volgende om naar het volgende scherm te gaan.
Een schermopname van het filteren en selecteren van roltoewijzingen die moeten worden toegevoegd aan de resourcegroep.
Op de volgende pagina Roltoewijzing toevoegen kunt u opgeven aan welke gebruiker de rol moet toewijzen.
  1. Selecteer Beheerde identiteit onder Toegang toewijzen aan.
  2. Selecteer + Leden selecteren onder Leden
Aan de rechterkant van Azure Portal wordt een dialoogvenster geopend.
Een schermopname die laat zien hoe u beheerde identiteit selecteert als het type gebruiker waaraan u de rol (machtiging) wilt toewijzen op de pagina roltoewijzingen toevoegen.
In het dialoogvenster Beheerde identiteiten selecteren :
  1. De vervolgkeuzelijst Beheerde identiteit en het tekstvak Selecteren kunnen worden gebruikt om de lijst met beheerde identiteiten in uw abonnement te filteren. In dit voorbeeld worden alleen beheerde identiteiten weergegeven die zijn gekoppeld aan een App Service door App Service te selecteren.
  2. Selecteer de beheerde identiteit voor de Azure-resource die als host fungeert voor uw toepassing.
Kies Selecteren onderaan het dialoogvenster om door te gaan.
Een schermopname waarin wordt getoond hoe u het dialoogvenster Beheerde identiteiten selecteren kunt gebruiken om de beheerde identiteit te filteren en te selecteren waaraan u de rol wilt toewijzen.
De beheerde identiteit wordt weergegeven als geselecteerd op het scherm Roltoewijzing toevoegen.

Selecteer Beoordelen + toewijzen om naar de laatste pagina te gaan en vervolgens opnieuw beoordelen en toewijzen om het proces te voltooien.
Een schermopname van het laatste scherm voor het toevoegen van roltoewijzing, waarbij een gebruiker de knop Beoordelen en toewijzen moet selecteren om de roltoewijzing te voltooien.

3 - DefaultAzureCredential implementeren in uw toepassing

De DefaultAzureCredential klasse detecteert automatisch dat een beheerde identiteit wordt gebruikt en gebruikt de beheerde identiteit om te verifiëren bij andere Azure-resources. Zoals beschreven in het overzichtsartikel over Azure SDK voor JavaScript-verificatie , DefaultAzureCredential ondersteunt u meerdere verificatiemethoden en bepaalt u de verificatiemethode die tijdens runtime wordt gebruikt. Op deze manier kan uw app verschillende verificatiemethoden in verschillende omgevingen gebruiken zonder omgevingsspecifieke code te implementeren.

Voeg eerst het @azure/identiteitspakket toe aan uw toepassing.

npm install @azure/identity

Voor elke JavaScript-code waarmee een Azure SDK-clientobject in uw app wordt gemaakt, wilt u het volgende doen:

  1. Importeer de DefaultAzureCredential klasse uit de @azure/identity module.
  2. Maak een DefaultAzureCredential object.
  3. Geef het DefaultAzureCredential object door aan de objectconstructor van de Azure SDK-client.

Een voorbeeld hiervan wordt weergegeven in het volgende codesegment.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Wanneer de bovenstaande code wordt uitgevoerd op uw lokale werkstation tijdens de lokale ontwikkeling, kijkt u met de SDK-methode DefaultAzureCredential()naar de omgevingsvariabelen voor een toepassingsservice-principal of vs Code, de Azure CLI of Azure PowerShell voor een set referenties voor ontwikkelaars, die beide kunnen worden gebruikt om de app tijdens de lokale ontwikkeling te verifiëren bij Azure-resources. Op deze manier kan dezelfde code worden gebruikt om uw app te verifiëren bij Azure-resources tijdens zowel lokale ontwikkeling als wanneer deze wordt geïmplementeerd in Azure.