使用使用者指派的受控識別向 Azure 資源驗證 Azure 裝載的 .NET 應用程式

向其他 Azure 資源驗證 Azure 裝載應用程式的建議方法是使用受控識別。此方法支援大部分的 Azure 服務，包括裝載在 Azure App Service、Azure Container Apps 和 Azure 虛擬機上的應用程式。在驗證概覽頁面上瞭解更多不同的驗證技術和方法。在接下來的各節中，您將瞭解：

基本受控識別概念
如何為您的應用程式建立使用者指派的受控識別
如何將角色指派給使用者指定的受管理識別
如何從應用程式程式代碼使用使用者指派的受控識別進行驗證

基本受控識別概念

受控識別可讓您的應用程式安全地連線到其他 Azure 資源，而不需要使用秘密金鑰或其他應用程式秘密。在內部，Azure 會追蹤身分識別，以及允許其連線的資源。 Azure 會使用這項資訊自動取得應用程式Microsoft Entra 令牌，以允許它連線到其他 Azure 資源。

設定載入的應用程式時，需要考慮兩種類型的受控識別：

系統指派 受控識別直接在 Azure 資源上啟用，並且與其生命週期緊密結合。刪除資源時，Azure 會自動為您刪除身分識別。系統指派的身分識別提供使用受控識別的極簡方法。
使用者指派 受控識別會建立為獨立的 Azure 資源，並提供更大的彈性和功能。其適用於涉及多個需要共用相同身分識別和許可權之 Azure 資源的解決方案。例如，如果多個虛擬機需要存取同一組 Azure 資源，則使用者指派的受控識別可提供重複使用性和優化管理。

提示

若要深入瞭解如何選取和管理系統指派的受控識別和使用者指派的受控識別，請參閱受控識別最佳做法建議一文。

前面的各節說明為 Azure 裝載的應用程式啟用和使用使用者指派的受控識別的步驟。如果您需要使用系統指派的受控識別，請造訪系統指派的受控識別一文以取得詳細資訊。

建立使用者指定的受控身分識別

使用者指派的受控識別會使用 Azure 入口網站或 Azure CLI，在您的 Azure 訂用帳戶中建立為獨立資源。 Azure CLI 命令可以在 Azure Cloud Shell 或已安裝 Azure CLI 的工作站上執行。

Azure 入口網站
Azure CLI

在 Azure 入口網站中，在主要搜尋列中輸入 受控識別，然後選取 [Services] 區段底下的相符結果。
在 [受控識別] 頁面上，選取 [+ 建立]。
在 [建立使用者指派的受控識別 頁面上，選取使用者指派受控識別的訂用帳戶、資源群組和區域，然後提供名稱。
選取 [檢閱 + 建立]，以檢閱和驗證您的輸入。
選取 [建立]，以建立使用者指派的受控識別。
建立身份之後，選擇 移至資源。
在新身分識別的 [概觀] 頁面上，複製 用戶端標識碼 值，以供稍後設定應用程式程式代碼時使用。

使用 Azure CLI 命令 az identity create 來建立受控識別：

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

命令輸出會列印所建立使用者指派受控識別的用戶端標識碼。用戶端識別碼可用來設定依賴身分識別的應用程式程式碼。

您可以使用 az identity show 命令再次檢視受控識別屬性：

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

將受控識別指派給您的應用程式

使用者指派的受控識別可以與一或多個 Azure 資源相關聯。使用該身分識別的所有資源都會獲得透過身分識別角色授予的權限。

Azure 入口網站
Azure CLI

在 Azure 入口網站中，瀏覽至裝載應用程式程式代碼的資源，例如 Azure App Service 或 Azure Container App 實例。
從資源的 [概觀] 頁面中，展開 [[設定]，然後從導覽中選取 [身分識別]。
在 [身分識別] 頁面上，切換至 [使用者指派] 索引標籤。
選取 + 新增 以開啟 新增使用者指派的受控識別 面板。
在 [新增使用者指定的受控身份 面板上，使用 [訂用帳戶] 下拉式清單來篩選您的身份搜尋結果。使用 [使用者指派的受控識別 搜尋方塊，找出您為裝載應用程式的 Azure 資源啟用的使用者指派受控識別。
選取身分識別，然後在面板底部選擇 [新增] 以繼續。

Azure CLI 提供不同的命令，將使用者指派的受控識別指派給不同類型的裝載服務。

若要使用 Azure CLI 將使用者指派的受控識別指派給 Azure App Service Web 應用程式等資源，您需要身分識別的資源識別碼。使用 az identity show 命令來擷取資源識別碼：
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query id
```

擁有資源標識符之後，請使用 Azure CLI 命令 az <resourceType> identity assign 命令，將使用者指派的受控識別與不同的資源產生關聯，例如：

針對 Azure App Service，請使用 Azure CLI 命令 az webapp identity assign：

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <user-assigned-identity-resource-id>

針對 Azure Container Apps，請使用 Azure CLI 命令 az containerapp identity assign：

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --identities <user-assigned-identity-resource-id>

針對 Azure 虛擬機器，請使用 Azure CLI 命令 az vm identity assign：

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --identities <user-assigned-identity-resource-id>

將角色指派給管理的身分識別

接下來，判斷您的應用程式需要哪些角色，並將這些角色指派給受控識別。您可以在下列範圍將角色指派給受控識別：

資源：指派的角色僅適用於該特定資源。
資源群組：指派的角色會套用至資源群組中包含的所有資源。
訂用帳戶：指派的角色會套用至訂用帳戶中包含的所有資源。

下列範例示範如何在資源群組範圍指派角色，因為許多應用程式都會使用單一資源群組來管理其所有相關的 Azure 資源。

Azure 入口網站
Azure CLI

流覽至資源群組的 [概觀] 頁面，其中包含具有使用者指派受控識別的應用程式。
選取左側導航列的存取控制（IAM）。
在 [存取控制（IAM）] 頁面上，選取頂端功能表上的 [+ 新增]，然後選擇 [新增角色指派] 導覽至 [新增角色指派] 頁面。
[新增角色指派] 頁面會顯示選項卡格式的多步驟流程，以將角色指派給身份。在 [初始角色] 標籤頁上，使用上方的搜尋框來找到您想要指派給身份的角色。
從結果中選取角色，然後選擇 [下一步] 以移至 [成員] 標籤。
針對 [[指派存取權給] 選項，選取 [受控識別]。
針對 [成員] 選項，選擇 [+ 選取成員] 以開啟 [選取受控識別] 面板。
在 [選取受控識別 面板上，使用 [訂用帳戶] 和 [受控識別] 下拉式清單來篩選您身分識別的搜尋結果。使用選擇搜尋方塊，以搜尋您為託管應用程式的 Azure 資源啟用的使用者分配的受控身分識別。
選取身分識別，然後在面板底部選擇選取以繼續。
在頁面底部選取 檢閱，然後分配。
在最後一個 [檢閱 + 指派] 索引標籤上，選取 [檢閱 + 指派]，以完成工作流程。

若要使用 Azure CLI 將角色指派給使用者指派的受控識別，您需要身分識別的主體標識碼。使用 az identity show 命令來擷取主體識別碼：
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query principalId
```

使用 az role definition list 命令來查看受控識別可以被指派哪些角色：

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

使用 az role assignment create 命令，將角色指派給受控身份：
```
az role assignment create \
    --assignee <your-principal-id> \
    --role <role-name> \
    --scope <scope>
```
例如，若要允許受控識別（其 ID 為 99999999-9999-9999-9999-999999999999）對 Azure 儲存體 Blob 容器及 msdocs-dotnet-sdk-auth-example 資源群組中的所有儲存體帳戶擁有讀取、寫入和刪除的權限，請使用下列命令將應用程式服務主體指派給 儲存體 Blob 資料參與者 角色：
```
az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"
```

如需使用 Azure CLI 在資源或訂用帳戶層級指派許可權的相關信息，請參閱使用 Azure CLI指派 Azure 角色一文。

從您的應用程式向 Azure 服務進行驗證

Azure 身分識別程式庫提供各種認證的實作，並根據不同的案例調整，以支援 Microsoft Entra 驗證流程。由於在本機執行時無法使用受控身分識別，後續步驟會示範應該在什麼情況下使用哪種認證：

本機開發環境：只在本機開發時，請使用名為 DefaultAzureCredential 的類別，以便使用預先配置且有意見的認證鏈。 DefaultAzureCredential 會從本機工具或 IDE 探索使用者認證，例如 Azure CLI 或 Visual Studio。它也提供重試的彈性和便利性、回應等候時間，以及支援多個驗證選項。若要了解更多資訊，請瀏覽本機開發期間對 Azure 服務進行驗證的文章。
Azure 裝載的應用程式：當您的應用程式在 Azure 中執行時，請使用 ManagedIdentityCredential 安全地探索為應用程式設定的受控識別。指定這種精確的認證類型可防止意外使用其他可用的認證。

實作程序代碼

新增 Azure.Identity 套件。在 ASP.NET Core 專案中，也安裝 Microsoft.Extensions.Azure 套件：

指令列
NuGet 套件管理員

在您選擇的終端機中，瀏覽至應用程式項目目錄，然後執行下列命令：

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure 服務是使用來自各種 Azure SDK 用戶端連結庫的特殊客戶端類別來存取。這些類別和您自己的自定義服務應該註冊為相依性插入，以便在整個應用程式中使用它們。在 Program.cs中，完成下列步驟來設定用戶端類別以進行相依性插入和令牌型驗證：

透過 Azure.Identity 指令包含 Microsoft.Extensions.Azure 和 using 命名空間。
使用對應的 Add前置擴充方法註冊 Azure 服務用戶端。
針對應用程式執行的環境使用適當的 TokenCredential 執行個體。當您的應用程式執行時：
- 在 Azure 中，將的 ManagedIdentityCredential 實例傳遞至 UseCredential 方法，並設定用戶端識別碼、資源識別碼或物件識別碼。 ManagedIdentityCredential 探索您的受控識別設定，以自動向其他服務進行驗證。
- 在您的本機開發機器上，會為您建立DefaultAzureCredential實例。只有在您想要調用UseCredential以自訂DefaultAzureCredential或使用其他認證時，才使用。 DefaultAzureCredential 在環境變數中尋找應用程式服務主體，或在本機安裝的開發人員工具（例如 Visual Studio）中尋找一組開發人員認證。

在設定需要使用該身分識別進行驗證的應用程式或服務時，用戶端標識碼可用來識別受控識別。

使用下列命令擷取指派給使用者指派受控識別的用戶端識別碼：

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId'

使用客戶識別碼配置 ManagedIdentityCredential：

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
    {
        // Managed identity token credential discovered when running in Azure environments
        ManagedIdentityCredential credential = new(
            ManagedIdentityId.FromUserAssignedClientId("<client-id>"));
        clientBuilder.UseCredential(credential);
    } 
});

資源標識符會使用下列結構，唯一識別 Azure 訂用帳戶內的受控識別資源：

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

資源標識碼可以透過慣例來建置，這可讓您在環境中使用大量使用者指派的受控識別時更方便。

使用下列命令擷取使用者指派受控識別的資源識別碼：

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'id'

使用資源識別碼設定 ManagedIdentityCredential：

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
    {
        // Managed identity token credential discovered when running in Azure environments
        ManagedIdentityCredential credential = new(
            ManagedIdentityId.FromUserAssignedResourceId(new ResourceIdentifier("<resource-id>")));
        clientBuilder.UseCredential(credential);
    }
});

主體標識碼是物件標識碼的另一個名稱。

使用下列命令擷取使用者指派受控識別的物件識別碼：

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'principalId'

使用物件識別碼設定 ManagedIdentityCredential：

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
        
    if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
    {
        // Managed identity token credential discovered when running in Azure environments
        ManagedIdentityCredential credential = new(
            ManagedIdentityId.FromUserAssignedObjectId("<object-id>"));
        clientBuilder.UseCredential(credential);
    }
});

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-11-11