Autentisera värdsatta .NET-appar i Azure mot Azure-resurser med hjälp av en systemtilldelad hanterad identitet

Den rekommenderade metoden för att autentisera en Azure-värdbaserad app mot andra Azure-resurser är att använda en hanterad identitet. Den här metoden stöds för de flesta Azure-tjänster, inklusive appar som finns i Azure App Service, Azure Container Apps och Azure Virtual Machines. Upptäck mer om olika autentiseringstekniker och metoder på -autentiseringsöversikten sidan. I de kommande avsnitten får du lära dig:

• Grundläggande begrepp för hanterad identitet
• Så här skapar du en systemtilldelad hanterad identitet för din app
• Tilldela roller till den systemtilldelade hanterade identiteten
• Så här autentiserar du med den systemtilldelade hanterade identiteten från din applikationskod

Grundläggande begrepp för hanterad identitet

Med en hanterad identitet kan din app på ett säkert sätt ansluta till andra Azure-resurser utan att använda hemliga nycklar eller andra programhemligheter. Internt spårar Azure identiteten och vilka resurser den tillåts ansluta till. Azure använder den här informationen för att automatiskt hämta Microsoft Entra-token för appen så att den kan ansluta till andra Azure-resurser.

Det finns två typer av hanterade identiteter att tänka på när du konfigurerar din värdbaserade app:

• Systemtilldelade hanterade identiteter aktiveras direkt på en Azure-resurs och är knutna till dess livscykel. När resursen tas bort tar Azure automatiskt bort identiteten åt dig. Systemtilldelade identiteter ger en minimalistisk metod för att använda hanterade identiteter.
• Användartilldelade hanterade identiteter skapas som fristående Azure-resurser och ger större flexibilitet och funktioner. De är idealiska för lösningar som omfattar flera Azure-resurser som behöver dela samma identitet och behörigheter. Om till exempel flera virtuella datorer behöver komma åt samma uppsättning Azure-resurser, ger en användartilldelad hanterad identitet återanvändning och optimerad hantering.

Tips

Läs mer om att välja och hantera systemtilldelade hanterade identiteter och användartilldelade hanterade identiteter i artikeln Rekommenderade metoder för hanterad identitet artikeln.

I de kommande avsnitten beskrivs stegen för att aktivera och använda en systemtilldelad hanterad identitet för en Azure-värdbaserad app. Om du behöver använda en användartilldelad hanterad identitet går du till artikeln användartilldelade hanterade identiteter för mer information.

Aktivera en systemtilldelad hanterad identitet på Azurevärdresursen

För att komma igång med en systemtilldelad hanterad identitet med din app aktiverar du identiteten på den Azure-resurs som är värd för din app, till exempel en Azure App Service, Azure Container App eller Azure Virtual Machine.

Du kan aktivera en systemtilldelad hanterad identitet för en Azure-resurs med hjälp av antingen Azure-portalen eller Azure CLI.

Azure-portalen

1. I Azure-portalen navigerar du till resursen som är värd för din programkod, till exempel en Azure App Service- eller Azure Container App-instans.

2. På resursens översiktssida expanderar du Inställningar och väljer Identitet i navigationsmenyn.

3. På sidan Identity kan du dra skjutreglaget Status till läge På.

4. Välj Spara för att tillämpa ändringarna.

   

Azure CLI

Azure CLI-kommandon kan köras i Azure Cloud Shell- eller på en arbetsstation med Azure CLI installerat.

De Azure CLI-kommandon som används för att aktivera hanterad identitet för en Azure-resurs är av formuläret az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Specifika kommandon för populära Azure-tjänster visas nedan.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Virtuell Azure-dator:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Utdata liknar följande:

{
  "principalId": "99999999-9999-9999-9999-999999999999",
  "tenantId": "33333333-3333-3333-3333-333333333333",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

Värdet principalId är det unika ID:t för den hanterade identiteten. Behåll en kopia av dessa utdata eftersom du behöver dessa värden i nästa steg.

Tilldela roller till den hanterade identiteten

Bestäm sedan vilka roller din app behöver och tilldela dessa roller till den hanterade identiteten. Du kan tilldela roller till en hanterad identitet i följande omfång:

• Resurs: De tilldelade rollerna gäller endast för den specifika resursen.
• Resursgrupp: De tilldelade rollerna gäller för alla resurser i resursgruppen.
• Prenumeration: De tilldelade rollerna gäller för alla resurser i prenumerationen.

