Zelfstudie: Toegang tot Azure services vanuit een .NET-web-app

Meer informatie over het benaderen van Azure-services, zoals Azure Storage, vanuit een web-app die wordt uitgevoerd in Azure App Service, zonder aangemeld te zijn als gebruiker, door gebruik te maken van beheerde identiteiten. In deze zelfstudie ziet u hoe u verbinding maakt met Azure Storage als voorbeeld.

Elke service die beheerde identiteit (B in de volgende afbeelding) ondersteunt, kan veilig worden geopend met behulp van deze zelfstudie:

Azure Storage
Azure SQL Database
Azure Key Vault

Diagram dat laat zien hoe u toegang krijgt tot opslag.

U wilt beveiligde toegang toevoegen aan Azure-services, waaronder Azure Storage, Azure SQL Database en Azure Key Vault, vanuit uw web-app. U zou een gedeelde sleutel kunnen gebruiken, maar dan zit u met het probleem van operationele beveiliging en wie het geheim kan maken, implementeren en beheren. Het is ook mogelijk dat de sleutel op GitHub kan worden ingecheckt, en hackers weten hoe ze daar naar moeten zoeken. Een veiligere manier om uw web-app toegang tot gegevens te geven, is beheerde identiteiten te gebruiken.

Met een beheerde identiteit van Microsoft Entra ID kan App Service toegang krijgen tot resources via op rollen gebaseerd toegangsbeheer (RBAC), zonder dat hiervoor app-referenties nodig zijn. Nadat u een beheerde identiteit aan uw web-app hebt toegewezen, zorgt Azure voor het maken en distribueren van een certificaat. Mensen hoeven zich geen zorgen te maken over het beheren van geheimen of app-referenties.

In deze zelfstudie leert u het volgende:

Een door het systeem toegewezen beheerde identiteit maken in een web-app
Maak een opslagaccount en een Azure Blob Storage-container.
Toegang tot opslag krijgen vanuit een web-app met behulp van beheerde identiteiten

Als u geen Azure account hebt, maakt u een free-account voordat u begint.

Vereisten

Een webtoepassing die wordt uitgevoerd in Azure App Service:
- .NET-snelstart
- Snelstart voor JavaScript

Een beheerde identiteit inschakelen voor een app

Als u uw web-app maakt en publiceert via Visual Studio, is de beheerde identiteit ingeschakeld voor uw app.

Selecteer Identiteit in uw app-service in het linkermenu en selecteer vervolgens Systeem toegewezen. Verifieer dat Status is ingesteld op Aan.

Als dat niet het is, selecteert u Aan en slaat u het bestand op. Als u de door het systeem toegewezen beheerde identiteit wilt inschakelen, selecteert u Ja in het bevestigingsvenster. Wanneer de beheerde identiteit is ingeschakeld, is de status ingesteld op Aan en is de object-id beschikbaar.
Met deze stap wordt een nieuwe object-id gemaakt, die anders is dan de app-id die in het deelvenster Verificatie/autorisatie wordt gemaakt. Kopieer de object-id van de door het systeem toegewezen beheerde identiteit. U hebt het later nodig.

Een opslagaccount en Blob Storage-container maken

U bent nu klaar om een opslagaccount en Blob Storage container te maken.

Elk opslagaccount moet deel uitmaken van een Azure resourcegroep. Een resourcegroep is een logische container voor uw Azure-services. Wanneer u een opslagaccount maakt, kunt u een nieuwe resourcegroep maken of een bestaande resourcegroep gebruiken. In dit artikel wordt beschreven hoe u een nieuwe resourcegroep maakt.

Een v2-opslagaccount voor algemeen gebruik biedt toegang tot alle Azure Storage services: blobs, bestanden, wachtrijen, tabellen en schijven. Met de stappen die hier worden uiteengezet, maakt u een v2-opslagaccount voor algemeen gebruik, maar de stappen voor het maken van een ander soort opslagaccount zijn vergelijkbaar.

Blobs in Azure Storage zijn ingedeeld in containers. Voordat u later in deze zelfstudie een blob kunt uploaden, moet u een container maken.

Volg deze stappen om een v2-opslagaccount voor algemeen gebruik te maken in de Azure-portal.

Voer in het menu Azure portal Storage-accounts in. Als u begint te typen, wordt de lijst gefilterd op basis van uw invoer. Selecteer Opslagaccounts.
Selecteer Maken in het venster Opslagaccounts dat wordt weergegeven.
Selecteer het abonnement waarin u het opslagaccount wilt maken.
Selecteer voor resourcegroep de resourcegroep die uw web-app bevat.
Voer een naam in voor het opslagaccount. De naam die u kiest, moet uniek zijn in Azure. De naam moet tussen de 3 en 24 tekens lang zijn en mag alleen cijfers en kleine letters bevatten.
Selecteer een locatie (regio) voor uw opslagaccount of gebruik de standaardwaarde.
Selecteer Azure Blob Storage of Azure Data Lake Storage Gen 2 voor voorkeursopslagtype.
Laat deze velden ingesteld staan op de standaardwaarden:

Veld Waarde

Prestaties Standaard

Redundantie Georedundante opslag
Selecteer Beoordelen en maken om uw opslagaccountinstellingen te bekijken en het account te maken.
Selecteer Aanmaken.

