Проверка подлинности размещенных в Azure приложений .NET в ресурсах Azure с помощью управляемого удостоверения, назначаемого пользователем

Рекомендуемый подход к проверке подлинности размещенного в Azure приложения в других ресурсах Azure — использовать управляемое удостоверение. Этот подход поддерживается для большинства служб Azure, включая приложения, размещенные в службе приложений Azure, приложениях контейнеров Azure и виртуальных машинах Azure. Узнайте больше о различных техниках и подходах к аутентификации на странице обзор аутентификации. В следующих разделах вы узнаете:

• Основные концепции управляемой идентичности
• Как создать управляемое удостоверение, назначаемое пользователем для вашего приложения
• Назначение ролей управляемому удостоверению, назначенному пользователем
• Как выполнить проверку подлинности с использованием управляемого удостоверения, назначенного пользователем, из кода приложения

Основные концепции управляемой идентичности

Управляемое удостоверение позволяет приложению безопасно подключаться к другим ресурсам Azure без использования секретных ключей или других секретов приложения. В Azure отслеживаются идентификация и ресурсы, к которым он может подключаться. Azure использует эти сведения для автоматического получения маркеров Microsoft Entra для приложения, чтобы разрешить ему подключаться к другим ресурсам Azure.

Существуют два типа управляемых удостоверений, которые следует учитывать при настройке хостингового приложения:

• Назначаемые системой управляемые идентификаторы включаются прямо на ресурсе Azure и привязаны к его жизненному циклу. При удалении ресурса Azure автоматически удаляет удостоверение за вас. Назначаемые системой удостоверения обеспечивают минимальный подход к использованию управляемых удостоверений.
• Назначенные пользователем управляемые удостоверения создаются как автономные ресурсы Azure и обеспечивают большую гибкость и возможности. Они идеально подходят для решений, связанных с несколькими ресурсами Azure, которые должны совместно использовать одинаковые удостоверения и разрешения. Например, если нескольким виртуальным машинам требуется доступ к одному набору ресурсов Azure, управляемое удостоверение, назначаемое пользователем, обеспечивает повторное использование и оптимизированное управление.

Совет

Узнайте больше о выборе и управлении управляемыми удостоверениями, назначаемыми системой, и удостоверениями, назначаемыми пользователем, в статье , содержащей рекомендации по лучшим практикам работы с управляемыми удостоверениями.

В следующих разделах описаны шаги по включению и использованию назначаемой пользователем управляемой идентичности для приложения, размещенного в Azure. Если вам нужно использовать управляемое удостоверение, назначаемое пользователем, перейдите к статье о системно назначаемых управляемых удостоверениях для получения дополнительной информации.

Создание управляемого удостоверения, назначаемого пользователем

Назначаемые пользователем управляемые удостоверения создаются как автономные ресурсы в подписке Azure с помощью портала Azure или Azure CLI. Команды Azure CLI можно выполнять в Azure Cloud Shell или на рабочей станции с установленным Azure CLI.

портал Azure

1. На портале Azure введите управляемые удостоверения в главной строке поиска и выберите соответствующий результат в разделе Services.

2. На странице управляемых удостоверений выберите + Создать.

   

3. На странице Создание управляемого удостоверения, назначаемого пользователем, выберите подписку, группу ресурсов и регион для управляемого удостоверения, назначаемого пользователем, а затем укажите имя.

4. Выберите Проверить и создать для проверки входных данных.

   

5. Выберите Создать, чтобы создать управляемое удостоверение, назначаемое пользователем.

6. После создания идентичности выберите Перейти к ресурсу.

7. На странице обзора нового удостоверения скопируйте значение идентификатора клиента, чтобы использовать его позже при настройке кода приложения.

Azure CLI

Используйте команду Azure CLI az identity create для создания управляемого удостоверения:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

В выходных данных команды выводится идентификатор клиента созданного управляемого удостоверения, назначаемого пользователем. Идентификатор клиента используется для конфигурации кода приложения, который зависит от идентичности.

Свойства управляемого удостоверения можно просмотреть снова с помощью команды az identity show:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Назначьте управляемое удостоверение вашему приложению

Управляемое удостоверение, назначаемое пользователем, может быть связано с одним или несколькими ресурсами Azure. Все ресурсы, использующие это удостоверение, получают разрешения, обусловленные ролями удостоверения.

портал Azure

1. На портале Azure перейдите к ресурсу, в котором размещен код приложения, например службе приложений Azure или экземпляру приложения контейнеров Azure.

2. На странице Обзор ресурса разверните Настройки и выберите Идентификация в панели навигации.

3. На странице удостоверения перейдите на вкладку пользователя, назначенного.

4. Выберите + Добавить, чтобы открыть панель для добавления управляемого удостоверения с назначением пользователя.

5. На панели Добавление управляемого удостоверения, назначаемого пользователем, используйте раскрывающийся список подписки , чтобы отфильтровать результаты поиска для ваших удостоверений. Используйте поле поиска управляемой идентичности, назначенной пользователем, для поиска управляемой идентичности, назначенной пользователем, которую вы включили для ресурса Azure, на котором размещено ваше приложение.

6. Выберите учетную запись и нажмите Добавить внизу панели, чтобы продолжить.

   

Azure CLI

Azure CLI предоставляет различные команды для назначения пользовательского управляемого удостоверения различным типам служб размещения.

1. Чтобы назначить пользовательское управляемое удостоверение ресурсу, например веб-приложению Azure App Service с помощью Azure CLI, потребуется идентификатор ресурса удостоверения. Используйте команду az identity show для получения идентификатора ресурса:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. После получения идентификатора ресурса используйте команду Azure CLI az <resourceType> identity assign, чтобы связать управляемое удостоверение, назначаемое пользователем, с различными ресурсами, например следующим образом:

   Для службы приложений Azure используйте команду Azure CLI az webapp identity assign:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Для приложений контейнеров Azure используйте команду Azure CLI az containerapp identity assign:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Для виртуальных машин Azure используйте команду Azure CLI az vm identity assign:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Назначьте роли управляемому удостоверению

Затем определите, какие роли нужны вашему приложению, и назначьте эти роли для управляемого удостоверения. Роли можно назначить управляемым идентичностям на следующих уровнях:

• Ресурс: назначенные роли применяются только к этому конкретному ресурсу.
• Группа ресурсов : назначенные роли применяются ко всем ресурсам, содержащимся в этой группе ресурсов.
• подписка: Назначенные обязанности распространяются на все ресурсы, содержащиеся в подписке.

В следующем примере показано, как назначать роли в области группы ресурсов, так как многие приложения управляют всеми связанными ресурсами Azure с помощью одной группы ресурсов.

портал Azure

1. Перейдите на страницу обзора группы ресурсов, содержащей приложение с управляемым удостоверением, назначенным пользователем.

2. Выберите Управление доступом (IAM) на панели навигации слева.

3. На странице управления доступом (IAM) выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли, чтобы перейти на страницу Назначение роли.

   

4. На странице Добавление назначения ролей представлен рабочий процесс с вкладками, состоящий из нескольких этапов, для назначения ролей идентичностям. На начальной вкладке роли используйте поле поиска вверху, чтобы найти роль, которую вы хотите назначить личности.

5. Выберите роль из результатов и выберите Далее, чтобы перейти на вкладку Участники.

6. Для параметра Назначить доступ к выберите Управляемое удостоверение.

7. Для параметра опции "Учётные записи" выберите + Выберите пользователей, чтобы открыть панель Выбор управляемых идентичностей.

8. На панели Выбор управляемых удостоверений используйте раскрывающиеся списки Подписка и Управляемое удостоверение, чтобы отфильтровать результаты поиска для ваших удостоверений. Используйте поле поиска Select, чтобы найти назначаемое пользователем управляемое удостоверение, которое вы включили для ресурса Azure, на котором размещено приложение.

   

9. Выберите аккаунт и нажмите Выбрать в нижней части панели, чтобы продолжить.

10. Выберите Рецензирование и назначьте в нижней части страницы.

11. На вкладке "Окончательная проверка и назначение " выберите "Проверка и назначение" для завершения рабочего процесса.

