Autentisera Azure-värdbaserade appar till Azure-resurser med Azure SDK för .NET

  • Artikel

När en app finns i Azure med hjälp av en tjänst som Azure App Service, Azure Virtual Machines eller Azure Container Instances är den rekommenderade metoden för att autentisera en app till Azure-resurser att använda en hanterad identitet.

En hanterad identitet tillhandahåller en identitet för din app så att den kan ansluta till andra Azure-resurser utan att behöva använda en hemlig nyckel eller annan programhemlighet. Internt känner Azure till identiteten för din app och vilka resurser den tillåts ansluta till. Azure använder den här informationen för att automatiskt hämta Microsoft Entra-token för appen så att den kan ansluta till andra Azure-resurser, allt utan att du behöver hantera några programhemligheter.

Hanterade identitetstyper

Det finns två typer av hanterade identiteter:

  • Systemtilldelad – Den här typen av hanterad identitet tillhandahålls av och kopplas direkt till en Azure-resurs. När du aktiverar hanterad identitet på en Azure-resurs får du en systemtilldelad hanterad identitet för den resursen. En systemtilldelad hanterad identitet är kopplad till livscykeln för den Azure-resurs som den är associerad med. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Eftersom allt du behöver göra är att aktivera hanterad identitet för Den Azure-resurs som är värd för din kod, är detta den enklaste typen av hanterad identitet att använda.
  • Användartilldelad – Du kan också skapa en hanterad identitet som en fristående Azure-resurs. Detta används oftast när din lösning har flera arbetsbelastningar som körs på flera Azure-resurser som alla behöver dela samma identitet och samma behörigheter. Om din lösning till exempel hade komponenter som kördes på flera Instanser av App Service och virtuella datorer som alla behövde åtkomst till samma uppsättning Azure-resurser, skulle det vara meningsfullt att skapa och använda en användartilldelad hanterad identitet för dessa resurser.

Den här artikeln beskriver stegen för att aktivera och använda en systemtilldelad hanterad identitet för en app. Om du behöver använda en användartilldelad hanterad identitet kan du läsa artikeln Hantera användartilldelade hanterade identiteter för att se hur du skapar en användartilldelad hanterad identitet.

1 – Aktivera hanterad identitet i Azure-resursen som är värd för appen

Det första steget är att aktivera hanterad identitet på En Azure-resurs som är värd för din app. Om du till exempel är värd för en .NET-app med Azure App Service måste du aktivera hanterad identitet för App Service-webbappen som är värd för din app. Om du använder en virtuell dator som värd för din app gör du det möjligt för den virtuella datorn att använda hanterad identitet.

Du kan aktivera att hanterad identitet används för en Azure-resurs med hjälp av antingen Azure-portalen eller Azure CLI.

Instruktioner Skärmbild
Gå till resursen som är värd för programkoden i Azure-portalen. Du kan till exempel skriva namnet på resursen i sökrutan överst på sidan och navigera till den genom att välja den i dialogrutan. En skärmbild som visar hur du använder det översta sökfältet i Azure-portalen för att hitta och navigera till en Azure-resurs.
På sidan för resursen väljer du menyalternativet Identitet på den vänstra menyn. Alla Azure-resurser som kan stödja hanterad identitet har ett menyalternativ för identitet även om menyns layout kan variera något. En skärmbild som visar platsen för menyalternativet Identitet i den vänstra menyn för en Azure-resurs.
På identitetssidan:
  1. Ändra skjutreglaget Status till .
  2. Välj Spara.
En bekräftelsedialogruta verifierar att du vill aktivera hanterad identitet för din tjänst. Svar Ja och hanterad identitet aktiveras för Azure-resursen.		 En skärmbild som visar hur du aktiverar hanterad identitet för en Azure-resurs på resursens identitetssida.

2 – Tilldela roller till den hanterade identiteten

Bestäm sedan vilka roller (behörigheter) din app behöver och tilldela den hanterade identiteten till dessa roller i Azure. En hanterad identitet kan tilldelas roller i ett resurs-, resursgrupps- eller prenumerationsomfång. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång eftersom de flesta program grupperar alla sina Azure-resurser i en enda resursgrupp.

Instruktioner Skärmbild
Leta upp resursgruppen för din app genom att söka efter resursgruppens namn med hjälp av sökrutan överst i Azure-portalen.