Veld	Waarde
Prestaties	Standaard
Redundantie	Georedundante opslag

Volg deze stappen om een Blob Storage container in Azure Storage te maken.

Ga naar uw nieuwe opslagaccount in de Azure-portal.
Selecteer Containers in het linkermenu voor het opslagaccount onder Gegevensopslag.
Selecteer Container toevoegen.
Typ een naam voor de nieuwe container. De containernaam mag alleen kleine letters bevatten, moet beginnen met een letter of cijfer en mag alleen letters, cijfers en het streepje (-) bevatten.
Stel het niveau van openbare toegang tot de container in. Het standaardniveau is Persoonlijk (geen anonieme toegang).
Selecteer OK om de container aan te maken.

Voer het volgende script uit om een v2-opslagaccount voor algemeen gebruik en Blob Storage container te maken. Geef de naam op van de resourcegroep die uw web-app bevat. Voer een naam in voor het opslagaccount. De naam die u kiest, moet uniek zijn in Azure. Verder moet de naam 3 tot 24 tekens lang zijn en alleen cijfers en kleine letters bevatten.

Geef de locatie voor uw opslagaccount op. Voer Get-AzLocation | select Location uit om een lijst weer te geven met locaties die geldig zijn voor uw abonnement. De containernaam mag alleen kleine letters bevatten, moet beginnen met een letter of cijfer en mag alleen letters, cijfers en het streepje (-) bevatten.

Vergeet niet om de tijdelijke aanduidingswaarden tussen de hoekige haken te vervangen door uw eigen waarden.

Connect-AzAccount

$resourceGroup = "securewebappresourcegroup"
$location = "<location>"
$storageName="securewebappstorage"
$containerName = "securewebappblobcontainer"

$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name $storageName `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2

$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Context $ctx -Permission blob

Geef de locatie voor uw opslagaccount op. De containernaam mag alleen kleine letters bevatten, moet beginnen met een letter of cijfer en mag alleen letters, cijfers en het streepje (-) bevatten.

In het volgende voorbeeld wordt uw Microsoft Entra-account gebruikt om de bewerking te autoriseren om de container te maken. Voordat u de container maakt, moet u de rol Storage Blob Data Contributor aan uzelf toewijzen. Zelfs als u de eigenaar van het account bent, hebt u expliciete machtigingen nodig om gegevensbewerkingen uit te voeren voor het opslagaccount.

Vergeet niet om de tijdelijke aanduidingswaarden tussen de hoekige haken te vervangen door uw eigen waarden.

az login

az storage account create \
    --name securewebappstorage \
    --resource-group securewebappresourcegroup \
    --location <location> \
    --sku Standard_ZRS \
    --encryption-services blob

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az ad signed-in-user show --query objectId -o tsv | az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee @- \
    --scope $storageId

az storage container create \
    --account-name securewebappstorage \
    --name securewebappblobcontainer \
    --auth-mode login

Toegang tot het opslagaccount verlenen

U moet uw web-app toegang tot het opslagaccount verlenen voordat u blobs kunt maken, lezen of verwijderen. In een vorige sectie hebt u de web-app geconfigureerd die wordt uitgevoerd in App Service met een beheerde identiteit. Met Azure RBAC kunt u de beheerde identiteit toegang geven tot een andere resource, net zoals elke beveiligingsprincipaal.

De rol Inzender voor opslagblobgegevens biedt de web-app, vertegenwoordigd door de door het systeem toegewezen beheerde identiteit, lees-, schrijf- en verwijdertoegang tot de blobcontainer en -gegevens.

Notitie

Azure RBAC biedt geen ondersteuning voor bepaalde bewerkingen in privé-blobcontainers, zoals het weergeven van blobs of het kopiëren van blobs tussen accounts. Voor een blobcontainer met een privétoegangsniveau is een SAS-token vereist voor elke bewerking die azure RBAC niet autoriseert. Zie Wanneer u een handtekening voor gedeelde toegang gebruikt voor meer informatie.

Ga in de Azure portal naar uw opslagaccount om uw web-app toegang te verlenen.
Selecteer in het linkermenu Toegangsbeheer (IAM) en selecteer vervolgens Roltoewijzingen. U ziet een lijst met wie toegang heeft tot het opslagaccount.
U wilt een roltoewijzing toevoegen aan de app-service die toegang nodig heeft tot het opslagaccount. Klik op Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.
Wijs de rol Storage Blob Data Contributor toe aan de App Service binnen het bereik van het opslagaccount. Voor meer informatie, zie Azure-rollen toewijzen met behulp van het Azure-portaal.

