Door Azure gehoste .NET-apps verifiëren bij Azure-resources met behulp van een door het systeem toegewezen beheerde identiteit

De aanbevolen methode voor het verifiëren van een door Azure gehoste app voor andere Azure-resources is het gebruik van een beheerde identiteit. Deze benadering wordt ondersteund voor de meeste Azure-services, waaronder apps die worden gehost op Azure App Service, Azure Container Apps en Azure Virtual Machines. Ontdek meer over verschillende verificatietechnieken en benaderingen op de verificatieoverzicht pagina. In de volgende secties leert u het volgende:

• Essentiële concepten voor beheerde identiteiten
• Een door het systeem toegewezen beheerde identiteit voor uw app maken
• Rollen toewijzen aan de door het systeem toegewezen beheerde identiteit
• Verifiëren met behulp van de door het systeem toegewezen beheerde identiteit vanuit uw app-code

Essentiële concepten voor beheerde identiteiten

Met een beheerde identiteit kan uw app veilig verbinding maken met andere Azure-resources zonder gebruik te maken van geheime sleutels of andere toepassingsgeheimen. Intern houdt Azure de identiteit bij en met welke resources verbinding mag worden gemaakt. Azure gebruikt deze informatie om automatisch Microsoft Entra-tokens voor de app te verkrijgen, zodat deze verbinding kan maken met andere Azure-resources.

Er zijn twee typen beheerde identiteiten waarmee u rekening moet houden bij het configureren van uw gehoste app:

• Systeemtoegewezen beheerde identiteiten zijn rechtstreeks ingeschakeld op een Azure-resource en zijn gekoppeld aan de levenscyclus. Wanneer de resource wordt verwijderd, verwijdert Azure automatisch de identiteit voor u. Door het systeem toegewezen identiteiten bieden een minimalistische benadering voor het gebruik van beheerde identiteiten.
• door de gebruiker toegewezen beheerde identiteiten worden gemaakt als zelfstandige Azure-resources en bieden meer flexibiliteit en mogelijkheden. Ze zijn ideaal voor oplossingen met meerdere Azure-resources die dezelfde identiteit en machtigingen moeten delen. Als bijvoorbeeld meerdere virtuele machines toegang moeten hebben tot dezelfde set Azure-resources, biedt een door de gebruiker toegewezen beheerde identiteit herbruikbaar en geoptimaliseerd beheer.

Tip

Meer informatie over het selecteren en beheren van door het systeem toegewezen beheerde identiteiten en door de gebruiker toegewezen beheerde identiteiten in het Aanbevolen procedures voor beheerde identiteiten artikel.

In de volgende secties worden de stappen beschreven voor het inschakelen en gebruiken van een door het systeem toegewezen beheerde identiteit voor een door Azure gehoste app. Als u een door de gebruiker toegewezen beheerde identiteit wilt gebruiken, gaat u naar het artikel door de gebruiker toegewezen beheerde identiteiten artikel voor meer informatie.

Een door het systeem toegewezen beheerde identiteit inschakelen in de Azure-hostingresource

Als u aan de slag wilt gaan met een door het systeem toegewezen beheerde identiteit met uw app, schakelt u de identiteit in op de Azure-resource die als host fungeert voor uw app, zoals een Azure App Service, Azure Container App of azure Virtual Machine.

U kunt een door het systeem toegewezen beheerde identiteit inschakelen voor een Azure-resource met behulp van Azure Portal of de Azure CLI.

Azure-portaal

1. Navigeer in Azure Portal naar de resource die als host fungeert voor uw toepassingscode, zoals een Azure App Service- of Azure Container App-exemplaar.

2. Vouw op de pagina Overzicht van de resource de Instellingen uit en selecteer Identiteit in de navigatie.

3. Schakel op de pagina Identity de schuifregelaar Status in op Op.

4. Selecteer Opslaan om uw wijzigingen toe te passen.

   

Azure CLI

Azure CLI-opdrachten kunnen worden uitgevoerd in de Azure Cloud Shell- of op een werkstation waarop de Azure CLI is geïnstalleerd.

De Azure CLI-opdrachten die worden gebruikt om beheerde identiteit voor een Azure-resource in te schakelen, zijn van het formulier az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Hieronder ziet u specifieke opdrachten voor populaire Azure-services.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Virtuele Azure-machine:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

De uitvoer ziet er ongeveer als volgt uit:

{
  "principalId": "99999999-9999-9999-9999-999999999999",
  "tenantId": "33333333-3333-3333-3333-333333333333",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

De principalId waarde is de unieke id van de beheerde identiteit. Bewaar een kopie van deze uitvoer, omdat u deze waarden in de volgende stap nodig hebt.

Rollen toewijzen aan de beheerde identiteit

Bepaal vervolgens welke rollen uw app nodig heeft en wijs deze rollen toe aan de beheerde identiteit. U kunt rollen toewijzen aan een beheerde identiteit op de volgende niveaus:

• Resource: de toegewezen rollen zijn alleen van toepassing op die specifieke resource.
• Resourcegroep: De toegewezen rollen zijn van toepassing op alle bronnen in de resourcegroep.
• Abonnement: de toegewezen rollen zijn van toepassing op alle resources in het abonnement.

In het volgende voorbeeld ziet u hoe u rollen toewijst binnen het bereik van de resourcegroep, omdat veel apps al hun gerelateerde Azure-resources beheren met één resourcegroep.

Azure-portaal

1. Navigeer naar de pagina Overzicht van de resourcegroep die de app bevat met de door het systeem toegewezen beheerde identiteit.

2. Selecteer IAM- (Access Control) in het linkernavigatievenster.

3. Selecteer op de pagina Toegangsbeheer (IAM) + toevoegen in het bovenste menu en kies vervolgens Roltoewijzing toevoegen om naar de pagina Roltoewijzing toevoegen te navigeren.

   

4. Op de pagina Roltoewijzing toevoegen pagina wordt een werkstroom met tabbladen met meerdere stappen weergegeven om rollen toe te wijzen aan identiteiten. Gebruik op het eerste tabblad Rol het zoekvak bovenaan om de rol te vinden die u aan de identiteit wilt toewijzen.

5. Selecteer de rol in de resultaten en kies vervolgens Volgende om naar het tabblad Leden te gaan.

6. Voor de optie Toegang toewijzen aan, selecteer Beheerde identiteit.

7. Voor de optie Leden kiest u + Selecteer leden om het Selecteer beheerde identiteiten deelvenster te openen.

8. Gebruik in het deelvenster Beheerde identiteiten selecteren de dropdowns Abonnement en Beheerde identiteit om de zoekresultaten voor uw beheerde identiteiten te filteren. Gebruik de Selecteer zoekvak om de systeemidentiteit te vinden die u hebt ingeschakeld voor de Azure-resource die als host fungeert voor uw app.

   

9. Selecteer de identiteit en kies Selecteer onderaan het deelvenster om door te gaan.

10. Selecteer Beoordelen en toewijzen onderaan de pagina.

11. Selecteer op het laatste tabblad Beoordelen en toewijzen, Beoordelen en toewijzen om de werkstroom te voltooien.

Azure CLI

Aan een beheerde identiteit wordt een rol in Azure toegewezen met behulp van de opdracht az role assignment create:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Als u rolnamen wilt ophalen waaraan een service-principal kan worden toegewezen, gebruik de volgende opdracht az role definition list:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Als u bijvoorbeeld de beheerde identiteit met de ID van 99999999-9999-9999-9999-999999999999 lees-, schrijf- en verwijderrechten wilt geven tot Azure Storage-blobcontainers en -gegevens voor alle opslagaccounts in de msdocs-dotnet-sdk-auth-example resourcegroep, wijs dan de service-principal van de toepassing toe aan de Storage Blob Data Contributor-rol met behulp van de volgende opdracht:

az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"

Zie het artikel Azure-rollen toewijzen met behulp van de Azure CLIvoor meer informatie over het toewijzen van machtigingen op resource- of abonnementsniveau.

Verifiëren bij Azure-services vanuit uw app

De Azure Identity-bibliotheek biedt verschillende referenties: implementaties van TokenCredential die zijn aangepast voor de ondersteuning van diverse scenario's en Microsoft Entra-authenticatiestromen. Omdat beheerde identiteit niet beschikbaar is wanneer deze lokaal wordt uitgevoerd, laten de stappen zien welke referenties moeten worden gebruikt in welk scenario:

• lokale ontwikkelomgeving: gebruik tijdens lokale ontwikkeling alleeneen klasse met de naam DefaultAzureCredential voor een vooraf geconfigureerde keten van credentials. DefaultAzureCredential gebruikersreferenties detecteert vanuit uw lokale hulpprogramma's of IDE, zoals de Azure CLI of Visual Studio. Het biedt ook flexibiliteit en gemak voor nieuwe pogingen, wachttijden voor antwoorden en ondersteuning voor meerdere verificatieopties. Ga naar het artikel Verifiëren bij Azure-services tijdens lokale ontwikkeling voor meer informatie.
• door Azure gehoste apps: wanneer uw app wordt uitgevoerd in Azure, gebruikt u ManagedIdentityCredential- om de beheerde identiteit die is geconfigureerd voor uw app veilig te detecteren. Als u dit exacte type referentie opgeeft, voorkomt u dat andere beschikbare referenties onverwacht worden opgehaald.

De code implementeren

Voeg het pakket Azure.Identity toe. Installeer in een ASP.NET Core-project ook het pakket Microsoft.Extensions.Azure:

opdrachtregel

Navigeer in een terminal van uw keuze naar de projectmap van de toepassing en voer de volgende opdrachten uit:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet Package Manager

Klik met de rechtermuisknop op uw project in het venster van Visual Studio Solution Explorer en selecteer NuGet-pakketten beheren. Zoek Azure.Identityen installeer het overeenkomende pakket. Herhaal dit proces voor het pakket Microsoft.Extensions.Azure.

Azure-services worden geopend met behulp van gespecialiseerde clientklassen uit de verschillende Azure SDK-clientbibliotheken. Deze klassen en uw eigen aangepaste services moeten worden geregistreerd voor afhankelijkheidsinjectie, zodat ze in uw app kunnen worden gebruikt. Voer in Program.csde volgende stappen uit om een clientklasse te configureren voor afhankelijkheidsinjectie en verificatie op basis van tokens:

1. Neem de Azure.Identity en Microsoft.Extensions.Azure naamruimten op via using instructies.
2. Registreer de Azure-serviceclient met behulp van de bijbehorende Add-voorvoegselextensiemethode.
3. Geef een geschikt TokenCredential exemplaar door aan de UseCredential methode:
   • Gebruik DefaultAzureCredential wanneer uw app lokaal wordt uitgevoerd.
   • Gebruik ManagedIdentityCredential wanneer uw app wordt uitgevoerd in Azure.

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    TokenCredential credential = null;

    if (builder.Environment.IsProduction())
    {
        // Managed identity token credential discovered when running in Azure environments
        credential = new ManagedIdentityCredential();
    }
    else
    {
        // Running locally on dev machine - DO NOT use in production or outside of local dev
        credential = new DefaultAzureCredential();
    }

    clientBuilder.UseCredential(credential);
});

Een alternatief voor de UseCredential-methode is door de referentie direct aan de serviceclient te verstrekken.

TokenCredential credential = null;

if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
{
    // Managed identity token credential discovered when running in Azure environments
    credential = new ManagedIdentityCredential();
}
else
{
    // Running locally on dev machine - DO NOT use in production or outside of local dev
    credential = new DefaultAzureCredential();
}

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"), credential));

---

De voorgaande code gedraagt zich anders, afhankelijk van de omgeving waarin deze wordt uitgevoerd:

• Op uw lokale ontwikkelwerkstation zoekt DefaultAzureCredential in de omgevingsvariabelen naar een toepassingsservice-principal of lokaal geïnstalleerde ontwikkelhulpprogramma's, zoals Visual Studio, voor een set referenties voor ontwikkelaars.
• Wanneer deze wordt geïmplementeerd in Azure, detecteert ManagedIdentityCredential uw configuraties voor beheerde identiteiten om automatisch te verifiëren bij andere services.