Autentisera Azure-värdbaserade appar till Azure-resurser med Azure SDK för JavaScript

När en app finns i Azure (med hjälp av en tjänst som Azure App Service, Azure Virtual Machines eller Azure Container Instances) är den rekommenderade metoden för att autentisera en app till Azure-resurser att använda en hanterad identitet.

En hanterad identitet tillhandahåller en identitet för din app så att appen ansluter till andra Azure-resurser utan att behöva använda en hemlighet (till exempel en anslutningssträng av nyckeln). Internt känner Azure till identiteten för din app och vilka resurser den tillåts ansluta till. Azure använder den här informationen för att automatiskt hämta Microsoft Entra-token för appen så att den kan ansluta till andra Azure-resurser, allt utan att du behöver hantera (skapa eller rotera) autentiseringshemligheterna.

Hanterade identitetstyper

Det finns två typer av hanterade identiteter:

• Systemtilldelade hanterade identiteter – enskild Azure-resurs
• Användartilldelade hanterade identiteter – flera Azure-resurser

Den här artikeln beskriver stegen för att aktivera och använda en systemtilldelad hanterad identitet för en app. Om du behöver använda en användartilldelad hanterad identitet kan du läsa artikeln Hantera användartilldelade hanterade identiteter för att se hur du skapar en användartilldelad hanterad identitet.

Systemtilldelade hanterade identiteter för en enskild resurs

Systemtilldelade hanterade identiteter tillhandahålls av och kopplas direkt till en Azure-resurs. När du aktiverar hanterad identitet på en Azure-resurs får du en systemtilldelad hanterad identitet för den resursen. Den är kopplad till Livscykeln för Azure-resursen. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Eftersom allt du behöver göra är att aktivera hanterad identitet för Den Azure-resurs som är värd för din kod, är detta den enklaste typen av hanterad identitet att använda.

Användartilldelade hanterade identiteter för flera resurser

Konceptuellt är den här identiteten en fristående Azure-resurs. Detta används oftast när din lösning har flera arbetsbelastningar som körs på flera Azure-resurser som alla behöver dela samma identitet och samma behörigheter. Om din lösning till exempel hade komponenter som kördes på flera Instanser av App Service och virtuella datorer och alla behövde åtkomst till samma uppsättning Azure-resurser skulle det vara meningsfullt att skapa och använda en användartilldelad hanterad identitet för dessa resurser.

1 – Systemtilldelad: Aktivera i värdbaserad app

Det första steget är att aktivera hanterad identitet på Den Azure-resurs som är värd för din app. Om du till exempel är värd för ett Django-program med Azure App Service måste du aktivera hanterad identitet för apptjänstens webbapp. Om du använder en virtuell dator som värd för din app gör du det möjligt för den virtuella datorn att använda hanterad identitet.

Du kan aktivera att hanterad identitet används för en Azure-resurs med hjälp av antingen Azure-portalen eller Azure CLI.

Azure-portalen

Instruktioner	Skärmbild
Gå till resursen som är värd för programkoden i Azure-portalen. Du kan till exempel skriva namnet på resursen i sökrutan överst på sidan och navigera till den genom att välja den i dialogrutan.
På sidan för resursen väljer du menyalternativet Identitet på den vänstra menyn. Alla Azure-resurser som kan stödja hanterad identitet har ett menyalternativ för identitet även om menyns layout kan variera något.
På identitetssidan: Ändra skjutreglaget Status till På. Välj Spara. En bekräftelsedialogruta verifierar att du vill aktivera hanterad identitet för din tjänst. Svara Ja för att aktivera hanterad identitet för Azure-resursen.

Azure CLI

Azure CLI-kommandon kan köras i Azure Cloud Shell eller på en arbetsstation med Azure CLI installerat.

De Azure CLI-kommandon som används för att aktivera hanterad identitet för en Azure-resurs är av formatet az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Specifika kommandon för populära Azure-tjänster visas nedan.

Azure App Service

az webapp identity assign --resource-group <resource-group-name> -name <web-app-name>

Azure Virtual Machines

az vm identity assign --resource-group <resource-group-name> -name <virtual-machine-name>

De utdata som returneras liknar följande.

{
  "principalId": "<REPLACE_WITH_YOUR_PRINCIPAL_ID>",
  "tenantId": "<REPLACE_WITH_YOUR_TENANT_ID>",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Värdet principalId är det unika ID:t för den hanterade identiteten. Behåll en kopia av dessa utdata eftersom du behöver dessa värden i nästa steg.

2 – Tilldela roller till den hanterade identiteten

Därefter måste du bestämma vilka roller (behörigheter) din app behöver och tilldela den hanterade identiteten till dessa roller i Azure. En hanterad identitet kan tilldelas roller i ett resurs-, resursgrupps- eller prenumerationsomfång. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång eftersom de flesta program grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure-portalen

Instruktioner	Skärmbild
Leta upp resursgruppen för ditt program genom att söka efter resursgruppens namn med hjälp av sökrutan överst i Azure-portalen. Gå till resursgruppen genom att välja resursgruppens namn under rubriken Resursgrupper i dialogrutan.
På sidan för resursgruppen väljer du Åtkomstkontroll (IAM) på den vänstra menyn.
På sidan Åtkomstkontroll (IAM): Välj fliken Rolltilldelningar. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.
På sidan Lägg till rolltilldelning visas alla roller som kan tilldelas för resursgruppen. Använd sökrutan för att filtrera listan till en mer hanterbar storlek. Det här exemplet visar hur du filtrerar efter Storage Blob-roller. Välj den roll du vill tilldela. Välj Nästa för att gå till nästa skärm.
På nästa sida För att lägga till rolltilldelning kan du ange vilken användare som ska tilldela rollen till. Välj Hanterad identitet under Tilldela åtkomst till. Välj + Välj medlemmar under Medlemmar En dialogruta öppnas till höger i Azure-portalen.
I dialogrutan Välj hanterade identiteter: Listrutan Hanterad identitet och textrutan Välj kan användas för att filtrera listan över hanterade identiteter i din prenumeration. I det här exemplet visas endast hanterade identiteter som är associerade med en App Service genom att välja App Service. Välj den hanterade identiteten för Den Azure-resurs som är värd för ditt program. Välj Välj längst ned i dialogrutan för att fortsätta.
Den hanterade identiteten visas som markerad på skärmen Lägg till rolltilldelning . Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.

Azure CLI

En hanterad identitet tilldelas en roll i Azure med kommandot [az role assignment create] .

az role assignment create --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Använd kommandot az role definition list för att hämta rollnamnen som ett huvudnamn för tjänsten kan tilldelas till.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Om du till exempel vill tillåta den hanterade identiteten med ID:t för läs-, skriv- och borttagningsåtkomst 99999999-9999-9999-9999-999999999999 till Azure Storage-blobcontainrar och data till alla lagringskonton i resursgruppen msdocs-sdk-auth-example , skulle du tilldela programtjänstens huvudnamn till rollen Storage Blob Data Contributor med hjälp av följande kommando.

az role assignment create --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-sdk-auth-example"

Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i artikeln Tilldela Azure-roller med Hjälp av Azure CLI.

3 – Implementera DefaultAzureCredential i ditt program

Klassen DefaultAzureCredential identifierar automatiskt att en hanterad identitet används och använder den hanterade identiteten för att autentisera till andra Azure-resurser. Som beskrivs i artikeln översikt över Azure SDK för JavaScript-autentisering stöder DefaultAzureCredential du flera autentiseringsmetoder och avgör vilken autentiseringsmetod som används vid körning. På så sätt kan din app använda olika autentiseringsmetoder i olika miljöer utan att implementera miljöspecifik kod.

Lägg först till paketet @azure/identitet i ditt program.

npm install @azure/identity

För alla JavaScript-kod som skapar ett Azure SDK-klientobjekt i din app vill du sedan:

1. DefaultAzureCredential Importera klassen från modulen@azure/identity.
2. Skapa ett DefaultAzureCredential objekt.
3. Skicka objektet DefaultAzureCredential till Azure SDK-klientobjektkonstruktorn.

Ett exempel på detta visas i följande kodsegment.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

När koden ovan körs på din lokala arbetsstation under den lokala utvecklingen tittar SDK-metoden DefaultAzureCredential ()i miljövariablerna efter ett huvudnamn för programtjänsten eller i VS Code, Azure CLI eller Azure PowerShell för en uppsättning autentiseringsuppgifter för utvecklare, som kan användas för att autentisera appen till Azure-resurser under den lokala utvecklingen. På så sätt kan samma kod användas för att autentisera din app till Azure-resurser både under lokal utveckling och när den distribueras till Azure.