从本地托管的 .NET 应用向 Azure 资源进行身份验证
在 Azure 外部(例如本地或第三方数据中心)托管的应用在访问 Azure 资源时应使用应用程序服务主体向 Azure 进行身份验证。 应用程序服务主体对象是使用 Azure 中的应用注册过程创建的。 创建应用程序服务主体时,将为应用生成客户端 ID 和客户端机密。 然后客户端 ID、客户端机密和租户 ID 将存储在环境变量中,以便在运行时 Azure SDK for .NET 可以使用它们来对访问 Azure 的应用进行身份验证。
应为托管应用的每个环境创建不同的应用注册。 这样,就可以为每个服务主体配置特定于环境的资源权限,并确保部署到一个环境的应用不会与另一个环境中的 Azure 资源通信。
1 - 在 Azure 中注册应用程序
可以使用 Azure 门户或 Azure CLI 向 Azure 注册应用。
登录到 Azure 门户并执行以下步骤。
2 - 将角色分配到应用程序服务主体
接下来,需要确定应用在哪些资源上需要哪些角色(权限),并将这些角色分配到应用。 可以在资源、资源组或订阅范围分配角色。 此示例演示如何在资源组范围为服务主体分配角色,因为大多数应用程序将其所有 Azure 资源分组到单个资源组中。
3 - 为应用程序配置环境变量
在运行时,DefaultAzureCredential
对象将在一组环境变量中查找服务主体凭据。 使用 .NET 时,可以根据你的工具和环境以多种方式配置环境变量。
无论选择哪种方法,在处理服务主体时都需要配置以下环境变量。
AZURE_CLIENT_ID
→ 应用 ID 值。AZURE_TENANT_ID
→ 租户 ID 值。AZURE_CLIENT_SECRET
→ 为应用生成的密码/凭据。
如果应用托管在 IIS 中,建议为每个应用池设置环境变量,以隔离应用程序之间的设置。
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='ASPNETCORE_ENVIRONMENT',value='Production']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_ID',value='00000000-0000-0000-0000-000000000000']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_TENANT_ID',value='11111111-1111-1111-1111-111111111111']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_SECRET',value='=abcdefghijklmnopqrstuvwxyz']" /commit:apphost
还可以在 applicationHost.config
文件中使用 applicationPools
元素直接配置这些设置。
<applicationPools>
<add name="CorePool" managedRuntimeVersion="v4.0" managedPipelineMode="Classic">
<environmentVariables>
<add name="ASPNETCORE_ENVIRONMENT" value="Development" />
<add name="AZURE_CLIENT_ID" value="00000000-0000-0000-0000-000000000000" />
<add name="AZURE_TENANT_ID" value="11111111-1111-1111-1111-111111111111" />
<add name="AZURE_CLIENT_SECRET" value="=abcdefghijklmnopqrstuvwxyz" />
</environmentVariables>
</add>
</applicationPools>
4 - 在应用程序中实现 DefaultAzureCredential
DefaultAzureCredential
支持多种身份验证方法,并确定在运行时使用的身份验证方法。 这样,应用便可以在不同的环境中使用不同的身份验证方法,而无需实现特定于环境的代码。
DefaultAzureCredential
按哪种顺序和在哪个位置查找凭据见于 DefaultAzureCredential。
若要实现 DefaultAzureCredential
,首先请将 Azure.Identity
和可选的 Microsoft.Extensions.Azure
包添加到应用程序。 可以使用命令行或 NuGet 包管理器来执行此操作。
在应用程序项目目录中打开所选的终端环境,然后输入以下命令。
dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure
通常会使用 SDK 中的相应客户端类来访问 Azure 服务。 应在 Program.cs
文件中注册这些类和你自己的自定义服务,以便可以在整个应用中通过依赖项注入来访问它们。 在 Program.cs
中,按照以下步骤正确设置服务和 DefaultAzureCredential
。
- 使用 using 语句包含
Azure.Identity
和Microsoft.Extensions.Azure
命名空间。 - 使用相关的帮助器方法注册 Azure 服务。
- 将
DefaultAzureCredential
对象的实例传递给UseCredential
方法。
以下代码片段中显示了此操作的示例。
using Microsoft.Extensions.Azure;
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
x.UseCredential(new DefaultAzureCredential());
});
或者,也可以在服务中更直接地使用 DefaultAzureCredential
,而无需借助其他 Azure 注册方法,如下所示。
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x =>
new BlobServiceClient(
new Uri("https://<account-name>.blob.core.windows.net"),
new DefaultAzureCredential()));
在本地开发期间,当上述代码在本地工作站上运行时,它将在环境变量中查找应用程序服务主体,或者在 Visual Studio、VS Code、Azure CLI 或 Azure PowerShell 中查找一组开发人员凭据,在本地开发期间,可以使用该服务主体或这些凭据对访问 Azure 资源的应用进行身份验证。
部署到 Azure 时,此代码也可以对访问 Azure 资源的应用进行身份验证。 DefaultAzureCredential
可以检索环境设置和托管标识配置,以自动向其他服务进行身份验证。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