Använda hanterade identiteter för App Service och Azure Functions

Den här artikeln visar hur du skapar en hanterad identitet för Azure App Service- och Azure Functions-program och hur du använder den för att komma åt andra resurser.

Kommentar

Från och med den 1 juni 2024 kan nyligen skapade appar av typen App Service generera ett unikt standardhostnamn som använder namngivningskonventionen <app-name>-<random-hash>.<region>.azurewebsites.net. Till exempel: myapp-ds27dh7271aah175.westus-01.azurewebsites.net. Befintliga appnamn förblir oförändrade.

Mer information finns i blogginlägget om att skapa en webbapp med ett unikt standardvärdnamn.

Med en hanterad identitet från Microsoft Entra-ID kan din app enkelt komma åt andra Microsoft Entra-skyddade resurser, till exempel Azure Key Vault. Azure-plattformen hanterar identiteten, så du behöver inte etablera eller rotera några hemligheter. Mer information om hanterade identiteter i Microsoft Entra-ID finns i Hanterade identiteter för Azure-resurser.

Du kan bevilja två typer av identiteter till ditt program:

• En systemtilldelad identitet är kopplad till appen och tas bort om appen tas bort. En app kan bara ha en systemtilldelad identitet.
• En användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din app. En app kan ha flera användartilldelade identiteter. En användartilldelad identitet kan tilldelas flera Azure-resurser, till exempel två App Service-appar.

Konfigurationen av den hanterade identiteten är specifik för platsen. Om du vill konfigurera en hanterad identitet för en distributionsplats i portalen, går du först till distributionsplatsen. Om du vill hitta den hanterade identiteten för webbappen eller distributionsfacket i din Microsoft Entra-klientorganisation från Azure Portal söker du efter den direkt från sidan Översikt för din klientorganisation. Platsnamnet liknar vanligtvis <app-name>/slots/<slot-name>.

Anteckning

Hanterade identiteter är inte tillgängliga för appar som distribueras i Azure Arc.

Eftersom hanterade identiteter inte stöder scenarier mellan katalogerfungerar de inte som förväntat om din app migreras mellan prenumerationer eller klientorganisationer. Information om hur du återskapar hanterade identiteter efter en sådan flytt finns i Kommer hanterade identiteter att återskapas automatiskt om jag flyttar en prenumeration till en annan katalog?. Underordnade resurser måste också ha åtkomstprinciper uppdaterade för att använda den nya identiteten.

Förutsättningar

Om du vill utföra stegen i den här artikeln måste du ha en minsta uppsättning behörigheter för dina Azure-resurser. De specifika behörigheter som du behöver varierar beroende på ditt scenario. I följande tabell sammanfattas de vanligaste scenarierna:

Scenario	Nödvändig behörighet	Exempel på inbyggda roller
Skapa en systemtilldelad identitet	Microsoft.Web/sites/write över appen eller Microsoft.Web/sites/slots/write över facket	Webbplatsdeltagare
Skapa en användartilldelad identitet	Microsoft.ManagedIdentity/userAssignedIdentities/write över resursgruppen där identiteten ska skapas	Hanterad identitetsbidragsgivare
Tilldela en användartilldelad identitet till din app	Microsoft.Web/sites/write över appen, Microsoft.Web/sites/slots/write över facket eller Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action över identiteten	Webbplatsdeltagare och Identitetshanteringsoperator
Skapa Azure-rolltilldelningar	Microsoft.Authorization/roleAssignments/write över målresursomfånget	Administratör för rollbaserad åtkomstkontroll eller administratör för användaråtkomst

Lägga till en systemtilldelad identitet

Om du vill aktivera en systemtilldelad hanterad identitet använder du följande instruktioner.

Azure-portalen

1. I Azure-portalengår du till appens sida.

2. På den vänstra menyn väljer du Inställningar>Identitet.

3. På fliken Systemtilldelat växlar du Status till På. Välj sedan Spara.

Azure CLI

az webapp identity assign Kör kommandot:

az webapp identity assign --resource-group <group-name> --name <app-name> 

Azure PowerShell

För App Service

Set-AzWebApp -AssignIdentity Kör kommandot:

Set-AzWebApp -AssignIdentity $true -ResourceGroupName <group-name>  -Name <app-name>

För Funktioner

Update-AzFunctionApp -IdentityType Kör kommandot:

Update-AzFunctionApp -ResourceGroupName <group-name> -Name <function-app-name>  -IdentityType SystemAssigned

ARM-mall

Du kan använda en Azure Resource Manager-mall för att automatisera distributionen av dina Azure-resurser. Mer information finns i Automatisera resursdistribution i App Service och Automatisera resursdistribution i Azure Functions.

Du kan skapa valfri resurs av typen Microsoft.Web/sites med en identitet genom att inkludera följande egenskap i resursdefinitionen:

"identity": {
    "type": "SystemAssigned"
}

Om du lägger till den systemtilldelade typen uppmanas Azure att skapa och hantera identiteten för ditt program.

En webbapps mall kan till exempel se ut som följande JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

När webbplatsen skapas innehåller den följande egenskaper:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

Egenskapen tenantId identifierar vilken Microsoft Entra-klient som identiteten tillhör. Egenskapen principalId är en unik identifierare för programmets nya identitet. I Microsoft Entra-ID har tjänstens huvudnamn samma namn som du gav till din App Service- eller Azure Functions-instans.

Om du behöver referera till dessa egenskaper i ett senare skede i mallen använder du reference()-mallfunktionen med alternativet 'Full', som i det här exemplet:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Lägga till en användartilldelad identitet

Skapa en app med en användartilldelad identitet genom att skapa identiteten och sedan lägga till dess resursidentifierare i din appkonfiguration.

Azure-portalen

1. Skapa en användartilldelad hanterad identitetsresurs enligt dessa instruktioner.

2. På den vänstra menyn för appens sida väljer du Inställningar>Identitet.

3. Välj Användartilldeladeoch välj sedan Lägg till.

4. Sök efter den identitet som du skapade tidigare, välj den och välj sedan Lägg till.

När du har slutfört de här stegen startas appen om.

Azure CLI

1. Skapa en användartilldelad identitet:

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Kör kommandot az webapp identity assign för att tilldela identiteten till appen:

   az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>
   

Azure PowerShell

För App Service

Det finns för närvarande inte stöd för att lägga till en användartilldelad identitet i App Service med hjälp av Azure PowerShell.

För funktioner

1. Skapa en användartilldelad identitet:

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   $userAssignedIdentity = New-AzUserAssignedIdentity -Name <identity-name> -ResourceGroupName <group-name> -Location <region>
   

2. Update-AzFunctionApp -IdentityType UserAssigned -IdentityId Kör kommandot för att tilldela identiteten i Functions:

   Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id
   

ARM-mall

Du kan använda en Azure Resource Manager-mall för att automatisera distributionen av dina Azure-resurser. Mer information finns i Automatisera resursdistribution i App Service och Automatisera resursdistribution i Azure Functions.

Du kan skapa valfri resurs av typen Microsoft.Web/sites med en identitet genom att inkludera följande block i resursdefinitionen. Ersätt <resource-id> med resurs-ID för önskad identitet.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Kommentar

Ett program kan ha både systemtilldelade och användartilldelade identiteter samtidigt. I så fall är egenskapen typeSystemAssigned,UserAssigned.

Om du lägger till den användartilldelade typen uppmanas Azure att använda den användartilldelade identitet som du angav för ditt program.

En webbapps mall kan till exempel se ut som följande JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

När webbplatsen skapas innehåller den följande egenskaper:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

Egenskapen principalId är en unik identifierare för den identitet som används för Microsoft Entra-administration. Egenskapen clientId är en unik identifierare för programmets nya identitet. Du använder den för att ange vilken identitet som ska användas under körningsanrop.

Konfigurera målresursen

Du måste konfigurera målresursen för att tillåta åtkomst från din app. För de flesta Azure-tjänster konfigurerar du målresursen genom att skapa en rolltilldelning.

Vissa tjänster använder andra mekanismer än rollbaserad åtkomstkontroll i Azure. Information om hur du konfigurerar åtkomst med hjälp av en identitet finns i dokumentationen för varje målresurs. Mer information om vilka resurser som stöder Microsoft Entra-token finns i Azure-tjänster som stöder Microsoft Entra-autentisering.

Om du till exempel begära en token för att få åtkomst till en hemlighet i Azure Key Vault måste du också skapa en rolltilldelning som gör att den hanterade identiteten kan arbeta med hemligheter i målvalvet. Annars avvisar Key Vault dina anrop även om du använder en giltig token. Detsamma gäller för Azure SQL Database och andra tjänster.

Viktigt!

Serverdelstjänsterna för hanterade identiteter underhåller en cache per resurs-URI i cirka 24 timmar. Det kan ta flera timmar innan ändringar i en hanterad identitets grupp eller rollmedlemskap börjar gälla. Det går för närvarande inte att tvinga en hanterad identitets token att uppdateras innan den upphör att gälla. Om du ändrar en hanterad identitets grupp eller rollmedlemskap för att lägga till eller ta bort behörigheter kan du behöva vänta flera timmar på att Den Azure-resurs som använder identiteten ska ha rätt åtkomst.

Alternativ till grupper eller rollmedlemskap finns i Begränsning av att använda hanterade identiteter för auktorisering.

Ansluta till Azure-tjänster i appkod

Med sin hanterade identitet kan en app hämta token för Azure-resurser som Microsoft Entra ID hjälper till att skydda, till exempel Azure SQL Database, Azure Key Vault och Azure Storage. Dessa token representerar det program som kommer åt resursen och inte någon specifik användare av programmet.

App Service och Azure Functions tillhandahåller en internt tillgänglig REST-slutpunkt för tokenhämtning. Du kan komma åt REST-slutpunkten inifrån appen med hjälp av en http-standardbegäran GET. Du kan implementera begäran med en allmän HTTP-klient på alla språk.

För .NET, JavaScript, Java och Python ger Azure Identity-klientbiblioteket en abstraktion över den här REST-slutpunkten och förenklar utvecklingsupplevelsen. Att ansluta till andra Azure-tjänster är lika enkelt som att lägga till ett autentiseringsobjekt till den tjänstspecifika klienten.

HTTP GET

En rå HTTP-GET-begäran använder två angivna miljövariabler och ser ut som följande exempel:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: <ip-address-:-port-in-IDENTITY_ENDPOINT>
X-IDENTITY-HEADER: <value-of-IDENTITY_HEADER>

Ett exempelsvar kan se ut som i följande exempel:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "00001111-aaaa-2222-bbbb-3333cccc4444"
}

Det här svaret är detsamma som svaret för begäran om åtkomsttokenen för service-till-service i Microsoft Entra. Om du vill komma åt Key Vault lägger du till värdet för access_token till en klientanslutning till valvet.

.NET

Kommentar

När du ansluter till Azure SQL-datakällor med hjälp av Entity Framework Corebör du överväga att använda Microsoft.Data.SqlClient. Det namnområdet innehåller särskilda anslutningssträngar för hanterad identitetsanslutning. Ett exempel finns i Självstudie: Skydda en Azure SQL Database-anslutning från App Service med hjälp av en hanterad identitet.

För .NET-appar och -funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för .NET. Mer information finns i Självstudie: Ansluta till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker för klientbiblioteket:

• Lägg till Azure Identity-klientbiblioteket i projektet
• Få åtkomst till en Azure-tjänst med hjälp av en systemtilldelad identitet
• Få åtkomst till en Azure-tjänst med hjälp av en användartilldelad identitet

De länkade exemplen använder StandardAzureCredential. Samma mönster fungerar i Azure med hanterade identiteter och på din lokala dator utan hanterade identiteter.

JavaScript

För Node.js appar och JavaScript-funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för JavaScript. Mer information finns i Självstudie: Ansluta till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker för klientbiblioteket:

• Lägg till ett Azure Identity-klientbibliotek i projektet
• Få åtkomst till en Azure-tjänst med hjälp av en systemtilldelad identitet
• Få åtkomst till en Azure-tjänst med hjälp av en användartilldelad identitet

De länkade exemplen använder StandardAzureCredential. Samma mönster fungerar i Azure med hanterade identiteter och på din lokala dator utan hanterade identiteter.

Fler kodexempel på Azure Identity-klientbiblioteket för JavaScript finns i Azure Identity-exempel.

Python

För Python-appar och -funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för Python. Mer information finns i Självstudie: Ansluta till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker för klientbiblioteket:

• Lägg till ett Azure Identity-klientbibliotek i projektet
• Få åtkomst till en Azure-tjänst med hjälp av en systemtilldelad identitet
• Få åtkomst till en Azure-tjänst med hjälp av en användartilldelad identitet

De länkade exemplen använder StandardAzureCredential. Samma mönster fungerar i Azure med hanterade identiteter och på din lokala dator utan hanterade identiteter.

Java

För Java-appar och -funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för Java. Mer information finns i Självstudie: Ansluta till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker för klientbiblioteket:

• Lägg till ett Azure Identity-klientbibliotek i projektet
• Få åtkomst till en Azure-tjänst med hjälp av en systemtilldelad identitet
• Få åtkomst till en Azure-tjänst med hjälp av en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Samma mönster fungerar i Azure med hanterade identiteter och på din lokala dator utan hanterade identiteter.

Fler kodexempel på Azure Identity-klientbiblioteket för Java finns i Azure Identity-exempel.

