使用系统分配的托管标识向 Azure 资源验证 Azure 托管的 .NET 应用

向其他 Azure 资源验证 Azure 托管应用的建议方法是使用 托管标识。 大多数 Azure 服务都支持此方法，包括 Azure 应用服务、Azure 容器应用和 Azure 虚拟机上托管的应用。 在 身份验证概述 页上详细了解不同的身份验证技术和方法。 在前面的部分中，你将了解：

• 基本托管标识概念
• 如何为应用创建系统分配的托管标识
• 如何将角色分配给系统分配的托管标识
• 如何通过应用代码使用系统分配的托管标识进行身份验证

基本托管标识概念

托管标识使应用能够安全地连接到其他 Azure 资源，而无需使用密钥或其他应用程序机密。 在内部，Azure 会跟踪标识及其允许连接到的资源。 Azure 使用此信息自动获取应用的 Microsoft Entra 令牌，以允许它连接到其他 Azure 资源。

配置托管应用时，需要考虑两种类型的托管标识：

• 系统分配的 托管标识直接在 Azure 资源上启用，并绑定到其生命周期。 当资源被删除时，Azure 会自动为你删除标识。 系统分配的标识提供了使用托管标识的极简方法。
• 用户分配的 托管标识创建为独立的 Azure 资源，并提供更大的灵活性和功能。 它们非常适合涉及多个需要共享相同标识和权限的 Azure 资源的解决方案。 例如，如果多个虚拟机需要访问同一组 Azure 资源，则用户分配的托管标识可提供可重用性和优化管理。

小窍门

在托管标识 最佳做法建议 文章中，详细了解如何选择和管理系统分配的托管标识和用户分配的托管标识。

前面的部分介绍了为 Azure 托管应用启用和使用系统分配的托管标识的步骤。 如果需要使用用户分配的托管标识，请访问 用户分配的托管标识 文章以了解详细信息。

在 Azure 托管资源上启用系统分配的托管标识

若要开始在应用中使用系统分配的托管标识，请在托管应用的 Azure 资源上启用标识，例如 Azure 应用服务、Azure 容器应用或 Azure 虚拟机。

可以使用 Azure 门户或 Azure CLI 为 Azure 资源启用系统分配的托管标识。

1. 在 Azure 门户中，导航到托管应用程序代码的资源，例如 Azure 应用服务或 Azure 容器应用实例。

2. 在资源的 “概述 ”页中，展开 “设置” ，然后从导航中选择“ 标识 ”。

3. 在 “标识 ”页上，将 “状态 ”滑块切换为 “打开”。

4. 选择保存以应用更改。

   

Azure CLI

Azure CLI 命令可以在 Azure Cloud Shell 中或是安装了 Azure CLI 的工作站上运行。

用于为 Azure 资源启用托管标识的 Azure CLI 命令的格式为 az <command-group> identity --resource-group <resource-group-name> --name <resource-name>。 下面显示了常用 Azure 服务的特定命令。

Azure 应用服务：

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Azure 虚拟机：

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

输出如下所示：

{
  "principalId": "99999999-9999-9999-9999-999999999999",
  "tenantId": "33333333-3333-3333-3333-333333333333",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

principalId 值是托管标识的唯一 ID。 保留此输出的副本，因为下一步需要这些值。

为托管标识分配角色

接下来，确定应用需要哪些角色并将这些角色分配给托管标识。 可以在以下范围内将角色分配到托管标识：

• 资源：分配的角色仅适用于该特定资源。
• 资源组：分配的角色适用于资源组中包含的所有资源。
• 订阅：分配的角色适用于订阅中包含的所有资源。

以下示例演示如何在资源组范围内分配角色，因为许多应用使用单个资源组管理其所有相关的 Azure 资源。

1. 导航到包含具有系统分配托管标识的应用的资源组的 “概述 ”页。

2. 在左侧导航中选择 “访问控制”（IAM ）。

3. 在 “访问控制”（IAM） 页上，选择顶部菜单中的“ + 添加 ”，然后选择“ 添加角色分配 ”以导航到 “添加角色分配 ”页。

   

