Så här använder du hanterade identiteter för App Service och Azure Functions

Den här artikeln visar hur du skapar en hanterad identitet för App Service- och Azure Functions-program och hur du använder den för att komma åt andra resurser.

Viktigt!

Eftersom hanterade identiteter inte stöder scenarier mellan kataloger fungerar de inte som förväntat om din app migreras mellan prenumerationer eller klientorganisationer. Information om hur du återskapar hanterade identiteter efter en sådan flytt finns i Kommer hanterade identiteter att återskapas automatiskt om jag flyttar en prenumeration till en annan katalog?. Underordnade resurser måste också ha åtkomstprinciper uppdaterade för att använda den nya identiteten.

Kommentar

Hanterade identiteter är inte tillgängliga för appar som distribueras i Azure Arc.

Med en hanterad identitet från Microsoft Entra-ID kan din app enkelt komma åt andra Microsoft Entra-skyddade resurser, till exempel Azure Key Vault. Identiteten hanteras av Azure-plattformen och kräver inte att du etablerar eller roterar några hemligheter. Mer information om hanterade identiteter i Microsoft Entra-ID finns i Hanterade identiteter för Azure-resurser.

Ditt program kan beviljas två typer av identiteter:

• En systemtilldelad identitet är kopplad till ditt program och tas bort om appen tas bort. En app kan bara ha en systemtilldelad identitet.
• En användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din app. En app kan ha flera användartilldelade identiteter.

Konfigurationen av den hanterade identiteten är specifik för facket. Om du vill konfigurera en hanterad identitet för ett distributionsfack i portalen går du först till platsen. Om du vill hitta den hanterade identiteten för webbappen eller distributionsfacket i din Microsoft Entra-klientorganisation från Azure-portalen söker du efter den direkt från översiktssidan för din klientorganisation. Vanligtvis liknar <app-name>/slots/<slot-name>platsnamnet .

Den här videon visar hur du använder hanterade identiteter för App Service.

Stegen i videon beskrivs också i följande avsnitt.

Lägga till en systemtilldelad identitet

Azure-portalen

1. I det vänstra navigeringsfönstret på appens sida rullar du ned till gruppen Inställningar.

2. Välj Identitet.

3. På fliken Systemtilldelat växlar du Status till På. Klicka på Spara.

   

Azure CLI

az webapp identity assign Kör kommandot för att skapa en systemtilldelad identitet:

az webapp identity assign --name myApp --resource-group myResourceGroup

Azure PowerShell

För App Service

Set-AzWebApp -AssignIdentity Kör kommandot för att skapa en systemtilldelad identitet för App Service:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name> 

För Functions

Update-AzFunctionApp -IdentityType Kör kommandot för att skapa en systemtilldelad identitet för en funktionsapp:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

ARM-mall

En Azure Resource Manager-mall kan användas för att automatisera distributionen av dina Azure-resurser. Mer information om hur du distribuerar till App Service och Functions finns i Automatisera resursdistribution i App Service och Automatisera resursdistribution i Azure Functions.

Alla resurser av typen Microsoft.Web/sites kan skapas med en identitet genom att inkludera följande egenskap i resursdefinitionen:

"identity": {
    "type": "SystemAssigned"
}

Om du lägger till den systemtilldelade typen uppmanas Azure att skapa och hantera identiteten för ditt program.

En webbapps mall kan till exempel se ut som följande JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

När webbplatsen skapas har den följande ytterligare egenskaper:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

Egenskapen tenantId identifierar vilken Microsoft Entra-klient som identiteten tillhör. PrincipalId är en unik identifierare för programmets nya identitet. I Microsoft Entra-ID:t har tjänstens huvudnamn samma namn som du gav till din App Service- eller Azure Functions-instans.

Om du behöver referera till dessa egenskaper i ett senare skede i mallen kan du göra det via reference() mallfunktionen med 'Full' flaggan, som i det här exemplet:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Lägga till en användartilldelad identitet

Om du skapar en app med en användartilldelad identitet måste du skapa identiteten och sedan lägga till dess resursidentifierare i appkonfigurationen.

Azure-portalen

Först måste du skapa en användartilldelad identitetsresurs.

1. Skapa en användartilldelad hanterad identitetsresurs enligt dessa instruktioner.

2. I det vänstra navigeringsfältet för appens sida rullar du ned till gruppen Inställningar.

3. Välj Identitet.

4. Välj Användartilldelade>Lägg till.

5. Sök efter den identitet som du skapade tidigare, välj den och välj Lägg till.

   

   När du har valt Lägg till startas appen om.

Azure CLI

1. Skapa en användartilldelad identitet.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. az webapp identity assign Kör kommandot för att tilldela identiteten till appen.

   az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>
   

Azure PowerShell

För App Service

Det går för närvarande inte att lägga till en användartilldelad identitet i App Service.

För Functions

1. Skapa en användartilldelad identitet.

   Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
   $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>
   

2. Update-AzFunctionApp -IdentityType UserAssigned -IdentityId Kör kommandot för att tilldela identiteten i Functions:

   Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id
   

ARM-mall

En Azure Resource Manager-mall kan användas för att automatisera distributionen av dina Azure-resurser. Mer information om hur du distribuerar till App Service och Functions finns i Automatisera resursdistribution i App Service och Automatisera resursdistribution i Azure Functions.

Alla resurser av typen Microsoft.Web/sites kan skapas med en identitet genom att inkludera följande block i resursdefinitionen och ersätta <resource-id> med resurs-ID:t för den önskade identiteten:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Kommentar

Ett program kan ha både systemtilldelade och användartilldelade identiteter samtidigt. I det här fallet skulle egenskapen type vara SystemAssigned,UserAssigned

Om du lägger till den användartilldelade typen uppmanas Azure att använda den användartilldelade identitet som angetts för ditt program.

En webbapps mall kan till exempel se ut som följande JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

När webbplatsen skapas har den följande ytterligare egenskaper:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

PrincipalId är en unik identifierare för den identitet som används för Microsoft Entra-administration. ClientId är en unik identifierare för programmets nya identitet som används för att ange vilken identitet som ska användas under körningsanrop.

Konfigurera målresurs

Du kan behöva konfigurera målresursen för att tillåta åtkomst från din app eller funktion. Om du till exempel begär en token för att få åtkomst till Key Vault måste du också lägga till en åtkomstprincip som innehåller appens eller funktionens hanterade identitet. Annars avvisas dina anrop till Key Vault, även om du använder en giltig token. Detsamma gäller för Azure SQL Database. Mer information om vilka resurser som stöder Microsoft Entra-token finns i Azure-tjänster som stöder Microsoft Entra-autentisering.

Viktigt!

Serverdelstjänsterna för hanterade identiteter underhåller en cache per resurs-URI i cirka 24 timmar. Om du uppdaterar åtkomstprincipen för en viss målresurs och omedelbart hämtar en token för den resursen kan du fortsätta att hämta en cachelagrad token med inaktuella behörigheter tills token upphör att gälla. Det finns för närvarande inget sätt att tvinga fram en tokenuppdatering.

Anslut till Azure-tjänster i appkod

Med sin hanterade identitet kan en app hämta token för Azure-resurser som skyddas av Microsoft Entra-ID, till exempel Azure SQL Database, Azure Key Vault och Azure Storage. Dessa token representerar programmet som kommer åt resursen och inte någon specifik användare av programmet.

App Service och Azure Functions tillhandahåller en internt tillgänglig REST-slutpunkt för tokenhämtning. REST-slutpunkten kan nås inifrån appen med en standard-HTTP GET, som kan implementeras med en allmän HTTP-klient på alla språk. För .NET, JavaScript, Java och Python ger Azure Identity-klientbiblioteket en abstraktion över den här REST-slutpunkten och förenklar utvecklingsupplevelsen. Anslut till andra Azure-tjänster är lika enkelt som att lägga till ett autentiseringsobjekt till den tjänstspecifika klienten.

HTTP GET

En rå HTTP GET-begäran ser ut som i följande exempel:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Och ett exempelsvar kan se ut så här:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Det här svaret är detsamma som svaret för begäran om åtkomsttoken för Microsoft Entra service-to-service. För att få åtkomst till Key Vault lägger du sedan till värdet access_token för till en klientanslutning till valvet.

.NET

Kommentar

När du ansluter till Azure SQL-datakällor med Entity Framework Core bör du överväga att använda Microsoft.Data.SqlClient, som tillhandahåller särskilda anslutningssträng för hanterad identitetsanslutning. Ett exempel finns i Självstudie: Skydda Azure SQL Database-anslutning från App Service med hjälp av en hanterad identitet.

För .NET-appar och -funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för .NET. Detaljerad vägledning finns i Självstudie: Anslut till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker i klientbiblioteket:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det är användbart för de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

JavaScript

För Node.js appar och JavaScript-funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för JavaScript. Detaljerad vägledning finns i Självstudie: Anslut till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker i klientbiblioteket:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det är användbart för de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

Fler kodexempel på Azure Identity-klientbiblioteket för JavaScript finns i Azure Identity-exempel.

Python

För Python-appar och -funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för Python. Detaljerad vägledning finns i Självstudie: Anslut till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker i klientbiblioteket:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det är användbart för de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

Java

För Java-appar och -funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för Java. Detaljerad vägledning finns i Självstudie: Anslut till Azure-databaser från App Service utan hemligheter med hjälp av en hanterad identitet.

Mer information finns i respektive dokumentationsrubriker i klientbiblioteket:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det är användbart för de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

Fler kodexempel på Azure Identity-klientbiblioteket för Java finns i Azure Identity Examples (Azure Identity Examples).

PowerShell

Använd följande skript för att hämta en token från den lokala slutpunkten genom att ange en resurs-URI för en Azure-tjänst:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Mer information om REST-slutpunkten finns i REST-slutpunktsreferens.

Ta bort en identitet

När du tar bort en systemtilldelad identitet tas den bort från Microsoft Entra-ID. Systemtilldelade identiteter tas också bort automatiskt från Microsoft Entra-ID när du tar bort själva appresursen.

Azure-portalen

1. I det vänstra navigeringsfönstret på appens sida rullar du ned till gruppen Inställningar.

2. Välj Identitet. Följ sedan stegen baserat på identitetstypen:

   • Systemtilldelad identitet: På fliken Systemtilldelad växlar du Status till Av. Klicka på Spara.
   • Användartilldelad identitet: Välj fliken Användartilldelad , markera kryssrutan för identiteten och välj Ta bort. Välj Ja för att bekräfta.

Azure CLI

Så här tar du bort den systemtilldelade identiteten:

az webapp identity remove --name <app-name> --resource-group <group-name>

Så här tar du bort en eller flera användartilldelade identiteter:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

Du kan också ta bort den systemtilldelade identiteten genom att [system] ange i --identities.

Azure PowerShell

För App Service

Set-AzWebApp -AssignIdentity Kör kommandot för att ta bort en systemtilldelad identitet för App Service:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name> 

För Functions

Ta bort alla identiteter i Azure PowerShell (endast Azure Functions):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

ARM-mall

Så här tar du bort alla identiteter i en ARM-mall:

"identity": {
    "type": "None"
}

Kommentar

Det finns också en programinställning som kan ställas in, WEBSITE_DISABLE_MSI, som bara inaktiverar den lokala tokentjänsten. Den lämnar dock identiteten på plats, och verktygen visar fortfarande den hanterade identiteten som "på" eller "aktiverad". Därför rekommenderas inte användning av den här inställningen.

REST-slutpunktsreferens

En app med en hanterad identitet gör den här slutpunkten tillgänglig genom att definiera två miljövariabler:

• IDENTITY_ENDPOINT – URL:en till den lokala tokentjänsten.
• IDENTITY_HEADER – ett huvud som används för att minimera SSRF-attacker (serversidans begärandeförfalskning). Värdet roteras av plattformen.

IDENTITY_ENDPOINT är en lokal URL som appen kan begära token från. Om du vill hämta en token för en resurs gör du en HTTP GET-begäran till den här slutpunkten, inklusive följande parametrar:

Parameternamn	I	beskrivning
resource	Fråga	Microsoft Entra-resurs-URI:n för resursen som en token ska hämtas för. Detta kan vara en av De Azure-tjänster som stöder Microsoft Entra-autentisering eller någon annan resurs-URI.
api-version	Fråga	Den version av token-API:et som ska användas. Använd 2019-08-01.
X-IDENTITY-HEADER	Header	Värdet för miljövariabeln IDENTITY_HEADER. Det här huvudet används för att minimera SSRF-attacker (serversidans begärandeförfalskning).
client_id	Fråga	(Valfritt) Klient-ID för den användartilldelade identitet som ska användas. Det går inte att använda på en begäran som innehåller principal_id, mi_res_ideller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.
principal_id	Fråga	(Valfritt) Huvud-ID för den användartilldelade identitet som ska användas. object_id är ett alias som kan användas i stället. Det går inte att använda på en begäran som innehåller client_id, mi_res_id eller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.
mi_res_id	Fråga	(Valfritt) Azure-resurs-ID för den användartilldelade identitet som ska användas. Det går inte att använda på en begäran som innehåller principal_id, client_ideller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.

Viktigt!

Om du försöker hämta token för användartilldelade identiteter måste du inkludera en av de valfria egenskaperna. Annars försöker tokentjänsten hämta en token för en systemtilldelad identitet, som kanske eller kanske inte finns.

Nästa steg

• Självstudie: Anslut till SQL Database från App Service utan hemligheter med hjälp av en hanterad identitet
• Få åtkomst till Azure Storage på ett säkert sätt med hjälp av en hanterad identitet
• Anropa Microsoft Graph på ett säkert sätt med hjälp av en hanterad identitet
• Anslut säkert till tjänster med Key Vault-hemligheter