App Service ve Azure İşlevleri için yönetilen kimlikleri kullanma

Makale
10/18/2023

Bu makalede, App Service ve Azure İşlevleri uygulamaları için yönetilen kimlik oluşturma ve bunu diğer kaynaklara erişmek için kullanma adımları gösterilmektedir.

Önemli

Yönetilen kimlikler dizinler arası senaryoları desteklemediğinden, uygulamanız abonelikler veya kiracılar arasında geçirilirse beklendiği gibi davranmaz. Böyle bir taşıma işleminden sonra yönetilen kimlikleri yeniden oluşturmak için bkz . Aboneliği başka bir dizine taşırsam yönetilen kimlikler otomatik olarak yeniden oluşturulacak mı?. Aşağı akış kaynaklarının yeni kimliği kullanmak için erişim ilkelerinin güncelleştirilmiş olması da gerekir.

Not

Yönetilen kimlikler Azure Arc'ta dağıtılan uygulamalar için kullanılamaz.

Microsoft Entra Id'den yönetilen kimlik, uygulamanızın Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklara kolayca erişmesini sağlar. Kimlik Azure platformu tarafından yönetilir ve herhangi bir gizli dizi sağlamanızı veya döndürmenizi gerektirmez. Microsoft Entra Id'deki yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler.

Uygulamanız için iki tür kimlik verilebilir:

Sistem tarafından atanan bir kimlik uygulamanıza bağlıdır ve uygulamanız silinirse silinir. Bir uygulama sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.
Kullanıcı tarafından atanan kimlik ise uygulamanıza atanabilen tek başına bir Azure kaynağıdır. Bir uygulama için kullanıcı tarafından atanan birden çok kimlik olabilir.

Yönetilen kimlik yapılandırması yuvaya özgüdür. Portalda bir dağıtım yuvası için yönetilen kimlik yapılandırmak için önce yuvaya gidin. Azure portalından Microsoft Entra kiracınızda web uygulamanızın veya dağıtım yuvanızın yönetilen kimliğini bulmak için, bunu doğrudan kiracınızın Genel Bakış sayfasından arayın. Genellikle yuva adı ile <app-name>/slots/<slot-name>benzerdir.

Bu videoda, App Service için yönetilen kimliklerin nasıl kullanılacağı gösterilmektedir.

Videodaki adımlar aşağıdaki bölümlerde de açıklanmıştır.

Sistem tarafından atanan kimlik ekleme

Uygulamanızın sayfasının sol gezinti bölmesinde aşağı kaydırarak Ayarlar grubuna gelin.
Kimlik'i seçin.
Sistem tarafından atanan sekmesinde Durum'aAçık olarak geçin. Kaydet'e tıklayın.

az webapp identity assign Sistem tarafından atanan bir kimlik oluşturmak için komutunu çalıştırın:

az webapp identity assign --name myApp --resource-group myResourceGroup

App Service için

Set-AzWebApp -AssignIdentity App Service için sistem tarafından atanan bir kimlik oluşturmak için komutunu çalıştırın:

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name>

İşlevler için

Update-AzFunctionApp -IdentityType İşlev uygulaması için sistem tarafından atanan bir kimlik oluşturmak için komutunu çalıştırın:

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Azure Kaynak Yöneticisi şablonu, Azure kaynaklarınızın dağıtımını otomatikleştirmek için kullanılabilir. App Service ve İşlevler'e dağıtma hakkında daha fazla bilgi edinmek için bkz. App Service'te kaynak dağıtımlarını otomatikleştirme ve Azure İşlevleri kaynak dağıtımlarını otomatikleştirme.

Türdeki Microsoft.Web/sites herhangi bir kaynak, kaynak tanımına aşağıdaki özellik dahil edilerek bir kimlikle oluşturulabilir:

"identity": {
    "type": "SystemAssigned"
}

Sistem tarafından atanan türü eklemek, Azure'a uygulamanız için kimlik oluşturmasını ve yönetmesini söyler.

Örneğin, bir web uygulamasının şablonu aşağıdaki JSON gibi görünebilir:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Site oluşturulduğunda aşağıdaki ek özelliklere sahiptir:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

tenantId özelliği, kimliğin hangi Microsoft Entra kiracısına ait olduğunu tanımlar. principalId, uygulamanın yeni kimliği için benzersiz bir tanımlayıcıdır. Microsoft Entra Id içinde hizmet sorumlusu, App Service'inize veya Azure İşlevleri örneğine vermiş olduğunuz adla aynı ada sahiptir.

Şablonun sonraki bir aşamasında bu özelliklere başvurmanız gerekiyorsa, bu örnekte olduğu gibi bayrağıyla 'Full' şablon işlevi aracılığıyla reference() bunu yapabilirsiniz:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Kullanıcı tarafından atanan kimlik ekleme

Kullanıcı tarafından atanan kimlikle uygulama oluşturmak için, kimliği oluşturmanız ve ardından kaynak tanımlayıcısını uygulama yapılandırmanıza eklemeniz gerekir.

İlk olarak, kullanıcı tarafından atanan bir kimlik kaynağı oluşturmanız gerekir.

Bu yönergelere göre kullanıcı tarafından atanan bir yönetilen kimlik kaynağı oluşturun.
Uygulamanızın sayfasının sol gezinti bölmesinde aşağı kaydırarak Ayarlar grubuna gelin.
Kimlik'i seçin.
Kullanıcı tarafından atanan>Ekle'yi seçin.
Daha önce oluşturduğunuz kimliği arayın, seçin ve Ekle'yi seçin.

Ekle'yi seçtiğinizde uygulama yeniden başlatılır.

Kullanıcı tarafından atanan bir kimlik oluşturun.

az identity create --resource-group <group-name> --name <identity-name>

az webapp identity assign Kimliği uygulamaya atamak için komutunu çalıştırın.

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>

App Service için

App Service'te kullanıcı tarafından atanan kimlik ekleme şu anda desteklenmiyor.

İşlevler için

Kullanıcı tarafından atanan bir kimlik oluşturun.

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>

İşlevler'de Update-AzFunctionApp -IdentityType UserAssigned -IdentityId kimliği atamak için komutunu çalıştırın:

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Kaynak tanımına aşağıdaki bloğu ekleyerek türündeki Microsoft.Web/sites herhangi bir kaynak bir kimlikle oluşturulabilir ve yerine <resource-id> istenen kimliğin kaynak kimliği eklenebilir:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Not

Bir uygulama hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimliklere aynı anda sahip olabilir. Bu durumda özelliği type şu şekilde olur: SystemAssigned,UserAssigned

Kullanıcı tarafından atanan türün eklenmesi, Azure'a uygulamanız için belirtilen kullanıcı tarafından atanan kimliği kullanmasını bildirir.

Örneğin, bir web uygulamasının şablonu aşağıdaki JSON gibi görünebilir:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Site oluşturulduğunda aşağıdaki ek özelliklere sahiptir:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

principalId, Microsoft Entra yönetimi için kullanılan kimliğin benzersiz tanımlayıcısıdır. clientId, uygulamanın çalışma zamanı çağrıları sırasında hangi kimliğin kullanılacağını belirtmek için kullanılan yeni kimliği için benzersiz bir tanımlayıcıdır.

Hedef kaynağı yapılandırma

Uygulama veya işlevinizden erişime izin vermek için hedef kaynağı yapılandırmanız gerekebilir. Örneğin, Key Vault'a erişmek için bir belirteç isterseniz, uygulamanızın veya işlevinizin yönetilen kimliğini içeren bir erişim ilkesi de eklemeniz gerekir. Aksi takdirde, geçerli bir belirteç kullansanız bile Key Vault'a yaptığınız çağrılar reddedilir. Aynı durum Azure SQL Veritabanı için de geçerlidir. Microsoft Entra belirteçlerini destekleyen kaynaklar hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra kimlik doğrulamasını destekleyen Azure hizmetleri.

Önemli

Yönetilen kimlikler için arka uç hizmetleri, yaklaşık 24 saat boyunca kaynak URI'sine göre bir önbellek tutar. Belirli bir hedef kaynağın erişim ilkesini güncelleştirir ve bu kaynak için hemen bir belirteç alırsanız, belirtecin süresi dolana kadar eski izinlere sahip önbelleğe alınmış bir belirteç almaya devam edebilirsiniz. Şu anda belirteç yenilemeyi zorlamanın bir yolu yoktur.

Uygulama kodunda Azure hizmetlerine Bağlan

Yönetilen kimliğiyle bir uygulama Azure SQL Veritabanı, Azure Key Vault ve Azure Depolama gibi Microsoft Entra ID ile korunan Azure kaynakları için belirteçler alabilir. Bu belirteçler kaynağa erişen uygulamayı temsil eder ve uygulamanın belirli bir kullanıcısını temsil eder.

App Service ve Azure İşlevleri, belirteç alma için dahili olarak erişilebilir bir REST uç noktası sağlar. REST uç noktasına, her dilde genel bir HTTP istemcisiyle uygulanabilen standart bir HTTP GET ile uygulamanın içinden erişilebilir. .NET, JavaScript, Java ve Python için Azure Identity istemci kitaplığı bu REST uç noktası üzerinde bir soyutlama sağlar ve geliştirme deneyimini basitleştirir. Diğer Azure hizmetlerine Bağlan, hizmete özgü istemciye kimlik bilgisi nesnesi eklemek kadar kolaydır.

Ham HTTP GET isteği aşağıdaki örneğe benzer:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Örnek yanıt aşağıdaki gibi görünebilir:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Bu yanıt, Microsoft Entra hizmet-hizmet erişim belirteci isteğinin yanıtıyla aynıdır. Key Vault'a erişmek için değerini kasayla bir istemci bağlantısına eklersiniz access_token .

Not

Entity Framework Core ile Azure SQL veri kaynaklarına bağlanırken, yönetilen kimlik bağlantısı için özel bağlantı dizesi sağlayan Microsoft.Data.SqlClient'ı kullanmayı göz önünde bulundurun. Örnek için bkz. Öğretici: Yönetilen kimlik kullanarak App Service'ten güvenli Azure SQL Veritabanı bağlantısı.

.NET uygulamaları ve işlevleri için, yönetilen kimlikle çalışmanın en basit yolu .NET için Azure Identity istemci kitaplığıdır. Ayrıntılı yönergeler için bkz. Öğretici: Yönetilen kimlik kullanan gizli diziler olmadan App Service'ten Azure veritabanlarına Bağlan.

Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

Bağlantılı örneklerde kullanılır DefaultAzureCredential. Senaryoların çoğu için kullanışlıdır çünkü aynı desen Azure'da (yönetilen kimliklerle) ve yerel makinenizde (yönetilen kimlikler olmadan) çalışır.

Node.js uygulamalar ve JavaScript işlevleri için, yönetilen kimlikle çalışmanın en basit yolu JavaScript için Azure Identity istemci kitaplığını kullanmaktır. Ayrıntılı yönergeler için bkz. Öğretici: Yönetilen kimlik kullanan gizli diziler olmadan App Service'ten Azure veritabanlarına Bağlan.

Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

JavaScript için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz . Azure Kimlik örnekleri.

Python uygulamaları ve işlevleri için yönetilen kimlikle çalışmanın en basit yolu Python için Azure Identity istemci kitaplığıdır. Ayrıntılı yönergeler için bkz. Öğretici: Yönetilen kimlik kullanan gizli diziler olmadan App Service'ten Azure veritabanlarına Bağlan.

Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

Java uygulamaları ve işlevleri için, yönetilen kimlikle çalışmanın en basit yolu Java için Azure Identity istemci kitaplığını kullanmaktır. Ayrıntılı yönergeler için bkz. Öğretici: Yönetilen kimlik kullanan gizli diziler olmadan App Service'ten Azure veritabanlarına Bağlan.

Bilgi için istemci kitaplığının ilgili belge başlıklarına bakın:

Java için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz . Azure Kimlik Örnekleri.

Azure hizmetinin kaynak URI'sini belirterek yerel uç noktadan belirteç almak için aşağıdaki betiği kullanın:

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

REST uç noktası hakkında daha fazla bilgi için bkz . REST uç noktası başvurusu.

Kimliği kaldırma

Sistem tarafından atanan bir kimliği kaldırdığınızda, bu kimlik Microsoft Entra Id'den silinir. Uygulama kaynağını sildiğinizde sistem tarafından atanan kimlikler de Microsoft Entra Id'den otomatik olarak kaldırılır.

Uygulamanızın sayfasının sol gezinti bölmesinde aşağı kaydırarak Ayarlar grubuna gelin.
Kimlik'i seçin. Ardından kimlik türüne göre adımları izleyin:
- Sistem tarafından atanan kimlik: Sistem tarafından atanan sekmesinde Durum seçeneğini Kapalı olarak değiştirin. Kaydet'e tıklayın.
- Kullanıcı tarafından atanan kimlik: Kullanıcı tarafından atanan sekmesini seçin, kimliğin onay kutusunu seçin ve Kaldır'ı seçin. Onaylamak için Evet'i seçin.

Sistem tarafından atanan kimliği kaldırmak için:

az webapp identity remove --name <app-name> --resource-group <group-name>

Kullanıcı tarafından atanan bir veya daha fazla kimliği kaldırmak için:

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

ayrıca içinde belirterek [system]--identitiessistem tarafından atanan kimliği kaldırabilirsiniz.

App Service için

Set-AzWebApp -AssignIdentity App Service için sistem tarafından atanan kimliği kaldırmak için komutunu çalıştırın:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

İşlevler için

Azure PowerShell'deki tüm kimlikleri kaldırmak için (yalnızca Azure İşlevleri):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

ARM şablonundaki tüm kimlikleri kaldırmak için:

"identity": {
    "type": "None"
}

Not

Ayrıca, yerel belirteç hizmetini devre dışı bırakabilen WEBSITE_DISABLE_MSI ayarlanabilen bir uygulama ayarı da vardır. Ancak, kimliği yerinde bırakır ve araçlar yönetilen kimliği "açık" veya "etkin" olarak göstermeye devam eder. Sonuç olarak, bu ayarın kullanılması önerilmez.

REST uç nokta başvurusu

Yönetilen kimliğe sahip bir uygulama, iki ortam değişkeni tanımlayarak bu uç noktayı kullanılabilir hale getirir:

IDENTITY_ENDPOINT - yerel belirteç hizmetinin URL'si.
IDENTITY_HEADER - Sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltmaya yardımcı olmak için kullanılan üst bilgi. Değer platform tarafından döndürülür.

IDENTITY_ENDPOINT, uygulamanızın belirteç isteğinde bulunabileceği yerel bir URL'dir. Bir kaynağın belirtecini almak için aşağıdaki parametreler de dahil olmak üzere bu uç noktaya bir HTTP GET isteği gönderin:

Parametre adı İçinde Açıklama

kaynak Sorgu Belirtecin alınması gereken kaynağın Microsoft Entra kaynak URI'si. Bu, Microsoft Entra kimlik doğrulamasını veya başka bir kaynak URI'sini destekleyen Azure hizmetlerinden biri olabilir.

api-sürümü Sorgu Kullanılacak belirteç API'sinin sürümü. 2019-08-01 adresini kullanın.

X-IDENTITY-HEADER Üst bilgi IDENTITY_HEADER ortam değişkeninin değeri. Bu üst bilgi, sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltmaya yardımcı olmak için kullanılır.

client_id Sorgu (İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin istemci kimliği. , mi_res_idveya object_idiçeren principal_idbir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.

Principal_id Sorgu (İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin asıl kimliği. object_id bunun yerine kullanılabilecek bir diğer addır. client_id, mi_res_id veya object_id içeren bir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.

mi_res_id Sorgu (İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin Azure kaynak kimliği. , client_idveya object_idiçeren principal_idbir istekte kullanılamaz. Tüm kimlik parametreleri (client_id, principal_id, object_idve mi_res_id) atlanırsa, sistem tarafından atanan kimlik kullanılır.

Parametre adı	İçinde	Açıklama
kaynak	Sorgu	Belirtecin alınması gereken kaynağın Microsoft Entra kaynak URI'si. Bu, Microsoft Entra kimlik doğrulamasını veya başka bir kaynak URI'sini destekleyen Azure hizmetlerinden biri olabilir.
api-sürümü	Sorgu	Kullanılacak belirteç API'sinin sürümü. `2019-08-01` adresini kullanın.
X-IDENTITY-HEADER	Üst bilgi	IDENTITY_HEADER ortam değişkeninin değeri. Bu üst bilgi, sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltmaya yardımcı olmak için kullanılır.
client_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin istemci kimliği. , `mi_res_id`veya `object_id`içeren `principal_id`bir istekte kullanılamaz. Tüm kimlik parametreleri (`client_id`, `principal_id`, `object_id`ve `mi_res_id`) atlanırsa, sistem tarafından atanan kimlik kullanılır.
Principal_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin asıl kimliği. `object_id` bunun yerine kullanılabilecek bir diğer addır. client_id, mi_res_id veya object_id içeren bir istekte kullanılamaz. Tüm kimlik parametreleri (`client_id`, `principal_id`, `object_id`ve `mi_res_id`) atlanırsa, sistem tarafından atanan kimlik kullanılır.
mi_res_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin Azure kaynak kimliği. , `client_id`veya `object_id`içeren `principal_id`bir istekte kullanılamaz. Tüm kimlik parametreleri (`client_id`, `principal_id`, `object_id`ve `mi_res_id`) atlanırsa, sistem tarafından atanan kimlik kullanılır.

Önemli

Kullanıcı tarafından atanan kimlikler için belirteçleri almayı denerseniz, isteğe bağlı özelliklerden birini eklemeniz gerekir. Aksi takdirde belirteç hizmeti, sistem tarafından atanan bir kimlik için var olabilecek veya varolmayan bir belirteç almayı dener.

App Service ve Azure İşlevleri için yönetilen kimlikleri kullanma

Sistem tarafından atanan kimlik ekleme

App Service için

İşlevler için

Kullanıcı tarafından atanan kimlik ekleme

App Service için

İşlevler için

Hedef kaynağı yapılandırma

Uygulama kodunda Azure hizmetlerine Bağlan

Kimliği kaldırma

App Service için

İşlevler için

REST uç nokta başvurusu

Sonraki adımlar

Ek kaynaklar