4. “添加角色分配”页提供了一个选项卡式的多步骤工作流，用于将角色分配给标识。 在“初始 角色 ”选项卡上，使用顶部的搜索框找到要分配给标识的角色。

5. 从结果中选择角色，然后选择“ 下一步 ”以移动到“ 成员 ”选项卡。

6. 对于 “分配访问权限” 选项，请选择 “托管标识”。

7. 对于“ 成员 ”选项，选择“ + 选择成员 ”以打开 “选择托管标识 ”面板。

8. 在 “选择托管标识 ”面板中，使用 “订阅 ”和 “托管标识 ”下拉列表筛选标识的搜索结果。 使用 “选择 搜索”框查找为托管应用的 Azure 资源启用的系统标识。

   

9. 选择标识，然后选择面板底部的 “选择” 以继续。

10. 选择页面底部的 “查看 + 分配 ”。

11. 在“最终 审阅 + 分配 ”选项卡上，选择“ 审阅 + 分配 ”以完成工作流。

Azure CLI

使用 az role assignment create 命令在 Azure 中为托管标识分配角色：

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

若要获取可向其分配服务主体的角色名称，请使用 az role definition list 命令：

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

例如，若要为 ID 为 99999999-9999-9999-9999-999999999999 的托管标识身份提供对 Azure 存储 Blob 容器以及 msdocs-dotnet-sdk-auth-example 资源组中的所有存储帐户的读取、写入和删除访问权限，请使用以下命令将应用程序服务主体分配到 存储 Blob 数据参与者 角色：

az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"

有关使用 Azure CLI 在资源或订阅级别分配权限的信息，请参阅使用 Azure CLI 分配 Azure 角色一文。

从应用向 Azure 服务进行身份验证

Azure 标识库提供各种凭据-适用于支持不同方案和Microsoft Entra 身份验证流的实现TokenCredential。 由于托管标识在本地运行时不可用，因此后续步骤演示了在哪种方案中要使用的凭据：

• 本地开发环境： 仅在本地开发期间，将名为 DefaultAzureCredential 的类用于有意见的预配置凭据链。 DefaultAzureCredential 从本地工具或 IDE（例如 Azure CLI 或 Visual Studio）发现用户凭据。 它还为重试、响应等待时间以及支持多个身份验证选项提供了灵活性和便利。 访问 本地开发期间对 Azure 服务的身份验证 文章以了解详细信息。
• Azure 托管的应用：在 Azure 中运行应用时，请使用 ManagedIdentityCredential 安全地发现为应用配置的托管标识。 指定此确切类型的凭据可防止意外选取其他可用凭据。

实现代码

添加 Azure.Identity 包。 在 ASP.NET Core 项目中，还安装 Microsoft.Extensions.Azure 包：

命令行

在所选终端中，导航到应用程序项目目录并运行以下命令：

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet 程序包管理器

在 Visual Studio 解决方案资源管理器 窗口中右键单击项目，然后选择 管理 NuGet 包。 搜索 Azure.Identity，并安装匹配的包。 对 Microsoft.Extensions.Azure 包重复此过程。

Azure 服务使用各种 Azure SDK 客户端库中的专用客户端类进行访问。 应注册这些类和你自己的自定义服务进行依赖项注入，以便在整个应用中使用它们。 在 Program.cs中，完成以下步骤，为依赖项注入和基于令牌的身份验证配置客户端类：

1. 通过 Azure.Identity 指令包括 Microsoft.Extensions.Azure 和 using 命名空间。
2. 使用相应的 Add前缀扩展方法注册 Azure 服务客户端。
3. 对运行应用的环境使用适当的 TokenCredential 实例。 应用运行时：
   • 在 Azure 中，将方法的 ManagedIdentityCredential 实例传递给 UseCredential 该实例。 ManagedIdentityCredential 发现托管标识配置以自动向其他服务进行身份验证。
   • 在你的本地开发计算机上，会为你创建一个 DefaultAzureCredential 实例。 仅当想要DefaultAzureCredential或使用其他凭据时调用。 DefaultAzureCredential 在应用程序服务主体的环境变量或本地安装的开发人员工具（如 Visual Studio）中查找开发人员凭据。

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
    {
        // Managed identity token credential discovered when running in Azure environments
        ManagedIdentityCredential credential = new(ManagedIdentityId.SystemAssigned);
        clientBuilder.UseCredential(credential);
    }
});

---