Проверка подлинности размещенных в Azure приложений Python в ресурсах Azure с помощью управляемого удостоверения, назначаемого пользователем

Рекомендуемый подход к проверке подлинности размещенного в Azure приложения в других ресурсах Azure — использовать управляемое удостоверение. Этот подход поддерживается для большинства служб Azure, включая приложения, размещенные в службе приложений Azure, приложениях контейнеров Azure и виртуальных машинах Azure. Узнайте больше о различных методах и подходах аутентификации на странице обзор методов аутентификации. В следующих разделах вы узнаете:

• Основные понятия управляемой идентификации
• Как создать управляемое удостоверение, назначаемое пользователем для вашего приложения
• Назначение ролей управляемому удостоверению, назначенному пользователем
• Как выполнить проверку подлинности с использованием управляемого удостоверения, назначенного пользователем, из кода приложения

Основные понятия управляемой идентификации

Управляемое удостоверение позволяет приложению безопасно подключаться к другим ресурсам Azure без использования секретных ключей или других секретов приложения. В Azure отслеживается идентичность и ресурсы, к которым разрешено подключаться. Azure использует эти сведения для автоматического получения маркеров Microsoft Entra для приложения, чтобы разрешить ему подключаться к другим ресурсам Azure.

Существуют два типа управляемых удостоверений, которые следует учитывать при настройке хостингового приложения:

• Назначаемые системой управляемые идентификаторы включаются прямо на ресурсе Azure и привязаны к его жизненному циклу. При удалении ресурса Azure автоматически удаляет удостоверение вместо вас. Системные идентификаторы обеспечивают простой подход к использованию управляемых удостоверений.
• Назначенные пользователем управляемые удостоверения создаются как автономные ресурсы Azure и обеспечивают большую гибкость и возможности. Они идеально подходят для решений, связанных с несколькими ресурсами Azure, которые должны совместно использовать одинаковые удостоверения и разрешения. Например, если нескольким виртуальным машинам требуется доступ к одному набору ресурсов Azure, управляемое удостоверение, назначаемое пользователем, обеспечивает повторное использование и оптимизированное управление.

Подсказка

Дополнительные сведения о выборе управляемых удостоверений, назначаемых системой, и управлении ими, назначаемых системой, см. в статье рекомендаций по использованию управляемых удостоверений .

В следующих разделах описаны шаги по включению и использованию назначаемой пользователем управляемой идентичности для приложения, размещенного в Azure. Если вам нужно использовать управляемое удостоверение, назначаемое системой, ознакомьтесь со статьей управляемых удостоверений, назначаемых системой , для получения дополнительных сведений.

Создание управляемой идентичности, назначаемой пользователем

Управляемые идентификаторы, назначенные пользователем, создаются в виде автономных ресурсов в вашей подписке Azure с помощью портала Azure или Azure CLI. Команды Azure CLI могут выполняться в Azure Cloud Shell или на рабочей станции с установленным интерфейсом Azure CLI.

Портал Azure

1. На портале Azure введите управляемые удостоверения в главной строке поиска и выберите соответствующий результат в разделе Services.

2. На странице управляемых удостоверений выберите + Создать.

   

3. На странице Создание управляемого удостоверения, назначаемого пользователем, выберите подписку, группу ресурсов и регион для управляемого удостоверения, назначаемого пользователем, а затем укажите имя.

4. Выберите Проверить и создать для проверки входных данных.

   

5. Выберите Создать, чтобы создать управляемое удостоверение, назначаемое пользователем.

6. После создания идентичности выберите Перейти к ресурсу.

7. На странице обзора нового удостоверения скопируйте значение идентификатора клиента, чтобы использовать его позже при настройке кода приложения.

Azure CLI

Используйте команду Azure CLI az identity create для создания управляемого удостоверения:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

В выводе команды указывается идентификатор клиента для созданного управляемого удостоверения, назначенного пользователем. Идентификатор клиента используется для конфигурации кода приложения, который зависит от идентичности.

Свойства управляемого удостоверения можно просмотреть снова с помощью команды az identity show:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Назначьте управляемое удостоверение вашему приложению

Управляемое удостоверение, назначаемое пользователем, может быть связано с одним или несколькими ресурсами Azure. Все ресурсы, использующие это удостоверение, получают разрешения, обусловленные ролями удостоверения.

