Dela via

Autentisera .NET-appar som är värdbaserade i Azure mot Azure-resurser med hjälp av en användartilldelad hanterad identitet.

Den rekommenderade metoden för att autentisera sig från en app som är värdbaserad i Azure till andra Azure-resurser är att använda en hanterad identitet. Den här metoden stöds för de flesta Azure-tjänster, inklusive appar som finns i Azure App Service, Azure Container Apps och Azure Virtual Machines. Upptäck mer om olika autentiseringstekniker och metoder på -autentiseringsöversikten sidan. I de kommande avsnitten får du lära dig:

  • Grundläggande begrepp för hanterad identitet
  • Så här skapar du en användartilldelad hanterad identitet för din app
  • Så här tilldelar du roller till den användartilldelade hanterade identiteten
  • Så här autentiserar du med hjälp av den användartilldelade hanterade identiteten från din applikationskod

Grundläggande begrepp för hanterad identitet

Med en hanterad identitet kan din app på ett säkert sätt ansluta till andra Azure-resurser utan att använda hemliga nycklar eller andra programhemligheter. Internt spårar Azure identiteten och vilka resurser den tillåts ansluta till. Azure använder den här informationen för att automatiskt hämta Microsoft Entra-token för appen så att den kan ansluta till andra Azure-resurser.

Det finns två typer av hanterade identiteter att tänka på när du konfigurerar din värdbaserade app:

  • Systemtilldelade hanterade identiteter aktiveras direkt på en Azure-resurs och är knutna till dess livscykel. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Systemtilldelade identiteter ger en minimalistisk metod för att använda hanterade identiteter.
  • Användartilldelade hanterade identiteter skapas som fristående Azure-resurser och ger större flexibilitet och funktioner. De är idealiska för lösningar som omfattar flera Azure-resurser som behöver dela samma identitet och behörigheter. Om till exempel flera virtuella datorer behöver komma åt samma uppsättning Azure-resurser, ger en användartilldelad hanterad identitet återanvändning och optimerad hantering.

Tips

Läs mer om att välja och hantera systemtilldelade hanterade identiteter och användartilldelade hanterade identiteter i artikeln Rekommenderade metoder för hanterad identitet artikeln.

I de kommande avsnitten beskrivs stegen för att aktivera och använda en användartilldelad hanterad identitet för en Azure-värdbaserad app. Om du behöver använda en systemtilldelad hanterad identitet kan du läsa artikeln om systemtilldelade hanterade identiteter för mer information.

Skapa en användartilldelad hanterad identitet

Användartilldelade hanterade identiteter skapas som fristående resurser i din Azure-prenumeration med hjälp av Azure-portalen eller Azure CLI. Azure CLI-kommandon kan köras i Azure Cloud Shell- eller på en arbetsstation med Azure CLI installerat.

  1. I Azure-portalen anger du Hanterade identiteter i huvudsökfältet och väljer matchande resultat under avsnittet Services.

  2. På sidan Hanterade Identiteter väljer du + Skapa.

    En skärmbild som visar sidan för att hantera användartilldelade hanterade identiteter.

  3. På sidan Skapa användartilldelad hanterad identitet väljer du en prenumeration, resursgrupp och region för den användartilldelade hanterade identiteten och anger sedan ett namn.

  4. Välj Granska + skapa för att granska och verifiera dina indata.

    En skärmbild som visar formuläret för att skapa en användartilldelad hanterad identitet.

  5. Välj Skapa för att skapa den användartilldelade hanterade identiteten.

  6. När identiteten har skapats väljer du Gå till resurs.

  7. På den nya identitetens översiktssida kopierar du värdet klient-ID som ska användas för senare när du konfigurerar programkoden.

Tilldela den hanterade identiteten till din app

En användartilldelad hanterad identitet kan associeras med en eller flera Azure-resurser. Alla resurser som använder den identiteten får de behörigheter som tillämpas via identitetens roller.

  1. I Azure-portalen navigerar du till resursen som är värd för din appkod, till exempel en Azure App Service- eller Azure Container App-instans.

  2. På resursens översiktssida expanderar du Inställningar och väljer Identitet från navigeringen.

  3. På sidan Identitet växlar du till fliken Användartilldelad.

  4. Välj + Lägg till för att öppna panelen Lägg till användartilldelad hanterad identitet.

  5. I panelen Lägg till användartilldelad hanterad identitet använder du listrutan Prenumeration för att filtrera sökresultaten för dina identiteter. Använd sökrutan Användartilldelade hanterade identiteter för att hitta den användartilldelade hanterade identiteten som du har aktiverat för Azure-resursen som är värd för din app.

  6. Välj identiteten och välj Lägg till längst ned i panelen för att fortsätta.

    En skärmbild som visar hur du associerar en användartilldelad hanterad identitet med en app.

Tilldela roller till den hanterade identiteten

Bestäm sedan vilka roller din app behöver och tilldela dessa roller till den hanterade identiteten. Du kan tilldela roller till en hanterad identitet i följande omfång:

  • Resurs: De tilldelade rollerna gäller endast för den specifika resursen.
  • Resursgrupp: De tilldelade rollerna gäller för alla resurser i resursgruppen.
  • Prenumeration: De tilldelade rollerna gäller för alla resurser i prenumerationen.

I följande exempel visas hur du tilldelar roller i resursgruppens omfång, eftersom många appar hanterar alla sina relaterade Azure-resurser med hjälp av en enda resursgrupp.

