使用系统分配的托管标识向 Azure 资源验证 Azure 托管 JavaScript 应用

2025-09-03

向其他 Azure 资源验证 Azure 托管应用的建议方法是使用托管标识。大多数 Azure 服务都支持此方法，包括 Azure 应用服务、Azure 容器应用和 Azure 虚拟机上托管的应用。在身份验证概述页上详细了解不同的身份验证技术和方法。在前面的部分中，你将了解：

基本托管标识概念
如何为应用创建系统分配的托管标识
如何将角色分配给系统分配的托管标识
如何通过应用代码使用系统分配的托管标识进行身份验证

基本托管标识概念

托管标识使应用能够安全地连接到其他 Azure 资源，而无需使用密钥或其他应用程序机密。在内部，Azure 会跟踪标识及其允许连接到的资源。 Azure 使用此信息自动获取应用的 Microsoft Entra 令牌，以允许它连接到其他 Azure 资源。

配置托管应用时，需要考虑两种类型的托管标识：

系统分配的 托管标识直接在 Azure 资源上启用，并绑定到其生命周期。删除资源后，Azure 会自动删除标识。系统分配的标识提供了使用托管标识的极简方法。
用户分配的 托管标识创建为独立的 Azure 资源，并提供更大的灵活性和功能。它们非常适合涉及多个需要共享相同标识和权限的 Azure 资源的解决方案。例如，如果多个虚拟机需要访问同一组 Azure 资源，则用户分配的托管标识可提供可重用性和优化管理。

小窍门

在托管标识最佳做法建议文章中，详细了解如何选择和管理系统分配的托管标识和用户分配的托管标识。

以下部分介绍了为 Azure 托管应用启用和使用系统分配的托管标识的步骤。如果需要使用用户分配的托管标识，请访问用户分配的托管标识文章以了解详细信息。

在 Azure 托管资源上启用系统分配的托管标识

若要开始在应用中使用系统分配的托管标识，请在托管应用的 Azure 资源上启用标识，例如 Azure 应用服务、Azure 容器应用或 Azure 虚拟机。

可以使用 Azure 门户或 Azure CLI 为 Azure 资源启用系统分配的托管标识。

Azure 门户
Azure CLI

在 Azure 门户中，导航到托管应用程序代码的资源，例如 Azure 应用服务或 Azure 容器应用实例。
在资源的 “概述 ”页中，展开 “设置” ，然后从导航中选择“ 标识 ”。
在 “标识 ”页上，将 “状态 ”滑块切换为 “打开”。
选择保存以应用更改。

可以在 Azure Cloud Shell 或安装了 Azure CLI 的工作站上运行 Azure CLI 命令。

用于为 Azure 资源启用托管标识的 Azure CLI 命令是形式 az <command-group> identity --resource-group <resource-group-name> --name <resource-name>。下面显示了常用 Azure 服务的特定命令。

Azure 应用服务：

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Azure 虚拟机：

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

输出如下所示：

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

该值 principalId 是托管标识的唯一 ID。保留此输出的副本，因为下一步需要这些值。

为托管标识分配角色

接下来，确定应用需要哪些角色并将这些角色分配给托管标识。可以在以下范围内将角色分配到托管标识：

资源：分配的角色仅适用于该特定资源。
资源组：分配的角色适用于资源组中包含的所有资源。
订阅：分配的角色适用于订阅中包含的所有资源。

以下示例演示如何在资源组范围内分配角色，因为许多应用使用单个资源组管理其所有相关的 Azure 资源。

Azure 门户
Azure CLI

导航到包含具有系统分配托管标识的应用的资源组的 “概述 ”页。
在左侧导航中选择 “访问控制”（IAM ）。
在 “访问控制”（IAM） 页上，选择顶部菜单中的“ + 添加 ”，然后选择“ 添加角色分配 ”以导航到 “添加角色分配 ”页。
“添加角色分配”页提供了一个选项卡式的多步骤工作流，用于将角色分配给标识。在“初始角色 ”选项卡上，使用顶部的搜索框找到要分配给标识的角色。
从结果中选择角色，然后选择“ 下一步 ”以移动到“ 成员 ”选项卡。
对于 “分配访问权限” 选项，请选择 “托管标识”。
对于“ 成员 ”选项，选择“ + 选择成员 ”以打开 “选择托管标识 ”面板。
在 “选择托管标识 ”面板中，使用 “订阅 ”和 “托管标识 ”下拉列表筛选标识的搜索结果。使用 “选择 搜索”框查找为托管应用的 Azure 资源启用的系统标识。
选择标识，然后选择面板底部的 “选择” 以继续。
选择页面底部的 “查看 + 分配 ”。
在“最终 审阅 + 分配 ”选项卡上，选择“ 审阅 + 分配 ”以完成工作流。

使用 az role assignment create 命令在 Azure 中为托管标识分配角色：

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

若要获取可向其分配服务主体的角色名称，请使用 az role definition list 命令：

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

例如，若要允许托管标识的 ID 为 aaaaaaaa-bbbb-cccc-1111-222222222222 读取、写入和删除对 Azure 存储 Blob 容器以及 msdocs-sdk-auth-example 资源组中的所有存储帐户的数据的访问，请使用以下命令将应用程序服务主体分配到 存储 Blob 数据参与者 角色：

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

有关使用 Azure CLI 在资源或订阅级别分配权限的信息，请参阅文章：使用 Azure CLI 分配 Azure 角色。

从应用向 Azure 服务进行身份验证

Azure 标识库提供各种凭据 - 适应不同方案和Microsoft Entra 身份验证流的实现TokenCredential。由于托管标识在本地运行时不可用，因此后续步骤演示了在哪种方案中要使用的凭据：

本地开发环境： 仅在本地开发期间，将名为 DefaultAzureCredential 的类用于有意见的预配置凭据链。 DefaultAzureCredential 从本地工具或开发环境（如 Azure CLI 或 Visual Studio Code）中发现用户凭据。它还为重试、响应等待时间以及支持多个身份验证选项提供了灵活性和便利。访问本地开发期间对 Azure 服务的身份验证文章以了解详细信息。
Azure 托管的应用：应用在 Azure 中运行时，用于 ManagedIdentityCredential 安全地发现为应用配置的托管标识。指定此确切类型的凭据可防止意外选取其他可用凭据。

实现代码

在 JavaScript 项目中，添加 @azure/标识包。在所选终端中，导航到应用程序项目目录并运行以下命令：

npm install @azure/identity

Azure 服务使用各种 Azure SDK 客户端库中的专用客户端类进行访问。在 index.js以下步骤中，完成以下步骤以配置基于令牌的身份验证：

@azure/identity导入包。

将适当的 TokenCredential 实例传递给客户端：

在本地运行应用时使用DefaultAzureCredential
在 Azure 中运行应用时使用 ManagedIdentityCredential 。

import { BlobServiceClient } from '@azure/storage-blob';
import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';

function createBlobServiceClient() {
    const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
    if (!accountName) throw Error('Azure Storage accountName not found');

    const url = `https://${accountName}.blob.core.windows.net`;

    if (process.env.NODE_ENV === "production") {
        return new BlobServiceClient(url, new ManagedIdentityCredential());
    } else {
        return new BlobServiceClient(url, new DefaultAzureCredential());
    }
}

async function main() {
    try {
        const blobServiceClient = createBlobServiceClient();
        const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
        const properties = await containerClient.getProperties();

        console.log(properties);
    } catch (err) {
        console.error("Error retrieving container properties:", err.message);
        throw err;
    }
}

main().catch((err) => {
    console.error("Error running sample:", err.message);
    process.exit(1);
});

实现代码

在 JavaScript 项目中，添加 @azure/标识包。在所选终端中，导航到应用程序项目目录并运行以下命令：

npm install @azure/identity @types/node

Azure 服务使用各种 Azure SDK 客户端库中的专用客户端类进行访问。在 index.js以下步骤中，完成以下步骤以配置基于令牌的身份验证：

@azure/identity导入包。

将适当的 TokenCredential 实例传递给客户端：

在本地运行应用时使用DefaultAzureCredential
在 Azure 中运行应用时使用 ManagedIdentityCredential 。

import { BlobServiceClient } from '@azure/storage-blob';
import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';

function createBlobServiceClient(): BlobServiceClient {
    const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
    if (!accountName) throw Error('Azure Storage accountName not found');
    const url = `https://${accountName}.blob.core.windows.net`;

    if (process.env.NODE_ENV === "production") {
        return new BlobServiceClient(url, new ManagedIdentityCredential());
    } else {
        return new BlobServiceClient(url, new DefaultAzureCredential());
    }
}

async function main(): Promise<void> {
    try {
        const blobServiceClient = createBlobServiceClient();
        const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
        const properties = await containerClient.getProperties();

        console.log(properties);
    } catch (err: any) {
        console.error("Error retrieving container properties:", err.message);
        throw err;
    }
}

main().catch((err: Error) => {
    console.error("Error running sample:", err.message);
    process.exit(1);
});

上述代码的行为因运行环境而异：

在本地开发工作站上， DefaultAzureCredential 查找应用程序服务主体的环境变量，或在 Visual Studio Code 等本地安装的开发人员工具中查找一组开发人员凭据。
部署到 Azure 时， ManagedIdentityCredential 发现托管标识配置以自动向其他服务进行身份验证。

反馈

此页面是否有帮助？

通过

使用系统分配的托管标识向 Azure 资源验证 Azure 托管 JavaScript 应用

基本托管标识概念

在 Azure 托管资源上启用系统分配的托管标识

为托管标识分配角色

从应用向 Azure 服务进行身份验证

实现代码

实现代码

反馈

其他资源