Azure CLI

1. Чтобы назначить роль управляемой идентичности, назначенной пользователем, с помощью Azure CLI, вам потребуется principal ID этой идентичности. Используйте команду az identity show для получения основного идентификатора:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Используйте команду az role definition list, чтобы изучить, какие роли можно назначить управляемой идентичности.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Назначьте роль управляемому удостоверению с помощью команды az role assignment create:

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Например, чтобы разрешить управляемому удостоверению с идентификатором 99999999-9999-9999-9999-999999999999 чтение, запись и удаление доступа к контейнерам BLOB-объектов и данным службы хранилища Azure для всех учетных записей в группе ресурсов msdocs-dotnet-sdk-auth-example, назначьте приложению-служебному субъекту роль Storage Blob Data Contributor с помощью следующей команды.

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"
   

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье Назначение ролей Azure с помощьюAzure CLI.

Удостоверяйте подлинность в службах Azure из вашего приложения

Библиотека удостоверений Azure предоставляет различные учетные данные— реализации TokenCredential адаптированы для поддержки различных сценариев и потоков проверки подлинности Microsoft Entra. Так как управляемое удостоверение недоступно при локальном выполнении, следующие шаги демонстрируют, какие учетные данные следует использовать в каком сценарии.

• локальная среда разработки: во время локальной разработки толькоиспользуйте класс с именем DefaultAzureCredential для предварительно настроенной цепочки учетных данных. DefaultAzureCredential обнаруживает учетные данные пользователя из локального инструмента или интегрированной среды разработки, например Azure CLI или Visual Studio. Она также обеспечивает гибкость и удобство повторных попыток, время ожидания ответов и поддержку нескольких вариантов проверки подлинности. Посетите статью "Аутентификация в службах Azure во время локальной разработки", чтобы узнать больше.
• приложения, размещенные в Azure,. Когда ваше приложение работает в Azure, используйте ManagedIdentityCredential для безопасного обнаружения управляемого удостоверения, настроенного для вашего приложения. Указание этого точного типа учетных данных предотвращает неожиданное получение других доступных учетных данных.

Реализация кода

Добавьте пакет Azure.Identity. В проекте ASP.NET Core также установите пакет Microsoft.Extensions.Azure:

Командная строка

В выбранном терминале перейдите к каталогу проекта приложения и выполните следующие команды:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Диспетчер пакетов NuGet

Щелкните проект правой кнопкой мыши в окне обозревателя решений Visual Studio и выберите Управление пакетами NuGet. Найдите Azure.Identityи установите соответствующий пакет. Повторите этот процесс для пакета Microsoft.Extensions.Azure.

К службам Azure обращаются с использованием специальных клиентских классов из различных библиотек клиентов Azure SDK. Эти классы и собственные пользовательские службы должны быть зарегистрированы для внедрения зависимостей, чтобы их можно было использовать во всем приложении. В Program.csвыполните следующие действия, чтобы настроить клиентский класс для инъекции зависимостей и аутентификации на основе токенов.

1. Включите пространства имен Azure.Identity и Microsoft.Extensions.Azure с помощью директив using.
2. Зарегистрируйте клиент службы Azure, используя соответствующий метод расширения с префиксом Add.
3. Передайте соответствующий экземпляр TokenCredential методу UseCredential:
   • Использование DefaultAzureCredential при локальном запуске приложения
   • Используйте ManagedIdentityCredential при запуске приложения в Azure и настройте идентификатор клиента, идентификатор ресурса или идентификатор объекта.

идентификатор клиента

Идентификатор клиента используется для идентификации управляемого удостоверения при настройке приложений или служб, которые должны проходить проверку подлинности с помощью этого удостоверения.

1. Получите идентификатор клиента, назначенный управляемому удостоверению, назначаемого пользователем, с помощью следующей команды:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Настройте ManagedIdentityCredential с идентификатором клиента:

   builder.Services.AddAzureClients(clientBuilder =>
   {
       clientBuilder.AddBlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"));
   
       TokenCredential credential = null;
   
       if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
       {
           // Managed identity token credential discovered when running in Azure environments
           credential = new ManagedIdentityCredential(
               ManagedIdentityId.FromUserAssignedClientId("<client-id>"));
       } 
       else 
       {
           // Running locally on dev machine - DO NOT use in production or outside of local dev
           credential = new DefaultAzureCredential();
       }
   
       clientBuilder.UseCredential(credential);
   });
   

   Альтернативой методу UseCredential является предоставление учетных данных клиенту службы напрямую:

   TokenCredential credential = null;
   
   if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
   {
       // Managed identity token credential discovered when running in Azure environments
       credential = new ManagedIdentityCredential(
           ManagedIdentityId.FromUserAssignedClientId("<client-id>"));
   }
   else
   {
       // Running locally on dev machine - DO NOT use in production or outside of local dev
       credential = new DefaultAzureCredential();
   }
   
   builder.Services.AddSingleton<BlobServiceClient>(_ =>
       new BlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"), credential));
   

Идентификатор ресурса однозначно идентифицирует ресурс управляемой идентификации в вашей подписке Azure с использованием следующей структуры:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Идентификаторы ресурсов можно создавать согласно соглашению, что делает их более удобными при работе в вашей среде с большим количеством управляемых удостоверений, назначенных пользователем.

1. Получите идентификатор ресурса для удостоверения с управляемым доступом, назначенного пользователем, с помощью следующей команды:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Настройте ManagedIdentityCredential с идентификатором ресурса:

   builder.Services.AddAzureClients(clientBuilder =>
   {
       clientBuilder.AddBlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"));
   
       TokenCredential credential = null;
   
       if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
       {
           // Managed identity token credential discovered when running in Azure environments
           credential = new ManagedIdentityCredential(
               ManagedIdentityId.FromUserAssignedResourceId(new ResourceIdentifier("<resource-id>")));
       }
       else
       {
           // Running locally on dev machine - DO NOT use in production or outside of local dev
           credential = new DefaultAzureCredential();
       }
   
       clientBuilder.UseCredential(credential);
   });
   

   Альтернативой методу UseCredential является предоставление учетных данных клиенту службы напрямую:

   TokenCredential credential = null;
   
   if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
   {
       // Managed identity token credential discovered when running in Azure environments
       credential = new ManagedIdentityCredential(
           ManagedIdentityId.FromUserAssignedResourceId(new ResourceIdentifier("<resource-id>")));
   }
   else
   {
       // Running locally on dev machine - DO NOT use in production or outside of local dev
       credential = new DefaultAzureCredential();
   }
   
   builder.Services.AddSingleton<BlobServiceClient>(_ =>
       new BlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"), credential));
   

ID объекта

Идентификатор субъекта — это другое имя идентификатора объекта.

1. Получите идентификатор объекта для управляемого удостоверения, назначенного пользователем, с помощью следующей команды:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Настройте ManagedIdentityCredential с идентификатором объекта:

   builder.Services.AddAzureClients(clientBuilder =>
   {
       clientBuilder.AddBlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"));
           
       TokenCredential credential = null;
   
       if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
       {
           // Managed identity token credential discovered when running in Azure environments
           credential = new ManagedIdentityCredential(
               ManagedIdentityId.FromUserAssignedObjectId("<object-id>"));
       }
       else
       {
           // Running locally on dev machine - DO NOT use in production or outside of local dev
           credential = new DefaultAzureCredential();
       }
   
       clientBuilder.UseCredential(credential);
   });
   

   Альтернативой методу UseCredential является предоставление учетных данных клиенту службы напрямую:

   TokenCredential credential = null;
   
   if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
   {
       // Managed identity token credential discovered when running in Azure environments
       credential = new ManagedIdentityCredential(
           ManagedIdentityId.FromUserAssignedObjectId("<object-id>"));
   }
   else
   {
       // Running locally on dev machine - DO NOT use in production or outside of local dev
       credential = new DefaultAzureCredential();
   }
   
   builder.Services.AddSingleton<BlobServiceClient>(_ =>
       new BlobServiceClient(
           new Uri("https://<account-name>.blob.core.windows.net"), credential));
   

Предыдущий код ведет себя по-разному в зависимости от среды, в которой она выполняется:

• На вашей локальной рабочей станции разработки DefaultAzureCredential ищет в переменных среды учетные данные службы приложения или использует локально установленные инструменты разработчика, такие как Visual Studio, для получения набора учетных данных разработчика.
• При развертывании в Azure ManagedIdentityCredential обнаруживает конфигурации управляемых удостоверений для автоматической аутентификации с другими службами.