PowerShell

Använd följande skript för att hämta en token från den lokala slutpunkten genom att ange en resurs-URI för en Azure-tjänst:

$resourceURI = "https://<Entra-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Mer information om REST-slutpunkten finns i REST-slutpunktsreferens senare i den här artikeln.

Ta bort en identitet

När du tar bort en systemtilldelad identitet tas den bort från Microsoft Entra-ID. Systemtilldelade identiteter tas också bort automatiskt från Microsoft Entra-ID när du tar bort själva appresursen.

Azure-portalen

1. På den vänstra menyn för appens sida väljer du Inställningar>Identitet.

2. Följ stegen baserat på identitetstypen:

   • För en systemtilldelad identitet: På fliken Systemtilldelad växlar du Status till Av. Välj sedan Spara.
   • För en användartilldelad identitet: Välj fliken Användare tilldelad, markera kryssrutan för identiteten och välj sedan Ta bort. Välj Ja för att bekräfta.

Azure CLI

Om du vill ta bort den systemtilldelade identiteten använder du det här kommandot:

az webapp identity remove --resource-group <group-name> --name <app-name>

Om du vill ta bort en eller flera användartilldelade identiteter använder du det här kommandot:

az webapp identity remove --resource-group <group-name> --name <app-name> --identities <identity-id1> <identity-id2> ...

Du kan också ta bort den systemtilldelade identiteten genom att ange [system] i --identities.

Azure PowerShell

för App Service

Om du vill ta bort en systemtilldelad identitet för App Service kör du kommandot Set-AzWebApp -AssignIdentity:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name> 

För Funktioner

Om du vill ta bort alla identiteter i Azure PowerShell (endast Azure Functions) kör du det här kommandot:

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name <function-app-name> -ResourceGroupName <group-name> -IdentityType None

ARM-mall

Om du vill ta bort alla identiteter i en ARM-mall använder du den här koden:

"identity": {
    "type": "None"
}

Kommentar

Du kan också ange en programinställning som endast inaktiverar den lokala tokentjänsten: WEBSITE_DISABLE_MSI. Den lämnar dock identiteten på plats. Verktyg visar fortfarande den hanterade identiteten som på eller aktiverad. Därför rekommenderar vi inte att du använder den här inställningen.

REST-slutpunktsreferens

En app med en hanterad identitet gör den här slutpunkten tillgänglig genom att definiera två miljövariabler:

• IDENTITY_ENDPOINT: URL:en till den lokala tokentjänsten.
• IDENTITY_HEADER: En rubrik som kan hjälpa till att motverka SSRF-attacker (förfalskning av serversidans begäranden). Plattformen roterar värdet.

Variabeln IDENTITY_ENDPOINT är en lokal URL som appen kan begära token från. Om du vill hämta en token för en resurs gör du en HTTP-GET begäran till den här slutpunkten. Ta med följande parametrar:

Parameternamn	I	beskrivning
resource	Fråga	Microsoft Entra-resurs-URI:n för resursen som en token ska hämtas för. Den här resursen kan vara en av de Azure-tjänster som stöder Microsoft Entra-autentisering eller någon annan resurs-URI.
api-version	Förfrågan	Den version av token-API:et som ska användas. Använd 2019-08-01.
X-IDENTITY-HEADER	Header	Värdet för miljövariabeln IDENTITY_HEADER. Den här rubriken används för att minimera SSRF-attacker.
client_id	Fråga	(Valfritt) Klient-ID för den användartilldelade identitet som ska användas. Det kan inte användas på en begäran som innehåller principal_id, mi_res_ideller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.
principal_id	Fråga	(Valfritt) Huvud-ID för den användartilldelade identitet som ska användas. Parametern object_id är ett alias som kan användas i stället. Det kan inte användas på en begäran som innehåller client_id, mi_res_ideller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.
mi_res_id	Fråga	(Valfritt) Azure-resurs-ID för den användartilldelade identitet som ska användas. Det kan inte användas på en begäran som innehåller principal_id, client_ideller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.

Viktigt!

Om du försöker hämta token för användartilldelade identiteter ska du inkludera en av de valfria egenskaperna. Annars försöker tokentjänsten hämta en token för en systemtilldelad identitet, som kanske eller kanske inte finns.

Relaterat innehåll

Överväg följande handledningar:

• Anslut till SQL Database från .NET App Service utan hemligheter med hjälp av en hanterad identitet
• Få åtkomst till Azure-tjänster från en .NET-webbapp
• Komma åt Microsoft Graph från en skyddad .NET-app som appen
• Säker anslutning till Cognitive Service från .NET App Service med Key Vault