Ověřování aplikací .NET ve službách Azure během místního vývoje pomocí vývojářských účtů

Při vytváření cloudových aplikací musí vývojáři ladit a testovat aplikace na místní pracovní stanici. Když je aplikace spuštěná na pracovní stanici vývojáře během místního vývoje, musí se stále ověřovat u všech služeb Azure, které aplikace používá. Tento článek popisuje, jak pomocí přihlašovacích údajů Azure vývojáře ověřit aplikaci v Azure během místního vývoje.

Aby se aplikace při místním vývoji ověřila v Azure pomocí přihlašovacích údajů Azure vývojáře, musí být vývojář přihlášený k Azure z rozšíření VS Code Azure Tools, Azure CLI nebo Azure PowerShellu. Sada Azure SDK pro .NET dokáže zjistit, že vývojář je přihlášený z některého z těchto nástrojů, a pak z mezipaměti přihlašovacích údajů získat potřebné přihlašovací údaje k ověření aplikace v Azure jako přihlášený uživatel.

Tento přístup je nejjednodušší nastavit pro vývojový tým, protože využívá stávající účty Azure vývojářů. Účet vývojáře ale pravděpodobně bude mít více oprávnění, než vyžaduje aplikace, a proto překročí oprávnění, se kterými se aplikace bude spouštět v produkčním prostředí. Jako alternativu můžete vytvořit instanční objekty aplikace, které se použijí při místním vývoji , které můžou být omezené tak, aby měly přístup potřebný jenom pro aplikaci.

1. Vytvoření skupiny Azure AD pro místní vývoj

Vzhledem k tomu, že na aplikaci pracuje téměř vždy více vývojářů, doporučuje se nejprve vytvořit skupinu Azure AD pro zapouzdření rolí (oprávnění) potřeb aplikace v místním vývoji. To nabízí následující výhody.

• Každý vývojář má jistotu, že má přiřazené stejné role, protože role jsou přiřazené na úrovni skupiny.
• Pokud je pro aplikaci potřeba nová role, stačí ji přidat jenom do skupiny Azure AD pro aplikaci.
• Pokud se nový vývojář připojí k týmu, musí se jednoduše přidat do správné skupiny Azure AD, aby získal správná oprávnění pro práci s aplikací.

Pokud máte pro vývojový tým existující skupinu Azure AD, můžete ji použít. V opačném případě proveďte následující kroky a vytvořte skupinu Azure AD.

Azure Portal

Pokyny	Snímek obrazovky
Na webu Azure Portal přejděte na stránku Azure Active Directory tak, že do vyhledávacího pole v horní části stránky zadáte Azure Active Directory a pak v části služeb vyberete Azure Active Directory .
Na stránce Azure Active Directory vyberte v nabídce vlevo skupiny.
Na stránce Všechny skupiny vyberte Možnost Nová skupina.
Na stránce Nová skupina: Typ skupiny → Zabezpečení Název skupiny → název skupiny zabezpečení, obvykle vytvořený z názvu aplikace. Je také užitečné do názvu skupiny zahrnout řetězec, jako je local-dev , aby bylo možné určit účel skupiny. Popis skupiny → Popis účelu skupiny. Vyberte odkaz Žádné členy vybrané v části Členové a přidejte do skupiny členy.
V dialogovém okně Přidat členy : Pomocí vyhledávacího pole vyfiltrujte seznam uživatelských jmen v seznamu. Vyberte uživatele pro místní vývoj pro tuto aplikaci. Při výběru objektů se přesunou do seznamu Vybrané položky v dolní části dialogového okna. Po dokončení vyberte tlačítko Vybrat .
Zpět na stránce Nová skupina vyberte Vytvořit a vytvořte skupinu. Skupina se vytvoří a budete přesměrováni zpět na stránku Všechny skupiny . Zobrazení skupiny může trvat až 30 sekund a možná budete muset stránku aktualizovat kvůli ukládání do mezipaměti na webu Azure Portal.

Azure CLI

Příkaz az ad group create slouží k vytváření skupin v Azure Active Directory. Parametry --display-name a --main-nickname jsou povinné. Název dané skupiny by měl vycházet z názvu aplikace. Je také užitečné zahrnout do názvu skupiny frázi jako local-dev, která označuje účel skupiny.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description <group-description>

Pokud chcete do skupiny přidat členy, budete potřebovat ID objektu uživatele Azure. K výpisu dostupných instančních objektů použijte seznam az ad user list. Příkaz --filter parametru přijímá filtry stylu OData a lze ho použít k filtrování seznamu podle zobrazovaného jména uživatele, jak je znázorněno. Parametr --query je omezen pouze na sloupce, které mají zájem.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

Příkaz az ad group member add se pak dá použít k přidání členů do skupin.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

2. Přiřazení rolí ke skupině Azure AD

Dále musíte určit, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřadit tyto role k aplikaci. V tomto příkladu se role přiřadí skupině Azure Active Directory vytvořené v kroku 1. Role je možné přiřadit roli v oboru prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupí všechny prostředky Azure do jedné skupiny prostředků.

Azure Portal

Pokyny	Snímek obrazovky
Vyhledejte skupinu prostředků pro vaši aplikaci vyhledáním názvu skupiny prostředků pomocí vyhledávacího pole v horní části webu Azure Portal. Přejděte do skupiny prostředků tak, že v dialogovém okně vyberete název skupiny prostředků pod nadpisem Skupiny prostředků.
Na stránce skupiny prostředků v nabídce vlevo vyberte Řízení přístupu (IAM ).
Na stránce Řízení přístupu (IAM): Vyberte kartu Přiřazení rolí. V horní nabídce vyberte + Přidat a potom přidejte přiřazení role z výsledné rozevírací nabídky.
Na stránce Přidat přiřazení role jsou uvedeny všechny role, které je možné přiřadit skupině prostředků. Pomocí vyhledávacího pole vyfiltrujte seznam na lépe spravovatelnou velikost. Tento příklad ukazuje, jak filtrovat role objektů blob služby Storage. Vyberte roli, kterou chcete přiřadit. Výběrem možnosti Další přejdete na další obrazovku.
Další stránka Přidat přiřazení role umožňuje určit, k jakému uživateli se má role přiřadit. V části Přiřadit přístup vyberte Uživatele, skupinu nebo instanční objekt. Vyberte a vyberte členy v části Členové. Na pravé straně webu Azure Portal se otevře dialogové okno.
V dialogovém okně Vybrat členy : Textové pole Vybrat lze použít k filtrování seznamu uživatelů a skupin ve vašem předplatném. V případě potřeby zadejte několik prvních znaků místní vývojové skupiny Azure AD, kterou jste pro aplikaci vytvořili. Vyberte místní vývojovou skupinu Azure AD přidruženou k vaší aplikaci. Pokračujte výběrem možnosti Vybrat v dolní části dialogového okna.
Skupina Azure AD se teď zobrazí jako vybraná na obrazovce Přidat přiřazení role. Výběrem možnosti Zkontrolovat a přiřadit přejděte na poslední stránku a pak proces dokončete opětovnou kontrolou a přiřazením .

Azure CLI

Instančnímu objektu aplikace je přiřazena role v Azure pomocí příkazu az role assignment create .

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Pokud chcete získat názvy rolí, ke kterým je možné instanční objekt přiřadit, použijte příkaz az role definition list .

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

Pokud chcete například povolit instančnímu objektu aplikace s ID 00000000-0000-0000-0000-000000000000 čtení, zápisu a odstranění přístupu ke kontejnerům objektů blob a datům služby Azure Storage ke všem účtům úložiště ve skupině prostředků msdocs-dotnet-sdk-auth-example , přiřadíte instanční objekt aplikace k roli Přispěvatel dat v objektech blob služby Storage pomocí následujícího příkazu.

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v článku Přiřazení rolí Azure pomocí Azure CLI.

3. Přihlášení k Azure pomocí nástrojů .NET

Dále se musíte přihlásit k Azure pomocí některé z několika možností nástrojů .NET. Účet, ke který se přihlašujete, by měl existovat také ve skupině Azure Active Directory, kterou jste vytvořili a nakonfigurovali dříve.

Visual Studio

V horní nabídce sady Visual Studio přejděte na Možnosti nástrojů>a otevřete dialogové okno možnosti. Do vyhledávacího panelu v levém horním rohu zadejte Azure a vyfiltrujte možnosti. V části Ověřování služby Azure zvolte Výběr účtu.

Vyberte rozevírací nabídku v části Zvolte účet a zvolte přidat účet Microsoft. Otevře se okno s výzvou k výběru účtu. Zadejte přihlašovací údaje pro požadovaný účet Azure a pak vyberte potvrzení.

Rozšíření VS Code Azure Tools

Aby aplikace používala přihlašovací údaje vývojáře z nástroje VS Code, musí být rozšíření VS Code Azure Tools nainstalované ve VS Code.

Instalace rozšíření Azure Tools pro VS Code

Na levém panelu uvidíte ikonu Azure. Vyberte tuto ikonu a zobrazí se ovládací panely pro služby Azure. V libovolné službě zvolte Přihlásit se k Azure... a dokončete proces ověřování pro nástroje Azure v editoru Visual Studio Code.

Azure CLI

Otevřete terminál na vývojářské pracovní stanici a přihlaste se k Azure z Azure CLI.

az login

Azure PowerShell

Otevřete terminál na vývojářské pracovní stanici a přihlaste se k Azure z Azure PowerShellu.

Connect-AzAccount

4. Implementace defaultAzureCredential ve vaší aplikaci

DefaultAzureCredential podporuje více metod ověřování a určuje metodu ověřování, která se používá za běhu. Aplikace tak může používat různé metody ověřování v různých prostředích bez implementace kódu specifického pro prostředí.

Pořadí a umístění, ve kterých DefaultAzureCredential se hledají přihlašovací údaje, najdete na adrese DefaultAzureCredential.

Pokud chcete implementovat DefaultAzureCredential, nejprve přidejte Azure.Identity balíčky do aplikace a volitelně je Microsoft.Extensions.Azure přidejte. Můžete to provést pomocí příkazového řádku nebo Správce balíčků NuGet.

Příkazový řádek

Otevřete prostředí terminálu podle svého výběru v adresáři projektu aplikace a zadejte následující příkaz.

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Správce balíčků NuGet

Klikněte pravým tlačítkem na uzel projektu v sadě Visual Studio a vyberte Spravovat balíčky NuGet. Vyhledejte Azure.Identity ve vyhledávacím poli a nainstalujte odpovídající balíček. Tento postup opakujte také pro balíček Microsoft.Extensions.Azure .

Ke službám Azure se obecně přistupuje pomocí odpovídajících klientských tříd ze sady SDK. Tyto třídy a vlastní služby by se měly v Program.cs souboru zaregistrovat, aby k nim bylo možné přistupovat prostřednictvím injektáže závislostí v celé aplikaci. Program.csUvnitř , postupujte podle následujících kroků k správnému nastavení služby a DefaultAzureCredential.

1. Zahrňte do příkazu using obory Azure.Identity názvů a Microsoft.Extensions.Azure obory názvů.
2. Zaregistrujte službu Azure pomocí příslušných pomocných metod.
3. Předejte instanci DefaultAzureCredential objektu metodě UseCredential .

Příklad je znázorněn v následujícím segmentu kódu.

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

Alternativně můžete ve svých službách využívat DefaultAzureCredential více přímo bez pomoci dalších metod registrace Azure, jak je znázorněno níže.

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Když se výše uvedený kód spustí na místní pracovní stanici během místního vývoje, podívá se do proměnných prostředí pro instanční objekt aplikace nebo v sadě Visual Studio, VS Code, Azure CLI nebo Azure PowerShellu pro sadu přihlašovacích údajů pro vývojáře, z nichž je možné použít k ověření aplikace v prostředcích Azure během místního vývoje.

Když se do Azure nasadí stejný kód, můžete také ověřit aplikaci v jiných prostředcích Azure. DefaultAzureCredential může načíst nastavení prostředí a konfigurace spravovaných identit pro automatické ověřování v jiných službách.