Проверка подлинности размещенных в Azure приложений JavaScript в ресурсах Azure с помощью управляемого удостоверения, назначаемого системой

Рекомендуемый подход к проверке подлинности размещенного в Azure приложения в других ресурсах Azure — использовать управляемое удостоверение. Этот подход поддерживается для большинства служб Azure, включая приложения, размещенные в Службе приложений Azure, приложениях контейнеров Azure и виртуальных машинах Azure. Узнайте больше о различных методах проверки подлинности и подходах на странице обзора проверки подлинности . В следующих разделах вы узнаете:

• Основные понятия управляемого удостоверения
• Создание управляемого удостоверения, назначаемого системой для приложения
• Назначение ролей управляемому удостоверению, назначаемого системой
• Проверка подлинности с помощью управляемого удостоверения, назначаемого системой, из кода приложения

Основные понятия управляемого удостоверения

Управляемое удостоверение позволяет приложению безопасно подключаться к другим ресурсам Azure без использования секретных ключей или других секретов приложения. В azure отслеживается удостоверение и ресурсы, к которым он может подключаться. Azure использует эти сведения для автоматического получения маркеров Microsoft Entra для приложения, чтобы разрешить ему подключаться к другим ресурсам Azure.

Существует два типа управляемых удостоверений, которые следует учитывать при настройке размещенного приложения:

• Управляемые удостоверения, назначаемые системой, включены непосредственно в ресурсе Azure и привязаны к его жизненному циклу. При удалении ресурса Azure автоматически удаляет удостоверение. Назначаемые системой удостоверения обеспечивают минимальный подход к использованию управляемых удостоверений.
• Управляемые удостоверения, назначаемые пользователем, создаются как автономные ресурсы Azure и обеспечивают большую гибкость и возможности. Они идеально подходят для решений, связанных с несколькими ресурсами Azure, которые должны совместно использовать одинаковые удостоверения и разрешения. Например, если нескольким виртуальным машинам требуется доступ к одному набору ресурсов Azure, управляемое удостоверение, назначаемое пользователем, обеспечивает повторное использование и оптимизированное управление.

Подсказка

Дополнительные сведения о выборе управляемых удостоверений, назначаемых системой, и управлении ими, назначаемых системой, см. в статье рекомендаций по использованию управляемых удостоверений .

В следующих разделах описаны шаги по включению и использованию управляемого удостоверения, назначаемого системой, для приложения, размещенного в Azure. Если вам нужно использовать управляемое удостоверение, назначаемое пользователем, посетите статью управляемых удостоверений, назначаемых пользователем , дополнительные сведения.

Включение управляемого удостоверения, назначаемого системой, в ресурсе размещения Azure

Чтобы приступить к использованию управляемого удостоверения, назначаемого системой, с приложением включите удостоверение в ресурсе Azure, где размещено приложение, например Службу приложений Azure, приложение контейнера Azure или виртуальную машину Azure.

Вы можете включить управляемое удостоверение, назначаемое системой для ресурса Azure, с помощью портала Azure или Azure CLI.

Портал Azure

1. На портале Azure перейдите к ресурсу, в котором размещен код приложения, например службе приложений Azure или экземпляру приложения контейнера Azure.

2. На странице обзора ресурса разверните узел "Параметры " и выберите "Удостоверение " в области навигации.

3. На странице "Удостоверение" переключите ползунок "Состояние " на "Вкл.".

4. Нажмите кнопку Сохранить, чтобы применить изменения.

   

Azure CLI

Команды Azure CLI можно выполнять в Azure Cloud Shell или на рабочей станции с установленным Azure CLI.

Команды Azure CLI, используемые для включения управляемого удостоверения для ресурса Azure, имеют форму az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Ниже приведены определенные команды для популярных служб Azure.

Служба приложений Azure:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Виртуальная машина Azure:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Выходные данные выглядят следующим образом:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Это principalId значение является уникальным идентификатором управляемого удостоверения. Сохраните копию этих выходных данных, так как эти значения потребуются на следующем шаге.

Назначьте роли управляемому удостоверению

Затем определите, какие роли требуется приложению, и назначьте эти роли управляемому удостоверению. Роли можно назначить управляемому удостоверению в следующих областях:

• Ресурс: назначенные роли применяются только к конкретному ресурсу.
• Группа ресурсов: назначенные роли применяются ко всем ресурсам, содержащимся в группе ресурсов.
• Подписка: назначенные роли применяются ко всем ресурсам, содержащимся в подписке.

В следующем примере показано, как назначать роли в области группы ресурсов, так как многие приложения управляют всеми связанными ресурсами Azure с помощью одной группы ресурсов.

Портал Azure

1. Перейдите на страницу обзора группы ресурсов, содержащей приложение с управляемым удостоверением, назначаемое системой.

2. Выберите элемент управления доступом (IAM) на левой панели навигации.

3. На странице управления доступом (IAM) выберите +Добавить в верхнем меню, а затем выберите "Добавить назначение роли ", чтобы перейти на страницу "Добавить назначение ролей ".

   

4. Страница "Добавление назначения ролей " представляет рабочий процесс с вкладками для назначения ролей удостоверениям. На вкладке начальной роли используйте поле поиска вверху, чтобы найти роль, которую вы хотите назначить удостоверению.

5. Выберите роль из результатов и нажмите кнопку "Далее ", чтобы перейти на вкладку "Члены ".

