Uwierzytelnianie aplikacji JavaScript hostowanych na platformie Azure do zasobów platformy Azure przy użyciu tożsamości zarządzanej przypisanej przez użytkownika

Zalecaną metodą uwierzytelniania aplikacji hostowanej na platformie Azure w innych zasobach platformy Azure jest użycie tożsamości zarządzanej. Takie podejście jest obsługiwane w przypadku większości usług platformy Azure, w tym aplikacji hostowanych w usługach Azure App Service, Azure Container Apps i Azure Virtual Machines. Dowiedz się więcej o różnych technikach uwierzytelniania i podejściach na stronie przeglądu uwierzytelniania . W sekcjach z wyprzedzeniem dowiesz się:

• Podstawowe pojęcia dotyczące tożsamości zarządzanej
• Jak utworzyć tożsamość zarządzaną przypisaną przez użytkownika dla aplikacji
• Jak przypisać role do tożsamości zarządzanej przypisanej przez użytkownika
• Jak uwierzytelniać się przy użyciu tożsamości zarządzanej przypisanej przez użytkownika z kodu aplikacji

Podstawowe pojęcia dotyczące tożsamości zarządzanej

Tożsamość zarządzana umożliwia aplikacji bezpieczne łączenie się z innymi zasobami platformy Azure bez używania kluczy tajnych lub innych wpisów tajnych aplikacji. Wewnętrznie platforma Azure śledzi tożsamość i zasoby, z którymi może się łączyć. Platforma Azure używa tych informacji do automatycznego uzyskiwania tokenów usługi Microsoft Entra dla aplikacji, aby umożliwić jej łączenie się z innymi zasobami platformy Azure.

Istnieją dwa typy tożsamości zarządzanych, które należy wziąć pod uwagę podczas konfigurowania hostowanej aplikacji:

• Tożsamości zarządzane przypisane przez system są włączone bezpośrednio w zasobie platformy Azure i są powiązane z cyklem życia. Po usunięciu zasobu platforma Azure automatycznie usunie tożsamość. Tożsamości przypisane przez system zapewniają minimalistyczne podejście do korzystania z tożsamości zarządzanych.
• Tożsamości zarządzane przypisane przez użytkownika są tworzone jako autonomiczne zasoby platformy Azure i zapewniają większą elastyczność i możliwości. Są one idealne w przypadku rozwiązań obejmujących wiele zasobów platformy Azure, które muszą współdzielić tę samą tożsamość i uprawnienia. Jeśli na przykład wiele maszyn wirtualnych musi uzyskać dostęp do tego samego zestawu zasobów platformy Azure, tożsamość zarządzana przypisana przez użytkownika zapewnia możliwość ponownego obsługi i zoptymalizowane zarządzanie.

Wskazówka

Dowiedz się więcej na temat wybierania tożsamości zarządzanych przypisanych przez system i zarządzania nimi w artykule Zalecenia dotyczące najlepszych rozwiązań dotyczących tożsamości zarządzanej i zarządzania nimi.

W poniższych sekcjach opisano kroki włączania i używania tożsamości zarządzanej przypisanej przez użytkownika dla aplikacji hostowanej na platformie Azure. Jeśli chcesz użyć tożsamości zarządzanej przypisanej przez system, odwiedź artykuł Tożsamości zarządzane przypisane przez system , aby uzyskać więcej informacji.

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Tożsamości zarządzane przypisane przez użytkownika są tworzone jako zasoby autonomiczne w ramach subskrypcji platformy Azure przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Polecenia interfejsu wiersza polecenia platformy Azure można uruchamiać w usłudze Azure Cloud Shell lub na stacji roboczej z zainstalowanym interfejsem wiersza polecenia platformy Azure.

Portal Azure

1. W witrynie Azure Portal wprowadź tożsamości zarządzane na głównym pasku wyszukiwania i wybierz pasujący wynik w sekcji Usługi .

2. Na stronie Tożsamości zarządzane wybierz pozycję + Utwórz.

   

3. Na stronie Tworzenie tożsamości zarządzanej przypisanej przez użytkownika wybierz subskrypcję, grupę zasobów i region tożsamości zarządzanej przypisanej przez użytkownika, a następnie podaj nazwę.

4. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć i zweryfikować dane wejściowe.

   

5. Wybierz pozycję Utwórz , aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika.

6. Po utworzeniu tożsamości wybierz pozycję Przejdź do zasobu.

7. Na stronie Przegląd nowej tożsamości skopiuj wartość Identyfikator klienta do użycia później podczas konfigurowania kodu aplikacji.