Портал Azure

1. На портале Azure перейдите к ресурсу, в котором размещен код приложения, например службе приложений Azure или экземпляру приложения контейнеров Azure.

2. На странице Обзор ресурса разверните Настройки и выберите Идентификация в панели навигации.

3. На странице Идентификация перейдите на вкладку Назначенные пользователи.

4. Выберите + Добавить, чтобы открыть панель для добавления управляемого удостоверения с назначением пользователя.

5. На панели Добавление управляемого удостоверения, назначаемого пользователем, используйте раскрывающийся список подписки , чтобы отфильтровать результаты поиска для ваших удостоверений. Используйте поле поиска управляемой идентичности, назначенной пользователем, для поиска управляемой идентичности, назначенной пользователем, которую вы включили для ресурса Azure, на котором размещено ваше приложение.

6. Выберите учетную запись и нажмите Добавить внизу панели, чтобы продолжить.

   

Azure CLI

Azure CLI предоставляет различные команды для назначения пользовательского управляемого удостоверения различным типам служб размещения.

1. Чтобы назначить пользовательское управляемое удостоверение ресурсу, например веб-приложению Azure App Service с помощью Azure CLI, потребуется идентификатор ресурса удостоверения. Используйте команду az identity show для получения идентификатора ресурса:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. После получения идентификатора ресурса используйте команду Azure CLI az <resourceType> identity assign, чтобы связать управляемое удостоверение, назначаемое пользователем, с различными ресурсами, например следующим образом:

   Для службы приложений Azure используйте команду Azure CLI az webapp identity assign:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Для приложений контейнеров Azure используйте команду Azure CLI az containerapp identity assign:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Для виртуальных машин Azure используйте команду Azure CLI az vm identity assign:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Назначьте роли управляемому удостоверению

Затем определите, какие роли нужны вашему приложению, и назначьте эти роли для управляемого удостоверения. Роли можно назначить управляемым идентичностям на следующих уровнях:

• Ресурс: назначенные роли применяются только к этому конкретному ресурсу.
• Группа ресурсов: назначенные роли применяются ко всем ресурсам, содержащимся в данной группе.
• Подписка: Назначенные роли применяются ко всем ресурсам, входящим в состав подписки.

В следующем примере показано, как назначать роли в области группы ресурсов, так как многие приложения управляют всеми связанными ресурсами Azure с помощью одной группы ресурсов.

Портал Azure

1. Перейдите на страницу Обзор группы ресурсов, в которой находится приложение с управляемым удостоверением, назначенным пользователем.

2. Выберите Управление доступом (IAM) на панели навигации слева.

3. На странице управления доступом (IAM) выберите + Добавить в верхнем меню, а затем выберите Назначение роли, чтобы перейти на страницу Назначение роли.

   

4. На странице Добавление назначения ролей представлен вкладочный, многошаговый рабочий процесс для назначения ролей идентичностям. На начальной вкладке роли используйте поле поиска вверху, чтобы найти роль, которую вы хотите назначить личности.

5. Выберите роль из результатов и выберите Далее, чтобы перейти на вкладку Участники.

6. Для параметра Назначить доступ к выберите Управляемое удостоверение.

7. Для параметра "Члены" выберите + "Выбор участников", чтобы открыть панель "Выбор управляемых удостоверений".

8. На панели Выбор управляемых удостоверений используйте раскрывающиеся списки Подписка и Управляемое удостоверение, чтобы отфильтровать результаты поиска для ваших удостоверений. Используйте поле поиска Select, чтобы найти назначаемое пользователем управляемое удостоверение, которое вы включили для ресурса Azure, на котором размещено приложение.

   

9. Определите личность и выберите Выбрать в нижней части панели, чтобы продолжить.

10. Выберите Проверить и назначить в нижней части страницы.

11. На вкладке "Окончательная проверка и назначение " выберите "Проверка и назначение" для завершения рабочего процесса.

Azure CLI

1. Чтобы назначить роль управляемой идентичности, назначенной пользователем, с помощью Azure CLI, вам потребуется principal ID этой идентичности. Используйте команду az identity show для получения основного идентификатора:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Используйте команду az role definition list, чтобы изучить, какие роли можно назначить управляемой идентичности.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Назначьте роль управляемому удостоверению с помощью команды az role assignment create:

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Например, чтобы разрешить управляемому удостоверению идентификатор ресурса с идентификатором 99999999-9999-9999-9999-999999999999 доступа к контейнерам BLOB-объектов службы хранилища Azure и данным для всех учетных записей хранения в группе ресурсов msdocs-sdk-auth-example , назначьте субъекту-службе приложения роль участника данных BLOB-объектов хранилища с помощью следующей команды:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

Авторизация в службах Azure из вашего приложения

Библиотека Azure Identity предоставляет различные учетные данные — реализации , адаптированные для поддержки различных сценариев и потоков аутентификации Microsoft Entra. Так как управляемое удостоверение недоступно при локальном выполнении, следующие действия демонстрируют, какие учетные данные следует использовать в каком сценарии:

• Локальная среда разработки: Используйте класс DefaultAzureCredential только во время локальной разработки для предварительно настроенной цепочки учетных данных. DefaultAzureCredential обнаруживает учетные данные пользователя из локального инструмента или интегрированной среды разработки, например Azure CLI или Visual Studio Code. Она также обеспечивает гибкость и удобство повторных попыток, время ожидания ответов и поддержку нескольких вариантов проверки подлинности. Посетите статью "Аутентификация в службах Azure во время локальной разработки", чтобы узнать больше.
• Приложения, размещенные в Azure. Когда приложение запущено в Azure, используйте ManagedIdentityCredential , чтобы безопасно обнаружить управляемое удостоверение, настроенное для приложения. Указание этого точного типа учетных данных предотвращает неожиданное получение других доступных учетных данных.

Реализация кода

Добавьте пакет azure-identity в приложение, перейдя в каталог проекта приложения и выполнив следующую команду:

pip install azure-identity

Для обращения к службам Azure используются специализированные клиентские классы из различных клиентских библиотек Azure SDK. В следующем примере кода показано, как создать экземпляр учетных данных и использовать его с клиентом службы SDK Azure. В коде приложения выполните следующие действия для проверки подлинности с помощью управляемого удостоверения:

1. ManagedIdentityCredential Импортируйте класс из azure.identity модуля.
2. ManagedIdentityCredential Создайте объект и настройте идентификатор клиента, идентификатор ресурса или идентификатор объекта.
3. ManagedIdentityCredential Передайте объект конструктору клиента Azure SDK.

идентификатор клиента

Идентификатор клиента используется для идентификации управляемого удостоверения при настройке приложений или служб, которые должны проходить проверку подлинности с помощью этого удостоверения.

1. Получите идентификатор клиента, назначенный управляемому удостоверению, заданному пользователем, с помощью следующей команды:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Настройте ManagedIdentityCredential с идентификатором клиента:

   from azure.identity import ManagedIdentityCredential
   from azure.storage.blob import BlobServiceClient
   
   credential = ManagedIdentityCredential(
       client_id="<client-id>"
   )
   
   blob_service_client = BlobServiceClient(
       account_url="https://<account-name>.blob.core.windows.net",
       credential=credential
   )
   

Идентификатор ресурса

Идентификатор ресурса однозначно идентифицирует ресурс управляемой идентификации в вашей подписке Azure с использованием следующей структуры:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Идентификаторы ресурсов можно создавать согласно соглашению, что делает их более удобными при работе в вашей среде с большим количеством управляемых удостоверений, назначенных пользователем.

1. Получите идентификатор ресурса для удостоверения с управляемым доступом, назначенного пользователем, с помощью следующей команды:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Настройте ManagedIdentityCredential с идентификатором ресурса:

   from azure.identity import ManagedIdentityCredential
   from azure.storage.blob import BlobServiceClient
   
   credential = ManagedIdentityCredential(
       identity_config={"resource_id": "<resource-id>"}
   )
   
   blob_service_client = BlobServiceClient(
       account_url="https://<account-name>.blob.core.windows.net",
       credential=credential
   )
   

ID объекта

Основной идентификатор — это другое название идентификатора объекта.

1. Получите идентификатор объекта для управляемого удостоверения, назначенного пользователем, с помощью следующей команды:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Настройте ManagedIdentityCredential с идентификатором объекта:

   from azure.identity import ManagedIdentityCredential
   from azure.storage.blob import BlobServiceClient
   
   credential = ManagedIdentityCredential(
       identity_config={"object_id": "<object-id>"}
   )
   
   blob_service_client = BlobServiceClient(
       account_url="https://<account-name>.blob.core.windows.net",
       credential=credential
   )