Ověřování prostředků Azure z místních aplikací JavaScriptu

  • Článek

Aplikace spuštěné mimo Azure (například v místním nebo datovém centru třetí strany) by měly při přístupu k prostředkům Azure používat instanční objekt aplikace k ověřování v Azure. Objekty instančního objektu aplikace se vytvářejí pomocí procesu registrace aplikace v Azure. Po vytvoření instančního objektu aplikace se pro vaši aplikaci vygeneruje ID klienta a tajný klíč klienta. ID klienta, tajný klíč klienta a ID tenanta uložíte do proměnných prostředí, aby sada Azure SDK pro JavaScript používala proměnné prostředí k ověření aplikace v Azure za běhu.

Pro každé prostředí (například testovací, fáze, produkční) by se měla vytvořit jiná registrace aplikace. To umožňuje konfiguraci oprávnění prostředků specifických pro konkrétní prostředí pro každý instanční objekt a ujistěte se, že aplikace nasazená do jednoho prostředí nemluví s prostředky Azure, které jsou součástí jiného prostředí.

1. Registrace aplikace v Azure

Aplikaci je možné zaregistrovat v Azure pomocí webu Azure Portal nebo Azure CLI.

Přihlaste se k webu Azure Portal a postupujte podle těchto kroků.

Pokyny Snímek obrazovky
Na webu Azure Portal:
  1. Na panelu hledání v horní části webu Azure Portal zadejte registrace aplikací.
  2. Vyberte položku označenou Registrace aplikací pod nadpisem Služby v nabídce, která se zobrazí pod panelem hledání.
 Snímek obrazovky znázorňující, jak pomocí horního panelu hledání na webu Azure Portal najít a přejít na Registrace aplikací stránku
Na stránce Registrace aplikací vyberte + Nová registrace. Snímek obrazovky znázorňující umístění tlačítka Nová registrace na stránce Registrace aplikací
Na stránce Zaregistrovat aplikaci vyplňte formulář následujícím způsobem.
  1. Název → Zadejte název registrace aplikace v Azure. Tento název se doporučuje zahrnout název aplikace a prostředí (test, prod), pro které je registrace aplikace určená.
  2. Podporované typy účtů → Účty pouze v tomto organizačním adresáři.
Vyberte Zaregistrovat a zaregistrujte aplikaci a vytvořte instanční objekt aplikace.		 Snímek obrazovky, který vyplní registraci tak, že aplikaci pojmenujete a zadáte podporované typy účtů jenom jako účty v tomto organizačním adresáři.
Na stránce Registrace aplikace pro vaši aplikaci:
  1. ID aplikace (klienta) → Toto je ID aplikace, které bude vaše aplikace používat pro přístup k Azure během místního vývoje. Tuto hodnotu zkopírujte do dočasného umístění v textovém editoru, protože ji budete potřebovat v dalším kroku.
  2. ID adresáře (tenanta) → Tuto hodnotu bude vaše aplikace potřebovat také při ověřování v Azure. Zkopírujte tuto hodnotu do dočasného umístění v textovém editoru, bude ji také potřeba v dalším kroku.
  3. Přihlašovací údaje klienta → Před ověřením aplikace v Azure a používáním služeb Azure musíte pro aplikaci nastavit přihlašovací údaje klienta. Vyberte Přidat certifikát nebo tajný klíč a přidejte přihlašovací údaje pro vaši aplikaci.
 Snímek obrazovky s registrací aplikace po dokončení Tento snímek obrazovky ukazuje ID aplikace a tenanta, které bude potřeba v dalším kroku.
Na stránce Certifikáty a tajné kódy vyberte + Nový tajný klíč klienta. Snímek obrazovky znázorňující umístění odkazu, které se má použít k vytvoření nového tajného klíče klienta na stránce certifikátů a tajných kódů
Dialogové okno Pro přidání tajného klíče klienta se zobrazí na pravé straně stránky. V tomto dialogovém okně:
  1. Popis → Zadejte hodnotu Current.
  2. Vyprší → Vyberte hodnotu 24 měsíců.
Chcete-li přidat tajný kód, vyberte Přidat .

DŮLEŽITÉ: Nastavte připomenutí v kalendáři před datem vypršení platnosti tajného kódu. Tímto způsobem můžete před vypršením platnosti tohoto tajného kódu přidat nový tajný kód a aktualizovat aplikace a vyhnout se přerušení služby ve vaší aplikaci.		 Snímek obrazovky zobrazující stránku, kde se přidá nový tajný klíč klienta pro instanční objekt aplikace vytvořený procesem registrace aplikace
Na stránce Certifikáty a tajné kódy se zobrazuje hodnota tajného klíče klienta.

Tuto hodnotu zkopírujte do dočasného umístění v textovém editoru, protože ji potřebujete v dalším kroku.

DŮLEŽITÉ: Toto je jediný čas, kdy uvidíte tuto hodnotu. Po opuštění nebo aktualizaci této stránky už tuto hodnotu neuvidíte. Můžete přidat další tajný klíč klienta bez zneplatnění tohoto tajného klíče klienta, ale tuto hodnotu znovu neuvidíte.		 Snímek obrazovky zobrazující stránku s vygenerovaným tajným kódem klienta

2. Přiřazení rolí k instančnímu objektu aplikace

Dále musíte určit, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřadit tyto role k aplikaci. Role je možné přiřadit roli v oboru prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role instančního objektu v oboru skupiny prostředků, protože většina aplikací seskupuje všechny prostředky Azure do jedné skupiny prostředků.

Pokyny Snímek obrazovky
Vyhledejte skupinu prostředků pro vaši aplikaci vyhledáním názvu skupiny prostředků pomocí vyhledávacího pole v horní části webu Azure Portal.

Přejděte do skupiny prostředků tak, že v dialogovém okně vyberete název skupiny prostředků pod nadpisem Skupiny prostředků.		 Snímek obrazovky s horním vyhledávacím polem na webu Azure Portal, kde najdete skupinu prostředků, ke které chcete přiřadit role (oprávnění).
Na stránce skupiny prostředků v nabídce vlevo vyberte Řízení přístupu (IAM ). Snímek obrazovky se stránkou skupiny prostředků zobrazující umístění položky nabídky Řízení přístupu (IAM).
Na stránce Řízení přístupu (IAM):
  1. Vyberte kartu Přiřazení rolí.
  2. V horní nabídce vyberte + Přidat a potom přidejte přiřazení role z výsledné rozevírací nabídky.
 Snímek obrazovky znázorňující, jak přejít na kartu Přiřazení rolí a umístění tlačítka použitého k přidání přiřazení rolí do skupiny prostředků
Na stránce Přidat přiřazení role jsou uvedeny všechny role, které je možné přiřadit skupině prostředků.
  1. Pomocí vyhledávacího pole vyfiltrujte seznam na lépe spravovatelnou velikost. Tento příklad ukazuje, jak filtrovat role objektů blob služby Storage.
  2. Vyberte roli, kterou chcete přiřadit.
    Výběrem možnosti Další přejdete na další obrazovku.
 Snímek obrazovky znázorňující, jak filtrovat a vybrat přiřazení rolí, která se mají přidat do skupiny prostředků
Další stránka Přidat přiřazení role umožňuje určit, k jakému uživateli se má role přiřadit.
  1. V části Přiřadit přístup vyberte Uživatele, skupinu nebo instanční objekt.
  2. Vyberte a vyberte členy v části Členové.
Otevře se dialogové okno na pravé straně webu Azure Portal.		 Snímek obrazovky znázorňující přepínač pro výběr přiřazení role ke skupině Microsoft Entra a odkaz použitý k výběru skupiny pro přiřazení role
V dialogovém okně Vybrat členy :
  1. Textové pole Vybrat lze použít k filtrování seznamu uživatelů a skupin ve vašem předplatném. V případě potřeby zadejte několik prvních znaků instančního objektu, který jste vytvořili pro aplikaci pro filtrování seznamu.
  2. Vyberte instanční objekt přidružený k vaší aplikaci.
Pokračujte výběrem možnosti Vybrat v dolní části dialogového okna.		 Snímek obrazovky znázorňující, jak filtrovat a vybrat skupinu Microsoft Entra pro aplikaci v dialogovém okně Vybrat členy
Instanční objekt se zobrazí jako vybraný na obrazovce Přidat přiřazení role.

Výběrem možnosti Zkontrolovat a přiřadit přejděte na poslední stránku a pak proces dokončete opětovnou kontrolou a přiřazením .		 Snímek obrazovky zobrazující dokončenou stránku Přidat přiřazení role a umístění tlačítka Zkontrolovat a přiřadit použité k dokončení procesu

3. Konfigurace proměnných prostředí pro aplikaci

Pro proces, který spouští aplikaci JavaScript, AZURE_CLIENT_SECRET musíte nastavit AZURE_CLIENT_IDproměnné prostředí , AZURE_TENANT_IDaby byly přihlašovací údaje instančního objektu aplikace k dispozici pro vaši aplikaci za běhu. Objekt DefaultAzureCredential vyhledá informace instančního objektu v těchto proměnných prostředí.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4. Implementace defaultAzureCredential v aplikaci

K ověřování klientských objektů sady Azure SDK v Azure by vaše aplikace měla používat DefaultAzureCredential třídu z balíčku @azure/identity .

Nejprve do aplikace přidejte balíček @azure/identity .

npm install @azure/identity

V dalším kroku pro libovolný javascriptový kód, který ve vaší aplikaci vytvoří objekt klienta sady Azure SDK, budete chtít:

  1. Naimportujte třídu DefaultAzureCredential z @azure/identity modulu.
  2. Vytvoření objektu DefaultAzureCredential
  3. DefaultAzureCredential Předejte objekt konstruktoru klientského objektu sady Azure SDK.

Příklad je znázorněn v následujícím segmentu kódu.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Když výše uvedený kód vytvoří instanci objektuDefaultAzureCredential, DefaultAzureCredential přečte proměnné AZURE_SUBSCRIPTION_IDprostředí , AZURE_TENANT_IDAZURE_CLIENT_IDa AZURE_CLIENT_SECRET informace o instančním objektu aplikace pro připojení k Azure.