Použití spravovaných identit pro přístup ke službě App Configuration

  • Článek

Spravované identity Microsoft Entra zjednodušují správu tajných kódů pro vaši cloudovou aplikaci. Se spravovanou identitou může váš kód použít instanční objekt vytvořený pro službu Azure, na které běží. Spravovanou identitu použijete místo samostatných přihlašovacích údajů uložených ve službě Azure Key Vault nebo místní připojovací řetězec.

Aplikace Azure Konfigurace a klientské knihovny .NET, .NET Framework a Java Spring mají integrovanou podporu spravovaných identit. I když ji nepotřebujete používat, spravovaná identita eliminuje potřebu přístupového tokenu, který obsahuje tajné kódy. Váš kód má přístup ke službě App Configuration Store pouze pomocí koncového bodu služby. Tuto adresu URL můžete vložit přímo do kódu, aniž byste museli vystavit žádný tajný kód.

Tento článek ukazuje, jak můžete využít výhod spravované identity pro přístup ke službě App Configuration. Vychází z webové aplikace představené v rychlých startech. Než budete pokračovat, nejprve vytvořte aplikaci ASP.NET Core s konfigurací aplikace.

Tento článek ukazuje, jak můžete využít výhod spravované identity pro přístup ke službě App Configuration. Vychází z webové aplikace představené v rychlých startech. Než budete pokračovat, nejprve vytvořte aplikaci Java Spring s konfigurací Aplikace Azure.

Důležité

Spravovanou identitu nejde použít k ověřování místně spuštěných aplikací. Vaše aplikace se musí nasadit do služby Azure, která podporuje spravovanou identitu. Tento článek používá jako příklad službu Aplikace Azure Service. Stejný koncept se ale vztahuje na jakoukoli jinou službu Azure, která podporuje spravovanou identitu. Například Azure Kubernetes Service, Azure Virtual Machine a Azure Container Instances. Pokud je vaše úloha hostovaná v některé z těchto služeb, můžete využít také podporu spravované identity služby.

Kroky v tomto kurzu můžete provést pomocí libovolného editoru kódu. Visual Studio Code je vynikající volbou na platformách Windows, macOS a Linux.

V tomto článku získáte informace o těchto tématech:

  • Udělte spravované identitě přístup ke službě App Configuration.
  • Nakonfigurujte aplikaci tak, aby při připojování ke službě App Configuration používala spravovanou identitu.

Požadavky

K dokončení tohoto kurzu potřebujete:

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

Přidání spravované identity

Pokud chcete na portálu nastavit spravovanou identitu, nejprve vytvoříte aplikaci a pak tuto funkci povolíte.

  1. Přístup k prostředku App Services na webu Azure Portal Pokud nemáte existující prostředek služby App Services, který byste mohli použít, vytvořte ho.

  2. Posuňte se dolů ke skupině Nastavení v levém podokně a vyberte Možnost Identita.

  3. Na kartě Přiřazený systém přepněte stav na Zapnuto a vyberte Uložit.

  4. Po zobrazení výzvy odpovězte ano a zapněte spravovanou identitu přiřazenou systémem.

    Screenshot of how to add a managed identity in App Service.

Udělení přístupu ke službě App Configuration

Následující kroky popisují, jak přiřadit roli Čtenář dat konfigurace aplikace ke službě App Service. Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

  1. Na webu Azure Portal vyberte obchod App Configuration Store.

  2. Vyberte Řízení přístupu (IAM) .

  3. Vyberte Přidat>Přidat přiřazení role.

    Screenshot that shows the Access control (IAM) page with Add role assignment menu open.

    Pokud nemáte oprávnění k přiřazování rolí, bude možnost Přidat přiřazení role zakázaná. Další informace najdete v tématu Předdefinované role v Azure.

  4. Na kartě Role vyberte roli Čtenář dat konfigurace aplikace a pak vyberte Další.

    Screenshot that shows the Add role assignment page with Role tab selected.

  5. Na kartě Členové vyberte Spravovaná identita a pak vyberte Vybrat členy.

    Screenshot that shows the Add role assignment page with Members tab selected.

  6. Vyberte své předplatné Azure, jako spravovanou identitu vyberte App Service a pak vyberte název vaší služby App Service.

    Screenshot that shows the select managed identities page.

  7. Na kartě Zkontrolovat a přiřadit vyberte možnost Zkontrolovat a přiřadit a přiřaďte roli.

Použití spravované identity

  1. Přidejte odkaz na Azure.Identity balíček:

    dotnet add package Azure.Identity

  2. Najděte koncový bod do obchodu App Configuration. Tato adresa URL je uvedená na kartě Přístupové klávesy pro store na webu Azure Portal.

  3. Otevřete soubor appsettings.json a přidejte následující skript. Nahraďte <service_endpoint>, včetně hranatých závorek, adresou URL do obchodu App Configuration Store.

    "AppConfig": {
    "Endpoint": "<service_endpoint>"
}

  4. Otevřete soubor Program.cs a přidejte odkaz na obory Azure.Identity názvů:Microsoft.Azure.Services.AppAuthentication

    using Azure.Identity;

  5. Pokud chcete získat přístup k hodnotám uloženým v App Configuration, aktualizujte Builder konfiguraci tak, aby používala metodu AddAzureAppConfiguration() .

    var builder = WebApplication.CreateBuilder(args);

builder.Configuration.AddAzureAppConfiguration(options =>
    options.Connect(
        new Uri(builder.Configuration["AppConfig:Endpoint"]),
        new ManagedIdentityCredential()));

    Poznámka:

    Pokud chcete použít spravovanou identitu přiřazenou uživatelem, nezapomeňte zadat clientId při vytváření ManagedIdentityCredential.

    new ManagedIdentityCredential("<your_clientId>")

    Jak je vysvětleno v nejčastějších dotazech ke spravovaným identitám pro prostředky Azure, existuje výchozí způsob, jak vyřešit, kterou spravovanou identitu se používá. V tomto případě knihovna Identit Azure vynucuje zadání požadované identity, aby se zabránilo možným problémům s modulem runtime v budoucnu. Pokud je například přidána nová spravovaná identita přiřazená uživatelem nebo pokud je povolená spravovaná identita přiřazená systémem. Proto budete muset zadat clientId i v případě, že je definována pouze jedna spravovaná identita přiřazená uživatelem a neexistuje spravovaná identita přiřazená systémem.

  1. Najděte koncový bod do obchodu App Configuration. Tato adresa URL je uvedená na kartě Přehled obchodu na webu Azure Portal.

  2. Otevřete , odeberte bootstrap.propertiesvlastnost připojovacího řetězce a nahraďte ji koncovým bodem pro identitu přiřazenou systémem:

spring.cloud.azure.appconfiguration.stores[0].endpoint=<service_endpoint>

pro identitu přiřazenou uživatelem:

spring.cloud.azure.appconfiguration.stores[0].endpoint=<service_endpoint>
spring.cloud.azure.credential.managed-identity-enabled= true
spring.cloud.azure.credential.client-id= <client_id>

Poznámka:

Další informace najdete v tématu Ověřování Spring Cloud v Azure.

Nasazení aplikace

Pokud používáte spravované identity, musíte aplikaci nasadit do služby Azure. Spravované identity se nedají použít k ověřování místně spuštěných aplikací. Pokud chcete nasadit aplikaci .NET Core, kterou jste vytvořili v aplikaci ASP.NET Core pomocí rychlého startu app Configuration a upravenou tak, aby používala spravované identity, postupujte podle pokynů v části Publikování webové aplikace.

Použití spravovaných identit vyžaduje nasazení aplikace do služby Azure. Spravované identity se nedají použít k ověřování místně spuštěných aplikací. Pokud chcete nasadit aplikaci Spring, kterou jste vytvořili v aplikaci Java Spring s rychlým startem pro Aplikace Azure Configuration a upravenou tak, aby používala spravované identity, postupujte podle pokynů v části Publikování webové aplikace.

Kromě služby App Service podporuje mnoho dalších služeb Azure spravované identity. Další informace najdete v tématu Služby, které podporují spravované identity pro prostředky Azure.

Vyčištění prostředků

Pokud nechcete dál používat prostředky vytvořené v tomto článku, odstraňte skupinu prostředků, kterou jste tady vytvořili, abyste se vyhnuli poplatkům.

Důležité

Odstranění skupiny prostředků je nevratné. Skupina prostředků a všechny prostředky v ní se trvale odstraní. Ujistěte se, že omylem neodstraníte nesprávnou skupinu prostředků nebo prostředky. Pokud jste vytvořili prostředky pro tento článek ve skupině prostředků, která obsahuje další prostředky, které chcete zachovat, odstraňte jednotlivé prostředky z příslušného podokna místo odstranění skupiny prostředků.

  1. Přihlaste se k webu Azure Portal a vyberte skupiny prostředků.
  2. Do pole Filtrovat podle názvu zadejte název vaší skupiny prostředků.
  3. V seznamu výsledků vyberte název skupiny prostředků, abyste zobrazili přehled.
  4. Vyberte Odstranit skupinu prostředků.
  5. Zobrazí se výzva k potvrzení odstranění skupiny prostředků. Potvrďte název skupiny prostředků a vyberte Odstranit.

Po chvíli se skupina prostředků a všechny její prostředky odstraní.

Další kroky

V tomto kurzu jste přidali spravovanou identitu Azure, která zjednoduší přístup ke službě App Configuration a zlepší správu přihlašovacích údajů pro vaši aplikaci. Další informace o používání služby App Configuration najdete v ukázkách Azure CLI.

Ukázky rozhraní příkazového řádku