  1. Gå till sidan Översikt i resursgruppen som innehåller appen med den användartilldelade hanterade identiteten.

  2. Välj åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

  3. På sidan Åtkomstkontroll (IAM) väljer du + Lägg till på den översta menyn och väljer sedan Lägg till rolltilldelning för att gå till sidan Lägg till rolltilldelning.

    En skärmbild som visar hur du får åtkomst till identitetsrolltilldelningssidan.

  4. Sidan Lägg till rolltilldelning visar ett flikarat arbetsflöde i flera steg för att tilldela roller till identiteter. På den första fliken Roll använder du sökrutan längst upp för att hitta den roll som du vill tilldela identiteten.

  5. Välj rollen i resultatet och välj sedan Nästa för att flytta till fliken Medlemmar.

  6. För alternativet Tilldela åtkomst till väljer du Hanterad identitet.

  7. För alternativet Medlemmar väljer du + Välj medlemmar för att öppna panelen Välj hanterade identiteter.

  8. I panelen Välj hanterade identiteter använder du listrutorna Prenumeration och Hanterad identitet för att filtrera sökresultaten efter dina identiteter. Använd sökrutan Välj för att hitta den användartilldelade hanterade identitet som du har aktiverat för Azure-resursen som är värd för din app.

    En skärmbild som visar processen för tilldelning av hanterad identitet.

  9. Välj identiteten och välj Välj längst ned i panelen för att fortsätta.

  10. Välj Granska + tilldela längst ned på sidan.

  11. På den sista fliken Granska + tilldela väljer du Granska + tilldela för att slutföra arbetsflödet.

Autentisera till Azure-tjänster från din app

Azure Identity-biblioteket innehåller olika autentiseringsuppgifter– implementeringar av TokenCredential anpassade för att stödja olika scenarier och Microsoft Entra-autentiseringsflöden. Eftersom den hanterade identiteten inte är tillgänglig när den körs lokalt visar stegen framåt vilka autentiseringsuppgifter som ska användas i vilket scenario:

  • Lokal utvecklingsmiljö: Under lokal utveckling endast, använd en klass med namnet DefaultAzureCredential för en åsiktsbaserad, förkonfigurerad kedja med autentiseringsuppgifter. DefaultAzureCredential identifierar användarautentiseringsuppgifter från dina lokala verktyg eller IDE, till exempel Azure CLI eller Visual Studio. Det ger också flexibilitet och bekvämlighet för återförsök, väntetider för svar och stöd för flera autentiseringsalternativ. Mer information finns i artikeln Autentisera till Azure-tjänster under lokal utveckling .
  • Azure-värdbaserade appar: När din app körs i Azure använder du ManagedIdentityCredential för att på ett säkert sätt identifiera den hanterade identitet som konfigurerats för din app. Om du anger den här exakta typen av autentiseringsuppgifter förhindrar du att andra tillgängliga autentiseringsuppgifter oväntat hämtas.

Implementera koden

Lägg till paketet Azure.Identity. I ett ASP.NET Core-projekt installerar du även paketet Microsoft.Extensions.Azure:

I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. Dessa klasser och dina egna anpassade tjänster bör registreras för beroendeinmatning så att de kan användas i hela appen. I Program.csutför du följande steg för att konfigurera en klientklass för beroendeinmatning och tokenbaserad autentisering:

  1. Inkludera namnrymderna Azure.Identity och Microsoft.Extensions.Azure via using direktiv.
  2. Registrera Azure-tjänstklienten med motsvarande Add-prefixed extension-metod.
  3. Skicka en lämplig TokenCredential instans till UseCredential metoden:
    • Använd DefaultAzureCredential när din app körs lokalt
    • Använd ManagedIdentityCredential när din app körs i Azure och konfigurera antingen klient-ID, resurs-ID eller objekt-ID.

Klient-ID:t används för att identifiera en hanterad identitet när program eller tjänster som behöver autentiseras med den identiteten konfigureras.

  1. Hämta det klient-ID som tilldelats en användartilldelad hanterad identitet med hjälp av följande kommando:

    az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId'

  2. Konfigurera ManagedIdentityCredential med klient-ID:t:

    builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    TokenCredential credential = null;

    if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
    {
        // Managed identity token credential discovered when running in Azure environments
        credential = new ManagedIdentityCredential(
            ManagedIdentityId.FromUserAssignedClientId("<client-id>"));
    } 
    else 
    {
        // Running locally on dev machine - DO NOT use in production or outside of local dev
        credential = new DefaultAzureCredential();
    }

    clientBuilder.UseCredential(credential);
});

    Ett alternativ till metoden UseCredential är att tillhandahålla autentiseringsuppgifterna direkt till tjänstklienten:

    TokenCredential credential = null;

if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
{
    // Managed identity token credential discovered when running in Azure environments
    credential = new ManagedIdentityCredential(
        ManagedIdentityId.FromUserAssignedClientId("<client-id>"));
}
else
{
    // Running locally on dev machine - DO NOT use in production or outside of local dev
    credential = new DefaultAzureCredential();
}

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"), credential));

Föregående kod fungerar annorlunda beroende på vilken miljö den körs i:

  • På din lokala utvecklingsarbetsstation DefaultAzureCredential letar du i miljövariablerna efter ett huvudnamn för programtjänsten eller lokalt installerade utvecklarverktyg, till exempel Visual Studio, för en uppsättning autentiseringsuppgifter för utvecklare.
  • När den distribueras till Azure upptäcker ManagedIdentityCredential automatiskt de hanterade identitetskonfigurationerna för att autentisera mot andra tjänster.