Interfejs wiersza polecenia (CLI) platformy Azure

Użyj polecenia interfejsu wiersza polecenia az identity create platformy Azure, aby utworzyć tożsamość zarządzaną:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

Dane wyjściowe polecenia wyświetla identyfikator klienta utworzonej tożsamości zarządzanej przypisanej przez użytkownika. Identyfikator klienta służy do konfigurowania kodu aplikacji, który opiera się na tożsamości.

Zawsze można ponownie wyświetlić właściwości tożsamości zarządzanej az identity show przy użyciu polecenia :

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Przypisywanie tożsamości zarządzanej do aplikacji

Tożsamość zarządzana przypisana przez użytkownika może być skojarzona z co najmniej jednym zasobem platformy Azure. Wszystkie zasoby korzystające z tej tożsamości uzyskują uprawnienia zastosowane za pomocą ról tożsamości.

Portal Azure

1. W witrynie Azure Portal przejdź do zasobu, który hostuje kod aplikacji, taki jak usługa Azure App Service lub wystąpienie aplikacji kontenera platformy Azure.

2. Na stronie Przegląd zasobu rozwiń węzeł Ustawienia i wybierz pozycję Tożsamość w obszarze nawigacji.

3. Na stronie Tożsamość przejdź do karty Przypisane przez użytkownika.

4. Wybierz pozycję + Dodaj , aby otworzyć panel Dodawanie tożsamości zarządzanej przypisanej przez użytkownika .

5. Na panelu Dodawanie tożsamości zarządzanej przypisanej przez użytkownika użyj listy rozwijanej Subskrypcja , aby filtrować wyniki wyszukiwania tożsamości. Użyj pola wyszukiwania Tożsamości zarządzane przypisane przez użytkownika , aby zlokalizować tożsamość zarządzaną przypisaną przez użytkownika włączoną dla zasobu platformy Azure hostowanego aplikację.

6. Wybierz tożsamość i wybierz pozycję Dodaj w dolnej części panelu, aby kontynuować.

   

Interfejs wiersza polecenia (CLI) platformy Azure

Interfejs wiersza polecenia platformy Azure udostępnia różne polecenia umożliwiające przypisanie tożsamości zarządzanej przypisanej przez użytkownika do różnych typów usług hostingu.

1. Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika do zasobu, takiego jak aplikacja internetowa usługi Azure App Service przy użyciu interfejsu wiersza polecenia platformy Azure, potrzebny będzie identyfikator zasobu tożsamości. Użyj polecenia , az identity show aby pobrać identyfikator zasobu:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Po utworzeniu identyfikatora zasobu użyj polecenia interfejsu wiersza polecenia az <resourceType> identity assign platformy Azure, aby skojarzyć tożsamość zarządzaną przypisaną przez użytkownika z różnymi zasobami, takimi jak następujące:

   W przypadku usługi Azure App Service użyj polecenia interfejsu wiersza polecenia az webapp identity assignplatformy Azure :

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   W przypadku usługi Azure Container Apps użyj polecenia interfejsu wiersza polecenia az containerapp identity assignplatformy Azure :

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   W przypadku usługi Azure Virtual Machines użyj polecenia interfejsu wiersza polecenia az vm identity assignplatformy Azure :

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Przypisywanie ról do tożsamości zarządzanej

Następnie określ, które role potrzebuje Twoja aplikacja, i przypisz te role do tożsamości zarządzanej. Role można przypisać do tożsamości zarządzanej w następujących zakresach:

• Zasób: przypisane role mają zastosowanie tylko do tego konkretnego zasobu.
• Grupa zasobów: przypisane role mają zastosowanie do wszystkich zasobów zawartych w grupie zasobów.
• Subskrypcja: przypisane role mają zastosowanie do wszystkich zasobów zawartych w subskrypcji.

W poniższym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ wiele aplikacji zarządza wszystkimi powiązanymi zasobami platformy Azure przy użyciu jednej grupy zasobów.

Portal Azure

1. Przejdź do strony Przegląd grupy zasobów zawierającej aplikację z tożsamością zarządzaną przypisaną przez użytkownika.

2. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w obszarze nawigacji po lewej stronie.

3. Na stronie Kontrola dostępu (zarządzanie dostępem i tożsamościami) wybierz pozycję + Dodaj w górnym menu, a następnie wybierz pozycję Dodaj przypisanie roli , aby przejść do strony Dodawanie przypisania roli .

   

4. Na stronie Dodawanie przypisania roli przedstawiono przepływ pracy z kartami, wieloetapowy w celu przypisania ról do tożsamości. Na początkowej karcie Rola użyj pola wyszukiwania u góry, aby zlokalizować rolę, którą chcesz przypisać do tożsamości.

5. Wybierz rolę z wyników, a następnie wybierz przycisk Dalej , aby przejść do karty Członkowie .

6. Dla opcji Przypisz dostęp do wybierz pozycję Tożsamość zarządzana.

7. Dla opcji Członkowie wybierz pozycję + Wybierz członków , aby otworzyć panel Wybieranie tożsamości zarządzanych .

8. Na panelu Wybieranie tożsamości zarządzanych użyj list rozwijanych Subskrypcja i Tożsamość zarządzana , aby filtrować wyniki wyszukiwania tożsamości. Użyj pola wyszukiwania Wybierz , aby zlokalizować tożsamość zarządzaną przypisaną przez użytkownika włączoną dla zasobu platformy Azure hostowania aplikacji.

   

9. Wybierz tożsamość i wybierz pozycję Wybierz w dolnej części panelu, aby kontynuować.

10. Wybierz pozycję Przejrzyj i przypisz w dolnej części strony.

11. Na ostatniej karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz , aby ukończyć przepływ pracy.

Interfejs wiersza polecenia (CLI) platformy Azure

1. Aby przypisać rolę do tożsamości zarządzanej przypisanej przez użytkownika przy użyciu interfejsu wiersza polecenia platformy Azure, musisz mieć identyfikator podmiotu zabezpieczeń tożsamości. Użyj polecenia , az identity show aby pobrać identyfikator podmiotu zabezpieczeń:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Użyj polecenia az role definition list , aby sprawdzić, które role można przypisać tożsamości zarządzanej:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Przypisz rolę do tożsamości zarządzanej przy użyciu polecenia az role assignment create :

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Aby na przykład zezwolić tożsamości zarządzanej na identyfikator 99999999-9999-9999-9999-999999999999 odczytu, zapisu i usuwania do kontenerów obiektów blob usługi Azure Storage oraz danych do wszystkich kont magazynu w grupie zasobów msdocs-sdk-auth-example , przypisz jednostkę usługi aplikacji do roli Współautor danych obiektu blob usługi Storage przy użyciu następującego polecenia:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz artykuł Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Uwierzytelnianie w usługach platformy Azure z aplikacji

Biblioteka tożsamości platformy Azure udostępnia różne poświadczenia — implementacjeTokenCredential dostosowane do obsługi różnych scenariuszy i przepływów uwierzytelniania firmy Microsoft Entra. Ponieważ tożsamość zarządzana jest niedostępna w przypadku uruchamiania lokalnego, kroki z wyprzedzeniem pokazują, które poświadczenia mają być używane w którym scenariuszu:

• Lokalne środowisko deweloperskie: podczas tworzenia lokalnego użyj klasy o nazwie DefaultAzureCredential dla wstępnie skonfigurowanego łańcucha poświadczeń. DefaultAzureCredential odnajduje poświadczenia użytkownika z lokalnego narzędzia lub środowiska IDE, takiego jak interfejs wiersza polecenia platformy Azure lub program Visual Studio Code. Zapewnia również elastyczność i wygodę ponawiania prób, czas oczekiwania na odpowiedzi i obsługę wielu opcji uwierzytelniania. Aby dowiedzieć się więcej, odwiedź artykuł Uwierzytelnianie w usługach platformy Azure podczas lokalnego programowania .
• Aplikacje hostowane na platformie Azure: gdy aplikacja jest uruchomiona na platformie Azure, użyj polecenia ManagedIdentityCredential , aby bezpiecznie odnaleźć tożsamość zarządzaną skonfigurowaną dla aplikacji. Określenie tego dokładnego typu poświadczeń uniemożliwia nieoczekiwane pobieranie innych dostępnych poświadczeń.

Implementowanie kodu

W projekcie JavaScript dodaj pakiet @azure/identity . W wybranym terminalu przejdź do katalogu projektu aplikacji i uruchom następujące polecenia:

npm install @azure/identity

Dostęp do usług platformy Azure jest uzyskiwany przy użyciu wyspecjalizowanych klas klientów z różnych bibliotek klienckich zestawu Azure SDK. W index.jsprogramie wykonaj następujące kroki, aby skonfigurować uwierzytelnianie oparte na tokenach:

1. Zaimportuj @azure/identity pakiet.
2. Przekaż odpowiednie TokenCredential wystąpienie do klienta:
   • Użyj DefaultAzureCredential polecenia , gdy aplikacja jest uruchomiona lokalnie.
   • Użyj ManagedIdentityCredential polecenia , gdy aplikacja jest uruchomiona na platformie Azure i skonfiguruj identyfikator klienta, identyfikator zasobu lub identyfikator obiektu.

identyfikator klienta

Identyfikator klienta służy do identyfikowania tożsamości zarządzanej podczas konfigurowania aplikacji lub usług, które muszą być uwierzytelniane przy użyciu tej tożsamości.

1. Pobierz identyfikator klienta przypisany do tożsamości zarządzanej przypisanej przez użytkownika przy użyciu następującego polecenia:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Skonfiguruj ManagedIdentityCredential przy użyciu identyfikatora klienta:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   console.log(process.env);
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const clientId = process.env.AZURE_CLIENT_ID;
           if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

identyfikator zasobu

Identyfikator zasobu jednoznacznie identyfikuje zasób tożsamości zarządzanej w ramach subskrypcji platformy Azure przy użyciu następującej struktury:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Identyfikatory zasobów można tworzyć zgodnie z konwencją, co sprawia, że są one wygodniejsze podczas pracy z dużą liczbą tożsamości zarządzanych przypisanych przez użytkownika w danym środowisku.

1. Pobierz identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika przy użyciu następującego polecenia:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Skonfiguruj ManagedIdentityCredential przy użyciu identyfikatora zasobu:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const resourceId = process.env.AZURE_RESOURCE_ID;
           if (!resourceId) throw Error('AZURE_RESOURCE_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(resourceId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Identyfikator obiektu

Identyfikator podmiotu zabezpieczeń to inna nazwa identyfikatora obiektu.

1. Pobierz identyfikator obiektu dla tożsamości zarządzanej przypisanej przez użytkownika przy użyciu następującego polecenia:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Skonfiguruj ManagedIdentityCredential przy użyciu identyfikatora obiektu:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const objectId = process.env.AZURE_OBJECT_ID;
           if (!objectId) throw Error('AZURE_OBJECT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(objectId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           // do something with client
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Implementowanie kodu

W projekcie TypeScript dodaj pakiet @azure/identity . W wybranym terminalu przejdź do katalogu projektu aplikacji i uruchom następujące polecenia:

npm install typescript @azure/identity @types/node

Dostęp do usług platformy Azure jest uzyskiwany przy użyciu wyspecjalizowanych klas klientów z różnych bibliotek klienckich zestawu Azure SDK. W index.jsprogramie wykonaj następujące kroki, aby skonfigurować uwierzytelnianie oparte na tokenach:

1. Zaimportuj @azure/identity pakiet.
2. Przekaż odpowiednie TokenCredential wystąpienie do klienta:
   • Użyj DefaultAzureCredential polecenia , gdy aplikacja jest uruchomiona lokalnie
   • Użyj ManagedIdentityCredential polecenia , gdy aplikacja jest uruchomiona na platformie Azure i skonfiguruj identyfikator klienta, identyfikator zasobu lub identyfikator obiektu.

identyfikator klienta

Identyfikator klienta służy do identyfikowania tożsamości zarządzanej podczas konfigurowania aplikacji lub usług, które muszą być uwierzytelniane przy użyciu tej tożsamości.

1. Pobierz identyfikator klienta przypisany do tożsamości zarządzanej przypisanej przez użytkownika przy użyciu następującego polecenia:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Skonfiguruj ManagedIdentityCredential przy użyciu identyfikatora klienta:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const clientId = process.env.AZURE_CLIENT_ID;
           if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

identyfikator zasobu

Identyfikator zasobu jednoznacznie identyfikuje zasób tożsamości zarządzanej w ramach subskrypcji platformy Azure przy użyciu następującej struktury:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Identyfikatory zasobów można tworzyć zgodnie z konwencją, co sprawia, że są one wygodniejsze podczas pracy z dużą liczbą tożsamości zarządzanych przypisanych przez użytkownika w danym środowisku.

1. Pobierz identyfikator zasobu tożsamości zarządzanej przypisanej przez użytkownika przy użyciu następującego polecenia:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Skonfiguruj ManagedIdentityCredential przy użyciu identyfikatora zasobu:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const resourceId = process.env.AZURE_RESOURCE_ID;
           if (!resourceId) throw Error('AZURE_RESOURCE_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(resourceId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Identyfikator obiektu

Identyfikator podmiotu zabezpieczeń to inna nazwa identyfikatora obiektu.

1. Pobierz identyfikator obiektu dla tożsamości zarządzanej przypisanej przez użytkownika przy użyciu następującego polecenia:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Skonfiguruj ManagedIdentityCredential przy użyciu identyfikatora obiektu:

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           const objectId = process.env.AZURE_OBJECT_ID;
           if (!objectId) throw Error('AZURE_OBJECT_ID not found for Managed Identity');
           return new BlobServiceClient(url, new ManagedIdentityCredential(objectId));
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Powyższy kod działa inaczej w zależności od środowiska, w którym jest uruchomiony:

• Na lokalnej stacji roboczej programistycznej DefaultAzureCredential w zmiennych środowiskowych dla jednostki usługi aplikacji lub w lokalnie zainstalowanych narzędziach deweloperskich, takich jak Visual Studio Code, dla zestawu poświadczeń dewelopera.
• Po wdrożeniu na platformie Azure odnajduje konfiguracje tożsamości zarządzanej w ManagedIdentityCredential celu automatycznego uwierzytelniania w innych usługach.