Ověřte Pythonové aplikace ke službám Azure během místního vývoje pomocí servisních identit

Během místního vývoje se aplikace musí ověřit do Azure, aby získaly přístup k různým službám Azure. Tento článek vysvětluje, jak použít instanční objekt aplikace jako jeden ze dvou běžných přístupů pro místní ověřování.

• Postup registrace aplikace s Microsoft Entra k vytvoření instančního objektu
• Jak používat skupiny Microsoft Entra k efektivní správě oprávnění
• Přiřazení rolí k oprávněním oboru
• Ověření pomocí služebního principálu z kódu vaší aplikace

Použití vyhrazených aplikačních služebních principálů umožňuje dodržovat princip minimálních práv při přístupu k prostředkům Azure. Oprávnění jsou omezená na konkrétní požadavky aplikace během vývoje, což brání náhodnému přístupu k Azure prostředkům určeným pro jiné aplikace nebo služby. Tento přístup také pomáhá vyhnout se problémům při přesunu aplikace do produkčního prostředí tím, že zajišťuje, že ve vývojovém prostředí není příliš privilegovaný.

Diagram znázorňující, jak aplikace spuštěná v místním vývojovém prostředí získá hlavní službu aplikace ze souboru .env a pak použije tuto identitu pro připojení k prostředkům Azure.

Když je aplikace zaregistrovaná v Azure, vytvoří se služební objekt aplikace. Pro místní vývoj:

• Vytvořte samostatnou registraci aplikace pro každého vývojáře pracujícího na aplikaci, abyste měli jistotu, že každý vývojář má vlastní instanční objekt aplikace, a vyhněte se nutnosti sdílet přihlašovací údaje.
• Vytvořte pro každou aplikaci samostatnou registraci aplikace, která omezí oprávnění aplikace jenom na to, co je potřeba.

Během místního vývoje se proměnné prostředí nastaví s identitou hlavního objektu služby aplikace. Knihovna Azure Identita načte tyto proměnné prostředí, aby ověřila aplikaci v požadovaných Azure prostředcích.

Registrace aplikace v Azure

Objekty aplikačních služebních principálů se vytvářejí registrací aplikace v Azure pomocí portálu Azure nebo Azure CLI.

Azure

1. Na portálu Azure přejděte pomocí panelu hledání na stránku App registrations.

2. Na stránce App registrations vyberte + Nová registrace.

3. Na stránce registrace aplikace :

   • Do pole Název zadejte popisnou hodnotu, která obsahuje název aplikace a cílové prostředí.
   • Pro Podporované typy účtůvyberte Účty pouze v tomto organizačním adresáři (pouze Microsoft Customer Led – jednotná instance), nebo vyberte možnost, která nejlépe vyhovuje vašim požadavkům.

4. Vyberte Register pro registraci vaší aplikace a vytvoření service principal.

   

5. Na stránce registrace aplikace aplikace zkopírujte ID aplikace (klienta) a ID adresáře (tenanta) a vložte je do dočasného umístění pro pozdější použití v konfiguracích kódu aplikace.

6. Vyberte Přidání certifikátu nebo tajného kódu pro nastavení přihlašovacích údajů pro vaši aplikaci.

7. Na stránce Certifikáty a tajemství vyberte + Nový tajný klíč klienta.

8. V panelu, který se otevře Přidat tajný klíč klienta:

   • Jako popiszadejte hodnotu Current.
   • Pro hodnotu u Expires ponechte výchozí doporučenou hodnotu 180 dnů.
   • Chcete-li přidat tajemství, vyberte Přidat.

9. Na stránce Certifikáty & tajných kódů zkopírujte vlastnost Hodnota tajného klíče klienta pro použití v dalším kroku.

   Poznámka:

   Hodnota tajného klíče klienta se zobrazí jenom jednou po vytvoření registrace aplikace. Můžete přidat další tajné kódy klienta bez zneplatnění tohoto tajného klíče klienta, ale neexistuje způsob, jak tuto hodnotu znovu zobrazit.

Azure CLI

Azure CLI příkazy je možné spouštět v Azure Cloud Shell nebo na pracovní stanici s nainstalovaným Azure CLI.

1. Pomocí příkazu az ad sp create-for-rbac vytvořte pro aplikaci novou registraci aplikace a instanční objekt.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Výstup tohoto příkazu se podobá následujícímu formátu JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Zkopírujte tento výstup do dočasného souboru v textovém editoru, protože tyto hodnoty budete potřebovat v dalším kroku.

   Poznámka:

   Hodnota tajného klíče klienta se zobrazí jenom jednou po vytvoření registrace aplikace. Můžete přidat další tajné kódy klienta bez zneplatnění tohoto tajného klíče klienta, ale neexistuje způsob, jak tuto hodnotu znovu zobrazit.

Vytvoření skupiny Microsoft Entra pro místní vývoj

Vytvořte skupinu Microsoft Entra, abyste zahrnuli role (oprávnění), které aplikace potřebuje v místním vývoji, místo přiřazování rolí jednotlivým objektům typu "service principal". Tento přístup nabízí následující výhody:

• Každý vývojář má stejné role přiřazené na úrovni skupiny.
• Pokud je pro aplikaci potřeba nová role, stačí ji přidat jenom do skupiny aplikace.
• Pokud se nový vývojář připojí k týmu, vytvoří se nový instanční objekt aplikace pro vývojáře a přidá se do skupiny, aby vývojář získal správná oprávnění pro práci s aplikací.

Azure

1. Na portálu Azure přejděte na stránku přehledu Microsoft Entra ID.

2. V nabídce vlevo vyberte Všechny skupiny .

3. Na stránce Skupiny vyberte Nová skupina.

4. Na stránce Nová skupina vyplňte následující pole formuláře:

   • Typ skupiny: Vyberte Zabezpečení.
   • Název skupiny: Zadejte název skupiny, která obsahuje odkaz na název aplikace nebo prostředí.
   • Popis skupiny: Zadejte popis, který vysvětluje účel skupiny.

   

5. Vyberte odkaz Nejsou vybráni žádní členové v části Členové, abyste přidali členy do skupiny.

6. V rozbalovacím panelu, který se otevře, vyhledejte aplikační objekt služby, který jste vytvořili dříve, a vyberte ho z filtrovaných výsledků. Výběrem tlačítka Vybrat v dolní části panelu potvrďte výběr.

7. Výběrem možnosti Vytvořit v dolní části stránky Nová skupina vytvořte skupinu a vraťte se na stránku Všechny skupiny . Pokud novou skupinu nevidíte, chvíli počkejte a aktualizujte stránku.

Azure CLI

1. Pomocí příkazu az ad group create vytvořte skupiny v Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametry --display-name a --mail-nickname jsou povinné. Název dané skupiny by měl být založený na názvu a prostředí aplikace, aby bylo možné určit účel skupiny.

2. Pokud chcete do skupiny přidat členy, potřebujete ID objektu hlavního prvku služby aplikace, který se liší od ID aplikace. Pomocí příkazu az ad sp list zobrazte seznam dostupných servisních entit.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametr --filter přijímá filtry ve stylu OData a lze ho použít k filtrování seznamu, jak je znázorněno. Parametr --query omezuje výstup pouze na sloupce, které zajímají.

3. Pomocí příkazu az ad group member add přidejte členy do skupiny:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Přiřazení rolí ke skupině

Dále určete, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřaďte tyto role Microsoft Entra skupině, kterou jste vytvořili. Skupinám lze přiřadit roli v rámci prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupuje všechny své Azure prostředky do jedné skupiny prostředků.

Azure

1. Na portálu Azure přejděte na stránku Overview skupiny prostředků, která obsahuje vaši aplikaci.

2. V levém navigačním panelu vyberte řízení přístupu (IAM).

3. Na stránce Řízení přístupu (IAM) vyberte + Přidat a pak v rozevírací nabídce zvolte Přidat přiřazení role . Stránka Přidat přiřazení role poskytuje několik záložek pro konfiguraci a přiřazení rolí.

4. Na kartě Role vyhledejte roli, kterou chcete přiřadit, pomocí vyhledávacího pole. Vyberte roli a pak zvolte Další.

5. Na kartě Členové :

   • V části Přiřadit přístup k hodnotě vyberte Uživatel, skupina nebo instanční objekt .
   • Pro hodnotu Členové zvolte + Vybrat členy , aby se otevřel informační panel Vybrat členy .
   • Vyhledejte skupinu Microsoft Entra, kterou jste vytvořili dříve, a vyberte ji z filtrovaných výsledků. Výběrem možnosti Vybrat vyberte skupinu a zavřete informační panel.
   • V dolní části karty Členové vyberte Zkontrolovat a přiřadit.

   

6. Na kartě Revize a Přiřazení vyberte Revize a Přiřazení v dolní části stránky.

Azure CLI

1. Pomocí příkazu az role definition list získejte názvy rolí, ke kterým je možné přiřadit skupinu Microsoft Entra nebo instanční objekt:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Pomocí příkazu az role create přiřaďte roli ke skupině Microsoft Entra, kterou jste vytvořili:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v tématu Assignování rolí Azure pomocí Azure CLI.

Nastavení proměnných prostředí aplikace

Při běhu se některé přihlašovací údaje z knihovny Azure Identity, jako například DefaultAzureCredential, EnvironmentCredential, a ClientSecretCredential, pokouší vyhledat informace o službě principal podle konvencí v proměnných prostředí. Při práci s Python existují různé způsoby konfigurace proměnných prostředí v závislosti na nástrojích a prostředí.

Bez ohledu na zvolený přístup nakonfigurujte pro instanční objekt následující proměnné prostředí:

• AZURE_CLIENT_ID: ID registrované aplikace v Azure.
• AZURE_TENANT_ID: ID tenanta Microsoft Entra.
• AZURE_CLIENT_SECRET: Přihlašovací údaje tajného klíče klienta pro aplikaci.

Soubor .env

Vzhledem k tomu, že většina vývojářů pracuje na více aplikacích, doporučuje se při použití balíčku, jako je python-dotenv , přistupovat k proměnným prostředí ze .env souboru uloženého v adresáři aplikace během vývoje. Tento přístup definuje proměnné prostředí, aby je mohla používat pouze tato aplikace.

Soubor .env není nikdy vrácen do správy zdrojového kódu, protože obsahuje tajný klíč aplikace pro Azure. Standardní soubor .gitignore pro Python automaticky vyloučí soubor .env z nahrávání.

Pokud chcete balíček použít python-dotenv , nejprve nainstalujte balíček do aplikace:

pip install python-dotenv

Potom vytvořte soubor v kořenovém .env adresáři aplikace. Nastavte hodnoty proměnných prostředí s hodnotami získanými z procesu registrace aplikace:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Nakonec v spouštěcím kódu pro vaši aplikaci použijte python-dotenv knihovnu ke čtení proměnných prostředí ze .env souboru při spuštění:

from dotenv import load_dotenv

load_dotenv()

Visual Studio Code

V Visual Studio Code lze proměnné prostředí nastavit v souboru launch.json projektu. Tyto hodnoty se automaticky načítají při spuštění aplikace. Tyto konfigurace ale během nasazování necestují s vaší aplikací, takže potřebujete nastavit proměnné prostředí v cílovém hostitelském prostředí.

{
    "version": "0.2.0",
    "configurations": [
        {
            "name": "Python: Current File",
            "type": "debugpy",
            "request": "launch",
            "program": "${file}",
            "console": "integratedTerminal",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Windows

Proměnné prostředí můžete nastavit pro Windows z příkazového řádku. Tyto hodnoty jsou ale přístupné pro všechny aplikace spuštěné v tomto operačním systému a můžou způsobit konflikty, proto při tomto přístupu buďte opatrní. Proměnné prostředí lze nastavit na úrovni uživatele nebo systému.

setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

PowerShell se dá použít také k nastavení proměnných prostředí na úrovni uživatele nebo systému:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

Po spuštění těchto příkazů restartujte všechny otevřené terminály nebo aplikace, aby se načetly nové systémové proměnné.

Linux / macOS

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Pokud chcete, aby tyto proměnné prostředí byly trvalé napříč relacemi terminálu, přidejte tyto řádky do souboru profilu prostředí (například ~/.bashrc, ~/.zshrcnebo ~/.bash_profile).

Autentizace ke službám Azure z vaší aplikace

Knihovna azure-identity poskytuje různé pověřovací údaje – implementace TokenCredential, které jsou přizpůsobené podpoře různých scénářů a toků ověřování Microsoft Entra. Následující kroky ukazují, jak používat ClientSecretCredential při práci se služebními identitami lokálně a v produkčním prostředí.

Implementace kódu

Začněte přidáním balíčku do aplikace.

pip install azure-identity

Dále byste u každého kódu Pythonu, který ve vaší aplikaci vytvoří objekt klienta Azure SDK, měli:

1. Naimportujte třídu ClientSecretCredential z azure.identity modulu.
2. Importujte os modul pro čtení proměnných prostředí.
3. Přečtěte si proměnné prostředí, abyste získali ID klienta, ID tenanta a tajný klíč klienta.
4. Vytvořte objekt, který ClientSecretCredential předává ID tenanta, ID klienta a tajný klíč klienta.
5. Předejte objekt ClientSecretCredential konstruktoru objektu klienta Azure SDK.

Příklad tohoto přístupu je znázorněn v následujícím segmentu kódu.

import os
from azure.identity import ClientSecretCredential
from azure.storage.blob import BlobServiceClient

tenant_id = os.environ.get("AZURE_TENANT_ID")
client_id = os.environ.get("AZURE_CLIENT_ID")
client_secret = os.environ.get("AZURE_CLIENT_SECRET")

credential = ClientSecretCredential(tenant_id, client_id, client_secret)

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential)