Autentisera Go-appar som körs på Azure mot Azure-resurser med en hanterad identitet tilldelad användaren

2025-10-17

Den rekommenderade metoden för att autentisera en Azure-värdbaserad app till andra Azure-resurser är att använda en hanterad identitet. Den här metoden stöds för de flesta Azure-tjänster, inklusive appar som finns i Azure App Service, Azure Container Apps och Azure Virtual Machines. Upptäck mer om olika autentiseringstekniker och autentiseringsmetoder på översiktssidan för autentisering . I de kommande avsnitten får du lära dig:

Grundläggande begrepp för hanterad identitet
Så här skapar du en användartilldelad hanterad identitet för din app
Så här tilldelar du roller till den användartilldelade hanterade identiteten
Autentisera med hjälp av den användartilldelade hanterade identiteten från din appkod

Grundläggande begrepp för hanterad identitet

Med en hanterad identitet kan din app på ett säkert sätt ansluta till andra Azure-resurser utan att använda hemliga nycklar eller andra programhemligheter. Internt spårar Azure identiteten och vilka resurser den tillåts ansluta till. Azure använder den här informationen för att automatiskt hämta Microsoft Entra-token för appen så att den kan ansluta till andra Azure-resurser.

Det finns två typer av hanterade identiteter att tänka på när du konfigurerar din värdbaserade app:

Systemtilldelade hanterade identiteter aktiveras direkt på en Azure-resurs och är knutna till dess livscykel. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Systemtilldelade identiteter ger en minimalistisk metod för att använda hanterade identiteter.
Användartilldelade hanterade identiteter skapas som fristående Azure-resurser och ger större flexibilitet och funktioner. De är idealiska för lösningar som omfattar flera Azure-resurser som behöver dela samma identitet och behörigheter. Om till exempel flera virtuella datorer behöver komma åt samma uppsättning Azure-resurser, ger en användartilldelad hanterad identitet återanvändning och optimerad hantering.

Tips/Råd

Läs mer om hur du väljer och hanterar systemtilldelade och användartilldelade hanterade identiteter i artikeln Rekommenderade metoder för hanterad identitet .

I följande avsnitt beskrivs stegen för att aktivera och använda en användartilldelad hanterad identitet för en Azure-värdbaserad app. Om du behöver använda en systemtilldelad hanterad identitet kan du läsa artikeln om systemtilldelade hanterade identiteter för mer information.

Skapa en användartilldelad hanterad identitet

Användartilldelade hanterade identiteter skapas som fristående resurser i din Azure-prenumeration med hjälp av Azure-portalen eller Azure CLI. Azure CLI-kommandon kan köras i Azure Cloud Shell eller på en arbetsstation med Azure CLI installerat.

Azure Portal
Azure CLI

I Azure-portalen anger du Hanterade identiteter i huvudsökfältet och väljer matchande resultat under avsnittet Tjänster .
På sidan Hanterade identiteter väljer du + Skapa.
På sidan Skapa användartilldelad hanterad identitet väljer du en prenumeration, resursgrupp och region för den användartilldelade hanterade identiteten och anger sedan ett namn.
Välj Granska + skapa för att granska och verifiera dina indata.
Välj Skapa för att skapa den användartilldelade hanterade identiteten.
När identiteten har skapats väljer du Gå till resurs.
På den nya identitetens översiktssida kopierar du det klient-ID-värde som ska användas för senare när du konfigurerar programkoden.

Använd Azure CLI-kommandot az identity create för att skapa en hanterad identitet:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

Kommandots utdata skriver ut klient-ID:t för den skapade användartilldelade hanterade identiteten. Klient-ID:t används för att konfigurera programkod som förlitar sig på identiteten.

Du kan alltid visa de hanterade identitetsegenskaperna igen med kommandot az identity show :

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Tilldela den hanterade identiteten till din app

En användartilldelad hanterad identitet kan associeras med en eller flera Azure-resurser. Alla resurser som använder den identiteten får de behörigheter som tillämpas via identitetens roller.

Azure Portal
Azure CLI

I Azure-portalen navigerar du till resursen som är värd för din appkod, till exempel en Azure App Service- eller Azure Container App-instans.
På resursens översiktssida expanderar du Inställningar och väljer Identitet i navigeringen.
På sidan Identitet växlar du till fliken Användartilldelad .
Välj + Lägg till för att öppna panelen Lägg till användartilldelad hanterad identitet .
I panelen Lägg till användartilldelad hanterad identitet använder du listrutan Prenumeration för att filtrera sökresultaten för dina identiteter. Använd sökrutan Användartilldelade hanterade identiteter för att hitta den användartilldelade hanterade identiteten som du aktiverade för Azure-resursen som är värd för din app.
Välj identiteten och välj Lägg till längst ned i panelen för att fortsätta.

Azure CLI tillhandahåller olika kommandon för att tilldela en användartilldelad hanterad identitet till olika typer av värdtjänster.

Om du vill tilldela en användartilldelad hanterad identitet till en resurs, till exempel en Azure App Service-webbapp med hjälp av Azure CLI, behöver du identitetens resurs-ID. az identity show Använd kommandot för att hämta resurs-ID:t:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query id
```

När du har resurs-ID:t använder du Kommandot Azure CLI az <resourceType> identity assign för att associera den användartilldelade hanterade identiteten med olika resurser, till exempel följande:

För Azure App Service använder du Azure CLI-kommandot az webapp identity assign:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <user-assigned-identity-resource-id>

För Azure Container Apps använder du Azure CLI-kommandot az containerapp identity assign:

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --identities <user-assigned-identity-resource-id>

För Virtuella Azure-datorer använder du Azure CLI-kommandot az vm identity assign:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --identities <user-assigned-identity-resource-id>

Tilldela roller till den hanterade identiteten

Bestäm sedan vilka roller din app behöver och tilldela dessa roller till den hanterade identiteten. Du kan tilldela roller till en hanterad identitet i följande omfång:

Resurs: De tilldelade rollerna gäller endast för den specifika resursen.
Resursgrupp: De tilldelade rollerna gäller för alla resurser i resursgruppen.
Prenumeration: De tilldelade rollerna gäller för alla resurser som ingår i prenumerationen.

I följande exempel visas hur du tilldelar roller i resursgruppens omfång, eftersom många appar hanterar alla sina relaterade Azure-resurser med hjälp av en enda resursgrupp.

Azure Portal
Azure CLI

Gå till sidan Översikt för resursgruppen som innehåller appen med den användartilldelade hanterade identiteten.
Välj Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.
På sidan Åtkomstkontroll (IAM) väljer du + Lägg till på den översta menyn och väljer sedan Lägg till rolltilldelning för att navigera till sidan Lägg till rolltilldelning .
Sidan Lägg till rolltilldelning visar ett tabbat arbetsflöde i flera steg för att tilldela roller till identiteter. På den första fliken Roll använder du sökrutan längst upp för att hitta den roll som du vill tilldela identiteten.
Välj rollen i resultatet och välj sedan Nästa för att gå till fliken Medlemmar .
För alternativet Tilldela åtkomst till väljer du Hanterad identitet.
För alternativet Medlemmar väljer du + Välj medlemmar för att öppna panelen Välj hanterade identiteter .
På panelen Välj hanterade identiteter använder du listrutorna Prenumeration och Hanterad identitet för att filtrera sökresultaten för dina identiteter. Använd rutan Välj sök för att hitta den användartilldelade hanterade identiteten som du har aktiverat för Azure-resursen som är värd för din app.
Välj identiteten och välj Välj längst ned i panelen för att fortsätta.
Välj Granska + tilldela längst ned på sidan.
På den sista fliken Granska + tilldela väljer du Granska + tilldela för att slutföra arbetsflödet.

Om du vill tilldela en roll till en användartilldelad hanterad identitet med hjälp av Azure CLI behöver du identitetens huvud-ID. az identity show Använd kommandot för att hämta huvud-ID:t:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query principalId
```

Använd kommandot az role definition list för att utforska vilka roller en hanterad identitet kan tilldelas:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Tilldela en roll till en hanterad identitet med kommandot az role assignment create :
```
az role assignment create \
    --assignee <your-principal-id> \
    --role <role-name> \
    --scope <scope>
```
Om du till exempel vill tillåta den hanterade identiteten med ID:t för läs-, skriv- och borttagningsåtkomst 99999999-9999-9999-9999-999999999999 till Azure Storage-blobcontainrar och data till alla lagringskonton i resursgruppen msdocs-sdk-auth-example tilldelar du programtjänstens huvudnamn till rollen Storage Blob Data-deltagare med hjälp av följande kommando:
```
az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
```

Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i artikeln Tilldela Azure-roller med hjälp av Azure CLI-.

Autentisera till Azure-tjänster från din app

Azidentity-modulen innehåller olika autentiseringsuppgifter – implementeringar av TokenCredential anpassade för att stödja olika scenarier och Microsoft Entra-autentiseringsflöden. Eftersom den hanterade identiteten inte är tillgänglig när den körs lokalt visar stegen framåt vilka autentiseringsuppgifter som ska användas i vilket scenario:

Lokal utvecklingsmiljö: Använd endast StandardAzureCredential för en åsiktsbaserad, förkonfigurerad kedja med autentiseringsuppgifter under den lokala utvecklingen. DefaultAzureCredential identifierar användarautentiseringsuppgifter från dina lokala utvecklingsverktyg, till exempel Azure CLI. Det ger också flexibilitet och bekvämlighet för återförsök, väntetider för svar och stöd för flera autentiseringsalternativ. Mer information finns i artikeln Autentisera till Azure-tjänster under lokal utveckling .
Azure-värdbaserade appar: När din app körs i Azure använder du ManagedIdentityCredential för att på ett säkert sätt identifiera den hanterade identitet som konfigurerats för din app. Om du anger den här exakta typen av autentiseringsuppgifter förhindrar du att andra tillgängliga autentiseringsuppgifter oväntat hämtas.

Implementera koden

Lägg till azidentity-modulen .

I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Azure-tjänster används med hjälp av specialiserade klienter från de olika Azure SDK-klientbiblioteken. För alla Go-kod som instansierar en Azure SDK-klient i din app måste du:

Importera azidentity-paketet.
Skapa en instans av DefaultAzureCredential typen.
Skicka instansen av DefaultAzureCredential typen till Azure SDK-klientkonstruktorn.
Ange miljövariabeln AZURE_CLIENT_ID till klient-ID för din användartilldelade identitet Ett exempel på dessa steg visas i följande kodsegment med en Azure Storage Blob-klient.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		// TODO: handle error
	}

	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
		// TODO: handle error
	}

	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Som beskrivs i översiktsartikeln för Azure SDK för Go-autentisering stöder DefaultAzureCredential flera autentiseringsmetoder och avgör vilken metod som används vid körning. Fördelen med den här metoden är att din app kan använda olika autentiseringsmetoder i olika miljöer utan att implementera miljöspecifik kod. När föregående kod körs på din arbetsstation under lokal utveckling DefaultAzureCredential använder antingen ett huvudnamn för programtjänsten, baserat på miljöinställningar, eller autentiseringsuppgifter för utvecklarverktyget för att autentisera med andra Azure-resurser. Därför kan samma kod användas för att autentisera din app till Azure-resurser både under lokal utveckling och när den distribueras till Azure.

Viktigt!

DefaultAzureCredential förenklar autentiseringen vid utveckling av program som distribueras till Azure genom att kombinera autentiseringsuppgifter som används i Azure-värdmiljöer och autentiseringsuppgifter som används i lokal utveckling. I produktion är det bättre att använda en specifik typ av autentiseringsuppgifter så att autentiseringen blir mer förutsägbar och enklare att felsöka.

Ett alternativ till DefaultAzureCredential är att använda ManagedIdentityCredential. Stegen för att använda ManagedIdentityCredential är desamma som för att använda typen DefaultAzureCredential .

Ett exempel på dessa steg visas i följande kodsegment med en Azure Storage Blob-klient.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	// Replace placeholder text with your storage account name
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	clientID := azidentity.ClientID("abcd1234-...")
	opts := azidentity.ManagedIdentityCredentialOptions{ID: clientID}
	cred, err := azidentity.NewManagedIdentityCredential(&opts)
	if err != nil {
		// TODO: handle error
	}
	
	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
		// TODO: handle error
	}
	
	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Föregående kod fungerar annorlunda beroende på vilken miljö den körs i:

På din lokala utvecklingsarbetsstation DefaultAzureCredential letar du i miljövariablerna efter ett huvudnamn för programtjänsten eller lokalt installerade utvecklarverktyg, till exempel Azure CLI, för en uppsättning autentiseringsuppgifter för utvecklare.
När du distribuerar till Azure ManagedIdentityCredential identifierar du dina hanterade identitetskonfigurationer för att autentisera till andra tjänster automatiskt.

Feedback

Var den här sidan till hjälp?