Dela via

Autentisera Azure-värdbaserade JavaScript-appar till Azure-resurser med hjälp av en systemtilldelad hanterad identitet

Den rekommenderade metoden för att autentisera en Azure-värdbaserad app till andra Azure-resurser är att använda en hanterad identitet. Den här metoden stöds för de flesta Azure-tjänster, inklusive appar som finns i Azure App Service, Azure Container Apps och Azure Virtual Machines. Upptäck mer om olika autentiseringstekniker och autentiseringsmetoder på översiktssidan för autentisering . I de kommande avsnitten får du lära dig:

  • Grundläggande begrepp för hanterad identitet
  • Så här skapar du en systemtilldelad hanterad identitet för din app
  • Tilldela roller till den systemtilldelade hanterade identiteten
  • Autentisera med hjälp av den systemtilldelade hanterade identiteten från din appkod

Grundläggande begrepp för hanterad identitet

Med en hanterad identitet kan din app på ett säkert sätt ansluta till andra Azure-resurser utan att använda hemliga nycklar eller andra programhemligheter. Internt spårar Azure identiteten och vilka resurser den tillåts ansluta till. Azure använder den här informationen för att automatiskt hämta Microsoft Entra-token för appen så att den kan ansluta till andra Azure-resurser.

Det finns två typer av hanterade identiteter att tänka på när du konfigurerar din värdbaserade app:

  • Systemtilldelade hanterade identiteter aktiveras direkt på en Azure-resurs och är knutna till dess livscykel. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Systemtilldelade identiteter ger en minimalistisk metod för att använda hanterade identiteter.
  • Användartilldelade hanterade identiteter skapas som fristående Azure-resurser och ger större flexibilitet och funktioner. De är idealiska för lösningar som omfattar flera Azure-resurser som behöver dela samma identitet och behörigheter. Om till exempel flera virtuella datorer behöver komma åt samma uppsättning Azure-resurser, ger en användartilldelad hanterad identitet återanvändning och optimerad hantering.

Tips/Råd

Läs mer om hur du väljer och hanterar systemtilldelade och användartilldelade hanterade identiteter i artikeln Rekommenderade metoder för hanterad identitet .

I följande avsnitt beskrivs stegen för att aktivera och använda en systemtilldelad hanterad identitet för en Azure-värdbaserad app. Om du behöver använda en användartilldelad hanterad identitet går du till artikeln användartilldelade hanterade identiteter för mer information.

Aktivera en systemtilldelad hanterad identitet på Azure-värdresursen

För att komma igång med en systemtilldelad hanterad identitet med din app aktiverar du identiteten på den Azure-resurs som är värd för din app, till exempel en Azure App Service, Azure Container App eller Azure Virtual Machine.

Du kan aktivera en systemtilldelad hanterad identitet för en Azure-resurs med hjälp av antingen Azure-portalen eller Azure CLI.

  1. I Azure-portalen navigerar du till resursen som är värd för din programkod, till exempel en Azure App Service- eller Azure Container App-instans.

  2. På resursens översiktssida expanderar du Inställningar och väljer Identitet i navigeringen.

  3. sidan Identitet växlar du skjutreglaget Status till .

  4. Välj Spara för att tillämpa ändringarna.

    En skärmbild som visar hur du aktiverar en systemtilldelad hanterad identitet i en containerapp.

Tilldela roller till den hanterade identiteten

Bestäm sedan vilka roller din app behöver och tilldela dessa roller till den hanterade identiteten. Du kan tilldela roller till en hanterad identitet i följande omfång:

  • Resurs: De tilldelade rollerna gäller endast för den specifika resursen.
  • Resursgrupp: De tilldelade rollerna gäller för alla resurser i resursgruppen.
  • Prenumeration: De tilldelade rollerna gäller för alla resurser som ingår i prenumerationen.

I följande exempel visas hur du tilldelar roller i resursgruppens omfång, eftersom många appar hanterar alla sina relaterade Azure-resurser med hjälp av en enda resursgrupp.

  1. Gå till sidan Översikt för resursgruppen som innehåller appen med den systemtilldelade hanterade identiteten.

  2. Välj Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

  3. På sidan Åtkomstkontroll (IAM) väljer du + Lägg till på den översta menyn och väljer sedan Lägg till rolltilldelning för att navigera till sidan Lägg till rolltilldelning .

    En skärmbild som visar hur du kommer åt sidan för identitetsrolltilldelning.

  4. Sidan Lägg till rolltilldelning visar ett tabbat arbetsflöde i flera steg för att tilldela roller till identiteter. På den första fliken Roll använder du sökrutan längst upp för att hitta den roll som du vill tilldela identiteten.

  5. Välj rollen i resultatet och välj sedan Nästa för att gå till fliken Medlemmar .

  6. För alternativet Tilldela åtkomst till väljer du Hanterad identitet.

  7. För alternativet Medlemmar väljer du + Välj medlemmar för att öppna panelen Välj hanterade identiteter .

  8. På panelen Välj hanterade identiteter använder du listrutorna Prenumeration och Hanterad identitet för att filtrera sökresultaten för dina identiteter. Använd sökrutan Välj för att hitta den systemidentitet som du har aktiverat för Azure-resursen som är värd för din app.

    En skärmbild som visar processen för tilldelning av hanterad identitet.

  9. Välj identiteten och välj Välj längst ned i panelen för att fortsätta.

  10. Välj Granska + tilldela längst ned på sidan.

  11. På den sista fliken Granska + tilldela väljer du Granska + tilldela för att slutföra arbetsflödet.

Autentisera till Azure-tjänster från din app

Azure Identity-biblioteket innehåller olika autentiseringsuppgifter – implementeringar av TokenCredential anpassade för att stödja olika scenarier och Microsoft Entra-autentiseringsflöden. Eftersom den hanterade identiteten inte är tillgänglig när den körs lokalt visar stegen framåt vilka autentiseringsuppgifter som ska användas i vilket scenario:

  • Lokal utvecklingsmiljö: Använd endast en klass med namnet DefaultAzureCredential för en åsiktsbaserad, förkonfigurerad kedja med autentiseringsuppgifter. DefaultAzureCredential identifierar användarautentiseringsuppgifter från dina lokala verktyg eller IDE, till exempel Azure CLI eller Visual Studio Code. Det ger också flexibilitet och bekvämlighet för återförsök, väntetider för svar och stöd för flera autentiseringsalternativ. Mer information finns i artikeln Autentisera till Azure-tjänster under lokal utveckling .
  • Azure-värdbaserade appar: När din app körs i Azure kan du använda ManagedIdentityCredential för att på ett säkert sätt identifiera den hanterade identitet som konfigurerats för din app. Om du anger den här exakta typen av autentiseringsuppgifter förhindrar du att andra tillgängliga autentiseringsuppgifter oväntat hämtas.

Implementera koden

I ett JavaScript-projekt lägger du till paketet @azure/identitet . I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

npm install @azure/identity

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. I index.jsutför du följande steg för att konfigurera tokenbaserad autentisering:

  1. Importera paketet @azure/identity .

  2. Skicka en lämplig TokenCredential instans till klienten:

    • Använd DefaultAzureCredential när din app körs lokalt
    • Använd ManagedIdentityCredential när din app körs i Azure.
    import { BlobServiceClient } from '@azure/storage-blob';
import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';

function createBlobServiceClient() {
    const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
    if (!accountName) throw Error('Azure Storage accountName not found');

    const url = `https://${accountName}.blob.core.windows.net`;

    if (process.env.NODE_ENV === "production") {
        return new BlobServiceClient(url, new ManagedIdentityCredential());
    } else {
        return new BlobServiceClient(url, new DefaultAzureCredential());
    }
}

async function main() {
    try {
        const blobServiceClient = createBlobServiceClient();
        const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
        const properties = await containerClient.getProperties();

        console.log(properties);
    } catch (err) {
        console.error("Error retrieving container properties:", err.message);
        throw err;
    }
}

main().catch((err) => {
    console.error("Error running sample:", err.message);
    process.exit(1);
});

Implementera koden

I ett JavaScript-projekt lägger du till paketet @azure/identitet . I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

npm install @azure/identity @types/node

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. I index.jsutför du följande steg för att konfigurera tokenbaserad autentisering:

  1. Importera paketet @azure/identity .

  2. Skicka en lämplig TokenCredential instans till klienten:

    • Använd DefaultAzureCredential när din app körs lokalt
    • Använd ManagedIdentityCredential när din app körs i Azure.
    import { BlobServiceClient } from '@azure/storage-blob';
import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';

function createBlobServiceClient(): BlobServiceClient {
    const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
    if (!accountName) throw Error('Azure Storage accountName not found');
    const url = `https://${accountName}.blob.core.windows.net`;

    if (process.env.NODE_ENV === "production") {
        return new BlobServiceClient(url, new ManagedIdentityCredential());
    } else {
        return new BlobServiceClient(url, new DefaultAzureCredential());
    }
}

async function main(): Promise<void> {
    try {
        const blobServiceClient = createBlobServiceClient();
        const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
        const properties = await containerClient.getProperties();

        console.log(properties);
    } catch (err: any) {
        console.error("Error retrieving container properties:", err.message);
        throw err;
    }
}

main().catch((err: Error) => {
    console.error("Error running sample:", err.message);
    process.exit(1);
});

Föregående kod fungerar annorlunda beroende på vilken miljö den körs i:

  • På din lokala utvecklingsarbetsstation DefaultAzureCredential letar du i miljövariablerna efter ett huvudnamn för programtjänsten eller lokalt installerade utvecklarverktyg, till exempel Visual Studio Code, för en uppsättning autentiseringsuppgifter för utvecklare.
  • När du distribuerar till Azure ManagedIdentityCredential identifierar du dina hanterade identitetskonfigurationer för att autentisera till andra tjänster automatiskt.