Ověřování Azure ve vývojových prostředích Java

Tento článek obsahuje přehled podpory knihovny identit Azure pro ověřování tokenů Microsoft Entra. Tato podpora umožňuje ověřování pro aplikace spuštěné místně na vývojářských počítačích prostřednictvím sady TokenCredential implementací.

Tento článek se zabývá následujícími tématy:

• Přihlašovací údaje kódu zařízení
• Přihlašovací údaje interaktivního prohlížeče
• Přihlašovací údaje Azure CLI
• Přihlašovací údaje IntelliJ

Informace o řešení potíží s ověřováním vývojového prostředí najdete v tématu Řešení potíží s ověřováním vývojového prostředí.

Přihlašovací údaje kódu zařízení

Přihlašovací údaje kódu zařízení interaktivně ověřuje uživatele na zařízeních s omezeným uživatelským rozhraním. Funguje tak, že uživatele vyzve k návštěvě přihlašovací adresy URL na počítači s podporou prohlížeče, když se aplikace pokusí ověřit. Uživatel pak zadá kód zařízení uvedený v pokynech spolu s přihlašovacími údaji. Po úspěšném ověření se aplikace, u které bylo požadováno ověření, úspěšně ověří na zařízení, na kterém běží.

Další informace najdete v tématu Microsoft Identity Platform a tok udělení autorizace zařízení OAuth 2.0.

Povolení aplikací pro tok kódu zařízení

Pokud chcete ověřit uživatele prostřednictvím toku kódu zařízení, postupujte následovně:

1. Na webu Azure Portal přejděte na ID Microsoft Entra a najděte registraci aplikace.
2. Přejděte do části Ověřování .
3. V části Navrhované přesměrované identifikátory URI zkontrolujte identifikátor URI, který končí /common/oauth2/nativeclientna .
4. V části Výchozí typ klienta vyberte možnost Ano pro možnost Považovat aplikaci za veřejného klienta.

Tyto kroky umožňují aplikaci ověřit, ale přesto nemá oprávnění k přihlášení k ID Microsoft Entra nebo k přístupu k prostředkům vaším jménem. Pokud chcete tento problém vyřešit, přejděte na oprávnění rozhraní API a povolte Microsoft Graph a prostředky, ke které chcete získat přístup.

Při prvním přihlášení musíte být také správcem vašeho tenanta, abyste udělili souhlas s vaší aplikací.

Pokud ve svém ID Microsoft Entra nemůžete nakonfigurovat možnost toku kódu zařízení, může to vyžadovat, aby vaše aplikace byla více tenantů. Pokud chcete aplikaci nastavit jako více tenantů, přejděte na panel Ověřování a vyberte Účty v libovolném adresáři organizace. Potom jako veřejný klient vyberte možnost Ano.

Ověření uživatelského účtu pomocí toku kódu zařízení

Následující příklad ukazuje ověření SecretClient z klientské knihovny azure-security-keyvault-secrets pomocí DeviceCodeCredential zařízení IoT.

DeviceCodeCredential deviceCodeCredential = new DeviceCodeCredentialBuilder()
  .challengeConsumer(challenge -> {
    // lets user know of the challenge
    System.out.println(challenge.getMessage());
  }).build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
  .vaultUrl("https://<your Key Vault name>.vault.azure.net")
  .credential(deviceCodeCredential)
  .buildClient();

Přihlašovací údaje interaktivního prohlížeče

Tyto přihlašovací údaje interaktivně ověřuje uživatele pomocí výchozího systémového prohlížeče a nabízí bezproblémové ověřování tím, že vám umožní použít vlastní přihlašovací údaje k ověření vaší aplikace.

Povolení aplikací pro tok OAuth 2 interaktivního prohlížeče

Pokud chcete použít InteractiveBrowserCredential, musíte zaregistrovat aplikaci v Microsoft Entra ID s oprávněními k přihlášení jménem uživatele. Postupujte podle předchozích kroků pro tok kódu zařízení a zaregistrujte aplikaci. Jak už bylo zmíněno dříve, správce vašeho tenanta musí udělit souhlas s vaší aplikací, aby se mohl přihlásit jakýkoli uživatelský účet.

Můžete si všimnout, že v InteractiveBrowserCredentialBuilderadrese URL pro přesměrování se vyžaduje. Přidejte adresu URL pro přesměrování do pododdílu Identifikátory URI pro přesměrování v části Ověřování registrované aplikace Microsoft Entra.

Interaktivní ověření uživatelského účtu v prohlížeči

Následující příklad ukazuje ověření SecretClient z klientské knihovny azure-security-keyvault-secrets pomocí InteractiveBrowserCredentialknihovny .

