Настройка приложения для того, чтобы доверять управляемому удостоверению

2025-06-06

В этой статье описывается, как настроить приложение Microsoft Entra для доверительной работы с управляемым удостоверением. Затем можно обменять токен управляемого удостоверения на токен доступа, который получает доступ к защищенным ресурсам Microsoft Entra без необходимости использования или управления секретами приложений.

Необходимые условия

Учетная запись Azure с активной подпиской. создать учетную запись бесплатно.
Эта учетная запись Azure должна иметь разрешения на обновление учетных данных приложения. Любые из следующих ролей Microsoft Entra включают необходимые разрешения:
Осознание концепций управления удостоверениями для ресурсов Azure.
назначенное пользователем управляемое удостоверение назначено вычислительному ресурсу Azure (например, виртуальной машине или службе приложений Azure), на котором размещена рабочая нагрузка.
Регистрация приложения в Microsoft Entra ID. Эта регистрация приложения должна принадлежать тому же клиенту, что и управляемая идентичность.
- Если вам нужно получить доступ к ресурсам в другом клиенте, регистрация приложения должна быть мультитенантным приложением и развернута в другом клиенте. Узнайте, как добавить мультитенантное приложение в другие клиенты.
Регистрация приложения должна иметь доступ к защищенным ресурсам Microsoft Entra (например, Azure, Microsoft Graph, Microsoft 365 и т. д.). Этот доступ можно предоставить с помощью разрешений API или делегированных разрешений.

Важные рекомендации и ограничения

Чтобы создать, обновить или удалить федеративные учетные данные, учетная запись, выполняющая действие, должна иметь роль администратора приложений , роль разработчика приложений , роль администратора облачных приложений или роль владельца приложения. Чтобы обновить федеративные удостоверения, требуется разрешение microsoft.directory/applications/credentials/update.

В приложение или управляемое удостоверение, назначаемое пользователем, можно добавить не более 20 учетных данных федеративной идентичности.

При настройке федеративных удостоверений личности необходимо указать несколько важных сведений:

издатель, тема — это ключевые фрагменты информации, необходимые для настройки отношения доверия. Когда рабочая нагрузка Azure запрашивает у платформы идентификации Майкрософт обменять токен управляемой идентификации на токен доступа к приложению Entra, значения issuer и subject федеративных учетных данных удостоверения проверяются на соответствие утверждениям issuer и subject, представленным в токене управляемой идентификации. Если эта проверка проходит, платформа идентификации Microsoft выдает токен доступа к внешней рабочей нагрузке.
issuer — это URL-адрес центра авторизации Microsoft Entra в форме https://login.microsoftonline.com/{tenant}/v2.0. Приложение Microsoft Entra и управляемое удостоверение должны принадлежать одному клиенту. Если заявление issuer имеет начальные или конечные пробелы в значении, обмен токена блокируется.
subject: Это чувствительный к регистру GUID конечного идентификатора управляемого удостоверения, назначенного рабочей нагрузке Azure. Управляемая идентичность должна находиться в том же клиенте, что и регистрация приложения, даже если целевой ресурс находится в другом облаке. Платформа удостоверений Майкрософт отклонит обмен токенами, если subject в конфигурации учетных данных федеративного удостоверения не совпадает с Principal ID управляемого удостоверения.
аудитория указывает значение, которое отображается в aud утверждении токена управляемого удостоверения (требуется). Значение должно быть одним из следующих значений в зависимости от целевого облака.
- глобальная служба Microsoft Entra ID: api://AzureADTokenExchange
- Идентификатор Microsoft Entra для государственных организаций США: api://AzureADTokenExchangeUSGov
- Microsoft Entra China, управляемая 21Vianet: api://AzureADTokenExchangeChina
Важный

Доступ к ресурсам в другом клиенте поддерживается. Доступ к ресурсам в другом облаке не поддерживается. Запросы токенов к другим облакам завершаются ошибкой.

Важный

Если вы случайно добавите неверные сведения в издателя, субъект или аудиторию, настройки учетных данных федеративного удостоверения создаются успешно без возникновения ошибки. Ошибка не становится очевидной до сбоя обмена токенами.
имя является уникальным идентификатором для учетных данных федеративной идентификации. Обязательно: это поле имеет ограничение в 3–120 символов и должно быть совместимо с URL. Поддерживаются буквенно-цифровые символы, дефисы или символы подчеркивания, а первый символ должен быть буквенно-цифровым. Он становится неизменяемым после создания.
описание — это предоставленное пользователем описание учетных данных федеративного удостоверения личности (необязательно). Описание не подтверждается и не проверяется Microsoft Entra ID. Это поле имеет ограничение в 600 символов.

Подстановочные знаки не поддерживаются в значении свойства учетных данных федеративного удостоверения.

Настройка учетных данных федеративного удостоверения в приложении

В этом разделе вы настроите учетные данные федеративного удостоверения в существующем приложении, чтобы доверять управляемому удостоверению. Используйте следующие вкладки, чтобы выбрать, как настроить учетные данные федеративного удостоверения в существующем приложении.

Войдите в Центр администрирования Microsoft Entra. Убедитесь, что вы находитесь в клиенте, где зарегистрировано приложение.
Перейдите к Entra ID>регистрациям приложений и выберите ваше приложение в главном окне.
В разделе Управлениевыберите Сертификаты & секретов.
Перейдите на вкладку федеративных учетных данных и выберите Добавить учетные данные.

В раскрывающемся списке сценария федеративных учетных данных выберите управляемое удостоверение и введите значения в соответствии со следующей таблицей:

Поле	Описание	Пример
Эмитент	URL-адрес эмитента OAuth 2.0 / OIDC идентификатора Microsoft Entra ID, который выдает токен управляемого удостоверения. Это значение автоматически заполняется текущим издателем клиента Entra.	`https://login.microsoftonline.com/{tenantID}/v2.0`
Выберите управляемое удостоверение	Щёлкните эту ссылку, чтобы выбрать управляемую идентичность, которая будет выступать в качестве учётных данных федеративной идентичности. Вы можете использовать только управляемые удостоверения, назначенные пользователем, в качестве учетных данных.	msi-webapp1
Описание (необязательно)	Описание удостоверяющей информации, предоставленное пользователем.	Доверяйте рабочим нагрузкам UAMI как учетным данным для моего приложения
Публика	Значение для аудитории, которое должно отображаться во внешнем маркере.	Необходимо задать одно из следующих значений: • Идентификатор глобальной службы Entra ID: api://AzureADTokenExchange • Entra ID для правительства США: api://AzureADTokenExchangeUSGov • Entra ID China, управляемый 21Vianet: api://AzureADTokenExchangeChina

снимок экрана: окно учетных данных в Центре администрирования Microsoft Entra.

az ad app federated-credential create --id 00001111-aaaa-2222-bbbb-3333cccc4444 --parameters credential.json

Параметр id задает идентификатор приложения (идентификатор объекта). Параметр parameters задает конфигурацию учетных данных федеративного удостоверения в формате JSON.

Это пример содержимого credential.json. Замените GUID subject идентификатором объекта (субъекта) управляемого удостоверения и {tenantID} идентификатором арендатора для вашего приложения. значение аудитории должно иметь одно из следующих значений:
• Идентификатор глобальной службы Entra ID: api://AzureADTokenExchange
• Entra ID для правительства США: api://AzureADTokenExchangeUSGov
• Entra ID China, управляемый 21Vianet: api://AzureADTokenExchangeChina

{
    "name": "msi-webapp1",
    "issuer": "https://login.microsoftonline.com/{tenantID}/v2.0",
    "subject": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "description": "Trust the workload's UAMI to impersonate the App",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Откройте терминал PowerShell в предпочтительной интегрированной среде разработки и выполните следующую команду, чтобы создать учетные данные федеративного удостоверения в приложении. Замените GUID Subject идентификатором объекта (субъекта) управляемого удостоверения и {tenantID} идентификатором арендатора для вашего приложения.

значение аудитории должно иметь одно из следующих значений:
• Идентификатор глобальной службы Entra ID: api://AzureADTokenExchange
• Entra ID для правительства США: api://AzureADTokenExchangeUSGov
• Entra ID China, управляемый 21Vianet: api://AzureADTokenExchangeChina

New-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -Audience api://AzureADTokenExchange -Issuer 'https://login.microsoftonline.com/{tenantID}/v2.0' -Name 'MyMsiFic' -Subject '00001111-aaaa-2222-bbbb-3333cccc4444'

Откройте терминал в предпочтительной интегрированной среде разработки и выполните следующую команду, чтобы создать учетные данные федеративного удостоверения в приложении. Установите значение subject на идентификатор объекта (принципала) управляемого удостоверения, а {tenantID} на идентификатор арендатора вашего приложения.

az rest --method POST --uri 'https://graph.microsoft.com/applications/{app_registration_id}/federatedIdentityCredentials' --body '{"name":"MyMsiFicTest","issuer":"https://login.microsoftonline.com/{tenantID}/v2.0","subject":"{Managed_Identity_Principal_ID}","description":"Trust the workloads UAMI to impersonate the App","audiences":["api://AzureADTokenExchange"]}'

В этом примере показано, как использовать Bicep для создания FIC, чтобы ваше приложение доверяло назначенному управляемому удостоверению. Замените заполнители соответствующими значениями.

extension 'br:mcr.microsoft.com/bicep/extensions/microsoftgraph/v1.0:0.1.8-preview'

param myWorkloadManagedIdentity string = '[MANAGED-IDENTITY-NAME]'
param applicationDisplayName string = '[APPLICATION-DISPLAYNAME]'
param applicationName string = '[APPLICATION-UNIQUE-NAME]'

resource myManagedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2023-01-31' existing = {
  name: myWorkloadManagedIdentity
}

resource myApp 'Microsoft.Graph/[email protected]' = {
  displayName: applicationDisplayName
  uniqueName: applicationName

  resource myMsiFic '[email protected]' = {
    name: '${myApp.uniqueName}/msiAsFic'
    description: 'Trust the workloads UAMI to impersonate the App'
    audiences: [
       'api://AzureADTokenExchange'
    ]
    issuer: '${environment().authentication.loginEndpoint}${tenant().tenantId}/v2.0'
    subject: myManagedIdentity.properties.principalId
  }
}

Обновите код вашего приложения для запроса токена доступа

В следующих фрагментах кода показано, как получить токен управляемой идентичности и использовать его в качестве учетных данных для приложения Entra. Образцы действительны в обоих случаях, если целевой ресурс находится в том же тенанте, что и приложение Entra, или в другом тенанте.

Клиентские библиотеки идентификации Azure

В следующих примерах кода демонстрируется доступ к секрету Azure Key Vault, но его можно адаптировать для доступа к любому ресурсу, защищенному Microsoft Entra.

using Azure.Core;
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
string miAudience = "api://AzureADTokenExchange";

// Create an assertion with the managed identity access token, so that it can be
// exchanged for an app token. Client ID is passed here. Alternatively, either
// object ID or resource ID can be passed.
ManagedIdentityCredential miCredential = new(
    ManagedIdentityId.FromUserAssignedClientId("<YOUR_MI_CLIENT_ID>"));
TokenRequestContext tokenRequestContext = new([$"{miAudience}/.default"]);
ClientAssertionCredential clientAssertionCredential = new(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    async _ =>
        (await miCredential
            .GetTokenAsync(tokenRequestContext)
            .ConfigureAwait(false)).Token
);

// Create a new SecretClient using the assertion
SecretClient client = new(
    new Uri("https://testfickv.vault.azure.net/"), 
    clientAssertionCredential);

// Retrieve the secret
KeyVaultSecret secret = client.GetSecret("<SECRET_NAME>");

package main

import (
  "context"
  "log"

  "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
  "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
  "github.com/Azure/azure-sdk-for-go/sdk/security/keyvault/azsecrets"
)

func main() {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  azScopes := []string{"api://AzureADTokenExchange/.default"}

  // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
  mic, err := azidentity.NewManagedIdentityCredential(
    &azidentity.ManagedIdentityCredentialOptions{
      ID: azidentity.ClientID("<YOUR_MI_CLIENT_ID>"),
    },
  )
  if err != nil {
    log.Fatal("error constructing managed identity credential: ", err)
  }

  getAssertion := func(ctx context.Context) (string, error) {
    tk, err := mic.GetToken(ctx, policy.TokenRequestOptions{Scopes: azScopes})
    return tk.Token, err
  }
  cred, err := azidentity.NewClientAssertionCredential("<YOUR_TENANT_ID>", "<YOUR_APP_CLIENT_ID>", getAssertion, nil)
  if err != nil {
    log.Fatal("error constructing client assertion credential: ", err)
  }

  client := azsecrets.NewClient("https://testfickv.vault.azure.net", cred, nil)
	resp, err := client.GetSecret(context.TODO(), "<SECRET_NAME>", "", nil)
	if err != nil {
		// TODO: handle error
	}
}

import com.azure.core.credential.TokenRequestContext;
import com.azure.core.credential.*;
import com.azure.identity.*;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;

import reactor.core.publisher.Mono;

public class KeyVaultFIC {
  // Audience value must be one of the below values depending on the target cloud:
  // - Entra ID Global cloud: api://AzureADTokenExchange
  // - Entra ID US Government: api://AzureADTokenExchangeUSGov
  // - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
  private static final String MI_AUDIENCE = "api://AzureADTokenExchange";

  public static void main(String[] args) throws Exception {
    ClientAssertionCredential clientAssertionCredential = new ClientAssertionCredentialBuilder()
        .tenantId("<YOUR_TENANT_ID>")
        .clientId("<YOUR_APP_CLIENT_ID>")
        .clientAssertion(() -> getTokenUsingManagedIdentity(MI_AUDIENCE).block())
        .build();

    SecretClient secretClient = new SecretClientBuilder()
        .vaultUrl("https://testfickv.vault.azure.net")
        .credential(clientAssertionCredential)
        .buildClient();

    KeyVaultSecret secret = secretClient.getSecret("<SECRET_NAME>");
  }

  private static Mono<String> getTokenUsingManagedIdentity(String audience) {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    ManagedIdentityCredential managedIdentityCredential = new ManagedIdentityCredentialBuilder()
        .clientId("<YOUR_MI_CLIENT_ID>")
        .build();
    TokenRequestContext requestContext = new TokenRequestContext()
        .addScopes(audience + "/.default");

    return managedIdentityCredential
        .getToken(requestContext)
        .map(accessToken -> accessToken.getToken());
  }
}

import { ManagedIdentityCredential, ClientAssertionCredential, TokenCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";

// Audience value must be one of the below values depending on the target cloud:
// - Entra ID Global cloud: api://AzureADTokenExchange
// - Entra ID US Government: api://AzureADTokenExchangeUSGov
// - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
const MI_AUDIENCE: string = "api://AzureADTokenExchange";

async function getAccessToken(credential: TokenCredential, audience: string[]): Promise<string> {
    const accessToken = await credential.getToken(audience);
    const token = accessToken?.token;
    if (!token)
        throw new Error(`Failed to obtain valid access token, received ${token}`);
    return token;
}

const main = async () => {
    // Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
    const managedIdentityCredential = new ManagedIdentityCredential(
    {
        clientId: "<YOUR_MI_CLIENT_ID>"
    });
    const clientAssertionCredential = new ClientAssertionCredential(
        "<YOUR_TENANT_ID>",
        "<YOUR_APP_CLIENT_ID>",
        () => getAccessToken(managedIdentityCredential, [`${MI_AUDIENCE}/.default`]));
    const client = new SecretClient("https://testfickv.vault.azure.net", clientAssertionCredential);

    try {
        const secret = await client.getSecret("<SECRET_NAME>");
        console.log("Found the secret from Key Vault");
    } catch (error) {
        console.error("Failed to retrieve secret:", error);
        throw error;
    }
};

main();

from azure.identity import ManagedIdentityCredential, ClientAssertionCredential
from azure.keyvault.secrets import SecretClient

# Audience value must be one of the below values depending on the target cloud:
# - Entra ID Global cloud: api://AzureADTokenExchange
# - Entra ID US Government: api://AzureADTokenExchangeUSGov
# - Entra ID China operated by 21Vianet: api://AzureADTokenExchangeChina
MI_AUDIENCE = "api://AzureADTokenExchange"

def get_managed_identity_token(credential, audience):
    return credential.get_token(audience).token

# Client ID is passed here. Alternatively, either object ID or resource ID can be passed.
managed_identity_credential = ManagedIdentityCredential(client_id="<YOUR_MI_CLIENT_ID>")

client_assertion_credential = ClientAssertionCredential(
    "<YOUR_RESOURCE_TENANT_ID>",
    "<YOUR_APP_CLIENT_ID>",
    lambda: get_managed_identity_token(managed_identity_credential, f"{MI_AUDIENCE}/.default"))

client = SecretClient(
    vault_url="https://testfickv.vault.azure.net",
    credential=client_assertion_credential)
retrieved_secret = client.get_secret("<SECRET_NAME>")

Веб-сайт Microsoft.Identity.Web

В Microsoft.Identity.Web вы можете задать ClientCredentials раздел в appsettings.json , чтобы разрешить коду использовать SignedAssertionFromManagedIdentity настроенное управляемое удостоверение в качестве учетных данных:

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "YOUR_APPLICATION_ID",
    "TenantId": "YOUR_TENANT_ID",
    
    "ClientCredentials": [
      {
        "SourceType": "SignedAssertionFromManagedIdentity",
        "ManagedIdentityClientId": "YOUR_USER_ASSIGNED_MANAGED_IDENTITY_CLIENT_ID",
        "TokenExchangeUrl": "api://AzureADTokenExchange/.default"
      }
    ]
  }
}

MSAL (.NET)

В MSALможно использовать класс ManagedClientApplication для получения токена управляемой идентификации. Затем этот маркер можно использовать в качестве утверждения клиента при создании конфиденциального клиентского приложения.

using Microsoft.Identity.Client;
using Microsoft.Identity.Client.AppConfig;
using Azure.Storage.Blobs;
using Azure.Core;
using Azure.Storage.Blobs.Models;

internal class Program
{
  static async Task Main(string[] args)
  {
      string storageAccountName = "YOUR_STORAGE_ACCOUNT_NAME";
      string containerName = "CONTAINER_NAME";

      string appClientId = "YOUR_APP_CLIENT_ID";
      string resourceTenantId = "YOUR_RESOURCE_TENANT_ID";
      Uri authorityUri = new($"https://login.microsoftonline.com/{resourceTenantId}");
      string miClientId = "YOUR_MI_CLIENT_ID";
      string audience = "api://AzureADTokenExchange/.default";

      // Get mi token to use as assertion
      var miAssertionProvider = async (AssertionRequestOptions _) =>
      {
            var miApplication = ManagedIdentityApplicationBuilder
                .Create(ManagedIdentityId.WithUserAssignedClientId(miClientId))
                .Build();

            var miResult = await miApplication.AcquireTokenForManagedIdentity(audience)
                .ExecuteAsync()
                .ConfigureAwait(false);
            return miResult.AccessToken;
      };

      // Create a confidential client application with the assertion.
      IConfidentialClientApplication app = ConfidentialClientApplicationBuilder.Create(appClientId)
        .WithAuthority(authorityUri, false)
        .WithClientAssertion(miAssertionProvider)
        .WithCacheOptions(CacheOptions.EnableSharedCacheOptions)
        .Build();

        // Get the federated app token for the storage account
        string[] scopes = [$"https://{storageAccountName}.blob.core.windows.net/.default"];
        AuthenticationResult result = await app.AcquireTokenForClient(scopes).ExecuteAsync().ConfigureAwait(false);

        TokenCredential tokenCredential = new AccessTokenCredential(result.AccessToken);
        var containerClient = new BlobContainerClient(
            new Uri($"https://{storageAccountName}.blob.core.windows.net/{containerName}"),
            tokenCredential);

        await foreach (BlobItem blob in containerClient.GetBlobsAsync())
        {
            // TODO: perform operations with the blobs
            BlobClient blobClient = containerClient.GetBlobClient(blob.Name);
            Console.WriteLine($"Blob name: {blobClient.Name}, URI: {blobClient.Uri}");
        }
    }
}

См. также

Важные соображения и ограничения для учетных данных федеративной идентификации.