Autentisera till Azure-resurser från JavaScript-appar som finns lokalt

Appar som finns utanför Azure, till exempel lokalt eller i ett datacenter från tredje part, bör använda ett huvudnamn för programtjänsten via Microsoft Entra-ID för att autentisera till Azure-tjänster. I de kommande avsnitten lär du dig:

• Så registrerar du en applikation i Microsoft Entra för att skapa ett tjänstehuvudnamn
• Hur man tilldelar roller för att begränsa behörigheter
• Autentisera med tjänstens huvudnamn från din appkod

Med dedikerade huvudnamn för programtjänsten kan du följa principen om lägsta behörighet när du får åtkomst till Azure-resurser. Behörigheter är begränsade till de specifika kraven för appen under utvecklingen, vilket förhindrar oavsiktlig åtkomst till Azure-resurser som är avsedda för andra appar eller tjänster. Den här metoden hjälper också till att undvika problem när appen flyttas till produktion genom att se till att den inte är överprivilegierad i utvecklingsmiljön.

En annan appregistrering ska skapas för varje miljö som appen finns i. På så sätt kan miljöspecifika resursbehörigheter konfigureras för varje huvudnamn för tjänsten och ser till att en app som distribueras till en miljö inte kommunicerar med Azure-resurser i en annan miljö.

Registrera appen i Azure

Huvudobjekt för programtjänsten skapas via en appregistrering i Azure med hjälp av antingen Azure-portalen eller Azure CLI.

Azure Portal

1. I Azure-portalen använder du sökfältet för att navigera till sidan Appregistreringar.

2. På sidan Appregistreringar väljer du + Ny registrering.

3. På sidan Registrera en applikation:

   • För fältet Namn anger du ett beskrivande värde som innehåller appnamnet och målmiljön.
   • För kontotyper som stödsväljer du endast Konton i den här organisationskatalogen (endast Microsoft Customer Led – Enskild klientorganisation)eller vilket alternativ som passar bäst för dina behov.

4. Välj Registrera för att registrera din app och skapa tjänstens huvudnamn.

   

5. På sidan Appregistrering för din app kopierar du Program-ID (klient) och Katalog-ID (hyresgäst), som du sedan klistrar in på en tillfällig plats för senare användning i appkodkonfigurationerna.

6. Välj Lägg till ett certifikat eller en hemlig för att konfigurera autentiseringsuppgifter för din app.

7. På sidan Certifikat och hemligheter väljer du + Ny klienthemlighet.

8. I Lägg till en klienthemlighet flyout-panelen som öppnas:

   • För Beskrivning anger du värdet Current.
   • För värdet Förfaller lämnar du det rekommenderade standardvärdet 180 days.
   • Välj Lägg till för att lägga till hemligheten.

9. På sidan certifikat & hemligheter kopierar du egenskapen Value för klienthemligheten för användning i ett framtida steg.

   Anmärkning

   Värdet för klienthemlighet visas bara en gång efter att appregistreringen har skapats. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det går inte att visa det här värdet igen.

Azure CLI

Azure CLI-kommandon kan köras i Azure Cloud Shell eller på en arbetsstation med Azure CLI installerat.

1. Använd kommandot az ad sp create-for-rbac för att skapa en ny app-registrering och ett tjänsthuvudnamn för appen.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Utdata från det här kommandot liknar följande JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Kopiera utdata till en tillfällig fil i en textredigerare eftersom du behöver dessa värden i ett framtida steg.

   Anmärkning

   Värdet för klienthemlighet visas bara en gång efter att appregistreringen har skapats. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det går inte att visa det här värdet igen.

Tilldela roller till tjänstehuvudnamnet för applikationen

Bestäm sedan vilka roller (behörigheter) din app behöver på vilka resurser och tilldela dessa roller till tjänstens huvudnamn som du skapade. Roller kan tilldelas på resurs-, resursgrupps- eller prenumerationsnivån. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång, eftersom de flesta appar grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure Portal

1. I Azure-portalen går du till sidan Översikt för resursgruppen som innehåller din app.

2. Välj Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

3. På sidan Åtkomstkontroll (IAM) väljer du + Lägg till och väljer sedan Lägg till rolltilldelning i den nedrullningsbara menyn. Sidan Lägg till rolltilldelning innehåller flera flikar för att konfigurera och tilldela roller.

4. På fliken Roll använder du sökrutan för att hitta den roll som du vill tilldela. Välj rollen och välj sedan Nästa.

5. På fliken Medlemmar:

   • För värdet Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn .
   • För värdet Medlemmar väljer du + Välj medlemmar för att öppna den utfällbara panelen Välj medlemmar .
   • Sök efter tjänstens huvudnamn som du skapade tidigare och välj det från de filtrerade resultaten. Välj Välj för att välja gruppen och stäng den utfällbara panelen.
   • Välj Granska och tilldela längst ned på fliken Medlemmar.

   

6. På fliken Granska + tilldela väljer du Granska + tilldela längst ned på sidan.

Azure CLI

1. Använd kommandot az role definition list för att hämta namnen på de roller som en tjänstprincipal kan tilldelas:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Använd kommandot az role assignment create för att tilldela en roll till en serviceprincipal:

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i Tilldela Azure-roller med hjälp av Azure CLI.

Ange appmiljövariablerna

Vid körning söker vissa behörighetsuppgifter från Azure Identity-biblioteket, till exempel DefaultAzureCredential, EnvironmentCredentialoch ClientSecretCredential, efter information om tjänstens huvudmän enligt konvention i miljövariablerna. Det finns flera sätt att konfigurera miljövariabler när du arbetar med JavaScript, beroende på verktyg och miljö.

Oavsett vilken metod du väljer konfigurerar du följande miljövariabler för tjänstens huvudnamn:

• AZURE_CLIENT_ID: Används för att identifiera den registrerade appen i Azure.
• AZURE_TENANT_ID: ID för Microsoft Entra-klienten.
• AZURE_CLIENT_SECRET: Den hemliga autentiseringsuppgift som genererades för appen.

Visual Studio Code

I Visual Studio Code kan miljövariabler anges i launch.json filen i projektet. Dessa värden hämtas automatiskt när appen startar. De här konfigurationerna följer dock inte med din app under distributionen, så du måste konfigurera miljövariabler i målvärdmiljön.

"configurations": [
{
    "env": {
        "NODE_ENV": "development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Windows

Du kan ange miljövariabler för Windows från kommandoraden. Värdena är dock tillgängliga för alla appar som körs på operativsystemet och kan orsaka konflikter, så var försiktig med den här metoden. Miljövariabler kan anges på användar- eller systemnivå.

# Set user environment variables
setx NODE_ENV "development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx NODE_ENV "development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell kan också användas för att ange miljövariabler på användar- eller systemnivå:

# Set user environment variables
[Environment]::SetEnvironmentVariable("NODE_ENV", "development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("NODE_ENV", "development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

.env-fil

För lokal utveckling kan du använda en .env fil. Node.js 20.6.0 och senare stöder --env-file flaggan för att automatiskt läsa in miljövariabler från en .env fil.

1. Skapa en .env fil i projektroten:

   AZURE_CLIENT_ID=<your-client-id>
   AZURE_TENANT_ID=<your-tenant-id>
   AZURE_CLIENT_SECRET=<your-client-secret>
   

2. Kör ditt program med --env-file flaggan:

   node --env-file=.env app.js
   

För tidigare Node.js versioner kan du använda dotenv npm-paketet:

1. Installera dotenv-paketet:

   npm install dotenv
   

2. Läs in miljövariablerna i ditt program:

   import 'dotenv/config';
   

Försiktighet

Lägg aldrig in .env filer eller klienthemligheter i versionskontroll. Lägg till .env i .gitignore filen.

Autentisera till Azure-tjänster från din app

Azure Identity-biblioteket innehåller olika autentiseringsuppgifter – implementeringar av TokenCredential anpassade för att stödja olika scenarier och Microsoft Entra-autentiseringsflöden. Stegen framåt visar hur du använder ClientSecretCredential när du arbetar med tjänstens principaler lokalt och i produktion.

Implementera koden

Lägg till @azure/identitetspaketet i Node.js-projektet:

npm install @azure/identity

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. Följ dessa steg för javaScript-kod som skapar ett Azure SDK-klientobjekt i din app:

1. ClientSecretCredential Importera klassen från modulen@azure/identity.
2. Skapa ett ClientSecretCredential objekt med tenantId, clientIdoch clientSecret.
3. Skicka instansen ClientSecretCredential till Azure SDK-klientobjektkonstruktorn.

Ett exempel på den här metoden visas i följande kodsegment:

import { BlobServiceClient } from '@azure/storage-blob';
import { ClientSecretCredential } from '@azure/identity';

// Authentication
const tenantId = process.env.AZURE_TENANT_ID;
const clientId = process.env.AZURE_CLIENT_ID;
const clientSecret = process.env.AZURE_CLIENT_SECRET;

// Azure Storage account name
const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;

if (!tenantId || !clientId || !clientSecret || !accountName) {
  throw Error('Required environment variables not found');
}

const credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  credential
);

En annan metod är att skicka ClientSecretCredential objektet direkt till Azure SDK-klientkonstruktorn:

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new ClientSecretCredential(tenantId, clientId, clientSecret)
);