Uw web-app heeft nu toegang tot uw opslagaccount.

Voer het volgende script uit om uw web-app, die wordt vertegenwoordigd door een door het systeem toegewezen beheerde identiteit, de rol van Deelnemer voor opslagblobgegevens in uw opslagaccount toe te wijzen.

$resourceGroup = "securewebappresourcegroup"
$webAppName="SecureWebApp20201102125811"
$storageName="securewebappstorage"

$spID = (Get-AzWebApp -ResourceGroupName $resourceGroup -Name $webAppName).identity.principalid
$storageId= (Get-AzStorageAccount -ResourceGroupName $resourceGroup -Name $storageName).Id
New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Storage Blob Data Contributor" -Scope $storageId

Voer het volgende script uit om de Storage Blob Data Contributor-rol toe te wijzen aan uw web-app, die vertegenwoordigd wordt door een door het systeem toegewezen beheerde identiteit, op uw opslagaccount.

spID=$(az resource list -n SecureWebApp20201102125811 --query [*].identity.principalId --out tsv)

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az role assignment create --assignee $spID --role 'Storage Blob Data Contributor' --scope $storageId

Toegang tot Blob Storage

De klasse DefaultAzureCredential wordt gebruikt om een tokenreferentie voor uw code op te halen om aanvragen voor Azure Storage te autoriseren. Maak een exemplaar van de klasse DefaultAzureCredential, die gebruikmaakt van de beheerde identiteit om tokens op te halen en aan de serviceclient te koppelen. Met het volgende codevoorbeeld wordt de geverifieerde tokenreferentie opgehaald en gebruikt om een serviceclientobject te maken, waarmee een nieuwe blob wordt geüpload.

Zie de sample op GitHub om deze code te zien als onderdeel van een voorbeeldtoepassing.

Clientbibliotheekpakketten installeren

Installeer het Blob Storage NuGet-pakket om te werken met Blob Storage en de Azure Identity-clientbibliotheek voor .NET NuGet-pakket om te verifiëren met Microsoft Entra referenties. Installeer de clientbibliotheken met behulp van de .NET Core-opdrachtregelinterface of de Package Manager Console in Visual Studio.

.NET Core-opdrachtregel

Open een opdrachtregel en ga naar de map die uw projectbestand bevat.

Voer de installatieopdrachten uit.

dotnet add package Azure.Storage.Blobs

dotnet add package Azure.Identity

Pakketbeheerconsole

Open het project of de oplossing in Visual Studio en open de console met behulp van de opdracht Tools>NuGet Package Manager>Package Manager Console.

Voer de installatieopdrachten uit.

Install-Package Azure.Storage.Blobs

Install-Package Azure.Identity

.NET voorbeeld

using System;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using System.Collections.Generic;
using System.Threading.Tasks;
using System.Text;
using System.IO;
using Azure.Identity;

// Some code omitted for brevity.

static public async Task UploadBlob(string accountName, string containerName, string blobName, string blobContents)
{
    // Construct the blob container endpoint from the arguments.
    string containerEndpoint = string.Format("https://{0}.blob.core.windows.net/{1}",
                                                accountName,
                                                containerName);

    // Get a credential and create a client object for the blob container.
    BlobContainerClient containerClient = new BlobContainerClient(new Uri(containerEndpoint),
                                                                    new DefaultAzureCredential());

    try
    {
        // Create the container if it doesn't exist.
        await containerClient.CreateIfNotExistsAsync();

        // Upload text to a new block blob.
        byte[] byteArray = Encoding.ASCII.GetBytes(blobContents);

        using (MemoryStream stream = new MemoryStream(byteArray))
        {
            await containerClient.UploadBlobAsync(blobName, stream);
        }
    }
    catch (Exception e)
    {
        throw e;
    }
}

Hulpmiddelen opschonen

Als u deze zelfstudie hebt voltooid en de web-app of de bijbehorende resources niet meer nodig hebt, moet u de resources opschonen die u hebt gemaakt.

De resourcegroep verwijderen

Selecteer Azure portal in het menu van de Resource groups en selecteer de resourcegroep die uw App Service en App Service-plan bevat.
Selecteer Resourcegroep verwijderen om de resourcegroep en alle resources te verwijderen.
Voer de naam in van de resourcegroep die u wilt bevestigen.

Dit proces kan enkele minuten duren.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

Een door het systeem toegewezen beheerde identiteit maken
Maak een opslagaccount en Blob Storage container.
Toegang tot opslag krijgen vanuit een web-app met behulp van beheerde identiteiten

Tutorial: Back-endcommunicatie isoleren met Virtual Network integratie

App Service opent Microsoft Graph namens de gebruiker

Beveiligen met aangepast domein en certificaat

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-24