Självstudie: Ansluta en webbapp till Azure App Configuration med Service Connector

Lär dig hur du ansluter en ASP.NET Core-app som körs i Azure App Service till Azure App Configuration med någon av följande metoder:

• Systemtilldelad hanterad identitet (SMI)
• Användartilldelad hanterad identitet (UMI)
• Tjänstens huvudnamn
• Connection string

I den här självstudien använder du Azure CLI för att utföra följande uppgifter:

• Ställa in Azure-resurser
• Skapa en anslutning mellan en webbapp och appkonfiguration
• Skapa och distribuera din app till Azure App Service

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Din åtkomstroll i prenumerationen måste vara "Deltagare" eller "Ägare". Skapa ett konto utan kostnad.
• Azure CLI. Du kan använda den i Azure Cloud Shell eller installera den lokalt.
• Git

Logga in på Azure

Kör az login i Azure CLI för att logga in på Azure.

Ställa in Azure-resurser

Börja med att skapa dina Azure-resurser.

1. Klona följande exempeldatabas:

   git clone https://github.com/Azure-Samples/serviceconnector-webapp-appconfig-dotnet.git
   

2. Distribuera webbappen till Azure

   Följ de här stegen för att skapa en App Service och distribuera exempelappen. Kontrollera att du har rollen Prenumerationsdeltagare eller Ägare.

   Systemtilldelad hanterad identitet (rekommenderas)

   Skapa en apptjänst och distribuera exempelappen som använder systemtilldelad hanterad identitet för att interagera med App Config.

   # Change directory to the SMI sample
   cd serviceconnector-webapp-appconfig-dotnet\system-managed-identity
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-smi'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parameter	Description	Exempel
   Plats	Välj en plats nära dig. Använd az account list-locations --output table för att lista platser.	eastus
   Namn på resursgrupp	Du använder den här resursgruppen för att organisera alla Azure-resurser som behövs för att slutföra den här självstudien.	service-connector-tutorial-rg
   Apptjänstens namn	Apptjänstnamnet används som namnet på resursen i Azure och för att bilda det fullständigt kvalificerade domännamnet för din app, i form av serverslutpunkten https://<app-service-name>.azurewebsites.com. Det här namnet måste vara unikt för alla Azure och de enda tillåtna tecknen är A-Z,-09 och .-	webapp-appconfig-smi

   Användartilldelad hanterad identitet

   Skapa en apptjänst och distribuera exempelappen som använder användartilldelad hanterad identitet för att interagera med App Config.

   # Change directory to the UMI sample
   cd serviceconnector-webapp-appconfig-dotnet\user-assigned-managed-identity
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-umi'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parameter	Description	Exempel
   Plats	Välj en plats nära dig. Använd az account list-locations --output table för att lista platser.	eastus
   Namn på resursgrupp	Du använder den här resursgruppen för att organisera alla Azure-resurser som behövs för att slutföra den här självstudien.	service-connector-tutorial-rg
   Apptjänstens namn	Apptjänstnamnet används som namnet på resursen i Azure och för att bilda det fullständigt kvalificerade domännamnet för din app, i form av serverslutpunkten https://<app-service-name>.azurewebsites.com. Det här namnet måste vara unikt för alla Azure och de enda tillåtna tecknen är A-Z,-09 och .-	webapp-appconfig-umi

   Skapa en användartilldelad hanterad identitet. Spara utdata i ett tillfälligt anteckningsblock.

   az identity create --resource-group $RESOURCE_GROUP_NAME -n "myIdentity"
   

   Tjänstens huvud

   Skapa en apptjänst och distribuera exempelappen som använder tjänstens huvudnamn för att interagera med App Config.

   # Change directory to the service principal sample
   cd serviceconnector-webapp-appconfig-dotnet\service-principal
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-sp'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parameter	Description	Exempel
   Plats	Välj en plats nära dig. Använd az account list-locations --output table för att lista platser.	eastus
   Namn på resursgrupp	Du använder den här resursgruppen för att organisera alla Azure-resurser som behövs för att slutföra den här självstudien.	service-connector-tutorial-rg
   Apptjänstens namn	Apptjänstnamnet används som namnet på resursen i Azure och för att bilda det fullständigt kvalificerade domännamnet för din app, i form av serverslutpunkten https://<app-service-name>.azurewebsites.com. Det här namnet måste vara unikt för alla Azure och de enda tillåtna tecknen är A-Z,-09 och .-	webapp-appconfig-sp

   Skapa ett huvudnamn för yourSubscriptionID tjänsten och ersätt med ditt faktiska prenumerations-ID. Spara utdata i ett tillfälligt anteckningsblock.

   az ad sp create-for-rbac --name myServicePrincipal --role Contributor --scopes /subscriptions/{yourSubscriptionID}/resourceGroups/$RESOURCE_GROUP_NAME
   

   Anslutningssträng

   Varning

   Microsoft rekommenderar att du använder det säkraste tillgängliga autentiseringsflödet. Det autentiseringsflöde som beskrivs i den här proceduren kräver mycket stort förtroende för programmet och medför risker som inte finns i andra flöden. Du bör bara använda det här flödet när andra säkrare flöden, till exempel hanterade identiteter, inte är livskraftiga.

   Skapa en apptjänst och distribuera exempelappen som använder anslutningssträng för att interagera med App Config.

   # Change directory to the service principal sample
   cd serviceconnector-webapp-appconfig-dotnet\connection-string
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-cs'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parameter	Description	Exempel
   Plats	Välj en plats nära dig. Använd az account list-locations --output table för att lista platser.	eastus
   Namn på resursgrupp	Du använder den här resursgruppen för att organisera alla Azure-resurser som behövs för att slutföra den här självstudien.	service-connector-tutorial-rg
   Apptjänstens namn	Apptjänstnamnet används som namnet på resursen i Azure och för att bilda det fullständigt kvalificerade domännamnet för din app, i form av serverslutpunkten https://<app-service-name>.azurewebsites.com. Det här namnet måste vara unikt för alla Azure och de enda tillåtna tecknen är A-Z,-09 och .-	webapp-appconfig-cs

3. Skapa ett Azure App Configuration Store

   APP_CONFIG_NAME='my-app-config'
   
   az appconfig create -g $RESOURCE_GROUP_NAME -n $APP_CONFIG_NAME --sku Free -l eastus
   

4. Importera testkonfigurationsfilen till Azure App Configuration.

   SMI

   Importera testkonfigurationsfilen till Azure App Configuration med hjälp av en systemtilldelad hanterad identitet.

   1. Cd till mappen ServiceConnectorSample

   2. Importera konfigurationsfilen ./sampleconfigs.json test till App Configuration Store. Om du använder Cloud Shell laddar du upp sampleconfigs.json innan du kör kommandot.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   UMI

   Importera testkonfigurationsfilen till Azure App Configuration med hjälp av en användartilldelad hanterad identitet.

   1. Cd till mappen ServiceConnectorSample

   2. Importera konfigurationsfilen ./sampleconfigs.json test till App Configuration Store. Om du använder Cloud Shell laddar du upp sampleconfigs.json innan du kör kommandot.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   Tjänstens huvud

   Importera testkonfigurationsfilen till Azure App Configuration med tjänstens huvudnamn.

   1. Cd till mappen ServiceConnectorSample

   2. Importera konfigurationsfilen ./sampleconfigs.json test till App Configuration Store. Om du använder Cloud Shell laddar du upp sampleconfigs.json innan du kör kommandot.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   Anslutningssträng

   Varning

   Microsoft rekommenderar att du använder det säkraste tillgängliga autentiseringsflödet. Det autentiseringsflöde som beskrivs i den här proceduren kräver mycket stort förtroende för programmet och medför risker som inte finns i andra flöden. Du bör bara använda det här flödet när andra säkrare flöden, till exempel hanterade identiteter, inte är livskraftiga.

   Importera testkonfigurationsfilen till Azure App Configuration med hjälp av en anslutningssträng.

   1. Cd till mappen ServiceConnectorSample

   2. Importera konfigurationsfilen ./sampleconfigs.json test till App Configuration Store. Om du använder Cloud Shell laddar du upp sampleconfigs.json innan du kör kommandot.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

      ---

Ansluta webbappen till App Configuration

Skapa en anslutning mellan webbappen och appkonfigurationsarkivet.

SMI

Skapa en anslutning mellan webbprogrammet och appkonfigurationsarkivet med hjälp av en systemtilldelad hanterad identitetsautentisering. Den här anslutningen görs via Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_smi" --system-identity

system-identity refererar till den systemtilldelade autentiseringstypen för hanterad identitet (SMI). Service Connector stöder också följande autentiseringar: användartilldelad hanterad identitet (UMI), anslutningssträng (hemlighet) och tjänstens huvudnamn.

UMI

Skapa en anslutning mellan webbprogrammet och appkonfigurationsarkivet med hjälp av en användartilldelad hanterad identitetsautentisering. Den här anslutningen görs via Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_umi" --user-identity client-id=<myIdentityClientId> subs-id=<myTestSubsId>

user-identity refererar till den användartilldelade autentiseringstypen för hanterad identitet. Service Connector stöder också följande autentiseringar: systemtilldelad hanterad identitet, anslutningssträng (hemlighet) och tjänstens huvudnamn.

Det finns två sätt att client-idhitta :

• I Azure CLI anger du az identity show -n "myIdentity" -g $RESOURCE_GROUP_NAME --query 'clientId'.
• I Azure Portal öppnar du den hanterade identitet som skapades tidigare och i Översikt hämtar du värdet under Klient-ID.

