Compartir vía


Autenticación de aplicaciones hospedadas en recursos de Azure con el SDK de Azure para Python

Al hospedar una aplicación en Azure mediante servicios como Azure App Service, Azure Virtual Machines o Azure Container Instances, el enfoque recomendado para autenticar una aplicación en los recursos de Azure es con la identidad administrada.

Una identidad administrada proporciona una identidad para la aplicación para que pueda conectarse a otros recursos de Azure sin necesidad de usar una clave secreta u otro secreto de aplicación. Internamente, Azure conoce la identidad de la aplicación y a qué recursos se le permite conectarse. Azure usa esta información para obtener automáticamente tokens de Microsoft Entra para que la aplicación permita la conexión a otros recursos de Azure, todo ello sin tener que administrar ningún secreto de aplicación.

Nota:

Las aplicaciones que se ejecutan en Azure Kubernetes Service (AKS) pueden usar una identidad de carga de trabajo para autenticarse con recursos de Azure. En AKS, una identidad de carga de trabajo representa una relación de confianza entre una identidad administrada y una cuenta de servicio de Kubernetes. Si una aplicación implementada en AKS está configurada con una cuenta de servicio de Kubernetes en dicha relación, DefaultAzureCredential autentica la aplicación en Azure mediante la identidad administrada. La autenticación mediante una identidad de carga de trabajo se describe en Uso de ID de carga de trabajo de Microsoft Entra con Azure Kubernetes Service. Para conocer los pasos sobre cómo configurar la identidad de carga de trabajo, consulte Implementación y configuración de la identidad de carga de trabajo en un clúster de Azure Kubernetes Service (AKS).

Tipos de identidad administrada

Hay dos tipos de identidades administradas:

  • Identidades administradas asignadas por el sistema: este tipo de identidad administrada se proporciona mediante un recurso de Azure y está vinculado a dicho recurso. Al habilitar la identidad administrada en un recurso de Azure, obtendrá una identidad administrada asignada por el sistema para ese recurso. Una identidad administrada asignada por el sistema está vinculada al ciclo de vida del recurso de Azure al que está asociada. Por tanto, cuando se elimina el recurso, Azure elimina automáticamente la identidad. Dado que todo lo que tiene que hacer es habilitar la identidad administrada para el recurso de Azure que hospeda el código, este enfoque es el tipo de identidad administrada más fácil de usar.
  • Identidades administradas asignadas por el usuario: también puede crear una identidad administrada como un recurso independiente de Azure. Este enfoque se usa con mayor frecuencia cuando la solución tiene varias cargas de trabajo que se ejecutan en varios recursos de Azure que deben compartir la misma identidad y los mismos permisos. Por ejemplo, si la solución tiene componentes que se ejecutan en varias instancias de App Service y de máquina virtual que necesitan acceso al mismo conjunto de recursos de Azure, tiene sentido una identidad administrada asignada por el usuario que se use en esos recursos.

En este artículo se describen los pasos para habilitar y usar una identidad administrada asignada por el sistema para una aplicación. Si necesita usar una identidad administrada asignada por el usuario, consulte el artículo Administración de identidades administradas asignadas por el usuario para obtener información sobre cómo crear una identidad administrada asignada por el usuario.

1: Activación de la identidad administrada en el recurso de Azure que hospeda la aplicación

El primer paso es habilitar la identidad administrada en el recurso de Azure que hospeda la aplicación. Por ejemplo, si hospeda una aplicación de Django mediante Azure App Service, debe habilitar la identidad administrada para la aplicación web de App Service que hospeda la aplicación. Si usas una máquina virtual para hospedar la aplicación, debe permitir que la máquina virtual use la identidad administrada.

Puede habilitar la identidad administrada para que se use para un recurso de Azure mediante Azure Portal o la CLI de Azure.

Los comandos de la CLI de Azure se pueden ejecutar en Azure Cloud Shell o en una estación de trabajo con la CLI de Azure instalada.

Los comandos de la CLI de Azure que se usan para habilitar la identidad administrada para un recurso de Azure tienen el formato az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. A continuación se muestran comandos específicos para los servicios populares de Azure.

az webapp identity assign --resource-group <resource-group-name> -name <web-app-name>

El resultado tendrá un aspecto similar al siguiente.

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

El valor principalId es el identificador único de la identidad administrada. Mantenga una copia de este resultado, ya que necesitará estos valores en el paso siguiente.

2: Asignación de roles a la identidad administrada

A continuación, debe determinar qué roles (permisos) necesita la aplicación y asignar la identidad administrada a dichos roles en Azure. Se pueden asignar roles a una identidad administrada en un ámbito de recurso, grupo de recursos o suscripción. En este ejemplo se muestra cómo asignar roles en el ámbito del grupo de recursos, ya que la mayoría de las aplicaciones agrupan todos sus recursos de Azure en un único grupo de recursos.

En Azure, los roles se asignan a una identidad administrada mediante el comando az role assignment create. Para el usuario asignado, use el principalId que copió en el paso 1.

az role assignment create --assignee <managedIdentityprincipalId> \
    --scope /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName> \
    --role "<roleName>" 

Para obtener los nombres de roles a los que se puede asignar una entidad de servicio, use el comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por ejemplo, para permitir que la identidad administrada con ID de aaaaaaaa-bbbb-cccc-1111-222222222222 lea, escriba y elimine el acceso a los contenedores y datos de blobs de Azure Storage para todas las cuentas de almacenamiento del grupo de recursos msdocs-python-sdk-auth-example en la suscripción con ID aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, asignaría el rol de Colaborador de datos de blobs de almacenamiento a la entidad de servicio de la aplicación mediante el siguiente comando.

az role assignment create --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-python-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Para obtener información sobre cómo asignar permisos en el nivel de recurso o suscripción mediante la CLI de Azure, consulte el artículo Asignación de roles de Azure mediante la CLI de Azure.

3: Implementación de DefaultAzureCredential en la aplicación

Cuando el código se ejecuta en Azure y la identidad administrada se ha habilitado en el recurso de Azure que hospeda la aplicación, DefaultAzureCredential determina las credenciales que se usarán en el orden siguiente:

  1. Comprueba el entorno de una entidad de servicio tal como se define en las variables de entorno AZURE_CLIENT_ID, AZURE_TENANT_ID y AZURE_CLIENT_SECRET o AZURE_CLIENT_CERTIFICATE_PATH y (opcionalmente) AZURE_CLIENT_CERTIFICATE_PASSWORD.
  2. Comprueba los parámetros de palabra clave de una identidad administrada asignada por el usuario. Puede pasar una identidad administrada asignada por el usuario especificando su identificador de cliente en el parámetro managed_identity_client_id.
  3. Comprueba la variable de entorno AZURE_CLIENT_ID para el identificador de cliente de una identidad administrada asignada por el usuario.
  4. Usa la identidad administrada asignada por el sistema para el recurso de Azure si está habilitada.

Puede excluir las identidades administradas de la credencial estableciendo el parámetro de palabra clave exclude_managed_identity_credential True.

En este artículo, se usa la identidad administrada asignada por el sistema para una aplicación web de App de Azure Service, por lo que no es necesario configurar una identidad administrada en el entorno ni pasarla como parámetro. En los pasos siguientes se muestra cómo usar DefaultAzureCredential.

Primero, agregue el paquete azure.identity a la aplicación.

pip install azure-identity

A continuación, para cualquier código Python que cree un objeto de cliente del SDK de Azure en la aplicación, querrá:

  1. Importar la clase DefaultAzureCredential desde el módulo azure.identity.
  2. Crear un objeto DefaultAzureCredential.
  3. Pasar el objeto DefaultAzureCredential al constructor de objetos de cliente del SDK de Azure.

En el segmento de código siguiente se muestra un ejemplo de estos pasos.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)

Como se describe en el artículo Información general sobre la autenticación del SDK de Azure para Python, DefaultAzureCredential admite varios métodos de autenticación y determina el método de autenticación que se usa en tiempo de ejecución. La ventaja de este enfoque es que la aplicación puede usar diferentes métodos de autenticación en distintos entornos sin implementar código específico del entorno. Cuando el código anterior se ejecute en la estación de trabajo durante el desarrollo local, DefaultAzureCredential usará una entidad de servicio de aplicación, según lo determinado por la configuración del entorno o las credenciales de la herramienta de desarrollador para autenticarse con otros recursos de Azure. Por lo tanto, se puede usar el mismo código para autenticar la aplicación en los recursos de Azure durante el desarrollo local y cuando se implementa en Azure.