Аутентификация Java приложений, размещенных в Azure, к ресурсам Azure с использованием управляемого удостоверения, назначенного пользователем.

Рекомендуемый подход к проверке подлинности Azure приложения для доступа к другим ресурсам Azure — использовать управляемое удостоверение. Большинство служб Azure поддерживают этот подход, включая приложения, размещенные на Azure App Service, Azure Container Apps и Azure Virtual Machines. Дополнительные сведения см. в разделе службы Azure и типы ресурсов, поддерживающие управляемые удостоверения. Дополнительные сведения о различных методах и подходах к проверке подлинности см. в разделе Аутентификация приложений Java в службах Azure с помощью библиотеки Azure Identity.

В следующих разделах вы узнаете:

Основные понятия управляемой идентичности.
Как создать управляемую идентичность, назначаемую пользователем, для вашего приложения.
Назначение ролей назначенному пользователем управляемому удостоверению.
Как аутентифицироваться, используя управляемое удостоверение, назначенное пользователем, в коде приложения.

Основные понятия управляемой идентификации

Управляемое удостоверение позволяет приложению безопасно подключаться к другим ресурсам Azure без использования секретных ключей или других секретов приложения. Внутри Azure отслеживает идентификацию и то, к каким ресурсам разрешено подключаться. Azure использует эту информацию для автоматического получения токенов Microsoft Entra для приложения, чтобы оно могло подключаться к другим ресурсам Azure.

Существуют два типа управляемых удостоверений, которые следует учитывать при настройке хостингового приложения:

System-assigned удостоверения, управляемые системой, активируются непосредственно на ресурсе Azure и связаны с его жизненным циклом. Когда ресурс удаляется, Azure автоматически удаляет удостоверение для вас. Системные идентификаторы обеспечивают простой подход к использованию управляемых удостоверений.
назначаемые пользователем управляемые удостоверения создаются как автономные ресурсы Azure и обеспечивают большую гибкость и возможности. Они идеально подходят для решений с несколькими Azure ресурсами, которые должны совместно использовать одинаковые удостоверения и разрешения. Например, если нескольким виртуальным машинам требуется доступ к одному набору ресурсов Azure, управляемое удостоверение, назначаемое пользователем, обеспечивает повторное использование и оптимизированное управление.

Подсказка

Узнайте больше о выборе и управлении управляемыми удостоверениями, назначаемыми системой и пользователем, в статье рекомендации по лучшим практикам работы с управляемыми удостоверениями.

В следующих разделах описаны шаги по включению и использованию управляемого удостоверения, назначаемого пользователем, для приложения, размещенного Azure. Если необходимо использовать системное управляемое удостоверение, см. статью Аутентификация Java приложений, размещённых в Azure, для доступа к ресурсам Azure с помощью системного управляемого удостоверения.

Создайте управляемую идентичность, назначаемую пользователем

Управляемые удостоверения, назначаемые пользователем, создаются как автономные ресурсы в вашей подписке Azure с использованием портала Azure или Azure CLI. команды Azure CLI можно выполнять в Azure Cloud Shell или на рабочей станции с установленным Azure CLI.

портал Azure
Azure CLI

На портале Azure введите Управляемые идентификаторы в главную строку поиска и выберите соответствующий результат в разделе Службы.
На странице управляемых удостоверений выберите + Создать.
На странице Создание управляемого удостоверения, назначаемого пользователем, выберите подписку, группу ресурсов и регион для управляемого удостоверения, назначаемого пользователем, а затем укажите имя.
Выберите Проверить и создать для проверки входных данных.
Выберите Создать, чтобы создать управляемое удостоверение, назначаемое пользователем.
После создания идентичности выберите Перейти к ресурсу.
На странице обзора нового удостоверения скопируйте значение идентификатора клиента, чтобы использовать его позже при настройке кода приложения.

Используйте команду Azure CLI az identity create для создания управляемого удостоверения:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

В выводе команды указывается идентификатор клиента для созданного управляемого удостоверения, назначенного пользователем. Идентификатор клиента используется для конфигурации кода приложения, который зависит от идентичности.

Свойства управляемого удостоверения можно просмотреть снова с помощью команды az identity show:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Назначьте управляемое удостоверение вашему приложению

Управляемое удостоверение, назначаемое пользователем, может быть связано с одним или несколькими ресурсами Azure. Все ресурсы, использующие это удостоверение, получают разрешения, обусловленные ролями удостоверения.

портал Azure
Azure CLI

На портале Azure перейдите к ресурсу, в котором размещен код вашего приложения, например, Azure App Service или инстанция Azure Container Apps.
На странице Обзор ресурса разверните Настройки и выберите Идентификация в панели навигации.
На странице Идентификация перейдите на вкладку Назначенные пользователи.
Выберите + Добавить, чтобы открыть панель для добавления управляемого удостоверения с назначением пользователя.
На панели Добавление управляемого удостоверения, назначаемого пользователем, используйте раскрывающийся список подписки , чтобы отфильтровать результаты поиска для ваших удостоверений. Используйте поле поиска пользовательские назначенные управляемые удостоверения для поиска управляемого удостоверения, назначаемого пользователем, для ресурса Azure, размещающего ваше приложение.
Выберите учетную запись и нажмите Добавить внизу панели, чтобы продолжить.

Azure CLI предоставляет различные команды для назначения назначаемой пользователем управляемой идентичности различным типам служб размещения.

Чтобы назначить управляемое удостоверение, назначаемое пользователем, ресурсу, например веб-приложению Azure App Service, с помощью Azure CLI потребуется идентификатор удостоверения. Используйте команду az identity show для получения идентификатора ресурса:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query id
```
После получения идентификатора ресурса используйте команду Azure CLI az <resourceType> identity assign для связывания управляемого удостоверения, назначаемого пользователем, с различными ресурсами, например следующим образом:

Для Azure App Service используйте команду Azure CLI az webapp identity assign:
```
az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --identities <user-assigned-identity-resource-id>
```
Для Azure Container Apps используйте команду Azure CLI az containerapp identity assign:
```
az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --user-assigned <user-assigned-identity-resource-id>
```
Для Azure Virtual Machines используйте команду Azure CLI az vm identity assign:
```
az vm identity assign \
    --resource-group <resource-group-name> \
    --name <vm-name> \
    --identities <user-assigned-identity-resource-id>
```

Назначьте роли управляемому удостоверению

Затем определите, какие роли нужны вашему приложению, и назначьте эти роли для управляемого удостоверения. Роли можно назначить управляемым идентичностям на следующих уровнях:

Ресурс: назначенные роли применяются только к этому конкретному ресурсу.
Группа ресурсов: назначенные роли применяются ко всем ресурсам, содержащимся в данной группе.
Подписка: Назначенные роли применяются ко всем ресурсам, входящим в состав подписки.

В следующем примере показано, как назначать роли в области группы ресурсов, так как многие приложения управляют всеми связанными Azure ресурсами с помощью одной группы ресурсов.

портал Azure
Azure CLI

Перейдите на страницу Обзор группы ресурсов, в которой находится приложение с управляемым удостоверением, назначенным пользователем.
Выберите Управление доступом (IAM) на панели навигации слева.
На странице управления доступом (IAM) выберите + Добавить в верхнем меню, а затем выберите Назначение роли, чтобы перейти на страницу Назначение роли.
На странице Добавление назначения ролей представлен вкладочный, многошаговый рабочий процесс для назначения ролей идентичностям. На начальной вкладке роли используйте поле поиска вверху, чтобы найти роль, которую вы хотите назначить личности.
Выберите роль из результатов и выберите Далее, чтобы перейти на вкладку Участники.
Для параметра Назначить доступ к выберите Управляемое удостоверение.
Для параметра "Члены" выберите + "Выбор участников", чтобы открыть панель "Выбор управляемых удостоверений".
На панели Выбор управляемых удостоверений используйте раскрывающиеся списки Подписка и Управляемое удостоверение, чтобы отфильтровать результаты поиска для ваших удостоверений. Используйте поле поиска Select, чтобы найти управляемое удостоверение с пользовательским назначением, которое вы включили для ресурса Azure, где размещено ваше приложение.
Определите личность и выберите Выбрать в нижней части панели, чтобы продолжить.
Выберите Проверить и назначить в нижней части страницы.
На вкладке "Окончательная проверка и назначение " выберите "Проверка и назначение" для завершения рабочего процесса.

Чтобы назначить роль управляемому удостоверению, назначенному пользователем, с помощью Azure CLI, потребуется идентификатор субъекта (principal ID) этого удостоверения. Используйте команду az identity show для получения основного идентификатора:
```
az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json \
    --query principalId
```
Используйте команду az role definition list, чтобы изучить, какие роли можно назначить управляемой идентичности.
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Назначьте роль управляемому удостоверению с помощью команды az role assignment create:
```
az role assignment create \
    --assignee <your-principal-id> \
    --role <role-name> \
    --scope <scope>
```
Например, чтобы разрешить управляемому удостоверению с идентификатором 99999999-9999-9999-9999-999999999999 права на чтение, запись и удаление к контейнерам и данным BLOB-объектов Azure Storage во всех учетных записях хранения в msdocs-sdk-auth-example группе ресурсов, назначьте субъект-справочник приложения участнику роли Вкладчик в данные BLOB-объектов хранилища с помощью следующей команды:
```
az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
```

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье Назначение ролей Azure с использованием Azure CLI.

Аутентификация для подключения к службам Azure из вашего приложения

Библиотека Azure Identity предоставляет различные учетные данные — реализации , адаптированные для поддержки различных сценариев и потоков аутентификации Microsoft Entra. Так как управляемое удостоверение недоступно при локальном выполнении, следующие шаги демонстрируют, какие учетные данные следует использовать в конкретном сценарии:

Локальная среда разработки: Используйте класс DefaultAzureCredential только во время локальной разработки для предварительно настроенной цепочки учетных данных. DefaultAzureCredential обнаруживает учетные данные пользователя из локального инструмента или интегрированной среды разработки, например Azure CLI или Visual Studio Code. Она также обеспечивает гибкость и удобство повторных попыток, время ожидания ответов и поддержку нескольких вариантов проверки подлинности. Дополнительные сведения см. в статье Аутентификация в службах Azure во время локальной разработки.
Приложения, размещенные в Azure: Когда ваше приложение работает в Azure, используйте ManagedIdentityCredential для безопасного обнаружения управляемой идентичности, настроенной для вашего приложения. Указание этого точного типа учетных данных предотвращает неожиданное получение других доступных учетных данных.

Реализация кода

Добавьте зависимость azure-identity в ваш pom.xml файл:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Для обращения к службам Azure используются специализированные клиентские классы из различных клиентских библиотек Azure SDK. В следующем примере кода показано, как создать экземпляр учетных данных и использовать его с клиентом службы Azure SDK. В коде приложения выполните следующие действия для проверки подлинности с помощью управляемого удостоверения:

Импортируйте DefaultAzureCredentialBuilder, ManagedIdentityCredentialBuilder и TokenCredential классы.
Передайте клиенту соответствующий TokenCredential объект:
- Использование DefaultAzureCredential при локальном запуске
- Используйте ManagedIdentityCredential при запуске приложения в Azure и настройте идентификатор клиента, идентификатор ресурса или идентификатор объекта.

Идентификатор клиента используется для идентификации управляемого удостоверения при настройке приложений или служб, которые должны проходить проверку подлинности с помощью этого удостоверения.

Получите идентификатор клиента, назначенный управляемому удостоверению, назначаемому пользователем, с помощью следующей команды:
```
az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query clientId \
    --output tsv
```

Настройте ManagedIdentityCredential с идентификатором клиента:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the client ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .clientId("<user-assigned-managed-identity-client-id>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Идентификатор ресурса однозначно идентифицирует ресурс управляемой идентификации в вашей подписке Azure с использованием следующей структуры:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Идентификаторы ресурсов можно создавать по правилу, что делает их более удобными при работе с большим количеством управляемых идентичностей, назначенных пользователем в вашей среде.

Получите идентификатор ресурса, назначенный управляемой идентичности, назначенной пользователем, с помощью следующей команды:
```
az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query id \
    --output tsv
```

Настройте ManagedIdentityCredential с идентификатором ресурса:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the resource ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .resourceId("/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Идентификатор объекта — это уникальный идентификатор служебного принципала управляемого удостоверения в Microsoft Entra ID. Основной идентификатор — это другое название идентификатора объекта.

Получите идентификатор объекта, назначенный управляемому удостоверению, назначенному пользователем, с помощью следующей команды:
```
az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query principalId \
    --output tsv
```

Настройте ManagedIdentityCredential с идентификатором объекта:

import com.azure.core.credential.TokenCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

TokenCredential credential = null;

// Set up credential based on environment (Azure or local development)
String environment = System.getenv("ENV");

if (environment != null && environment.equals("production")) {
    // Specify the object ID of the user-assigned managed identity
    credential = new ManagedIdentityCredentialBuilder()
        .objectId("<user-assigned-managed-identity-object-id>")
        .build();
} else {
    credential = new DefaultAzureCredentialBuilder()
        .build();
}

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Дальнейшие действия

В этой статье рассматривается проверка подлинности с помощью управляемого удостоверения, назначаемого пользователем. Эта форма проверки подлинности является одним из нескольких способов проверки подлинности в Azure SDK для Java. В следующих статьях описаны другие способы проверки подлинности:

Аутентифицируйте размещенные в Azure приложения Java по отношению к ресурсам Azure, используя управляемую удостоверенность, назначенную системой
Аутентификация Java приложений к службам Azure в процессе локальной разработки, используя учетные записи разработчиков
Аутентификация приложений Java для служб Azure при локальной разработке с помощью учетных записей служб.

Если возникают проблемы, связанные с проверкой подлинности приложения, размещенного в Azure, см. статью Устранение неполадок проверки подлинности приложений в Azure.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-02