Jak używać tożsamości zarządzanych dla usług App Service i Azure Functions

Artykuł
10/18/2023

W tym artykule pokazano, jak utworzyć tożsamość zarządzaną dla aplikacji usługi App Service i usługi Azure Functions oraz jak używać jej do uzyskiwania dostępu do innych zasobów.

Ważne

Ponieważ tożsamości zarządzane nie obsługują scenariuszy obejmujących wiele katalogów, nie będą zachowywać się zgodnie z oczekiwaniami, jeśli aplikacja zostanie zmigrowana między subskrypcjami lub dzierżawami. Aby ponownie utworzyć tożsamości zarządzane po takim przeniesieniu, zobacz Czy tożsamości zarządzane zostaną utworzone automatycznie, jeśli przeniesiem subskrypcję do innego katalogu?. Zasoby podrzędne muszą również mieć zaktualizowane zasady dostępu, aby korzystać z nowej tożsamości.

Uwaga

Tożsamości zarządzane nie są dostępne dla aplikacji wdrożonych w usłudze Azure Arc.

Tożsamość zarządzana firmy Microsoft Entra ID umożliwia aplikacji łatwy dostęp do innych chronionych zasobów firmy Microsoft, takich jak Azure Key Vault. Tożsamość jest zarządzana przez platformę Azure i nie wymaga aprowizacji ani rotacji żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Microsoft Entra ID, zobacz Tożsamości zarządzane dla zasobów platformy Azure.

Aplikacja może mieć korzystać z dwóch typów tożsamości:

Tożsamość przypisana przez system jest powiązana z aplikacją i jest usuwana, gdy aplikacja zostanie usunięta. Aplikacja może mieć tylko jedną tożsamość przypisaną przez system.
Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do aplikacji. Aplikacja może mieć wiele tożsamości przypisanych przez użytkownika.

Konfiguracja tożsamości zarządzanej jest specyficzna dla miejsca. Aby skonfigurować tożsamość zarządzaną dla miejsca wdrożenia w portalu, przejdź najpierw do miejsca. Aby znaleźć tożsamość zarządzaną aplikacji internetowej lub miejsca wdrożenia w dzierżawie usługi Microsoft Entra w witrynie Azure Portal, wyszukaj ją bezpośrednio na stronie Przegląd dzierżawy. Zazwyczaj nazwa miejsca jest podobna do <app-name>/slots/<slot-name>.

W tym filmie wideo pokazano, jak używać tożsamości zarządzanych dla usługi App Service.

Kroki opisane w filmie wideo zostały również opisane w poniższych sekcjach.

Dodawanie tożsamości przypisanej przez system

W lewym obszarze nawigacji strony aplikacji przewiń w dół do grupy Ustawienia.
Wybierz pozycję Tożsamość.
Na karcie Przypisane przez system przełącz pozycję Stan na Włączone. Kliknij przycisk Zapisz.

Uruchom polecenie , az webapp identity assign aby utworzyć tożsamość przypisaną przez system:

az webapp identity assign --name myApp --resource-group myResourceGroup

W przypadku usługi App Service

Uruchom polecenie , Set-AzWebApp -AssignIdentity aby utworzyć tożsamość przypisaną przez system dla usługi App Service:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name>

Dla funkcji

Uruchom polecenie , Update-AzFunctionApp -IdentityType aby utworzyć tożsamość przypisaną przez system dla aplikacji funkcji:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Szablon usługi Azure Resource Manager może służyć do automatyzowania wdrażania zasobów platformy Azure. Aby dowiedzieć się więcej na temat wdrażania w usługach App Service i Functions, zobacz Automatyzowanie wdrażania zasobów w usłudze App Service i Automatyzowanie wdrażania zasobów w usłudze Azure Functions.

Dowolny zasób typu Microsoft.Web/sites można utworzyć przy użyciu tożsamości, uwzględniając następującą właściwość w definicji zasobu:

"identity": {
    "type": "SystemAssigned"
}

Dodanie typu przypisanego przez system informuje platformę Azure o utworzeniu tożsamości aplikacji i zarządzaniu nią.

