Share via

Ověřování aplikací NET ve službách Azure během místního vývoje pomocí instančních objektů

  • Článek

Při vytváření cloudových aplikací musí vývojáři ladit a testovat aplikace na místní pracovní stanici. Když je aplikace spuštěná na pracovní stanici vývojáře během místního vývoje, musí se stále ověřovat u všech služeb Azure, které aplikace používá. Tento článek popisuje, jak nastavit vyhrazené objekty instančního objektu aplikace, které se mají používat při místním vývoji.

A diagram showing how a .NET app during local development will use the developer's credentials to connect to Azure by obtaining those credentials locally installed development tools.

Vyhrazené instanční objekty aplikací pro místní vývoj umožňují dodržovat princip nejnižších oprávnění během vývoje aplikací. Vzhledem k tomu, že oprávnění jsou vymezená přesně na to, co je potřeba pro aplikaci během vývoje, brání kód aplikace v náhodném přístupu k prostředku Azure určenému pro použití jinou aplikací. Tím také zabráníte tomu, aby při přesunu aplikace do produkčního prostředí došlo k chybám, protože aplikace byla v vývojovém prostředí přeprivilegovaná.

Instanční objekt aplikace se nastaví pro aplikaci, když je aplikace zaregistrovaná v Azure. Při registraci aplikací pro místní vývoj se doporučuje:

  • Vytvořte samostatné registrace aplikací pro každého vývojáře, který na aplikaci pracuje. Tím se vytvoří samostatné instanční objekty aplikací pro každého vývojáře, které budou používat při místním vývoji, a zabrání vývojářům sdílet přihlašovací údaje pro jeden instanční objekt aplikace.
  • Vytvořte samostatné registrace aplikací pro každou aplikaci. Tím se vymenou oprávnění aplikace jenom na to, co aplikace potřebuje.

Během místního vývoje se proměnné prostředí nastaví s identitou instančního objektu aplikace. Sada Azure SDK pro NET čte tyto proměnné prostředí a používá tyto informace k ověření aplikace v prostředcích Azure, které potřebuje.

1. Registrace aplikace v Azure

Objekty instančního objektu aplikace se vytvářejí s registrací aplikace v Azure. Můžete to provést pomocí webu Azure Portal nebo Azure CLI.

Přihlaste se k webu Azure Portal a postupujte podle těchto kroků.

Pokyny Snímek obrazovky
Na webu Azure Portal:
  1. Na panelu hledání v horní části webu Azure Portal zadejte registrace aplikací.
  2. Vyberte položku označenou Registrace aplikací pod nadpisem Služby v nabídce, která se zobrazí pod panelem hledání.
 A screenshot showing how to use the top search bar in the Azure portal to find and navigate to the App registrations page.
Na stránce Registrace aplikací vyberte + Nová registrace. A screenshot showing the location of the New registration button in the App registrations page.
Na stránce Zaregistrovat aplikaci vyplňte formulář následujícím způsobem.
  1. Název → Zadejte název registrace aplikace v Azure. Tento název se doporučuje zahrnout název aplikace, uživatel, pro který je registrace aplikace, a identifikátor, jako je "dev", který označuje, že registrace aplikace se používá v místním vývoji.
  2. Podporované typy účtů → Účty pouze v tomto organizačním adresáři.
Vyberte Zaregistrovat a zaregistrujte aplikaci a vytvořte instanční objekt aplikace.		 A screenshot showing how to fill out the Register an application page by giving the app a name and specifying supported account types as accounts in this organizational directory only.
Na stránce Registrace aplikace pro vaši aplikaci:
  1. ID aplikace (klienta) → Toto je ID aplikace, které bude aplikace používat pro přístup k Azure během místního vývoje. Zkopírujte tuto hodnotu do dočasného umístění v textovém editoru, protože ji budete potřebovat v dalším kroku.
  2. ID adresáře (tenanta) → Tuto hodnotu bude vaše aplikace potřebovat také při ověřování v Azure. Zkopírujte tuto hodnotu do dočasného umístění v textovém editoru, bude ji také potřeba v dalším kroku.
  3. Přihlašovací údaje klienta → Před ověřením aplikace v Azure a používáním služeb Azure musíte pro aplikaci nastavit přihlašovací údaje klienta. Vyberte Přidat certifikát nebo tajný klíč a přidejte přihlašovací údaje pro vaši aplikaci.
 A screenshot of the App registration page after the app registration has been completed. This screenshot shows the location of the application ID and tenant ID, which will be needed in a future step. It also shows the location of the link to use to add an application secret for the app.
Na stránce Certifikáty a tajné kódy vyberte + Nový tajný klíč klienta. A screenshot showing the location of the link to use to create a new client secret on the certificates and secrets page.
Dialogové okno Pro přidání tajného klíče klienta se zobrazí na pravé straně stránky. V tomto dialogovém okně:
  1. Popis → Zadejte hodnotu Current.
  2. Vyprší → Vyberte hodnotu 24 měsíců.
Chcete-li přidat tajný kód, vyberte Přidat .		 A screenshot showing the page where a new client secret is added for the application service principal create by the app registration process.
Na stránce Certifikáty a tajné kódy se zobrazí hodnota tajného klíče klienta.

Zkopírujte tuto hodnotu do dočasného umístění v textovém editoru, protože ji budete potřebovat v dalším kroku.

DŮLEŽITÉ: Toto je jediný čas, kdy uvidíte tuto hodnotu. Po opuštění nebo aktualizaci této stránky už tuto hodnotu neuvidíte. Můžete přidat další tajný klíč klienta bez zneplatnění tohoto tajného klíče klienta, ale tuto hodnotu znovu neuvidíte.		 A screenshot showing the page with the generated client secret.

2. Vytvoření skupiny zabezpečení Azure AD pro místní vývoj

Vzhledem k tomu, že v aplikaci obvykle pracuje více vývojářů, doporučujeme vytvořit skupinu Azure AD pro zapouzdření rolí (oprávnění), které aplikace potřebuje v místním vývoji, a ne přiřazování rolí jednotlivým objektům instančního objektu. To nabízí následující výhody.

  • Každý vývojář má jistotu, že má přiřazené stejné role, protože role jsou přiřazené na úrovni skupiny.
  • Pokud je pro aplikaci potřeba nová role, stačí ji přidat jenom do skupiny Azure AD pro aplikaci.
  • Pokud se nový vývojář připojí k týmu, vytvoří se nový instanční objekt aplikace pro vývojáře a přidá se do skupiny, aby vývojář získal správná oprávnění pro práci s aplikací.
Pokyny Snímek obrazovky
Na webu Azure Portal přejděte na stránku Azure Active Directory tak, že do vyhledávacího pole v horní části stránky zadáte Azure Active Directory a pak v části služeb vyberete Azure Active Directory . A screenshot showing how to use the top search bar in the Azure portal to search for and navigate to the Azure Active Directory page.
Na stránce Azure Active Directory vyberte v nabídce vlevo skupiny. A screenshot showing the location of the Groups menu item in the left-hand menu of the Azure Active Directory Default Directory page.
Na stránce Všechny skupiny vyberte Možnost Nová skupina. A screenshot showing the location of the New Group button in the All groups page.
Na stránce Nová skupina:
  1. Typ skupiny → Zabezpečení
  2. Název skupiny → název skupiny zabezpečení, obvykle vytvořený z názvu aplikace. Je také užitečné do názvu skupiny zahrnout řetězec, jako je local-dev , aby bylo možné určit účel skupiny.
  3. Popis skupiny → Popis účelu skupiny.
  4. Vyberte odkaz Žádné členy vybrané v části Členové a přidejte do skupiny členy.
 A screenshot showing how to fill out the form to create a new Azure Active Directory group for the application. This screenshot also shows the location of the link to select to add members to this group.
V dialogovém okně Přidat členy :
  1. Pomocí vyhledávacího pole vyfiltrujte seznam hlavních názvů v seznamu.
  2. Vyberte instanční objekty aplikace pro místní vývoj pro tuto aplikaci. Při výběru objektů budou zobrazené šedě a přesunou se do seznamu Vybraných položek v dolní části dialogového okna.
  3. Po dokončení vyberte tlačítko Vybrat .
 A screenshot of the Add members dialog box showing how to select application service principals to be included in the group.
Zpět na stránce Nová skupina vyberte Vytvořit a vytvořte skupinu.

Skupina se vytvoří a budete přesměrováni zpět na stránku Všechny skupiny . Zobrazení skupiny může trvat až 30 sekund a možná budete muset stránku aktualizovat kvůli ukládání do mezipaměti na webu Azure Portal.		 A screenshot of the New Group page showing how to complete the process by selecting the Create button.

3. Přiřazení rolí k aplikaci

Dále musíte určit, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřadit tyto role k aplikaci. V tomto příkladu se role přiřadí skupině Azure Active Directory vytvořené v kroku 2. Role je možné přiřadit roli v oboru prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupí všechny prostředky Azure do jedné skupiny prostředků.

Pokyny Snímek obrazovky
Vyhledejte skupinu prostředků pro vaši aplikaci vyhledáním názvu skupiny prostředků pomocí vyhledávacího pole v horní části webu Azure Portal.

Přejděte do skupiny prostředků tak, že v dialogovém okně vyberete název skupiny prostředků pod nadpisem Skupiny prostředků.		 A screenshot showing how to use the top search box in the Azure portal to locate and navigate to the resource group you want to assign roles (permissions) to.
Na stránce skupiny prostředků v nabídce vlevo vyberte Řízení přístupu (IAM ). A screenshot of the resource group page showing the location of the Access control (IAM) menu item.
Na stránce Řízení přístupu (IAM):
  1. Vyberte kartu Přiřazení rolí.
  2. V horní nabídce vyberte + Přidat a potom přidejte přiřazení role z výsledné rozevírací nabídky.
 A screenshot showing how to navigate to the role assignments tab and the location of the button used to add role assignments to a resource group.
Na stránce Přidat přiřazení role jsou uvedeny všechny role, které je možné přiřadit skupině prostředků.
  1. Pomocí vyhledávacího pole vyfiltrujte seznam na lépe spravovatelnou velikost. Tento příklad ukazuje, jak filtrovat role objektů blob služby Storage.
  2. Vyberte roli, kterou chcete přiřadit.
Výběrem možnosti Další přejdete na další obrazovku.		 A screenshot showing how to filter and select role assignments to be added to the resource group.
Další stránka Přidat přiřazení role umožňuje určit, k jakému uživateli se má role přiřadit.
  1. V části Přiřadit přístup vyberte Uživatele, skupinu nebo instanční objekt.
  2. Vyberte a vyberte členy v části Členové.
Na pravé straně webu Azure Portal se otevře dialogové okno.		 A screenshot showing the radio button to select to assign a role to an Azure AD group and the link used to select the group to assign the role to.
V dialogovém okně Vybrat členy :
  1. Textové pole Vybrat lze použít k filtrování seznamu uživatelů a skupin ve vašem předplatném. V případě potřeby zadejte několik prvních znaků místní vývojové skupiny Azure AD, kterou jste pro aplikaci vytvořili.
  2. Vyberte místní vývojovou skupinu Azure AD přidruženou k vaší aplikaci.
Pokračujte výběrem možnosti Vybrat v dolní části dialogového okna.		 A screenshot showing how to filter for and select the Azure AD group for the application in the Select members dialog box.
Skupina Azure AD se teď zobrazí jako vybraná na obrazovce Přidat přiřazení role.

Výběrem možnosti Zkontrolovat a přiřadit přejděte na poslední stránku a pak proces dokončete opětovnou kontrolou a přiřazením .		 A screenshot showing the completed Add role assignment page and the location of the Review + assign button used to complete the process.

4. Nastavení proměnných prostředí aplikace

Objekt DefaultAzureCredential vyhledá informace instančního objektu v sadě proměnných prostředí za běhu. Při práci s .NET existují různé způsoby konfigurace proměnných prostředí v závislosti na nástrojích a prostředí.

Bez ohledu na to, který přístup zvolíte, budete při práci s instančním objektem muset nakonfigurovat následující proměnné prostředí.

  • AZURE_CLIENT_ID → hodnota ID aplikace.
  • AZURE_TENANT_ID → hodnota ID tenanta.
  • AZURE_CLIENT_SECRET → heslo nebo přihlašovací údaje vygenerované pro aplikaci.

Při práci místně se sadou Visual Studio je možné proměnné prostředí nastavit v launchsettings.json souboru ve Properties složce projektu. Po spuštění aplikace se tyto hodnoty načte automaticky. Mějte na paměti, že tyto konfigurace se při nasazení vaší aplikace necestují, takže budete muset v cílovém hostitelském prostředí nastavit proměnné prostředí.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID":"11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID": "11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    }
  }

5. Implementace defaultAzureCredential ve vaší aplikaci

DefaultAzureCredential podporuje více metod ověřování a určuje metodu ověřování, která se používá za běhu. Aplikace tak může používat různé metody ověřování v různých prostředích bez implementace kódu specifického pro prostředí.

Pořadí a umístění, ve kterých DefaultAzureCredential se hledají přihlašovací údaje, najdete na adrese DefaultAzureCredential.

Pokud chcete implementovat DefaultAzureCredential, nejprve přidejte Azure.Identity balíčky do aplikace a volitelně je Microsoft.Extensions.Azure přidejte. Můžete to provést pomocí příkazového řádku nebo Správce balíčků NuGet.

Otevřete prostředí terminálu podle svého výběru v adresáři projektu aplikace a zadejte následující příkaz.

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Ke službám Azure se obecně přistupuje pomocí odpovídajících klientských tříd ze sady SDK. Tyto třídy a vlastní služby by se měly v Program.cs souboru zaregistrovat, aby k nim bylo možné přistupovat prostřednictvím injektáže závislostí v celé aplikaci. Program.csUvnitř , postupujte podle následujících kroků k správnému nastavení služby a DefaultAzureCredential.

  1. Zahrňte do příkazu using obory Azure.Identity názvů a Microsoft.Extensions.Azure obory názvů.
  2. Zaregistrujte službu Azure pomocí příslušných pomocných metod.
  3. Předejte instanci DefaultAzureCredential objektu metodě UseCredential .

Příklad je znázorněn v následujícím segmentu kódu.

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

Alternativně můžete ve svých službách využívat DefaultAzureCredential více přímo bez pomoci dalších metod registrace Azure, jak je znázorněno níže.

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Když se výše uvedený kód spustí na místní pracovní stanici během místního vývoje, podívá se do proměnných prostředí pro instanční objekt aplikace nebo v sadě Visual Studio, VS Code, Azure CLI nebo Azure PowerShellu pro sadu přihlašovacích údajů pro vývojáře, z nichž je možné použít k ověření aplikace v prostředcích Azure během místního vývoje.

Když se do Azure nasadí stejný kód, můžete také ověřit aplikaci v jiných prostředcích Azure. DefaultAzureCredential může načíst nastavení prostředí a konfigurace spravovaných identit pro automatické ověřování v jiných službách.