使用適用於 JavaScript 的 Azure SDK 向 Azure 資源驗證 Azure 裝載的應用程式
在 Azure 中裝載應用程式時(使用像是 Azure App 服務、Azure 虛擬機器 或 Azure 容器執行個體 等服務),向 Azure 資源驗證應用程式的建議方法是使用受控識別。
受控識別會為您的應用程式提供身分識別,讓您的應用程式連線到其他 Azure 資源,而不需要使用秘密(例如密鑰 連接字串)。 在內部,Azure 知道您應用程式的身分識別,及其能夠連線至哪些資源。 Azure 會使用這項資訊自動取得應用程式Microsoft Entra 令牌,以允許它連線到其他 Azure 資源,而不需要管理(建立或輪替)驗證秘密。
受控識別類型
受控身分識別有兩種:
- 系統指派的受控識別 - 單一 Azure 資源
- 使用者指派的受控識別 - 多個 Azure 資源
本文涵蓋為應用程式啟用和使用系統指派受控識別的步驟。 如果您需要使用由使用者指派的受控識別,請參閱管理使用者指派的受控識別一文,以了解如何建立使用者指派的受控識別。
單一資源的系統指派受控識別
系統指派的受控識別是由 提供並直接系結至 Azure 資源。 當您在 Azure 資源上啟用受控識別時,您會取得系統為該資源指派的受控識別。 它會系結至 Azure 資源的生命週期。 因此,當刪除資源時,Azure 會自動為您刪除身分識別。 您只需要為裝載程式碼的 Azure 資源啟用受控識別即可,因此,這可說是最容易使用的受控識別類型。
多個資源的使用者指派受控識別
從概念上講,此身分識別是獨立的 Azure 資源。 您的解決方案有多個工作負載執行於多個 Azure 資源上,且這些資源全都需要共用相同的身分識別和相同的權限時,最常用到此身分識別。 例如,如果您的解決方案具有在多個 App Service 和虛擬機實例上執行的元件,而且它們都需要存取同一組 Azure 資源,跨這些資源建立和使用使用者指派的受控識別會有意義。
1 - 系統指派:在託管應用程式中啟用
第一個步驟是在裝載應用程式的 Azure 資源上啟用受控識別。 例如,如果您使用 Azure App 服務 裝載 Django 應用程式,則必須為該 App Service Web 應用程式啟用受控識別。 如果您使用虛擬機器來裝載您的應用程式,則應讓 VM 能夠使用受控識別。
您可以使用 Azure 入口網站或 Azure CLI,讓受控識別用於 Azure 資源。
| 指示 | Screenshot |
|---|---|
| 在 Azure 入口網站中瀏覽至裝載應用程式程式碼的資源。 例如,您可以在頁面頂端的搜尋方塊中輸入資源的名稱,並在對話方塊中加以選取,以瀏覽至該資源。 |
|
| 在資源的頁面上,從左側功能表中選取 [身分識別] 功能表項目。 所有能夠支援受控識別的 Azure 資源都會有 [身分識別] 功能表項目,即便功能表的配置可能稍有不同。 |
![螢幕擷取畫面顯示 [身分識別] 功能表項目在 Azure 資源左側功能表中的位置。](../../../includes/media/sdk-auth-passwordless/enable-managed-identity-azure-portal-2.png#lightbox)
|
在 [身分識別] 頁面上:
|
![螢幕擷取畫面顯示如何在資源的 [身分識別] 頁面上啟用 Azure 資源的受控識別。](../../../includes/media/sdk-auth-passwordless/enable-managed-identity-azure-portal-3.png#lightbox)
|
2 - 將角色指派給受控識別
接下來,您必須判斷應用程式需要哪些角色 (權限),並將受控識別指派給 Azure 中的這些角色。 受控識別可以在資源、資源群組或訂閱範圍獲派角色。 此範例示範如何在資源群組範圍中指派角色,因為大部分的應用程式都會將其所有 Azure 資源群組組成單一資源群組。
| 指示 | Screenshot |
|---|---|
| 用 Azure 入口網站頂端的搜尋方塊,搜尋資源群組的名稱,藉此找出應用程式的資源群組。 選取對話方塊中 資源群組 標題下方的資源群組名稱,瀏覽至您的資源群組。 |
|
| 在資源群組分頁中,從左側功能表選取 存取控制 (IAM)。 | 
|
在 存取控制 (IAM) 分頁上:
|
|
新增角色指派 分頁列出所有可指派至資源群組之角色的清單。
|
|
下一個 新增角色指派 分頁能讓您指定要指派角色的使用者。
|
![螢幕擷取畫面顯示如何在 [新增角色指派] 頁面上選取受控識別,作為您要指派角色 (權限) 的使用者類型。](../../../includes/media/sdk-auth-passwordless/assign-managed-identity-to-role-azure-portal-5.png#lightbox)
|
在 [選取受控識別] 對話方塊中:
|
![螢幕擷取畫面顯示如何使用 [選取受控識別] 對話方塊來篩選及選取要獲派角色的受控識別。](../../../includes/media/sdk-auth-passwordless/assign-managed-identity-to-role-azure-portal-6.png#lightbox)
|
| 受控識別會在 [ 新增角色指派 ] 畫面上顯示為已選取。 選取 [檢閱 + 指派] 移至最終分頁,然後再次選取 [檢閱 + 指派] 完成此流程。 |
![螢幕擷取畫面顯示最終的 [新增角色指派] 畫面,使用者必須在此選取 [檢閱 + 指派] 按鈕以完成角色指派。](../../../includes/media/sdk-auth-passwordless/assign-managed-identity-to-role-azure-portal-7.png#lightbox)
|
3 - 在應用程式中實作 DefaultAzureCredential
類別 DefaultAzureCredential 會自動偵測正在使用受控識別,並使用受控識別向其他 Azure 資源進行驗證。 如 Azure SDK for JavaScript 驗證概觀一文所述,支援多個驗證方法,DefaultAzureCredential並判斷運行時間所使用的驗證方法。 因此,您的應用程式可在相異的環境中使用不同的驗證方法,無須實作環境特定程式碼。
首先,將 @azure/身分 識別套件新增至您的應用程式。
npm install @azure/identity
接下來,針對在應用程式中建立 Azure SDK 用戶端物件的任何 JavaScript 程式代碼,您想要:
- 從模組匯入
DefaultAzureCredential@azure/identity類別。 - 建立
DefaultAzureCredential物件。 - 將
DefaultAzureCredential對象傳遞至 Azure SDK 用戶端物件建構函式。
下列程式碼區段示範其中一種範例。
// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'
const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');
const blobServiceClient = new BlobServiceClient(
`https://${accountName}.blob.core.windows.net`,
new DefaultAzureCredential()
);
在本機開發期間於本機工作站上執行上述程式代碼時,SDK 方法 DefaultAzureCredential()會查看應用程式服務主體的環境變數,或查看 VS Code、Azure CLI 或 Azure PowerShell 中的一組開發人員認證,其中任一項可用來在本機開發期間向 Azure 資源驗證應用程式。 如此一來,這個相同的程式代碼可用來在本機開發期間和部署至 Azure 時,向 Azure 資源驗證您的應用程式。