I följande exempel visas hur du tilldelar roller i resursgruppens omfång, eftersom många appar hanterar alla sina relaterade Azure-resurser med hjälp av en enda resursgrupp.

Azure-portalen

1. Gå till sidan Översikt i resursgruppen som innehåller appen med den systemtilldelade hanterade identiteten.

2. Välj åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

3. På sidan Åtkomstkontroll (IAM) väljer du + Lägg till på den översta menyn och väljer sedan Lägg till rolltilldelning för att gå till sidan Lägg till rolltilldelning.

   

4. Sidan Lägg till rolltilldelning visar ett flikarat arbetsflöde i flera steg för att tilldela roller till identiteter. På den första fliken Roll använder du sökrutan längst upp för att hitta den roll som du vill tilldela identiteten.

5. Välj rollen i resultatet och välj sedan Nästa för att flytta till fliken Medlemmar.

6. För alternativet Tilldela åtkomst till väljer du Hanterad identitet.

7. För alternativet Medlemmar väljer du + Välj medlemmar för att öppna panelen Välj hanterade identiteter.

8. I panelen Välj hanterade identiteter använder du listrutorna Prenumeration och Hanterad identitet för att filtrera sökresultaten efter dina identiteter. Använd sökrutan Välj för att hitta systemidentiteten som du har aktiverat för Azure-resursen som är värd för din app.

   

9. Välj identiteten och välj Välj längst ned i panelen för att fortsätta.

10. Välj Granska + tilldela längst ned på sidan.

11. På den sista fliken Granska + tilldela väljer du Granska + tilldela för att slutföra arbetsflödet.

Azure CLI

En hanterad identitet tilldelas en roll i Azure med hjälp av kommandot az role assignment create:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Om du vill hämta rollnamnen som ett huvudnamn för tjänsten kan tilldelas till använder du kommandot az role definition list:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Om du till exempel vill tillåta den hanterade identiteten med ID:t för 99999999-9999-9999-9999-999999999999 läsa, skriva och ta bort åtkomst till Azure Storage-blobcontainrar och data till alla lagringskonton i msdocs-dotnet-sdk-auth-example resursgrupp tilldelar du programtjänstens huvudnamn till Storage Blob Data Contributor roll med hjälp av följande kommando:

az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"

Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i artikeln Tilldela Azure-roller med hjälp av Azure CLI-.

Implementera DefaultAzureCredential i ditt program

DefaultAzureCredential är en åsiktsbaserad, ordnad sekvens med mekanismer för autentisering till Microsoft Entra-ID. Varje autentiseringsmekanism är en klass som härleds från klassen TokenCredential och kallas autentiseringsuppgifter. Vid körning försöker DefaultAzureCredential autentisera med hjälp av den första autentiseringsuppgiften. Om det inte går att hämta en åtkomsttoken prövas nästa autentisering i sekvensen och så vidare, tills en åtkomsttoken hämtas. På så sätt kan din app använda olika autentiseringsuppgifter i olika miljöer utan att skriva miljöspecifik kod.

Om du vill använda DefaultAzureCredentiallägger du till Azure.Identity- och eventuellt paketen Microsoft.Extensions.Azure i ditt program:

kommandorad

I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet Package Manager

Högerklicka på projektet i Solution Explorer i Visual Studio och välj Hantera NuGet-paket. Sök efter Azure.Identityoch installera matchande paket. Upprepa den här processen för paketet Microsoft.Extensions.Azure.

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. Dessa klasser och dina egna anpassade tjänster bör registreras så att de kan nås via beroendeinmatning i hela appen. I Program.csutför du följande steg för att registrera en klientklass och DefaultAzureCredential:

1. Inkludera namnrymderna Azure.Identity och Microsoft.Extensions.Azure via using direktiv.
2. Registrera Azure-tjänstklienten med motsvarande Add-prefixed extension-metod.
3. Skicka en instans av DefaultAzureCredential till metoden UseCredential.

Till exempel:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Ett alternativ till UseCredential är att instansiera DefaultAzureCredential direkt:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

När föregående kod körs på din lokala utvecklingsarbetsstation letar den i miljövariablerna efter ett huvudnamn för programtjänsten eller lokalt installerade utvecklarverktyg, till exempel Visual Studio, för en uppsättning autentiseringsuppgifter för utvecklare. Endera metoden kan användas för att autentisera appen till Azure-resurser under lokal utveckling.

När den distribueras till Azure kan samma kod även autentisera din app till andra Azure-resurser. DefaultAzureCredential kan hämta miljöinställningar och hanterade identitetskonfigurationer för att autentisera till andra tjänster automatiskt.