Поделиться через

Проверка подлинности в ресурсах Azure из локальных приложений JavaScript

  • Статья

Приложения, работающие за пределами Azure (например, локально или в стороннем центре обработки данных), должны использовать субъект-службу приложений для проверки подлинности в Azure при доступе к ресурсам Azure. Объекты субъекта-службы приложений создаются с помощью процесса регистрации приложений в Azure. При создании субъекта-службы приложения для приложения создается идентификатор клиента и секрет клиента. Идентификатор клиента, секрет клиента и идентификатор клиента хранятся в переменных среды, чтобы пакет SDK Azure для JavaScript использовал переменные среды для проверки подлинности приложения в Azure во время выполнения.

Для каждой среды необходимо создать другую регистрацию приложения (например, тестовую, стадию, рабочую среду), в которой выполняется приложение. Это позволяет настроить разрешения ресурсов конкретной среды для каждого субъекта-службы и убедиться, что приложение, развернутое в одной среде, не разговаривает с ресурсами Azure, которые являются частью другой среды.

1. Регистрация приложения в Azure

Приложение можно зарегистрировать в Azure с помощью портал Azure или Azure CLI.

Войдите на портал Azure и сделайте следующее.

Instructions Снимок экрана
В портал Azure:
  1. Введите регистрации приложений в строке поиска в верхней части портал Azure.
  2. Выберите элемент, помеченный Регистрация приложений под заголовком "Службы" в меню, которое отображается под строкой поиска.
 A screenshot showing how to use the top search bar in the Azure portal to find and navigate to the App registrations page.
На странице Регистрация приложений нажмите кнопку +Создать регистрацию. A screenshot showing the location of the New registration button in the App registrations page.
На странице регистрации приложения заполните форму следующим образом.
  1. Имя → Введите имя регистрации приложения в Azure. Это имя рекомендуется включить имя приложения и среду (test, prod), для которой выполняется регистрация приложения.
  2. Поддерживаемые типы учетных записей → учетные записи только в этом каталоге организации.
Выберите "Зарегистрировать", чтобы зарегистрировать приложение и создать субъект-службу приложений.		 A screenshot to fill out Register by giving the app a name and specifying supported account types as accounts in this organizational directory only.
На странице регистрации приложения:
  1. Идентификатор приложения (клиента) → Это идентификатор приложения, который приложение будет использовать для доступа к Azure во время локальной разработки. Скопируйте это значение во временное расположение в текстовом редакторе, так как он понадобится в следующем шаге.
  2. Идентификатор каталога (клиента) → Это значение также потребуется приложению при проверке подлинности в Azure. Скопируйте это значение во временное расположение в текстовом редакторе, оно также потребуется на следующем шаге.
  3. Учетные данные клиента → Необходимо задать учетные данные клиента для приложения, прежде чем приложение сможет пройти проверку подлинности в Azure и использовать службы Azure. Выберите " Добавить сертификат или секрет ", чтобы добавить учетные данные для приложения.
 A screenshot of the App registration after completion. This screenshot shows the application and tenant IDs, which will be needed in a future step.
На странице "Сертификаты и секреты" выберите +Создать секрет клиента. A screenshot showing the location of the link to use to create a new client secret on the certificates and secrets page.
Диалоговое окно "Добавление секрета клиента" появится в правой части страницы. В этом диалоговом окне:
  1. Описание → Введите значение Current.
  2. Истекает срок действия → Выберите значение 24 месяцев.
Нажмите кнопку "Добавить ", чтобы добавить секрет.

ВАЖНО. Задайте напоминание в календаре до даты окончания срока действия секрета. Таким образом, вы можете добавить новый секрет до истечения срока действия этого секрета и избежать прерывания работы службы в приложении.		 A screenshot showing the page where a new client secret is added for the application service principal created by the app registration process.
На странице "Сертификаты и секреты" отображается значение секрета клиента.

Скопируйте это значение во временное расположение в текстовом редакторе, так как он необходим в следующем шаге.

ВАЖНО. Это единственный раз, когда вы увидите это значение. После выхода или обновления этой страницы вы не сможете снова увидеть это значение. Вы можете добавить еще один секрет клиента, не отменив этот секрет клиента, но вы не увидите это значение снова.		 A screenshot showing the page with the generated client secret.

2. Назначение ролей субъекту-службе приложений

Затем необходимо определить, какие роли (разрешения) приложения требуются для ресурсов и назначить эти роли приложению. Роли можно назначить в ресурсе, группе ресурсов или подписке область. В этом примере показано, как назначать роли для субъекта-службы в группе ресурсов область так как большинство приложений группируют все ресурсы Azure в одну группу ресурсов.

Instructions Снимок экрана
Найдите группу ресурсов для приложения, найдите имя группы ресурсов с помощью поля поиска в верхней части портал Azure.

Перейдите к группе ресурсов, выбрав имя группы ресурсов в заголовке "Группы ресурсов" в диалоговом окне.		 A screenshot showing the top search box in the Azure portal to locate and navigate to the resource group you want to assign roles (permissions) to.
На странице группы ресурсов выберите элемент управления доступом (IAM) в меню слева. A screenshot of the resource group page showing the location of the Access control (IAM) menu item.
На странице управления доступом (IAM):
  1. Выберите вкладку Назначения ролей.
  2. Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.
 A screenshot showing how to navigate to the role assignments tab and the location of the button used to add role assignments to a resource group.
На странице "Добавление назначения ролей" перечислены все роли, которые можно назначить для группы ресурсов.
  1. Используйте поле поиска, чтобы отфильтровать список до более управляемого размера. В этом примере показано, как фильтровать служба хранилища ролях BLOB-объектов.
  2. Выберите роль, которую вы хотите назначить.
    Нажмите кнопку "Далее ", чтобы перейти к следующему экрану.
 A screenshot showing how to filter and select role assignments to be added to the resource group.
На следующей странице "Добавление назначения ролей" можно указать, какой пользователь назначит роль.
  1. Выберите "Пользователь", "Группа" или "Субъект-служба" в разделе "Назначение доступа".
  2. Выбор и выбор элементов в разделе "Элементы"
Откроется диалоговое окно справа от портал Azure.		 A screenshot showing the radio button to select to assign a role to a Microsoft Entra group and the link used to select the group to assign the role to.
В диалоговом окне выбора элементов:
  1. Текстовое поле Select можно использовать для фильтрации списка пользователей и групп в подписке. При необходимости введите первые несколько символов субъекта-службы, созданного для приложения, чтобы отфильтровать список.
  2. Выберите субъект-службу, связанный с приложением.
Выберите в нижней части диалогового окна, чтобы продолжить.		 A screenshot showing how to filter for and select the Microsoft Entra group for the application in the Select members dialog box.
Субъект-служба отображается на экране добавления назначения ролей.

Выберите "Рецензирование" и " Назначить" , чтобы перейти на окончательную страницу, а затем проверить и назначить еще раз, чтобы завершить процесс.		 A screenshot showing the completed Add role assignment page and the location of the Review + assign button used to complete the process.

3. Настройка переменных среды для приложения

Необходимо задать AZURE_CLIENT_IDAZURE_TENANT_IDпеременные среды и AZURE_CLIENT_SECRET переменные среды для процесса, запускающего приложение JavaScript, чтобы сделать учетные данные субъекта-службы приложения доступными для приложения во время выполнения. Объект DefaultAzureCredential ищет сведения субъекта-службы в этих переменных среды.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4. Реализация DefaultAzureCredential в приложении

Для проверки подлинности клиентских объектов Пакета SDK Azure в Azure приложение должно использовать DefaultAzureCredential класс из пакета @azure/identity .

Сначала добавьте пакет @azure/identity в приложение.

npm install @azure/identity

Затем для любого кода JavaScript, создающего клиентский объект Пакета SDK Azure в приложении, вам потребуется:

  1. DefaultAzureCredential Импортируйте класс из @azure/identity модуля.
  2. Создание объекта DefaultAzureCredential.
  3. Передайте объект конструктору DefaultAzureCredential клиентского объекта пакета SDK Azure.

Пример этого показан в следующем сегменте кода.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Когда приведенный выше код создает экземпляр DefaultAzureCredential объекта, DefaultAzureCredential считывает переменные AZURE_SUBSCRIPTION_IDсреды , AZURE_TENANT_IDAZURE_CLIENT_IDи AZURE_CLIENT_SECRET сведения субъекта-службы приложения для подключения к Azure.