Tjänstens huvud

Skapa en anslutning mellan webbappen och appkonfigurationsarkivet med hjälp av tjänstens huvudnamn. Detta görs via Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_sp" --service-principal client-id=<mySPClientId>  secret=<mySPSecret>

service-principal refererar till autentiseringstypen för tjänstens huvudnamn. Service Connector stöder även följande autentiseringar: systemtilldelad hanterad identitet (UMI), användartilldelad hanterad identitet (UMI) och anslutningssträng (hemlighet).

Anslutningssträng

Skapa en anslutning mellan webbappen och appkonfigurationsarkivet med hjälp av en anslutningssträng. Den här anslutningen görs via Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_cs" --secret

secret refererar till anslutningssträngens autentiseringstyp. Service Connector stöder även följande autentiseringar: systemtilldelad hanterad identitet, användartilldelad hanterad identitet och tjänstens huvudnamn.

Verifiera anslutningen

1. Om du vill kontrollera om anslutningen fungerar går du till webbappen i https://<myWebAppName>.azurewebsites.net/ från webbläsaren. När webbplatsen är igång visas "Hello" (Hej). Din Azure WebApp är ansluten till App Configuration by ServiceConnector now".

Hur det fungerar

Se nedan vad Service Connector hanterar i bakgrunden för varje autentiseringstyp.

SMI

Service Connector hanterar anslutningskonfigurationen åt dig:

• Konfigurera webbappens AZURE_APPCONFIGURATION_ENDPOINT för att låta programmet komma åt den och hämta appkonfigurationsslutpunkten. Få åtkomst till exempelkod.
• Aktivera webbappens systemtilldelade hanterade autentisering och ge App Configuration en dataläsarroll så att programmet kan autentiseras till appkonfigurationen med hjälp av DefaultAzureCredential från Azure.Identity. Få åtkomst till exempelkod.

UMI

Service Connector hanterar anslutningskonfigurationen åt dig:

• Konfigurera webbappens , AZURE_APPCONFIGURATION_CLIENTID så att programmet får åtkomst till den och hämta appkonfigurationens AZURE_APPCONFIGURATION_ENDPOINTslutpunkt i kod.
• Aktivera webbappens användartilldelade hanterade autentisering och ge App Configuration en dataläsarroll så att programmet kan autentiseras till appkonfigurationen med hjälp av DefaultAzureCredential från Azure.Identity. Få åtkomst till exempelkod.

Tjänstens huvud

Service Connector hanterar anslutningskonfigurationen åt dig:

• Konfigurera webbappens AZURE_APPCONFIGURATION_ENDPOINT för att låta programmet komma åt den och hämta appkonfigurationsslutpunkten. Få åtkomst till exempelkod.
• spara tjänstens huvudnamnsautentiseringsuppgifter till WebApp AppSettings AZURE_APPCONFIGURATION_CLIENTID. AZURE_APPCONFIGURATION_TENANTIDoch AZURE_APPCONFIGURATION_CLIENTSECRET bevilja rollen App Configuration Data Reader till tjänstens huvudnamn, så att programmet kan autentiseras till appkonfigurationen i kod med hjälp ClientSecretCredential av från Azure.Identity.

Anslutningssträng

Service Connector hanterar anslutningskonfigurationen åt dig:

• Konfigurera webbappens AZURE_APPCONFIGURATION_CONNECTIONSTRING för att låta programmet komma åt den och hämta appkonfigurationen anslutningssträng. Få åtkomst till exempelkod.
• Aktivera webbappens systemtilldelade hanterade autentisering och ge App Configuration en dataläsarroll så att programmet kan autentiseras till appkonfigurationen med hjälp av DefaultAzureCredential från Azure.Identity. Få åtkomst till exempelkod.

Mer information finns i Interna serviceanslutningsprogram.

Test (valfritt)

Du kan också göra följande tester:

1. Uppdatera värdet för nyckeln SampleApplication:Settings:Messages i App Configuration Store.

   az appconfig kv set -n <myAppConfigStoreName> --key SampleApplication:Settings:Messages --value hello --yes
   

2. Gå till din Azure-webbapp genom att gå till https://<myWebAppName>.azurewebsites.net/ och uppdatera sidan. Du ser att meddelandet har uppdaterats till "hello".

Rensa resurser

När du är klar tar du bort dem genom att köra az group delete kommandot om du inte längre ska använda dessa Azure-resurser. Det här kommandot tar bort resursgruppen och alla resurser i den.

az group delete -n <myResourceGroupName> --yes

Nästa steg

Följ självstudierna nedan om du vill veta mer om Service Connector.

Lär dig mer om begrepp för Service Connector