向其他 Azure 资源验证 Azure 托管应用的建议方法是使用 托管标识。 大多数 Azure 服务 都支持此方法,包括 Azure 应用服务、Azure 容器应用和 Azure 虚拟机上托管的应用。 在 身份验证概述 页上详细了解不同的身份验证技术和方法。 在前面的部分中,你将了解:
- 基本托管标识概念
- 如何为应用创建用户分配的托管标识
- 如何为用户分配的托管标识分配角色
- 如何通过应用代码使用用户分配的托管标识进行身份验证
基本托管标识概念
托管标识使应用能够安全地连接到其他 Azure 资源,而无需使用密钥或其他应用程序机密。 在内部,Azure 会跟踪身份以及其被允许连接的资源。 Azure 使用此信息自动获取应用的 Microsoft Entra 令牌,以允许它连接到其他 Azure 资源。
配置托管应用时,需要考虑两种类型的托管标识:
- 系统分配的托管身份是在 Azure 资源上直接启用的,并绑定于其生命周期。 当资源被删除时,Azure 会自动为你删除标识。 系统分配的标识提供了使用托管标识的极简方法。
- 用户分配的 托管标识作为独立的 Azure 资源创建,提供更高的灵活性和更多的功能。 它们非常适合涉及多个需要共享相同标识和权限的 Azure 资源的解决方案。 例如,如果多个虚拟机需要访问同一组 Azure 资源,则用户分配的托管标识可提供可重用性和优化管理。
小窍门
在托管标识 最佳做法建议 文章中,详细了解如何选择和管理系统分配的托管标识和用户分配的托管标识。
前面的部分介绍了为 Azure 托管应用启用和使用用户分配的托管标识的步骤。 如果需要使用系统分配的托管标识,请访问 系统分配的托管标识 文章了解详细信息。
创建用户分配的托管标识
用户分配的托管标识是使用 Azure 门户或 Azure CLI 在 Azure 订阅中作为独立资源创建的。 Azure CLI 命令可以在 Azure Cloud Shell 中或是安装了 Azure CLI 的工作站上运行。
在 Azure 门户中,在主搜索栏中输入 托管标识 ,并在 “服务 ”部分下选择匹配结果。
在托管标识页面上,选择+ 创建。
在“ 创建用户分配的托管标识 ”页上,为用户分配的托管标识选择订阅、资源组和区域,然后提供名称。
选择 “审阅 + 创建 ”以查看并验证输入。
选择“ 创建 ”以创建用户分配的托管标识。
创建标识后,选择“ 转到资源”。
在新标识的 “概述 ”页上,复制 客户端 ID 值,以便在以后配置应用程序代码时使用。
将托管身份标识分配给您的应用程序
用户分配的托管标识可以与一个或多个 Azure 资源相关联。 使用该标识的所有资源都通过该标识的角色获得应用的权限。
在 Azure 门户中,导航到托管应用代码的资源,例如 Azure 应用服务或 Azure 容器应用实例。
在资源的 概述 页中,展开 设置,并从导航菜单中选择 身份。
在“标识”页上,切换到“用户分配”选项卡。
选择 “+ 添加” 以打开 “添加用户分配的托管标识 ”面板。
在 添加用户分派管理身份 面板中,使用 订阅 下拉列表筛选身份的搜索结果。 使用 “用户分配的托管标识 ”搜索框查找为托管应用的 Azure 资源启用的用户分配托管标识。
选择标识,然后选择面板底部的 “添加” 以继续。
为托管标识分配角色
接下来,确定应用需要哪些角色并将这些角色分配给托管标识。 你可以为托管标识分配以下范围内的角色:
- 资源:分配的角色仅适用于该特定资源。
- 资源组:分配的角色适用于资源组中包含的所有资源。
- 订阅:被分配的角色适用于订阅中包含的所有资源。
以下示例演示如何在资源组范围内分配角色,因为许多应用使用单个资源组管理其所有相关的 Azure 资源。
导航到包含具有用户分配托管标识的应用的资源组的 “概述 ”页。
在左侧导航栏中,选择“访问控制(IAM)”。
在 访问控制(IAM) 页上,选择顶部菜单上的 + 添加,然后选择 添加角色分配 导航到 添加角色分配 页。
“添加角色分配”页展示了一个分步骤的选项卡式工作流程,用于将角色分配给标识。 在初始“角色”选项卡上,使用顶部的搜索框来定位你想要分配给标识的角色。
从结果中选择角色,然后选择 “下一步” 以进入“成员”选项卡。
对于“将访问权限分配到”选项,请选择“托管标识”。
对于“成员”选项,请选择“+ 选择成员”,以打开“选择托管标识”面板。
在 选择托管标识 面板中,使用 订阅 和 托管标识 下拉列表来筛选标识的搜索结果。 使用选择搜索框查找为托管应用的 Azure 资源启用的用户分配的托管标识。
选择标识,并在面板底部选择选择以继续。
选择页面底部的“查看 + 分配”。
在最终的 审阅 + 分配 选项卡中,选择 审阅 + 分配 以完成整个工作流程。
从应用向 Azure 服务进行身份验证
Azure 标识库提供了各种凭据— TokenCredential 的实现适用于支持不同方案和 Microsoft Entra 身份验证流。 由于托管标识在本地运行时不可用,因此后续步骤演示了在哪种方案中要使用的凭据:
-
本地开发环境:在仅本地开发期间,请使用名为 defaultAzureCredential 的类,以获取敏捷的预配置凭据链。
DefaultAzureCredential从本地工具或 IDE(例如 Azure CLI 或 Visual Studio)发现用户凭据。 它还为重试、响应等待时间以及支持多个身份验证选项提供了灵活性和便利。 访问 本地开发期间对 Azure 服务的身份验证 文章以了解详细信息。 - Azure 托管的应用:在 Azure 中运行应用时,请使用 ManagedIdentityCredential 安全地发现为应用配置的托管标识。 指定这种确切类型的凭据可防止意外地获取其他可用凭据。
实现代码
添加 Azure.Identity 包。 在 ASP.NET Core 项目中,还安装 Microsoft.Extensions.Azure 包:
在所选终端中,导航到应用程序项目目录并运行以下命令:
dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure
Azure 服务使用各种 Azure SDK 客户端库中的专用客户端类进行访问。 应注册这些类和你自己的自定义服务进行依赖项注入,以便在整个应用中使用它们。 在 Program.cs中,完成以下步骤,为依赖项注入和基于令牌的身份验证配置客户端类:
- 通过
Azure.Identity指令包括Microsoft.Extensions.Azure和using命名空间。 - 使用相应的
Add前缀扩展方法注册 Azure 服务客户端。 - 对运行应用的环境使用适当的
TokenCredential实例。 应用运行时:- 在 Azure 中,将方法的
ManagedIdentityCredential实例传递给UseCredential该方法,并配置客户端 ID、资源 ID 或对象 ID。ManagedIdentityCredential发现托管标识配置以自动向其他服务进行身份验证。 - 在你的本地开发计算机上,会为你创建一个
DefaultAzureCredential实例。 仅当想要DefaultAzureCredential或使用其他凭据时调用。DefaultAzureCredential在应用程序服务主体的环境变量或本地安装的开发人员工具(如 Visual Studio)中查找开发人员凭据。
- 在 Azure 中,将方法的
客户端 ID 用于在配置需要使用该标识进行身份验证的应用程序或服务时标识托管标识。
使用以下命令检索分配给用户分配的托管身份的客户端 ID:
az identity show \ --resource-group <resource-group-name> \ --name <identity-name> \ --query 'clientId'将
ManagedIdentityCredential配置为客户端 ID:builder.Services.AddAzureClients(clientBuilder => { clientBuilder.AddBlobServiceClient( new Uri("https://<account-name>.blob.core.windows.net")); if (builder.Environment.IsProduction() || builder.Environment.IsStaging()) { // Managed identity token credential discovered when running in Azure environments ManagedIdentityCredential credential = new( ManagedIdentityId.FromUserAssignedClientId("<client-id>")); clientBuilder.UseCredential(credential); } });
