使用系統指派的受控識別向 Azure 資源驗證 Azure 裝載的 .NET 應用程式

發行項
03/05/2025

向其他 Azure 資源驗證 Azure 裝載應用程式的建議方法是使用受控識別。此方法支援大部分的 Azure 服務，包括裝載在 Azure App Service、Azure Container Apps 和 Azure 虛擬機上的應用程式。在驗證概觀頁面上瞭解更多不同的驗證技術和方法。在接下來的各節中，您將瞭解：

基本受控識別概念
如何為您的應用程式建立系統指派的受控識別
如何將角色指派給系統指派的受管理身份
如何從應用程式程式代碼使用系統指派的受控識別進行驗證

基本受控識別概念

受控識別可讓您的應用程式安全地連線到其他 Azure 資源，而不需要使用秘密金鑰或其他應用程式秘密。在內部，Azure 會追蹤身分識別，以及允許其連線的資源。 Azure 會使用這項資訊自動取得應用程式Microsoft Entra 令牌，以允許它連線到其他 Azure 資源。

設定載入的應用程式時，需要考慮兩種類型的受控識別：

系統指派 受控身分識別是在 Azure 資源上直接啟用的，並與其生命周期緊密相連。刪除資源時，Azure 會自動為您刪除身分識別。系統指派的身分識別提供使用受控識別的極簡方法。
使用者指派的 管理的身分會建立為獨立的 Azure 資源，並提供更強的彈性與功能。其適用於涉及多個需要共用相同身分識別和許可權之 Azure 資源的解決方案。例如，如果多個虛擬機需要存取同一組 Azure 資源，則使用者指派的受控識別可提供重複使用性和優化管理。

提示

若要深入瞭解如何選取和管理系統指派的受控識別和使用者指派的受控識別，請參閱受控識別最佳做法建議一文。

前面的各節說明為 Azure 裝載的應用程式啟用和使用系統指派的受控識別的步驟。如果您需要使用使用者指派的受控識別，請流覽用戶指派的受控識別文章以取得詳細資訊。

在 Azure 裝載資源上啟用系統指派的受控識別

若要開始使用系統指派的受控識別搭配您的應用程式，請在裝載應用程式的 Azure 資源上啟用身分識別，例如 Azure App Service、Azure Container App 或 Azure 虛擬機。

您可以使用 Azure 入口網站或 Azure CLI，為 Azure 資源啟用系統指派的受控識別。

Azure 入口網站
Azure CLI

在 Azure 入口網站中，瀏覽至裝載應用程式程式代碼的資源，例如 Azure App Service 或 Azure Container App 實例。
從資源的 [概觀] 頁面中，展開 [[設定]，然後從導覽中選取 [身分識別]。
在 [身份] 頁面上，將 [狀態] 滑桿切換到開啟。
選取 [儲存] 以套用變更。

Azure CLI 命令可以在 Azure Cloud Shell 或已安裝 Azure CLI 的工作站上執行。

用來啟用 Azure 資源的受控識別的 Azure CLI 命令的格式為 az <command-group> identity --resource-group <resource-group-name> --name <resource-name>。熱門 Azure 服務的特定命令如下所示。

Azure App Service：

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Azure 虛擬機：

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

輸出如下所示：

{
  "principalId": "99999999-9999-9999-9999-999999999999",
  "tenantId": "33333333-3333-3333-3333-333333333333",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

principalId 值是受管理身分的唯一標識符。保留此輸出的複本，因為您將在下一個步驟中需要這些值。

將角色指派給管理的身分識別

接下來，判斷您的應用程式需要哪些角色，並將這些角色指派給受控識別。您可以在下列範圍將角色指派給受控識別：

資源：指派的角色僅適用於該特定資源。
資源群組：指派的角色會套用至資源群組中包含的所有資源。
訂用帳戶：指派的角色會套用至訂用帳戶中包含的所有資源。

下列範例示範如何在資源群組範圍指派角色，因為許多應用程式都會使用單一資源群組來管理其所有相關的 Azure 資源。

Azure 入口網站
Azure CLI

流覽至資源群組的 [概觀] 頁面，其中包含具有系統指派受控識別的應用程式。
請選取左側導覽列中的 存取控制 (IAM)。
在 [訪問控制 (IAM)] 頁面上，選取頂端功能表上的 [+ 新增]，然後選擇 [新增角色指派] 前往 [新增角色指派] 頁面。
[新增角色指派] 頁面會顯示多步驟的索引標籤式工作流程，以將角色指派給身分。在 [初始角色] 索引標籤上，使用頂端的搜尋方塊來找出您要指派給身分識別的角色。
從結果中選取角色，然後選擇 下一步 以移至成員標籤頁。
針對 [[指派存取權給] 選項，選取 [受控識別]。
針對 [成員] 選項，選取 [+ 選取成員] 以開啟 [選取受控識別] 面板。
在 [選取受控識別] 面板上，使用 [訂閱] 和 [受控識別] 下拉式選單來篩選相關識別的搜尋結果。使用 [] 選取 [] 搜尋方塊，找出您為裝載應用程式的 Azure 資源啟用的系統身分識別。
選取身分，然後在面板底部選擇[選取]以繼續。
請在頁面底部點選 ，然後選擇 [檢閱 + 指派]。
在最後一個 [檢閱 + 指派] 索引標籤上，選取 [檢閱 + 指派]，以完成工作流程。

在 Azure 中，可以使用 az role assignment create 命令為受控識別指派角色。

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

若要取得服務主體可被指派的角色名稱，請使用 az role definition list 命令：

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

例如，若要讓具有識別碼 99999999-9999-9999-9999-999999999999 的受控識別對 msdocs-dotnet-sdk-auth-example 資源群組中的所有儲存體帳戶的 Blob 容器及資料具有讀取、寫入和刪除的權限，請使用下列命令，將應用程式服務主體指派給 儲存體 Blob 資料貢獻者 角色：

az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"

如需使用 Azure CLI 在資源或訂用帳戶層級指派許可權的相關信息，請參閱使用 Azure CLI指派 Azure 角色一文。

從您的應用程式向 Azure 服務進行驗證

Azure 身分識別連結庫提供各種認證—實作 TokenCredential，以支援不同的案例和Microsoft Entra 驗證流程。由於在本機執行時無法使用受控身分，後續步驟會說明在不同情境下應該使用哪種認證：

本機開發環境：本機開發期間僅，請使用稱為 defaultAzureCredential 的類別，以取得有意見、預先設定的認證鏈結。 DefaultAzureCredential 會從本機工具或 IDE 探索使用者認證，例如 Azure CLI 或 Visual Studio。它也提供重試的彈性和便利性、回應等候時間，以及支援多個驗證選項。若要深入瞭解，請瀏覽在本機開發期間驗證 Azure 服務的驗證文章。
Azure 裝載的應用程式：當您的應用程式在 Azure 中執行時，請使用 ManagedIdentityCredential 安全地探索為應用程式設定的受控識別。指定此準確類型的認證可防止意外地選用其他可用的認證。

實作程序代碼

新增 Azure.Identity 套件。在 ASP.NET Core 專案中，也安裝 Microsoft.Extensions.Azure 套件：

指令行
NuGet 套件管理員

在您選擇的終端機中，瀏覽至應用程式項目目錄，然後執行下列命令：

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure 服務是使用來自各種 Azure SDK 用戶端連結庫的特殊客戶端類別來存取。這些類別和您自己的自定義服務應該註冊為相依性插入，以便在整個應用程式中使用它們。在 Program.cs中，完成下列步驟來設定用戶端類別以進行相依性插入和令牌型驗證：

透過 Azure.Identity 指令來包含 Microsoft.Extensions.Azure 和 using 命名空間。
使用對應的 Add前置擴充方法註冊 Azure 服務用戶端。
將適當的 TokenCredential 實例傳遞至 UseCredential 方法：
- 當您的應用程式在本機執行時，請使用 DefaultAzureCredential。
- 當您的應用程式在 Azure 中執行時，請使用 ManagedIdentityCredential。

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    TokenCredential credential = null;

    if (builder.Environment.IsProduction())
    {
        // Managed identity token credential discovered when running in Azure environments
        credential = new ManagedIdentityCredential();
    }
    else
    {
        // Running locally on dev machine - DO NOT use in production or outside of local dev
        credential = new DefaultAzureCredential();
    }

    clientBuilder.UseCredential(credential);
});

UseCredential 方法的替代方法是直接將認證提供給服務用戶端：

TokenCredential credential = null;

if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
{
    // Managed identity token credential discovered when running in Azure environments
    credential = new ManagedIdentityCredential();
}
else
{
    // Running locally on dev machine - DO NOT use in production or outside of local dev
    credential = new DefaultAzureCredential();
}

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"), credential));

上述程式代碼的行為會根據執行所在的環境而有所不同：

在您的本機開發工作站上，DefaultAzureCredential 在應用程式服務主體的環境變數中，或在Visual Studio等本機安裝的開發人員工具中尋找一組開發人員認證。
部署至 Azure 時，ManagedIdentityCredential 探索您的受控識別組態，以自動向其他服務進行驗證。

共用方式為