InteractiveBrowserCredential interactiveBrowserCredential = new InteractiveBrowserCredentialBuilder()
  .clientId("<your client ID>")
  .redirectUrl("http://localhost:8765")
  .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
  .vaultUrl("https://<your Key Vault name>.vault.azure.net")
  .credential(interactiveBrowserCredential)
  .buildClient();

Přihlašovací údaje Azure CLI

Přihlašovací údaje Azure CLI se ověřují ve vývojovém prostředí s povoleným uživatelem nebo instančním objektem v Azure CLI. Používá Azure CLI vzhledem k uživateli, který je k němu již přihlášený, a používá rozhraní příkazového řádku k ověření aplikace v Microsoft Entra ID.

Přihlášení k Azure CLI pro AzureCliCredential

Přihlaste se jako uživatel pomocí následujícího příkazu Azure CLI :

az login

Přihlaste se jako instanční objekt pomocí následujícího příkazu:

az login \
    --service-principal \
    --username <client-ID> \
    --password <client-secret> \
    --tenant <tenant-ID>

Pokud má účet nebo instanční objekt přístup k více tenantům, ujistěte se, že je požadovaný tenant nebo předplatné ve stavu Povoleno ve výstupu z následujícího příkazu:

az account list

Před použitím AzureCliCredential kódu spusťte následující příkaz a ověřte, že byl účet úspěšně nakonfigurovaný.

az account get-access-token

Tento proces možná budete muset opakovat po určitém časovém období v závislosti na platnosti obnovovacího tokenu ve vaší organizaci. Obecně platí, že doba platnosti obnovovacího tokenu je několik týdnů až několik měsíců. AzureCliCredential zobrazí výzvu k opětovnému přihlášení.

Ověření uživatelského účtu pomocí Azure CLI

Následující příklad ukazuje ověření SecretClient z klientské knihovny azure-security-keyvault-secrets pomocí AzureCliCredential na pracovní stanici s nainstalovaným a přihlášeným Rozhraním příkazového řádku Azure.

AzureCliCredential cliCredential = new AzureCliCredentialBuilder().build();

// Azure SDK client builders accept the credential as a parameter.
SecretClient client = new SecretClientBuilder()
  .vaultUrl("https://<your Key Vault name>.vault.azure.net")
  .credential(cliCredential)
  .buildClient();

Přihlašovací údaje IntelliJ

Přihlašovací údaje IntelliJ se ověřují ve vývojovém prostředí pomocí účtu v sadě Azure Toolkit for IntelliJ. Používá informace o přihlášených uživatelích v integrovaném vývojovém prostředí IntelliJ a používá je k ověření aplikace v Microsoft Entra ID.

Přihlášení k sadě Azure Toolkit for IntelliJ for IntelliJCredential

Přihlaste se pomocí následujících kroků:

1. V okně IntelliJ otevřete moduly plug-in Nastavení > souborů>.
2. Na marketplace vyhledejte sadu Azure Toolkit for IntelliJ. Instalace a restartování integrovaného vývojového prostředí (IDE)
3. Vyhledání nové položky nabídky Nástroje > azure > Azure Sign In
4. Přihlášení zařízení vám pomůže přihlásit se jako uživatelský účet. Podle pokynů se přihlaste na login.microsoftonline.com webu pomocí kódu zařízení. IntelliJ vás vyzve k výběru předplatných. Vyberte předplatné s prostředky, ke kterým chcete získat přístup.

Ověření uživatelského účtu pomocí IntelliJ IDEA

Následující příklad ukazuje ověření SecretClient z klientské knihovny azure-security-keyvault-secrets pomocí IntelliJCredential na pracovní stanici, kde je nainstalovaná IntelliJ IDEA, a uživatel se přihlásil pomocí účtu Azure k sadě Azure Toolkit for IntelliJ.

IntelliJCredential intelliJCredential = new IntelliJCredentialBuilder()
  .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
  .vaultUrl("https://<your Key Vault name>.vault.azure.net")
  .credential(intelliJCredential)
  .buildClient();

Další kroky

Tento článek se zabýval ověřováním během vývoje pomocí přihlašovacích údajů dostupných na vašem počítači. Tato forma ověřování je jedním z několika způsobů, jak se můžete ověřit v sadě Azure SDK pro Javu. Následující články popisují další způsoby:

• Ověřování aplikací hostovaných v Azure
• Ověřování pomocí instančních objektů
• Ověřování pomocí přihlašovacích údajů uživatele

Pokud narazíte na problémy související s ověřováním vývojového prostředí, přečtěte si téma Řešení potíží s ověřováním vývojového prostředí.

Jakmile zvládnete ověřování, přečtěte si téma Konfigurace protokolování v sadě Azure SDK pro Javu , kde najdete informace o funkcích protokolování poskytovaných sadou SDK.