Na przykład szablon aplikacji internetowej może wyglądać podobnie do następującego kodu JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Po utworzeniu witryny ma następujące dodatkowe właściwości:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

Właściwość tenantId identyfikuje dzierżawę firmy Microsoft, do której należy tożsamość. PrincipalId to unikatowy identyfikator nowej tożsamości aplikacji. W ramach identyfikatora Entra firmy Microsoft jednostka usługi ma taką samą nazwę, jaką nadano usłudze App Service lub wystąpieniu usługi Azure Functions.

Jeśli musisz odwołać się do tych właściwości w późniejszym etapie szablonu, możesz to zrobić za pomocą reference() funkcji szablonu z flagą 'Full' , jak w tym przykładzie:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Dodawanie tożsamości przypisanej przez użytkownika

Utworzenie aplikacji z tożsamością przypisaną przez użytkownika wymaga utworzenia tożsamości, a następnie dodania jej identyfikatora zasobu do konfiguracji aplikacji.

Najpierw należy utworzyć zasób tożsamości przypisanej przez użytkownika.

Utwórz zasób tożsamości zarządzanej przypisanej przez użytkownika zgodnie z tymi instrukcjami.
Na lewej stronie nawigacji aplikacji przewiń w dół do grupy Ustawienia.
Wybierz pozycję Tożsamość.
Wybierz pozycję Dodaj przypisane przez> użytkownika.
Wyszukaj utworzoną wcześniej tożsamość, wybierz ją i wybierz pozycję Dodaj.

Po wybraniu pozycji Dodaj aplikacja zostanie ponownie uruchomiona.

Utwórz tożsamość przypisaną przez użytkownika.

az identity create --resource-group <group-name> --name <identity-name>

Uruchom polecenie , az webapp identity assign aby przypisać tożsamość do aplikacji.

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>

W przypadku usługi App Service

Dodawanie tożsamości przypisanej przez użytkownika w usłudze App Service nie jest obecnie obsługiwane.

Dla funkcji

Utwórz tożsamość przypisaną przez użytkownika.

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>

Uruchom polecenie , Update-AzFunctionApp -IdentityType UserAssigned -IdentityId aby przypisać tożsamość w usłudze Functions:

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Dowolny zasób typu Microsoft.Web/sites można utworzyć przy użyciu tożsamości, uwzględniając następujący blok w definicji zasobu, zastępując <resource-id> element identyfikatorem zasobu żądanej tożsamości:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Uwaga

Aplikacja może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. W takim przypadku type właściwość będzie miała wartość SystemAssigned,UserAssigned

Dodanie typu przypisanego przez użytkownika informuje platformę Azure o użyciu tożsamości przypisanej przez użytkownika określonej dla aplikacji.

Na przykład szablon aplikacji internetowej może wyglądać podobnie do następującego kodu JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Po utworzeniu witryny ma następujące dodatkowe właściwości:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

PrincipalId to unikatowy identyfikator tożsamości używanej do administrowania firmą Microsoft Entra. ClientId to unikatowy identyfikator nowej tożsamości aplikacji używanej do określania tożsamości, która ma być używana podczas wywołań środowiska uruchomieniowego.

Konfigurowanie zasobu docelowego

Może być konieczne skonfigurowanie zasobu docelowego, aby zezwolić na dostęp z aplikacji lub funkcji. Jeśli na przykład zażądasz tokenu dostępu do usługi Key Vault, musisz również dodać zasady dostępu, które obejmują tożsamość zarządzaną aplikacji lub funkcji. W przeciwnym razie wywołania usługi Key Vault zostaną odrzucone, nawet jeśli używasz prawidłowego tokenu. To samo dotyczy usługi Azure SQL Database. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które obsługują uwierzytelnianie Firmy Microsoft Entra.

Ważne

Usługi zaplecza dla tożsamości zarządzanych utrzymują pamięć podręczną na identyfikator URI zasobu przez około 24 godziny. Jeśli zaktualizujesz zasady dostępu określonego zasobu docelowego i natychmiast pobierzesz token dla tego zasobu, możesz nadal uzyskać buforowany token z nieaktualnymi uprawnieniami do momentu wygaśnięcia tego tokenu. Obecnie nie ma możliwości wymuszenia odświeżania tokenu.

Połączenie do usług platformy Azure w kodzie aplikacji

Dzięki tożsamości zarządzanej aplikacja może uzyskiwać tokeny dla zasobów platformy Azure chronionych przez identyfikator entra firmy Microsoft, takich jak Azure SQL Database, Azure Key Vault i Azure Storage. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.

Usługa App Service i usługa Azure Functions udostępniają wewnętrznie dostępny punkt końcowy REST na potrzeby pobierania tokenów. Dostęp do punktu końcowego REST można uzyskać z poziomu aplikacji przy użyciu standardowego żądania HTTP GET, który można zaimplementować za pomocą ogólnego klienta HTTP w każdym języku. W przypadku platform .NET, JavaScript, Java i Python biblioteka klienta tożsamości platformy Azure zapewnia abstrakcję dla tego punktu końcowego REST i upraszcza środowisko programistyczne. Połączenie do innych usług platformy Azure jest tak proste, jak dodanie obiektu poświadczeń do klienta specyficznego dla usługi.

Nieprzetworzone żądanie HTTP GET wygląda podobnie do następującego przykładu:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Przykładowa odpowiedź może wyglądać następująco:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Ta odpowiedź jest taka sama jak odpowiedź na żądanie tokenu dostępu do usługi firmy Microsoft. Aby uzyskać dostęp do usługi Key Vault, należy dodać wartość access_token do połączenia klienta z magazynem.

Uwaga

Podczas nawiązywania połączenia ze źródłami danych usługi Azure SQL przy użyciu programu Entity Framework Core rozważ użycie elementu Microsoft.Data.SqlClient, który zapewnia specjalne parametry połączenia na potrzeby łączności tożsamości zarządzanej. Aby zapoznać się z przykładem, zobacz Samouczek: zabezpieczanie połączenia usługi Azure SQL Database z usługi App Service przy użyciu tożsamości zarządzanej.

W przypadku aplikacji i funkcji platformy .NET najprostszym sposobem pracy z tożsamością zarządzaną jest użycie biblioteki klienta tożsamości platformy Azure dla platformy .NET. Aby uzyskać szczegółowe wskazówki, zobacz Samouczek: Połączenie do baz danych platformy Azure z usługi App Service bez wpisów tajnych korzystających z tożsamości zarządzanej.

Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

W połączonych przykładach użyto polecenia DefaultAzureCredential. Jest to przydatne w większości scenariuszy, ponieważ ten sam wzorzec działa na platformie Azure (z tożsamościami zarządzanymi) i na komputerze lokalnym (bez tożsamości zarządzanych).

W przypadku aplikacji Node.js i funkcji Języka JavaScript najprostszym sposobem pracy z tożsamością zarządzaną jest użycie biblioteki klienta tożsamości platformy Azure dla języka JavaScript. Aby uzyskać szczegółowe wskazówki, zobacz Samouczek: Połączenie do baz danych platformy Azure z usługi App Service bez wpisów tajnych korzystających z tożsamości zarządzanej.

Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

Aby uzyskać więcej przykładów kodu biblioteki klienta usługi Azure Identity dla języka JavaScript, zobacz Przykłady tożsamości platformy Azure.

W przypadku aplikacji i funkcji języka Python najprostszym sposobem pracy z tożsamością zarządzaną jest biblioteka klienta tożsamości platformy Azure dla języka Python. Aby uzyskać szczegółowe wskazówki, zobacz Samouczek: Połączenie do baz danych platformy Azure z usługi App Service bez wpisów tajnych korzystających z tożsamości zarządzanej.

Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

W przypadku aplikacji i funkcji Języka Java najprostszym sposobem pracy z tożsamością zarządzaną jest biblioteka klienta tożsamości platformy Azure dla języka Java. Aby uzyskać szczegółowe wskazówki, zobacz Samouczek: Połączenie do baz danych platformy Azure z usługi App Service bez wpisów tajnych korzystających z tożsamości zarządzanej.

Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

Aby uzyskać więcej przykładów kodu biblioteki klienta tożsamości platformy Azure dla języka Java, zobacz Przykłady tożsamości platformy Azure.

Użyj następującego skryptu, aby pobrać token z lokalnego punktu końcowego, określając identyfikator URI zasobu usługi platformy Azure:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Aby uzyskać więcej informacji na temat punktu końcowego REST, zobacz Dokumentacja punktu końcowego REST.

Usuwanie tożsamości

Po usunięciu tożsamości przypisanej przez system zostanie ona usunięta z identyfikatora Entra firmy Microsoft. Tożsamości przypisane przez system są również automatycznie usuwane z identyfikatora Entra firmy Microsoft po usunięciu samego zasobu aplikacji.

W lewym obszarze nawigacji strony aplikacji przewiń w dół do grupy Ustawienia.
Wybierz pozycję Tożsamość. Następnie wykonaj kroki na podstawie typu tożsamości:
- Tożsamość przypisana przez system: na karcie Przypisane przez system przełącz pozycję Stan na Wyłączone. Kliknij przycisk Zapisz.
- Tożsamość przypisana przez użytkownika: wybierz kartę Przypisane przez użytkownika, zaznacz pole wyboru tożsamości i wybierz pozycję Usuń. Wybierz Tak, aby potwierdzić.

Aby usunąć tożsamość przypisaną przez system:

az webapp identity remove --name <app-name> --resource-group <group-name>

Aby usunąć co najmniej jedną tożsamość przypisaną przez użytkownika:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

Tożsamość przypisaną przez system można również usunąć, określając wartość w --identitiespliku [system] .

W przypadku usługi App Service

Uruchom polecenie , Set-AzWebApp -AssignIdentity aby usunąć tożsamość przypisaną przez system dla usługi App Service:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

Dla funkcji

Aby usunąć wszystkie tożsamości w programie Azure PowerShell (tylko usługa Azure Functions):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

Aby usunąć wszystkie tożsamości w szablonie usługi ARM:

"identity": {
    "type": "None"
}

Uwaga

Istnieje również ustawienie aplikacji, które można ustawić, WEBSITE_DISABLE_MSI, co powoduje wyłączenie lokalnej usługi tokenu. Jednak pozostawia tożsamość na miejscu, a narzędzia nadal będą pokazywać tożsamość zarządzaną jako "włączone" lub "włączone". W związku z tym użycie tego ustawienia nie jest zalecane.

Dokumentacja punktu końcowego REST

Aplikacja z tożsamością zarządzaną udostępnia ten punkt końcowy, definiując dwie zmienne środowiskowe:

IDENTITY_ENDPOINT — adres URL lokalnej usługi tokenu.
IDENTITY_HEADER — nagłówek służący do eliminowania ataków fałszerskich żądań po stronie serwera (SSRF). Wartość jest obracana przez platformę.

IDENTITY_ENDPOINT to lokalny adres URL, z którego aplikacja może żądać tokenów. Aby uzyskać token dla zasobu, utwórz żądanie HTTP GET do tego punktu końcowego, w tym następujące parametry:

Nazwa parametru Za opis

zasób Query Identyfikator URI zasobu Microsoft Entra zasobu, dla którego należy uzyskać token. Może to być jedna z usług platformy Azure, które obsługują uwierzytelnianie Firmy Microsoft Entra lub dowolny inny identyfikator URI zasobu.

api-version Query Wersja interfejsu API tokenu do użycia. Użyj witryny 2019-08-01.

