Ověřování aplikací .NET ve službách Azure během místního vývoje pomocí instančních objektů

Během místního vývoje se aplikace musí ověřit v Azure, aby bylo možné přistupovat k různým službám Azure. Dvěma běžnými přístupy k místnímu ověřování je použití vývojářského účtu nebo služba principal. Tento článek vysvětluje, jak používat instanční objekt aplikace. V dalších částech se dozvíte:

• Jak zaregistrovat aplikaci v Microsoft Entra ke vytvoření zástupce služby
• Jak používat skupiny Microsoft Entra k efektivní správě oprávnění
• Přiřazení rolí k oprávněním oboru
• Ověření pomocí služebního principálu z kódu vaší aplikace

Použití vyhrazených uživatelských účtů aplikace umožňuje dodržovat zásadu nejnižších oprávnění při přístupu k prostředkům Azure. Oprávnění jsou omezená na konkrétní požadavky aplikace během vývoje, což brání náhodnému přístupu k prostředkům Azure určeným pro jiné aplikace nebo služby. Tento přístup také pomáhá vyhnout se problémům při přesunu aplikace do produkčního prostředí tím, že zajišťuje, že ve vývojovém prostředí není příliš privilegovaný.

Když je aplikace zaregistrovaná v Azure, vytvoří se aplikační služební principál. Pro místní vývoj:

• Vytvořte samostatnou registraci aplikace pro každého vývojáře pracujícího na aplikaci, abyste měli jistotu, že každý vývojář má vlastní instanční objekt aplikace, a vyhněte se nutnosti sdílet přihlašovací údaje.
• Vytvořte pro každou aplikaci samostatnou registraci aplikace, která omezí oprávnění aplikace jenom na to, co je potřeba.

Během místního vývoje se proměnné prostředí nastaví s identitou hlavního objektu služby aplikace. Knihovna Azure Identity načte tyto proměnné prostředí, aby aplikaci autentizovala k požadovaným prostředkům Azure.

Registrace aplikace v Azure

Objekty tenantů služby aplikace se vytvářejí prostřednictvím registrace aplikace v Azure pomocí Azure portálu nebo Azure CLI.

Azure Portal

1. Na webu Azure Portal pomocí panelu hledání přejděte na stránku Registrace aplikací.

2. Na stránce Registrace aplikací vyberte + Nová registrace.

3. Na stránce registrace aplikace :

   • Do pole Název zadejte popisnou hodnotu, která obsahuje název aplikace a cílové prostředí.
   • Pro Podporované typy účtůvyberte Účty pouze v tomto organizačním adresáři (pouze Microsoft Customer Led – jednotná instance), nebo vyberte možnost, která nejlépe vyhovuje vašim požadavkům.

4. Vyberte Register pro registraci vaší aplikace a vytvoření service principal.

   

5. Na stránce registrace aplikace aplikace zkopírujte ID aplikace (klienta) a ID adresáře (tenanta) a vložte je do dočasného umístění pro pozdější použití v konfiguracích kódu aplikace.

6. Vyberte Přidání certifikátu nebo tajného kódu pro nastavení přihlašovacích údajů pro vaši aplikaci.

7. Na stránce Certifikáty a tajemství vyberte + Nový tajný klíč klienta.

8. V panelu, který se otevře Přidat tajný klíč klienta:

   • Jako popiszadejte hodnotu Current.
   • Pro hodnotu u Expires ponechte výchozí doporučenou hodnotu 180 dnů.
   • Chcete-li přidat tajemství, vyberte Přidat.

9. Na stránce Certifikáty & tajných kódů zkopírujte vlastnost Hodnota tajného klíče klienta pro použití v dalším kroku.

   Poznámka

   Hodnota tajného klíče klienta se zobrazí jenom jednou po vytvoření registrace aplikace. Můžete přidat další tajné kódy klienta bez zneplatnění tohoto tajného klíče klienta, ale neexistuje způsob, jak tuto hodnotu znovu zobrazit.

Azure CLI

Příkazy Azure CLI je možné spouštět v Azure Cloud Shellu nebo na pracovní stanici s nainstalovaným Azure CLI.

1. Pomocí příkazu az ad sp create-for-rbac vytvořte pro aplikaci novou registraci aplikace a instanční objekt.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Výstup tohoto příkazu se podobá následujícímu formátu JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Zkopírujte tento výstup do dočasného souboru v textovém editoru, protože tyto hodnoty budete potřebovat v dalším kroku.

   Poznámka

   Hodnota tajného klíče klienta se zobrazí jenom jednou po vytvoření registrace aplikace. Můžete přidat další tajné kódy klienta bez zneplatnění tohoto tajného klíče klienta, ale neexistuje způsob, jak tuto hodnotu znovu zobrazit.

Vytvoření skupiny Microsoft Entra pro místní vývoj

Vytvořte skupinu Microsoft Entra, která zapouzdří role (oprávnění), jež aplikace potřebuje pro místní vývoj, spíše než přiřazovat role jednotlivým služebním hlavním objektům. Tento přístup nabízí následující výhody:

• Každý vývojář má stejné role přiřazené na úrovni skupiny.
• Pokud je pro aplikaci potřeba nová role, stačí ji přidat jenom do skupiny aplikace.
• Pokud se nový vývojář připojí k týmu, vytvoří se nový instanční objekt aplikace pro vývojáře a přidá se do skupiny, aby vývojář získal správná oprávnění pro práci s aplikací.