6. Для параметра "Назначить доступ к" выберите "Управляемое удостоверение".

7. Для параметра "Участники" нажмите кнопку "Выбрать участников ", чтобы открыть панель "Выбор управляемых удостоверений ".

8. На панели "Выбор управляемых удостоверений " используйте раскрывающийся список "Подписка " и "Управляемое удостоверение ", чтобы отфильтровать результаты поиска для удостоверений. Используйте поле поиска "Выбор ", чтобы найти системное удостоверение, которое вы включили для ресурса Azure, на котором размещено приложение.

   

9. Выберите удостоверение и нажмите кнопку "Выбрать " в нижней части панели, чтобы продолжить.

10. Выберите "Рецензирование" и "Назначить" в нижней части страницы.

11. На последней вкладке "Рецензирование и назначение" нажмите кнопку "Рецензирование" и "Назначить ", чтобы завершить рабочий процесс.

Azure CLI

Управляемое удостоверение назначается роль в Azure с помощью команды az role assignment create :

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Чтобы получить имена ролей, которым может быть назначен субъект-служба, используйте команду az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Например, чтобы разрешить управляемому удостоверению идентификатор ресурса с идентификатором aaaaaaaa-bbbb-cccc-1111-222222222222 доступа к контейнерам BLOB-объектов службы хранилища Azure и данным для всех учетных записей хранения в группе ресурсов msdocs-sdk-auth-example , назначьте субъекту-службе приложения роль участника данных BLOB-объектов хранилища с помощью следующей команды:

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

Проверка подлинности в службах Azure из приложения

Библиотека удостоверений Azure предоставляет различные учетные данные — реализации адаптированных TokenCredential для поддержки различных сценариев и потоков проверки подлинности Microsoft Entra. Так как управляемое удостоверение недоступно при локальном выполнении, действия, описанные выше, демонстрируют, какие учетные данные следует использовать в каком сценарии:

• Локальная среда разработки: только во время локальной разработки используйте класс DefaultAzureCredential для предварительно настроенной цепочки учетных данных. DefaultAzureCredential обнаруживает учетные данные пользователя из локального инструмента или интегрированной среды разработки, например Azure CLI или Visual Studio Code. Она также обеспечивает гибкость и удобство повторных попыток, время ожидания ответов и поддержку нескольких вариантов проверки подлинности. Дополнительные сведения см. в статье о проверке подлинности в службах Azure во время локальной разработки .
• Приложения, размещенные в Azure: когда ваше приложение работает в Azure, используйте ManagedIdentityCredential безопасное обнаружение управляемого удостоверения, настроенного для приложения. Указание этого точного типа учетных данных предотвращает неожиданное получение других доступных учетных данных.

Реализация кода

В проекте JavaScript добавьте пакет @azure/identity . В выбранном терминале перейдите к каталогу проекта приложения и выполните следующие команды:

npm install @azure/identity

К службам Azure обращаются специализированные клиентские классы из различных клиентских библиотек Azure SDK. Выполните index.jsследующие действия, чтобы настроить проверку подлинности на основе маркеров:

1. @azure/identity Импортируйте пакет.

2. Передайте клиенту соответствующий TokenCredential экземпляр:

   • Используется DefaultAzureCredential при локальном запуске приложения
   • Используется ManagedIdentityCredential при запуске приложения в Azure.

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient() {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
   
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           return new BlobServiceClient(url, new ManagedIdentityCredential());
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main() {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Реализация кода

В проекте JavaScript добавьте пакет @azure/identity . В выбранном терминале перейдите к каталогу проекта приложения и выполните следующие команды:

npm install @azure/identity @types/node

К службам Azure обращаются специализированные клиентские классы из различных клиентских библиотек Azure SDK. Выполните index.jsследующие действия, чтобы настроить проверку подлинности на основе маркеров:

1. @azure/identity Импортируйте пакет.

2. Передайте клиенту соответствующий TokenCredential экземпляр:

   • Используется DefaultAzureCredential при локальном запуске приложения
   • Используется ManagedIdentityCredential при запуске приложения в Azure.

   import { BlobServiceClient } from '@azure/storage-blob';
   import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';
   
   function createBlobServiceClient(): BlobServiceClient {
       const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
       if (!accountName) throw Error('Azure Storage accountName not found');
       const url = `https://${accountName}.blob.core.windows.net`;
   
       if (process.env.NODE_ENV === "production") {
           return new BlobServiceClient(url, new ManagedIdentityCredential());
       } else {
           return new BlobServiceClient(url, new DefaultAzureCredential());
       }
   }
   
   async function main(): Promise<void> {
       try {
           const blobServiceClient = createBlobServiceClient();
           const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
           const properties = await containerClient.getProperties();
   
           console.log(properties);
       } catch (err: any) {
           console.error("Error retrieving container properties:", err.message);
           throw err;
       }
   }
   
   main().catch((err: Error) => {
       console.error("Error running sample:", err.message);
       process.exit(1);
   });
   

Предыдущий код ведет себя по-разному в зависимости от среды, в которой она выполняется:

• На локальной рабочей станции DefaultAzureCredential разработки найдите переменные среды для субъекта-службы приложений или локально установленных средств разработчика, например Visual Studio Code, для набора учетных данных разработчика.
• При развертывании в Azure обнаруживает конфигурации управляемых удостоверений для ManagedIdentityCredential автоматической проверки подлинности в других службах.