Tutorial: Acceso a servicios Azure desde una aplicación web de .NET

Aprenda a acceder a servicios de Azure, como Azure Storage, desde una aplicación web que se ejecute en Azure App Service y no requiera un usuario que haya iniciado sesión, mediante el uso de identidades administradas. En este tutorial se muestra cómo conectarse a Azure Storage como ejemplo.

Se puede acceder de manera segura a cualquier servicio que admita identidades administradas (B en la imagen siguiente) mediante este tutorial:

• Azure Storage
• Azure SQL Database
• Azure Key Vault

Quiere agregar acceso seguro a los servicios de Azure, incluidos Azure Storage, Azure SQL Database y Azure Key Vault, desde la aplicación web. Podría usar una clave compartida, pero tendría que preocuparse de la seguridad operativa de quién puede crear, implementar y administrar el secreto. También es posible que la clave pudiera insertarse en GitHub, donde los hackers saben cómo buscar. Una manera más segura de dar acceso a los datos a la aplicación web es usar identidades administradas.

Una identidad administrada de Microsoft Entra ID permite a App Service acceder a los recursos a través del control de acceso basado en rol (RBAC), sin necesidad de credenciales de aplicación. Después de asignar una identidad administrada a la aplicación web, Azure se encarga de la creación y distribución de un certificado. Los usuarios no tienen que preocuparse de administrar secretos ni credenciales de aplicaciones.

En este tutorial, aprenderá a:

Si no tiene una cuenta de Azure, cree una cuenta free antes de comenzar.

Requisitos previos

• Una aplicación web que se ejecuta en Azure App Service:

  • Inicio rápido de .NET
  • Inicio rápido de JavaScript

Habilitación de la identidad administrada en una aplicación

Si crea y publica la aplicación web a través de Visual Studio, la identidad administrada se ha habilitado en la aplicación automáticamente.

1. En el servicio de aplicaciones, en el menú de la izquierda, seleccione Identidad y, a continuación, seleccione Sistema asignado. Compruebe que el Estado está establecido en Activo.

   Si no es así, seleccione Activado y, después, Guardar. Para habilitar la identidad administrada asignada por el sistema, en el cuadro de diálogo de confirmación, seleccione Sí. Una vez habilitada la identidad administrada, el estado se establece en Activo y el identificador del objeto está disponible.

   

2. Este paso crea un nuevo identificador de objeto, diferente del identificador de la aplicación que se creó en el panel Autenticación o autorización. Copie el identificador de objeto de la identidad administrada asignada por el sistema. Lo necesitará más adelante.

Creación de una cuenta de almacenamiento y un contenedor de Blob Storage

Ahora está listo para crear una cuenta de almacenamiento y un contenedor de Blob Storage.

Cada cuenta de almacenamiento debe pertenecer a un grupo de recursos Azure. Un grupo de recursos es un contenedor lógico para los servicios de Azure. Al crear una cuenta de almacenamiento, puede crear un nuevo grupo de recursos o usar un grupo de recursos existente. En este artículo se muestra cómo crear un nuevo grupo de recursos.

Una cuenta de almacenamiento de uso general v2 proporciona acceso a todos los servicios de Azure Storage: blobs, archivos, colas, tablas y discos. Los pasos indicados aquí crean una cuenta de almacenamiento de uso general v2, pero los pasos para crear cualquier otro tipo de cuenta de almacenamiento son similares.

Los blobs de Azure Storage se organizan en contenedores. Antes de poder cargar un blob más adelante en este tutorial, primero debe crear un contenedor.

Connect-AzAccount

$resourceGroup = "securewebappresourcegroup"
$location = "<location>"
$storageName="securewebappstorage"
$containerName = "securewebappblobcontainer"

$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name $storageName `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2

$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Context $ctx -Permission blob

az login

az storage account create \
    --name securewebappstorage \
    --resource-group securewebappresourcegroup \
    --location <location> \
    --sku Standard_ZRS \
    --encryption-services blob

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az ad signed-in-user show --query objectId -o tsv | az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee @- \
    --scope $storageId

az storage container create \
    --account-name securewebappstorage \
    --name securewebappblobcontainer \
    --auth-mode login

Concesión de acceso a la cuenta de almacenamiento

Debe conceder a la aplicación web acceso a la cuenta de almacenamiento antes de poder crear, leer o eliminar blobs. En una sección anterior, configuró la aplicación web que se ejecuta en App Service con una identidad administrada. Con el control de acceso basado en roles de Azure puede conceder a la identidad administrada acceso a otro recurso, igual que cualquier entidad de seguridad.

El rol "Storage Blob Data Contributor" le da a la aplicación web, representada por la identidad administrada asignada por el sistema, acceso de lectura, escritura y eliminación tanto al contenedor de blobs como a los datos.

$resourceGroup = "securewebappresourcegroup"
$webAppName="SecureWebApp20201102125811"
$storageName="securewebappstorage"

$spID = (Get-AzWebApp -ResourceGroupName $resourceGroup -Name $webAppName).identity.principalid
$storageId= (Get-AzStorageAccount -ResourceGroupName $resourceGroup -Name $storageName).Id
New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Storage Blob Data Contributor" -Scope $storageId

spID=$(az resource list -n SecureWebApp20201102125811 --query [*].identity.principalId --out tsv)

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az role assignment create --assignee $spID --role 'Storage Blob Data Contributor' --scope $storageId

Acceso a Blob Storage

La clase DefaultAzureCredential se usa para obtener una credencial de token para que el código autorice las solicitudes a Azure Storage. Cree una instancia de la clase DefaultAzureCredential, que usa la identidad administrada para capturar los tokens y asociarlos al cliente del servicio. En el ejemplo de código siguiente se obtiene la credencial de token autenticada y se usa para crear un objeto de cliente del servicio que, luego, carga un nuevo blob.

Para ver este código como parte de una aplicación de ejemplo, consulte sample en GitHub.

Instalación de los paquetes de biblioteca cliente

Instale el paquete NuGet de Blob Storage para que funcione con este servicio y la biblioteca cliente de Azure Identity del paquete NuGet de .NET para autenticarse con las credenciales de Microsoft Entra. Instale las bibliotecas cliente mediante la interfaz de línea de comandos de .NET Core o la consola de Package Manager en Visual Studio.

línea de comandos de .NET Core

1. Abra una línea de comandos y cambie al directorio que contiene el archivo del proyecto.

2. Ejecute los comandos de instalación.

   dotnet add package Azure.Storage.Blobs
   
   dotnet add package Azure.Identity
   

Consola del Administrador de Paquetes

1. Abra el proyecto o la solución en Visual Studio y abra la consola mediante el comando Tools>NuGet Package Manager>Package Manager Console.

2. Ejecute los comandos de instalación.

   Install-Package Azure.Storage.Blobs
   
   Install-Package Azure.Identity
   

ejemplo de .NET

using System;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using System.Collections.Generic;
using System.Threading.Tasks;
using System.Text;
using System.IO;
using Azure.Identity;

// Some code omitted for brevity.

static public async Task UploadBlob(string accountName, string containerName, string blobName, string blobContents)
{
    // Construct the blob container endpoint from the arguments.
    string containerEndpoint = string.Format("https://{0}.blob.core.windows.net/{1}",
                                                accountName,
                                                containerName);

    // Get a credential and create a client object for the blob container.
    BlobContainerClient containerClient = new BlobContainerClient(new Uri(containerEndpoint),
                                                                    new DefaultAzureCredential());

    try
    {
        // Create the container if it doesn't exist.
        await containerClient.CreateIfNotExistsAsync();

        // Upload text to a new block blob.
        byte[] byteArray = Encoding.ASCII.GetBytes(blobContents);

        using (MemoryStream stream = new MemoryStream(byteArray))
        {
            await containerClient.UploadBlobAsync(blobName, stream);
        }
    }
    catch (Exception e)
    {
        throw e;
    }
}

Limpieza de recursos

Si finaliza este tutorial y ya no necesita la aplicación web o los recursos asociados, limpie los recursos que ha creado.

Eliminar el grupo de recursos

1. En el portal de Azure, seleccione Grupos de recursos en el menú del portal de Azure y seleccione el grupo de recursos que contiene su servicio de aplicación y su plan de servicio de aplicación.

2. Seleccione Eliminar grupo de recursos para eliminar el grupo de recursos y todos los recursos.

   

3. Escriba el nombre del grupo de recursos para confirmarlo.

Este proceso puede tardar varios minutos en ejecutarse.

Pasos siguientes

En este tutorial ha aprendido a: