Ověřování pro Azure prostředky z aplikací Python hostovaných místně

Aplikace hostované mimo Azure, například v místním prostředí nebo datovém centru třetích stran, by měly k ověření ve službách Azure používat aplikační hlavní identitu prostřednictvím Microsoft Entra ID. V dalších částech se dozvíte:

• Postup registrace aplikace s Microsoft Entra k vytvoření instančního objektu
• Přiřazení rolí k oprávněním oboru
• Ověření pomocí služebního principálu z kódu vaší aplikace

Použití vyhrazených aplikačních služebních principálů umožňuje dodržovat princip minimálních práv při přístupu k prostředkům Azure. Oprávnění jsou omezená na konkrétní požadavky aplikace během vývoje, což brání náhodnému přístupu k Azure prostředkům určeným pro jiné aplikace nebo služby. Tento přístup také pomáhá vyhnout se problémům při přesunu aplikace do produkčního prostředí tím, že zajišťuje, že ve vývojovém prostředí není příliš privilegovaný.

Pro každé prostředí, ve které je aplikace hostovaná, by se měla vytvořit jiná registrace aplikace. To umožňuje nakonfigurovat pro každý instanční objekt specifická oprávnění prostředí a zajistit, aby aplikace nasazená do jednoho prostředí nemluvila s Azure prostředky, které jsou součástí jiného prostředí.

Registrace aplikace v Azure

Objekty aplikačních služebních principálů se vytvářejí registrací aplikace v Azure pomocí portálu Azure nebo Azure CLI.

Azure

1. Na portálu Azure přejděte pomocí panelu hledání na stránku App registrations.

2. Na stránce App registrations vyberte + Nová registrace.

3. Na stránce registrace aplikace :

   • Do pole Název zadejte popisnou hodnotu, která obsahuje název aplikace a cílové prostředí.
   • Pro Podporované typy účtůvyberte Účty pouze v tomto organizačním adresáři (pouze Microsoft Customer Led – jednotná instance), nebo vyberte možnost, která nejlépe vyhovuje vašim požadavkům.

4. Vyberte Register pro registraci vaší aplikace a vytvoření service principal.

   

5. Na stránce registrace aplikace aplikace zkopírujte ID aplikace (klienta) a ID adresáře (tenanta) a vložte je do dočasného umístění pro pozdější použití v konfiguracích kódu aplikace.

6. Vyberte Přidání certifikátu nebo tajného kódu pro nastavení přihlašovacích údajů pro vaši aplikaci.

7. Na stránce Certifikáty a tajemství vyberte + Nový tajný klíč klienta.

8. V panelu, který se otevře Přidat tajný klíč klienta:

   • Jako popiszadejte hodnotu Current.
   • Pro hodnotu u Expires ponechte výchozí doporučenou hodnotu 180 dnů.
   • Chcete-li přidat tajemství, vyberte Přidat.

9. Na stránce Certifikáty & tajných kódů zkopírujte vlastnost Hodnota tajného klíče klienta pro použití v dalším kroku.

   Poznámka:

   Hodnota tajného klíče klienta se zobrazí jenom jednou po vytvoření registrace aplikace. Můžete přidat další tajné kódy klienta bez zneplatnění tohoto tajného klíče klienta, ale neexistuje způsob, jak tuto hodnotu znovu zobrazit.

Azure CLI

Azure CLI příkazy je možné spouštět v Azure Cloud Shell nebo na pracovní stanici s nainstalovaným Azure CLI.

1. Pomocí příkazu az ad sp create-for-rbac vytvořte pro aplikaci novou registraci aplikace a instanční objekt.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Výstup tohoto příkazu se podobá následujícímu formátu JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Zkopírujte tento výstup do dočasného souboru v textovém editoru, protože tyto hodnoty budete potřebovat v dalším kroku.

   Poznámka:

   Hodnota tajného klíče klienta se zobrazí jenom jednou po vytvoření registrace aplikace. Můžete přidat další tajné kódy klienta bez zneplatnění tohoto tajného klíče klienta, ale neexistuje způsob, jak tuto hodnotu znovu zobrazit.

Přiřazení rolí k instančnímu objektu aplikace

Dále určete, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřaďte tyto role k vytvořenému služebnímu principalu. Role je možné přiřadit na úrovni prostředků, skupin prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupuje všechny své Azure prostředky do jedné skupiny prostředků.

Azure

1. Na portálu Azure přejděte na stránku Overview skupiny prostředků, která obsahuje vaši aplikaci.

2. V levém navigačním panelu vyberte řízení přístupu (IAM).

3. Na stránce Řízení přístupu (IAM) vyberte + Přidat a pak v rozevírací nabídce zvolte Přidat přiřazení role . Stránka Přidat přiřazení role poskytuje několik záložek pro konfiguraci a přiřazení rolí.

4. Na kartě Role vyhledejte roli, kterou chcete přiřadit, pomocí vyhledávacího pole. Vyberte roli a pak zvolte Další.

5. Na kartě Členové :

   • V části Přiřadit přístup k hodnotě vyberte Uživatel, skupina nebo instanční objekt .
   • Pro hodnotu Členové zvolte + Vybrat členy , aby se otevřel informační panel Vybrat členy .
   • Vyhledejte služební objekt, který jste vytvořili dříve, a vyberte ho z výsledků filtrování. Výběrem možnosti Vybrat vyberte skupinu a zavřete informační panel.
   • V dolní části karty Členové vyberte Zkontrolovat a přiřadit.

   

6. Na kartě Revize a Přiřazení vyberte Revize a Přiřazení v dolní části stránky.

Azure CLI

1. Pomocí příkazu az role definition list získejte názvy rolí, ke kterým může být služební principál přiřazen.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Pomocí příkazu az role assignment create přiřaďte roli instančnímu objektu aplikace:

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v tématu Assignování rolí Azure pomocí Azure CLI.

---

Nastavení proměnných prostředí aplikace

Při běhu se některé přihlašovací údaje z knihovny Azure Identity, jako například DefaultAzureCredential, EnvironmentCredential, a ClientSecretCredential, pokouší vyhledat informace o službě principal podle konvencí v proměnných prostředí. Při práci s Python existují různé způsoby konfigurace proměnných prostředí v závislosti na nástrojích a prostředí.

Bez ohledu na zvolený přístup nakonfigurujte pro instanční objekt následující proměnné prostředí:

• AZURE_CLIENT_ID: Slouží k identifikaci registrované aplikace v Azure.
• AZURE_TENANT_ID: ID tenanta Microsoft Entra.
• AZURE_CLIENT_SECRET: Tajné přihlašovací údaje vygenerované pro aplikaci.

Visual Studio Code

V Visual Studio Code lze proměnné prostředí nastavit v souboru launch.json umístěném ve složce .vscode projektu. Tyto hodnoty se automaticky načítají při spuštění aplikace. Tyto konfigurace ale během nasazování necestují s vaší aplikací, takže potřebujete nastavit proměnné prostředí v cílovém hostitelském prostředí.

{
    "configurations": [
        {
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Windows

Z příkazového řádku Windows můžete nastavit proměnné prostředí na úrovni uživatele pomocí následujících příkazů:

setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

Proměnné prostředí na úrovni systému je také možné nastavit, pokud příkazový řádek spustíte jako správce a přidáte /m příznak:

setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell se dá použít také k nastavení proměnných prostředí na úrovni uživatele nebo systému:

Pomocí následujících příkazů nastavte proměnné prostředí na úrovni uživatele pomocí PowerShellu:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

Proměnné prostředí na úrovni systému je také možné nastavit pomocí PowerShellu, pokud je otevřete pomocí možnosti Spustit jako správce:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Gunicorn

Při použití Gunicorn ke spuštění Python webových aplikací v prostředí serveru UNIX je možné proměnné prostředí pro aplikaci zadat pomocí direktivy EnvironmentFile v souboru gunicorn.service, jak je znázorněno níže:

[Unit]
Description=gunicorn daemon
After=network.target

[Service]
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/bin/gunicorn --config config.py wsgi:app

[Install]
WantedBy=multi-user.target

Soubor zadaný v direktivě EnvironmentFile by měl obsahovat seznam proměnných prostředí s jejich hodnotami, jak je znázorněno níže:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Autentizace ke službám Azure z vaší aplikace

Knihovna azure-identity poskytuje různé pověřovací údaje – implementace TokenCredential, které jsou přizpůsobené podpoře různých scénářů a toků ověřování Microsoft Entra. Následující kroky ukazují, jak používat ClientSecretCredential při práci se služebními identitami lokálně a v produkčním prostředí.

Implementace kódu

Začněte přidáním balíčku do aplikace.

pip install azure-identity

Dále byste u každého kódu Pythonu, který ve vaší aplikaci vytvoří objekt klienta Azure SDK, měli:

1. Naimportujte třídu ClientSecretCredential z azure.identity modulu.
2. Importujte os modul pro čtení proměnných prostředí.
3. Přečtěte si proměnné prostředí, abyste získali ID klienta, ID tenanta a tajný klíč klienta.
4. Vytvořte objekt, který ClientSecretCredential předává ID tenanta, ID klienta a tajný klíč klienta.
5. Předejte objekt ClientSecretCredential konstruktoru objektu klienta Azure SDK.

Příklad tohoto přístupu je znázorněn v následujícím segmentu kódu.

import os
from azure.identity import ClientSecretCredential
from azure.storage.blob import BlobServiceClient

tenant_id = os.environ.get("AZURE_TENANT_ID")
client_id = os.environ.get("AZURE_CLIENT_ID")
client_secret = os.environ.get("AZURE_CLIENT_SECRET")

credential = ClientSecretCredential(tenant_id, client_id, client_secret)

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential)