Аутентификация JavaScript приложений, размещённых в Azure, для доступа к ресурсам Azure с использованием библиотеки идентификаций Azure

Когда приложение размещено в Azure (с использованием таких служб, как Azure App Service, Azure Functions или Azure Container Apps), вы можете использовать управляемую идентификацию для безопасной аутентификации вашего приложения для доступа к ресурсам Azure.

Управляемое удостоверение предоставляет идентичность вашему приложению, что позволяет ему подключаться к другим ресурсам Azure без необходимости использования секрета (например, строки подключения или ключа). Внутренняя система Azure распознает удостоверение вашего приложения и знает, к каким ресурсам оно имеет право доступа. Azure использует эти сведения для автоматического получения маркеров Microsoft Entra для приложения, что позволяет подключаться к другим ресурсам Azure без необходимости управлять секретами проверки подлинности (создавать или менять).

Типы управляемых удостоверений

Существует два типа управляемых удостоверений:

• Назначаемые системой управляемые удостоверения — один ресурс Azure
• Назначаемые пользователем управляемые удостоверения — несколько ресурсов Azure

В этой статье рассматриваются действия по включению и использованию управляемого удостоверения, назначаемого системой, для приложения. Если вам нужно использовать управляемое удостоверение, назначаемое пользователем, см. статью "Управление назначаемыми пользователем управляемыми удостоверениями ", чтобы узнать, как создать управляемое удостоверение, назначаемое пользователем.

Назначаемые системой управляемые удостоверения для одного ресурса

Назначаемые системой управляемые удостоверения предоставляются и привязаны непосредственно к ресурсу Azure. При включении управляемого удостоверения в ресурсе Azure вы получите назначаемое системой управляемое удостоверение для этого ресурса. Управляемое удостоверение привязано к жизненному циклу ресурса Azure. Поэтому при удалении ресурса Azure автоматически удаляет удостоверение. Так как необходимо включить управляемое удостоверение для ресурса Azure, в котором размещен код, этот тип удостоверения является самым простым типом управляемого удостоверения для использования.

Назначаемые пользователем управляемые удостоверения для нескольких ресурсов

Назначенное пользователем управляемое удостоверение является автономным ресурсом Azure. Этот тип удостоверения чаще всего используется, если решение имеет несколько рабочих нагрузок, которые выполняются в нескольких ресурсах Azure, которые должны совместно использовать одинаковые удостоверения и одинаковые разрешения. Например, предположим, что решение включает приложения, которые выполняются в нескольких экземплярах службы приложений и виртуальных машин. Все приложения должны получить доступ к одному набору ресурсов Azure. Создание и использование пользовательского управляемого удостоверения для этих ресурсов является лучшим вариантом проектирования.

1. Включение управляемого удостоверения, назначаемого системой, в размещенном приложении

Первым шагом является включение управляемого удостоверения в ресурсе Azure, на котором размещено приложение. Например, если вы размещаете приложение Express.js с помощью Службы приложений Azure, необходимо включить управляемое удостоверение для этого веб-приложения службы приложений. Если вы используете виртуальную машину для размещения приложения, вы можете включить ее для использования управляемого удостоверения.

Вы можете включить управляемое удостоверение для ресурса Azure с помощью портал Azure или Azure CLI.

Портал Azure

Instructions	Снимок экрана
Перейдите к ресурсу, в котором размещен код приложения в портал Azure. Например, можно ввести имя ресурса в поле поиска в верхней части страницы и перейти к нему, выбрав его в диалоговом окне.
На странице ресурса выберите пункт меню "Удостоверение " в меню слева. Все ресурсы Azure, способные поддерживать управляемое удостоверение, будут иметь элемент меню "Удостоверение ", даже если макет меню может немного отличаться.
На странице удостоверений: Измените ползунок состояния на "Вкл.". Выберите Сохранить. Диалоговое окно подтверждения проверяет, что вы хотите включить управляемое удостоверение для службы. Ответ " Да", чтобы включить управляемое удостоверение для ресурса Azure.

Azure CLI

Команды Azure CLI могут выполняться в Azure Cloud Shell или на рабочей станции с установленным интерфейсом Azure CLI.

Команды Azure CLI, используемые для включения управляемого удостоверения для ресурса Azure, имеют форму az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Здесь приведены конкретные команды для популярных служб Azure.

Служба приложений Azure

az webapp identity assign --resource-group <resource-group-name> -name <web-app-name>

Виртуальные машины Azure

az vm identity assign --resource-group <resource-group-name> -name <virtual-machine-name>

Выходные данные выглядят, как показано ниже.

{
  "principalId": "<REPLACE_WITH_YOUR_PRINCIPAL_ID>",
  "tenantId": "<REPLACE_WITH_YOUR_TENANT_ID>",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Это principalId значение является уникальным идентификатором управляемого удостоверения. Сохраните копию этих выходных данных, так как эти значения потребуются на следующем шаге.

2. Назначение ролей управляемому удостоверению

Затем необходимо определить, какие роли (разрешения) требуется вашему приложению, и назначить управляемое удостоверение этим ролям в Azure. Управляемое удостоверение можно назначить роли в ресурсе, группе ресурсов или области подписки. В этом примере показано, как назначать роли в области группы ресурсов, так как большинство приложений группировать все ресурсы Azure в одну группу ресурсов.

Портал Azure

Instructions	Снимок экрана
Найдите группу ресурсов для приложения, найдите имя группы ресурсов с помощью поля поиска в верхней части портал Azure. Перейдите к группе ресурсов, выбрав имя группы ресурсов в заголовке "Группы ресурсов" в диалоговом окне.
На странице группы ресурсов выберите элемент управления доступом (IAM) в меню слева.
На странице управления доступом (IAM): Выберите вкладку Назначения ролей. Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.
На странице "Добавление назначения ролей" перечислены все роли, которые можно назначить для группы ресурсов. Используйте поле поиска, чтобы отфильтровать список до более управляемого размера. В этом примере показано, как фильтровать роли BLOB-объектов хранилища. Выберите роль, которую вы хотите назначить. Нажмите кнопку "Далее ", чтобы перейти к следующему экрану.
На следующей странице "Добавление назначения ролей" можно указать, какой пользователь назначит роль. Выберите Управляемое удостоверение в разделе Назначить доступ. Выбор и выбор элементов в разделе "Элементы" Откроется диалоговое окно справа от портал Azure.
В диалоговом окне выбора управляемых удостоверений: Раскрывающийся список управляемых удостоверений и выбор текстового поля можно использовать для фильтрации списка управляемых удостоверений в подписке. В этом примере, выбрав Служба приложений, отображаются только управляемые удостоверения, связанные с Служба приложений. Выберите управляемое удостоверение для ресурса Azure, на котором размещено приложение. Выберите в нижней части диалогового окна, чтобы продолжить.
Управляемое удостоверение отображается на экране добавления назначения ролей. Выберите "Рецензирование" и " Назначить" , чтобы перейти на окончательную страницу, а затем проверить и назначить еще раз, чтобы завершить процесс.

Azure CLI

Управляемое удостоверение назначается роль в Azure с помощью команды [az role assignment create].

az role assignment create --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Чтобы получить имена ролей, которым может быть назначен субъект-служба, используйте команду az role definition list .

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Например, чтобы разрешить управляемому удостоверению читать, записывать и удалять доступ к служба хранилища Azure контейнерам BLOB-объектов и данным для всех учетных записей хранения в группе ресурсов msdocs-sdk-auth-example, вы назначите субъект-службу приложения роли участника данных BLOB-объектов хранилища, выполнив следующую команду.

az role assignment create --assignee aaaaaaaa-bbbb-cccc-7777-888888888888 \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-sdk-auth-example"

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

3. Реализация DefaultAzureCredential в приложении

DefaultAzureCredential автоматически определяет использование управляемого удостоверения и использует его для аутентификации в других ресурсах Azure. Как описано в статье обзор библиотеки удостоверений Azure для проверки подлинности JavaScript,DefaultAzureCredential поддерживает несколько методов проверки подлинности и определяет используемый метод во время выполнения. Таким образом, приложение может использовать различные методы проверки подлинности в разных средах без реализации кода для конкретной среды.

Сначала добавьте пакет @azure/identity в приложение.

npm install @azure/identity

Затем для любого кода JavaScript, создающего клиентский объект Azure SDK в приложении, необходимо выполнить следующие действия.

1. DefaultAzureCredential Импортируйте класс из @azure/identity модуля.
2. Создание объекта DefaultAzureCredential.
3. Передайте объект конструктору DefaultAzureCredential клиентского объекта пакета SDK Azure.

Пример этих шагов показан в следующем сегменте кода.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);