Gå till resursgruppen genom att välja resursgruppens namn under rubriken Resursgrupper i dialogrutan.		 En skärmbild som visar hur du använder det översta sökfältet i Azure-portalen för att hitta och navigera till en resursgrupp i Azure. Det här är den resursgrupp som du ska tilldela roller (behörigheter) till.
På sidan för resursgruppen väljer du Åtkomstkontroll (IAM) på den vänstra menyn. En skärmbild som visar platsen för menyalternativet Åtkomstkontroll (IAM) i den vänstra menyn i en Azure-resursgrupp.
På sidan Åtkomstkontroll (IAM):
  1. Välj fliken Rolltilldelningar.
  2. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.
 En skärmbild som visar hur du navigerar till fliken rolltilldelningar och platsen för knappen som används för att lägga till rolltilldelningar i en resursgrupp.
sidan Lägg till rolltilldelning visas alla roller som kan tilldelas för resursgruppen.
  1. Använd sökrutan för att filtrera listan till en mer hanterbar storlek. Det här exemplet visar hur du filtrerar efter Storage Blob-roller.
  2. Välj den roll du vill tilldela.
Välj Nästa för att gå till nästa skärm.		 En skärmbild som visar hur du filtrerar och väljer rolltilldelningar som ska läggas till i resursgruppen.
På nästa sida För att lägga till rolltilldelning kan du ange vilken användare som ska tilldela rollen till.
  1. Välj Hanterad identitet under Tilldela åtkomst till.
  2. Välj + Välj medlemmar under Medlemmar.
En dialogruta öppnas till höger i Azure-portalen.		 En skärmbild som visar hur du väljer hanterad identitet som den typ av användare som du vill tilldela rollen (behörighet) på sidan lägg till rolltilldelningar.
I dialogrutan Välj hanterade identiteter:
  1. Listrutan Hanterad identitet och textrutan Välj kan användas för att filtrera listan över hanterade identiteter i din prenumeration. I det här exemplet visas endast hanterade identiteter som är associerade med en App Service genom att välja App Service.
  2. Välj den hanterade identiteten för Azure-resursen som är värd för din app.
Välj Välj längst ned i dialogrutan för att fortsätta.		 En skärmbild som visar hur du använder dialogrutan Välj hanterade identiteter för att filtrera och välja den hanterade identitet som rollen ska tilldelas till.
Den hanterade identiteten visas nu som markerad på skärmen Lägg till rolltilldelning .

Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.		 En skärmbild av den sista skärmen för att lägga till rolltilldelning där en användare behöver välja knappen Granska + Tilldela för att slutföra rolltilldelningen.

3 – Implementera DefaultAzureCredential i ditt program

DefaultAzureCredential är en åsiktsbaserad, ordnad sekvens med mekanismer för autentisering till Microsoft Entra. Varje autentiseringsmekanism är en klass som härleds från klassen TokenCredential och kallas för en autentiseringsuppgift. Vid körning DefaultAzureCredential försöker autentisera med hjälp av den första autentiseringsuppgiften. Om det inte går att hämta en åtkomsttoken görs nästa autentiseringsuppgifter i sekvensen och så vidare tills en åtkomsttoken har hämtats. På så sätt kan din app använda olika autentiseringsuppgifter i olika miljöer utan att skriva miljöspecifik kod.

Ordningen och platserna där DefaultAzureCredential du söker efter autentiseringsuppgifter finns i StandardAzureCredential.

Om du vill använda DefaultAzureCredentiallägger du till Azure.Identity och eventuellt Microsoft.Extensions.Azure-paketen i ditt program:

I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. Dessa klasser och dina egna anpassade tjänster bör registreras så att de kan nås via beroendeinmatning i hela appen. I Program.csutför du följande steg för att registrera en klientklass och DefaultAzureCredential:

  1. Azure.Identity Inkludera namnrymderna och Microsoft.Extensions.Azure via using direktiv.
  2. Registrera Azure-tjänstklienten med hjälp av motsvarande Add-prefixed extension-metod.
  3. Skicka en instans av DefaultAzureCredential till UseCredential -metoden.

Till exempel:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Ett alternativ till UseCredential är att instansiera DefaultAzureCredential direkt:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

När föregående kod körs på din lokala utvecklingsarbetsstation letar den i miljövariablerna efter ett huvudnamn för programtjänsten eller lokalt installerade utvecklarverktyg, till exempel Visual Studio, för en uppsättning autentiseringsuppgifter för utvecklare. Endera metoden kan användas för att autentisera appen till Azure-resurser under lokal utveckling.

När den distribueras till Azure kan samma kod även autentisera din app till andra Azure-resurser. DefaultAzureCredential kan hämta miljöinställningar och hanterade identitetskonfigurationer för att autentisera till andra tjänster automatiskt.