X-IDENTITY-HEADER Nagłówek Wartość zmiennej środowiskowej IDENTITY_HEADER. Ten nagłówek służy do eliminowania ataków fałszerskich żądań po stronie serwera (SSRF).

client_id Query (Opcjonalnie) Identyfikator klienta tożsamości przypisanej przez użytkownika do użycia. Nie można użyć w żądaniu zawierającym principal_idelement , msi_res_idlub object_id. Jeśli wszystkie parametry identyfikatora (client_id, principal_id, object_idi msi_res_id) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.

Principal_id Query (Opcjonalnie) Identyfikator podmiotu zabezpieczeń tożsamości przypisanej przez użytkownika do użycia. object_id jest aliasem, który może zamiast tego być używany. Nie można używać w żądaniu zawierającym client_id, msi_res_id lub object_id. Jeśli wszystkie parametry identyfikatora (client_id, principal_id, object_idi msi_res_id) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.

msi_res_id Query (Opcjonalnie) Identyfikator zasobu platformy Azure tożsamości przypisanej przez użytkownika do użycia. Nie można użyć w żądaniu zawierającym principal_idelement , client_idlub object_id. Jeśli wszystkie parametry identyfikatora (client_id, principal_id, object_idi msi_res_id) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.

Nazwa parametru	Za	opis
zasób	Query	Identyfikator URI zasobu Microsoft Entra zasobu, dla którego należy uzyskać token. Może to być jedna z usług platformy Azure, które obsługują uwierzytelnianie Firmy Microsoft Entra lub dowolny inny identyfikator URI zasobu.
api-version	Query	Wersja interfejsu API tokenu do użycia. Użyj witryny `2019-08-01`.
X-IDENTITY-HEADER	Nagłówek	Wartość zmiennej środowiskowej IDENTITY_HEADER. Ten nagłówek służy do eliminowania ataków fałszerskich żądań po stronie serwera (SSRF).
client_id	Query	(Opcjonalnie) Identyfikator klienta tożsamości przypisanej przez użytkownika do użycia. Nie można użyć w żądaniu zawierającym `principal_id`element , `msi_res_id`lub `object_id`. Jeśli wszystkie parametry identyfikatora (`client_id`, `principal_id`, `object_id`i `msi_res_id`) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.
Principal_id	Query	(Opcjonalnie) Identyfikator podmiotu zabezpieczeń tożsamości przypisanej przez użytkownika do użycia. `object_id` jest aliasem, który może zamiast tego być używany. Nie można używać w żądaniu zawierającym client_id, msi_res_id lub object_id. Jeśli wszystkie parametry identyfikatora (`client_id`, `principal_id`, `object_id`i `msi_res_id`) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.
msi_res_id	Query	(Opcjonalnie) Identyfikator zasobu platformy Azure tożsamości przypisanej przez użytkownika do użycia. Nie można użyć w żądaniu zawierającym `principal_id`element , `client_id`lub `object_id`. Jeśli wszystkie parametry identyfikatora (`client_id`, `principal_id`, `object_id`i `msi_res_id`) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.

Ważne

Jeśli próbujesz uzyskać tokeny dla tożsamości przypisanych przez użytkownika, musisz uwzględnić jedną z opcjonalnych właściwości. W przeciwnym razie usługa tokenu podejmie próbę uzyskania tokenu dla tożsamości przypisanej przez system, co może lub nie istnieje.

Jak używać tożsamości zarządzanych dla usług App Service i Azure Functions

Dodawanie tożsamości przypisanej przez system

W przypadku usługi App Service

Dla funkcji

Dodawanie tożsamości przypisanej przez użytkownika

W przypadku usługi App Service

Dla funkcji

Konfigurowanie zasobu docelowego

Połączenie do usług platformy Azure w kodzie aplikacji

Usuwanie tożsamości

W przypadku usługi App Service

Dla funkcji

Dokumentacja punktu końcowego REST

Następne kroki

Dodatkowe zasoby