Ověřování Java aplikací pro Azure služby během místního vývoje pomocí vývojářských účtů

Během místního vývoje se aplikace musí ověřit do Azure, aby získaly přístup k různým službám Azure. Místní ověření můžete provést pomocí jednoho z následujících přístupů:

• Použijte vývojářský účet s jedním z vývojářských nástrojů podporovaných knihovnou identit Azure.
• Použijte službu principal. Další informace najdete v tématu Autentizace Java aplikací k Azure službám během lokálního vývoje pomocí principů služby.

Tento článek vysvětluje, jak se ověřit pomocí vývojářského účtu pomocí nástrojů podporovaných knihovnou identit Azure. V tomto článku se dozvíte:

• Jak používat skupiny Microsoft Entra k efektivní správě oprávnění pro více vývojářských účtů
• Jak přiřadit role vývojářským účtům pro vymezení oprávnění.
• Jak se přihlásit k podporovaným lokálním vývojovým nástrojům
• Jak ověřit pomocí vývojářského účtu ve vašem aplikačním kódu.

Podporované vývojářské nástroje pro ověřování

Během místního vývoje se aplikace může ověřit v Azure pomocí vašich přihlašovacích údajů Azure. Aby toto ověřování fungovalo, musíte být přihlášení k Azure z vývojářského nástroje, jako je například jedna z následujících možností:

• Azure CLI
• rozhraní příkazového řádku pro vývojáře Azure
• Azure PowerShell
• Visual Studio Code
• IntelliJ IDEA

Knihovna identit Azure dokáže zjistit, že vývojář je přihlášený z některého z těchto nástrojů. Knihovna pak může prostřednictvím nástroje získat přístupový token Microsoft Entra k ověření aplikace v Azure jako přihlášený uživatel.

Tento přístup využívá stávající účty vývojářů Azure ke zjednodušení procesu ověřování. Účet vývojáře ale pravděpodobně má více oprávnění, než aplikace vyžaduje, a proto překračuje oprávnění, která aplikace běží v produkčním prostředí. Jako alternativu můžete vytvořit instanční objekty aplikace, které se použijí při místním vývoji, což může být vymezeno tak, aby měly přístup potřebný jenom pro aplikaci.

Vytvoření skupiny Microsoft Entra pro místní vývoj

Vytvořte skupinu Microsoft Entra, abyste zahrnuli role (oprávnění), které aplikace potřebuje v místním vývoji, místo přiřazování rolí jednotlivým objektům typu "service principal". Tento přístup nabízí následující výhody:

• Každý vývojář má stejné role přiřazené na úrovni skupiny.
• Pokud je pro aplikaci potřeba nová role, stačí ji přidat jenom do skupiny aplikace.
• Pokud se nový vývojář připojí k týmu, vytvoří se nový instanční objekt aplikace pro vývojáře a přidá se do skupiny, aby vývojář získal správná oprávnění pro práci s aplikací.

Azure

1. Na portálu Azure přejděte na stránku přehledu Microsoft Entra ID.

2. V nabídce vlevo vyberte Všechny skupiny .

3. Na stránce Skupiny vyberte Nová skupina.

4. Na stránce Nová skupina vyplňte následující pole formuláře:

   • Typ skupiny: Vyberte Zabezpečení.
   • Název skupiny: Zadejte název skupiny, která obsahuje odkaz na název aplikace nebo prostředí.
   • Popis skupiny: Zadejte popis, který vysvětluje účel skupiny.

   

5. Vyberte odkaz Nejsou vybráni žádní členové v části Členové, abyste přidali členy do skupiny.

6. V rozbalovacím panelu, který se otevře, vyhledejte aplikační objekt služby, který jste vytvořili dříve, a vyberte ho z filtrovaných výsledků. Výběrem tlačítka Vybrat v dolní části panelu potvrďte výběr.

7. Výběrem možnosti Vytvořit v dolní části stránky Nová skupina vytvořte skupinu a vraťte se na stránku Všechny skupiny . Pokud novou skupinu nevidíte, chvíli počkejte a aktualizujte stránku.

Azure CLI

1. Pomocí příkazu az ad group create vytvořte skupiny v Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametry --display-name a --mail-nickname jsou povinné. Název dané skupiny by měl být založený na názvu a prostředí aplikace, aby bylo možné určit účel skupiny.

2. Pokud chcete do skupiny přidat členy, potřebujete ID objektu hlavní služby aplikace, které se liší od ID aplikace. Pomocí příkazu az ad sp list zobrazte seznam dostupných servisních entit.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametr --filter přijímá filtry ve stylu OData a lze ho použít k filtrování seznamu, jak je znázorněno. Parametr --query omezuje výstup pouze na sloupce, které zajímají.

3. Pomocí příkazu az ad group member add přidejte členy do skupiny:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Přiřazení rolí ke skupině

Dále určete, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřaďte tyto role Microsoft Entra skupině, kterou jste vytvořili. Skupinám lze přiřadit roli v rámci prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupuje všechny své Azure prostředky do jedné skupiny prostředků.

Azure

1. Na portálu Azure přejděte na stránku Overview skupiny prostředků, která obsahuje vaši aplikaci.

2. V levém navigačním panelu vyberte řízení přístupu (IAM).

3. Na stránce Řízení přístupu (IAM) vyberte + Přidat a pak v rozevírací nabídce zvolte Přidat přiřazení role . Stránka Přidat přiřazení role poskytuje několik záložek pro konfiguraci a přiřazení rolí.

4. Na kartě Role vyhledejte roli, kterou chcete přiřadit, pomocí vyhledávacího pole. Vyberte roli a pak zvolte Další.

5. Na kartě Členové :

   • V části Přiřadit přístup k hodnotě vyberte Uživatel, skupina nebo instanční objekt .
   • Pro hodnotu Členové zvolte + Vybrat členy , aby se otevřel informační panel Vybrat členy .
   • Vyhledejte skupinu Microsoft Entra, kterou jste vytvořili dříve, a vyberte ji z filtrovaných výsledků. Výběrem možnosti Vybrat vyberte skupinu a zavřete informační panel.
   • V dolní části karty Členové vyberte Zkontrolovat a přiřadit.

   

6. Na kartě Revize a Přiřazení vyberte Revize a Přiřazení v dolní části stránky.

Azure CLI

1. Pomocí příkazu az role definition list získejte názvy rolí, ke kterým je možné přiřadit skupinu Microsoft Entra nebo instanční objekt:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Pomocí příkazu az role create přiřaďte roli ke skupině Microsoft Entra, kterou jste vytvořili:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v tématu Assignování rolí Azure pomocí Azure CLI.

Přihlášení k Azure pomocí vývojářských nástrojů

Dále se přihlaste k Azure pomocí některého z vývojářských nástrojů, které můžete použít k ověřování ve vývojovém prostředí. Účet, který ověříte, by měl existovat také ve skupině Microsoft Entra, kterou jste vytvořili a nakonfigurovali dříve.

Visual Studio Code

Vývojáři, kteří používají Visual Studio Code, se můžou ověřit pomocí svého vývojářského účtu přímo prostřednictvím editoru prostřednictvím zprostředkovatele. Aplikace, které používají DefaultAzureCredential nebo VisualStudioCodeCredential můžou tento účet používat k ověřování žádostí o aplikace prostřednictvím bezproblémového jednotného přihlašování

1. V Visual Studio Code přejděte na panel Extensions a nainstalujte rozšíření Azure Resources. Toto rozšíření umožňuje zobrazit a spravovat Azure prostředky přímo z Visual Studio Code. Používá také integrovaného poskytovatele ověřování Visual Studio Code Microsoftu k ověřování pomocí Azure.

   

2. Otevřete paletu příkazů v Visual Studio Code a pak vyhledejte a vyberte Azure: Přihlásit se.

   

   Návod

   Otevřete paletu příkazů pomocí Ctrl+Shift+P v systému Windows/Linux nebo Cmd+Shift+P v systému macOS.

IntelliJ IDEA

Vývojář používající IntelliJ se může ověřit pomocí modulu plug-in Azure Toolkit for IntelliJ. Přihlaste se pomocí následujících kroků:

1. V okně IntelliJ otevřete Soubor > Nastavení > Pluginy.
2. Na marketplace vyhledejte "Azure Toolkit for IntelliJ". Nainstalujte a restartujte integrované vývojové prostředí (IDE).
3. Najděte novou položku nabídky Nástroje > Azure > Azure Přihlásit.
4. Přihlášení zařízení vám pomůže přihlásit se jako uživatelský účet. Postupujte podle pokynů pro přihlášení na login.microsoftonline.com webu pomocí kódu zařízení. IntelliJ vás vyzve k výběru předplatných. Vyberte předplatné s prostředky, ke kterým chcete získat přístup.

Azure CLI

Vývojáři můžou k ověření použít Azure CLI. Aplikace, které používají DefaultAzureCredential nebo AzureCLICredential můžou tento účet použít k ověřování žádostí o aplikace.

Pokud se chcete ověřit pomocí Azure CLI, spusťte příkaz az login. V systému s výchozím webovým prohlížečem Azure CLI spustí prohlížeč pro ověření uživatele.

az login

Pro systémy bez výchozího webového prohlížeče používá příkaz az login tok ověřování kódu zařízení. Můžete také vynutit, aby Azure CLI používal tok kódu zařízení místo spuštění prohlížeče zadáním argumentu --use-device-code.

az login --use-device-code

Azure Cli pro vývojáře

Vývojáři mohou použít Azure Developer CLI k ověření pomocí Microsoft Entra ID. Aplikace používající DefaultAzureCredential nebo AzureDeveloperCliCredential můžou tento účet použít k ověřování žádostí o aplikace při místním spuštění.

Pokud se chcete ověřit pomocí rozhraní příkazového řádku pro vývojáře Azure, spusťte příkaz azd auth login. V systému s výchozím webovým prohlížečem spustí rozhraní příkazového řádku pro vývojáře Azure prohlížeč pro ověření uživatele.

azd auth login

Pro systémy bez výchozího webového prohlížeče se používá tok ověřování zařízení pomocí kódu azd auth login --use-device-code. Uživatel může také vynutit, aby rozhraní příkazového řádku pro vývojáře Azure používalo tok kódu zařízení místo spuštění prohlížeče zadáním argumentu --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Vývojáři můžou k ověření Microsoft Entra ID použít Azure PowerShell. Aplikace používající DefaultAzureCredential nebo AzurePowerShellCredential můžou tento účet použít k ověřování žádostí o aplikace při místním spuštění.

Pokud se chcete ověřit pomocí Azure PowerShell, spusťte příkaz Connect-AzAccount. V systému s výchozím webovým prohlížečem a verzí 5.0.0 nebo novějším Azure PowerShell spustí prohlížeč pro ověření uživatele.

Connect-AzAccount

Pro systémy bez výchozího webového prohlížeče používá příkaz Connect-AzAccount tok ověřování kódu zařízení. Uživatel může také vynutit, aby Azure PowerShell používal tok kódu zařízení místo spuštění prohlížeče zadáním argumentu UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Autentizace ke službám Azure z vaší aplikace

Knihovna identit Azure poskytuje implementace TokenCredential, které podporují různé scénáře a toky ověřování Microsoft Entra. Následující kroky ukazují, jak používat defaultAzureCredential nebo konkrétní přihlašovací údaje vývojového nástroje při práci s uživatelskými účty místně.

Implementace kódu

1. Přidejte závislost azure-identity do souboru pom.xml.

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
   </dependency>
   

2. Zvolte jednu z implementací přihlašovacích údajů na základě vašeho scénáře.

   • Použijte přihlašovací údaje specifické pro váš vývojový nástroj: tato možnost je nejvhodnější pro scénáře s jedním člověkem nebo jedním nástrojem.
   • Použijte přihlašovací údaje dostupné pro použití v jakémkoli vývojovém nástroji: tato možnost je nejvhodnější pro opensourcové projekty a různorodé týmy nástrojů.

Použití přihlašovacích údajů specifických pro váš vývojový nástroj

Předejte instanci TokenCredential odpovídající konkrétnímu vývojovému nástroji konstruktoru klienta služby Azure, například AzureCliCredential.

import com.azure.identity.AzureCliCredential;
import com.azure.identity.AzureCliCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

AzureCliCredential credential = new AzureCliCredentialBuilder().build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Přihlašovací údaje jednotlivých nástrojů se řídí stejným vzorem. Podle potřeby nahraďte typ přihlašovacích údajů a odpovídající tvůrce:

• AzureCliCredential / AzureCliCredentialBuilder
• AzureDeveloperCliCredential / AzureDeveloperCliCredentialBuilder
• AzurePowerShellCredential / AzurePowerShellCredentialBuilder
• IntelliJCredential / IntelliJCredentialBuilder
• VisualStudioCodeCredential / VisualStudioCodeCredentialBuilder

Použití přihlašovacích údajů dostupných v jakémkoli vývojovém nástroji

Použijte instanci optimalizovanou DefaultAzureCredential pro všechny místní vývojové nástroje. Tento příklad vyžaduje proměnnou AZURE_TOKEN_CREDENTIALS prostředí nastavenou na dev. Další informace najdete v tématu Vyloučení kategorie typu přihlašovacích údajů.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .requireEnvVars(AzureIdentityEnvVars.AZURE_TOKEN_CREDENTIALS)
    .build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Další kroky

Tento článek se zabýval ověřováním během vývoje pomocí přihlašovacích údajů dostupných na vašem počítači. Tato forma ověřování je jedním z několika způsobů, jak se můžete ověřit v Azure SDK pro Java. Následující články popisují další způsoby:

• Ověřování Java aplikací pro služby Azure pomocí služebních principálů během místní vývoj
• Autentizujte Java aplikace hostované v Azure k Azure prostředkům pomocí systémem přiřazené spravované identity
• Autentizujte Azure-hostované aplikace Java k prostředkům Azure pomocí uživatelské spravované identity

Pokud narazíte na problémy související s ověřováním vývojového prostředí, přečtěte si téma Řešení potíží s ověřováním vývojového prostředí.

Po zvládnutí autentizace si přečtěte informace o funkci protokolování, které poskytuje SDK, v Konfigurování protokolování v Azure SDK pro Java.