Delen via

Door Azure gehoste JavaScript-apps authenticeren op Azure-resources met behulp van een door de gebruiker toegewezen beheerde identiteit

De aanbevolen methode voor het verifiëren van een Azure gehoste app voor andere Azure resources is het gebruik van een beheerde identiteit. Deze benadering wordt ondersteund voor de meeste Azure services, waaronder apps die worden gehost op Azure App Service, Azure Container Apps en Azure Virtual Machines. Ontdek meer over verschillende verificatietechnieken en benaderingen op de verificatieoverzicht pagina. In de volgende secties leert u het volgende:

  • Essentiële concepten voor beheerde identiteiten
  • Een door de gebruiker toegewezen beheerde identiteit voor uw app maken
  • Rollen toewijzen aan de door de gebruiker toegewezen beheerde identiteit
  • Verifiëren met behulp van de door de gebruiker toegewezen beheerde identiteit vanuit uw app-code

Essentiële concepten voor beheerde identiteiten

Met een beheerde identiteit kan uw app veilig verbinding maken met andere Azure resources zonder gebruik te maken van geheime sleutels of andere toepassingsgeheimen. Intern houdt Azure bij welke identiteit het is en met welke resources het verbinding mag maken. Azure deze informatie gebruikt om automatisch Microsoft Entra tokens voor de app te verkrijgen, zodat deze verbinding kan maken met andere Azure resources.

Er zijn twee typen beheerde identiteiten waarmee u rekening moet houden bij het configureren van uw gehoste app:

  • System-assigned beheerde identiteiten worden rechtstreeks ingeschakeld op een Azure-resource en zijn gekoppeld aan de levenscyclus. Wanneer de resource wordt verwijderd, verwijdert Azure automatisch de identiteit voor u. Door het systeem toegewezen identiteiten bieden een minimalistische benadering voor het gebruik van beheerde identiteiten.
  • Gebruiker toegewezen beheerde identiteiten worden gemaakt als zelfstandige Azure resources en bieden meer flexibiliteit en mogelijkheden. Ze zijn ideaal voor oplossingen met meerdere Azure resources die dezelfde identiteit en machtigingen moeten delen. Als bijvoorbeeld meerdere virtuele machines toegang moeten hebben tot dezelfde set Azure resources, biedt een door de gebruiker toegewezen beheerde identiteit herbruikbaar en geoptimaliseerd beheer.

Aanbeveling

Meer informatie over het selecteren en beheren van door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten in het artikel met aanbevelingen voor aanbevolen procedures voor beheerde identiteiten.

In de volgende secties worden de stappen beschreven voor het inschakelen en gebruiken van een door de gebruiker toegewezen beheerde identiteit voor een Azure gehoste app. Als u een door het systeem toegewezen beheerde identiteit wilt gebruiken, gaat u naar het artikel met door het systeem toegewezen beheerde identiteiten voor meer informatie.

Een door de gebruiker toegewezen beheerde identiteit maken

Door de gebruiker toegewezen beheerde identiteiten worden gemaakt als zelfstandige resources in uw Azure-abonnement met behulp van de Azure-portal of de Azure CLI. Azure CLI opdrachten kunnen worden uitgevoerd in de Azure Cloud Shell of op een werkstation waarop de Azure CLI is geïnstalleerd.

  1. Voer in de Azure-portal Beheerde identiteiten in de hoofdzoekbalk in en selecteer het overeenkomende resultaat onder de sectie Services.

  2. Selecteer op de pagina Beheerde identiteiten de optie + Maken.

    Een schermopname van de pagina voor het beheren van door de gebruiker toegewezen beheerde identiteiten.

  3. Selecteer op de pagina Door gebruiker toegewezen beheerde identiteit maken een abonnement, een resourcegroep en een regio voor de door gebruiker toegewezen beheerde identiteit, en geef vervolgens een naam op.

  4. Selecteer Beoordelen en maken om uw invoer te controleren en te valideren.

    Een schermopname van het formulier voor het maken van een door de gebruiker toegewezen beheerde identiteit.

  5. Selecteer Create om de door de gebruiker toegewezen beheerde identiteit te maken.

  6. Nadat de identiteit is gemaakt, selecteer Ga naar de resource.

  7. Op de pagina Overzicht van de nieuwe identiteit kopieert u de -client-id om later te gebruiken wanneer u de toepassingscode configureert.

De beheerde identiteit toewijzen aan uw app

Een door de gebruiker toegewezen beheerde identiteit kan worden gekoppeld aan een of meer Azure resources. Alle resources die gebruikmaken van die identiteit krijgen de machtigingen die zijn toegewezen door de rollen van de identiteit.

  1. Navigeer in de Azure-portal naar de resource die als host fungeert voor uw app-code, zoals een Azure App Service of Azure Container Apps exemplaar.

  2. Vouw op de pagina Overzicht van de resource de Instellingen uit en selecteer Identiteit in de navigatie.

  3. Ga op de pagina Identity naar het tabblad Gebruiker toegewezen.

  4. Selecteer + Voeg toe om het deelvenster Toevoegen van door de gebruiker toegewezen beheerde identiteit te openen.

  5. Gebruik in het paneel Gebruikerstoewijzing voor beheerde identiteit toevoegen de keuzelijst Abonnement om de zoekresultaten voor uw identiteiten te filteren. Gebruik het zoekvak Gebruiker toegewezen beheerde identiteiten om de door de gebruiker toegewezen beheerde identiteit te zoeken die u hebt ingeschakeld voor de Azure resource die als host fungeert voor uw app.

  6. Selecteer de identiteit en kies Add onder aan het deelvenster om door te gaan.

    Een schermopname die laat zien hoe u een door de gebruiker toegewezen beheerde identiteit koppelt aan een app.

Rollen toewijzen aan de beheerde identiteit

Bepaal vervolgens welke rollen uw app nodig heeft en wijs deze rollen toe aan de beheerde identiteit. U kunt aan een beheerde identiteit rollen toewijzen op de volgende niveaus:

  • Resource: de toegewezen rollen zijn alleen van toepassing op die specifieke resource.
  • Resourcegroep: De toegewezen rollen zijn van toepassing op alle bronnen in de resourcegroep.
  • Abonnement: de toegewezen rollen zijn van toepassing op alle resources in het abonnement.

In het volgende voorbeeld ziet u hoe u rollen toewijst binnen het bereik van de resourcegroep, omdat veel apps al hun gerelateerde Azure resources beheren met behulp van één resourcegroep.

  1. Navigeer naar de pagina Overzicht van de resourcegroep die de app bevat met de door de gebruiker toegewezen beheerde identiteit.

  2. Selecteer IAM- (Access Control) in het linkernavigatievenster.

  3. Selecteer op de pagina Toegangsbeheer (IAM) + toevoegen in het bovenste menu en kies vervolgens Roltoewijzing toevoegen om naar de pagina Roltoewijzing toevoegen te navigeren.

    Een schermopname van het openen van de pagina voor identiteitsroltoewijzing.

  4. Op de pagina Roltoewijzing toevoegen pagina wordt een werkstroom met tabbladen met meerdere stappen weergegeven om rollen toe te wijzen aan identiteiten. Gebruik op het eerste tabblad Rol het zoekvak bovenaan om de rol te vinden die u aan de identiteit wilt toewijzen.

  5. Selecteer de rol in de resultaten en kies vervolgens Volgende om naar het tabblad Leden te gaan.

  6. Voor de optie Toegang toewijzen aan selecteer Beheerde identiteit.

  7. Voor de optie Leden kiest u + Selecteer leden om het Selecteer beheerde identiteiten deelvenster te openen.

  8. Gebruik in het deelvenster Beheerde identiteiten selecteren de dropdowns Abonnement en Beheerde identiteit om de zoekresultaten voor uw beheerde identiteiten te filteren. Gebruik het zoekvak Select om de door de gebruiker toegewezen beheerde identiteit te zoeken die u hebt ingeschakeld voor de Azure resource die als host fungeert voor uw app.

    Een schermopname van het toewijzingsproces voor beheerde identiteiten.

  9. Selecteer de identiteit en kies Selecteer onderaan het deelvenster om door te gaan.

  10. Selecteer Beoordelen en toewijzen onderaan de pagina.

  11. Selecteer op het laatste tabblad Beoordelen en toewijzen, Beoordelen en toewijzen om de werkstroom te voltooien.

Verifiëren bij Azure services vanuit uw app

De Azure Identity library biedt verschillende credentials - implementaties van TokenCredential aangepast aan de ondersteuning van verschillende scenario's en Microsoft Entra verificatiestromen. Omdat beheerde identiteit niet beschikbaar is wanneer deze lokaal wordt uitgevoerd, laten de stappen zien welke referenties moeten worden gebruikt in welk scenario:

  • lokale ontwikkelomgeving: gebruik alleen tijdens de lokale ontwikkelingeen klasse met de naam DefaultAzureCredential voor een vooraf bepaalde, vooraf geconfigureerde keten van inloggegevens. DefaultAzureCredential detecteert gebruikersreferenties uit uw lokale hulpprogramma's of IDE, zoals de Azure CLI of Visual Studio Code. Het biedt ook flexibiliteit en gemak voor nieuwe pogingen, wachttijden voor antwoorden en ondersteuning voor meerdere verificatieopties. Ga naar het artikel Authenticate to Azure services tijdens lokale ontwikkeling voor meer informatie.
  • Azure gehoste apps: wanneer uw app wordt uitgevoerd in Azure, gebruikt u ManagedIdentityCredential om de beheerde identiteit die is geconfigureerd voor uw app veilig te detecteren. Als u dit exacte type referentie opgeeft, voorkomt u dat andere beschikbare referenties onverwacht worden opgehaald.

De code implementeren

Voeg in een JavaScript-project het @azure/identiteitspakket toe. Navigeer in een terminal van uw keuze naar de projectmap van de toepassing en voer de volgende opdrachten uit:

npm install @azure/identity

Azure services worden geopend met behulp van gespecialiseerde clientklassen uit de verschillende Azure SDK clientbibliotheken. Voer in index.js de volgende stappen uit om verificatie op basis van tokens te configureren.

  1. Importeer het @azure/identity-pakket.
  2. Geef een geschikt TokenCredential exemplaar door aan de client:
    • Gebruik DefaultAzureCredential deze functie wanneer uw app lokaal wordt uitgevoerd.
    • Gebruik ManagedIdentityCredential wanneer uw app wordt uitgevoerd in Azure en configureer de client-id, resource-id of object-id.

De client-id wordt gebruikt om een beheerde identiteit te identificeren bij het configureren van toepassingen of services die moeten worden geverifieerd met die identiteit.

  1. Haal de client-id op die is toegewezen aan een door de gebruiker toegewezen beheerde identiteit met behulp van de volgende opdracht:

    az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId'

  2. Configureer ManagedIdentityCredential met de client-id:

    import { BlobServiceClient } from '@azure/storage-blob';
import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';

console.log(process.env);

function createBlobServiceClient() {
    const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
    if (!accountName) throw Error('Azure Storage accountName not found');
    const url = `https://${accountName}.blob.core.windows.net`;

    if (process.env.NODE_ENV === "production") {
        const clientId = process.env.AZURE_CLIENT_ID;
        if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
        return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
    } else {
        return new BlobServiceClient(url, new DefaultAzureCredential());
    }
}

async function main() {
    try {
        const blobServiceClient = createBlobServiceClient();
        const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME);
        // do something with client
        const properties = await containerClient.getProperties();

        console.log(properties);
    } catch (err) {
        console.error("Error retrieving container properties:", err.message);
        throw err;
    }
}

main().catch((err) => {
    console.error("Error running sample:", err.message);
    process.exit(1);
});

De code implementeren

Voeg in een TypeScript-project het @azure/identiteitspakket toe. Navigeer in een terminal van uw keuze naar de projectmap van de toepassing en voer de volgende opdrachten uit:

npm install typescript @azure/identity @types/node

Azure services worden geopend met behulp van gespecialiseerde clientklassen uit de verschillende Azure SDK clientbibliotheken. Voer in index.js de volgende stappen uit om token-gebaseerde authenticatie te configureren.

  1. Importeer het @azure/identity-pakket.
  2. Geef een geschikt TokenCredential exemplaar door aan de client:
    • Gebruiken DefaultAzureCredential wanneer uw app lokaal wordt uitgevoerd
    • Gebruik ManagedIdentityCredential wanneer uw app wordt uitgevoerd in Azure en configureer de client-id, resource-id of object-id.

De client-id wordt gebruikt om een beheerde identiteit te identificeren bij het configureren van toepassingen of services die moeten worden geverifieerd met die identiteit.

  1. Haal de client-id op die is toegewezen aan een door de gebruiker toegewezen beheerde identiteit met behulp van de volgende opdracht:

    az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId'

  2. Configureer ManagedIdentityCredential met de client-id:

    import { BlobServiceClient } from '@azure/storage-blob';
import { ManagedIdentityCredential, DefaultAzureCredential } from '@azure/identity';

function createBlobServiceClient(): BlobServiceClient {
    const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
    if (!accountName) throw Error('Azure Storage accountName not found');
    const url = `https://${accountName}.blob.core.windows.net`;

    if (process.env.NODE_ENV === "production") {
        const clientId = process.env.AZURE_CLIENT_ID;
        if (!clientId) throw Error('AZURE_CLIENT_ID not found for Managed Identity');
        return new BlobServiceClient(url, new ManagedIdentityCredential(clientId));
    } else {
        return new BlobServiceClient(url, new DefaultAzureCredential());
    }
}

async function main(): Promise<void> {
    try {
        const blobServiceClient = createBlobServiceClient();
        const containerClient = blobServiceClient.getContainerClient(process.env.AZURE_STORAGE_CONTAINER_NAME!);
        const properties = await containerClient.getProperties();

        console.log(properties);
    } catch (err: any) {
        console.error("Error retrieving container properties:", err.message);
        throw err;
    }
}

main().catch((err: Error) => {
    console.error("Error running sample:", err.message);
    process.exit(1);
});

De voorgaande code gedraagt zich anders, afhankelijk van de omgeving waarin deze wordt uitgevoerd:

  • Op uw lokale ontwikkelwerkstation zoekt DefaultAzureCredential in de omgevingsvariabelen naar een toepassingsservice-principal of bij lokaal geïnstalleerde ontwikkelhulpprogramma's, zoals Visual Studio Code, voor een set ontwikkelaarsreferenties.
  • Wanneer ManagedIdentityCredential geïmplementeerd op Azure, worden uw configuraties voor beheerde identiteiten gedetecteerd om automatisch te verifiëren bij andere services.
  • Last updated on