Azure Portal

1. Na portálu Azure přejděte na stránku s přehledem Microsoft Entra ID.

2. V nabídce vlevo vyberte Všechny skupiny.

3. Na stránce Skupiny vyberte Nová skupina.

4. Na stránce Nová skupina vyplňte následující pole formuláře:

   • Typ skupiny: Vyberte zabezpečení.
   • název skupiny: Zadejte název skupiny, která obsahuje odkaz na název aplikace nebo prostředí.
   • popis skupiny: Zadejte popis, který vysvětluje účel skupiny.

   

5. Vyberte odkaz Nejsou vybráni žádní členové v části Členové, abyste přidali členy do skupiny.

6. V rozbalovacím panelu, který se otevře, vyhledejte aplikační objekt služby, který jste vytvořili dříve, a vyberte ho z filtrovaných výsledků. Výběrem tlačítka Vybrat v dolní části panelu potvrďte výběr.

7. Chcete-li vytvořit skupinu a vrátit se na stránku Všechny skupiny, vyberte Vytvořit ve spodní části stránky Nová skupina. Pokud novou skupinu nevidíte, chvíli počkejte a aktualizujte stránku.

Azure CLI

1. Pomocí příkazu az ad group create vytvořte skupiny v systému Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametry a jsou povinné. Název dané skupiny by měl být založený na názvu a prostředí aplikace, aby bylo možné určit účel skupiny.

2. Pokud chcete do skupiny přidat členy, potřebujete ID objektu hlavní služby aplikace, které se liší od ID aplikace. Pomocí příkazu az ad sp list zobrazte seznam dostupných servisních entit.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametr --filter přijímá filtry ve stylu OData a dá se použít k filtrování seznamu, jak je znázorněno. Parametr --query omezuje výstup pouze na sloupce, které zajímají.

3. Pomocí příkazu az ad group member add přidejte členy do skupiny:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Přiřazení rolí ke skupině

Dále určete, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřaďte tyto role skupině Microsoft Entra, kterou jste vytvořili. Skupinám lze přiřadit roli na úrovni prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupuje všechny prostředky Azure do jedné skupiny prostředků.

Azure Portal

1. Na webu Azure Portal přejděte na stránku Přehled skupiny prostředků, která obsahuje vaši aplikaci.

2. V levém navigačním panelu vyberte řízení přístupu (IAM).

3. Na stránce řízení přístupu (IAM) vyberte + Přidat a pak v rozevírací nabídce zvolte Přiřadit roli. Stránka Přidat přiřazení role obsahuje několik záložek pro konfiguraci a přiřazení rolí.

4. Na kartě Role roli, kterou chcete přiřadit, vyhledejte pomocí vyhledávacího pole. Vyberte roli a pak zvolte Další.

5. Na kartě Členové:

   • V části přiřaďte přístup k hodnotě a vyberte Uživatel, skupina nebo instanční objekt.
   • U hodnoty Členové vyberte možnost + Vybrat členy a otevřete panel Vybrat členy.
   • Vyhledejte skupinu Microsoft Entra, kterou jste vytvořili dříve, a vyberte ji z filtrovaných výsledků. Zvolte Vyberte a vyberte skupinu a zavřete informační panel.
   • V dolní části karty Členové vyberte možnost Zkontrolovat a přidělit.

   

6. Na kartě Zkontrolovat a přiřadit vyberte Zkontrolovat a přiřadit v dolní části stránky.

Azure CLI

1. Pomocí příkazu az role definition list získejte názvy rolí, které lze přiřadit skupině Microsoft Entra nebo služebnímu principálu:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Pomocí příkazu az role assignment create přiřaďte roli skupině Microsoft Entra, kterou jste vytvořili:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI najdete v tématu Přiřazení rolí Azure pomocí Azure CLI.

Nastavení proměnných prostředí aplikace

Za běhu určité přihlašovací údaje z knihovny Azure Identity Library, jako jsou DefaultAzureCredential, EnvironmentCredentiala ClientSecretCredential, vyhledávají informace instančního objektu podle konvence v proměnných prostředí. Při práci s .NET existují různé způsoby konfigurace proměnných prostředí v závislosti na nástrojích a prostředí.

Bez ohledu na zvolený přístup nakonfigurujte pro instanční objekt následující proměnné prostředí:

• AZURE_CLIENT_ID: Slouží k identifikaci registrované aplikace v Azure.
• AZURE_TENANT_ID: ID tenanta Microsoft Entra.
• AZURE_CLIENT_SECRET: Tajné přihlašovací údaje vygenerované pro aplikaci.

V sadě Visual Studio lze proměnné prostředí nastavit v souboru launchsettings.json ve složce Properties projektu. Tyto hodnoty se automaticky načítají při spuštění aplikace. Tyto konfigurace ale během nasazování necestují s vaší aplikací, takže potřebujete nastavit proměnné prostředí v cílovém hostitelském prostředí.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    }
  }

V editoru Visual Studio Code lze proměnné prostředí nastavit v souboru launch.json projektu. Tyto hodnoty se automaticky načítají při spuštění aplikace. Tyto konfigurace ale během nasazování necestují s vaší aplikací, takže potřebujete nastavit proměnné prostředí v cílovém hostitelském prostředí.

"configurations": [
{
    "env": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Proměnné prostředí pro Windows můžete nastavit z příkazového řádku. Tyto hodnoty jsou ale přístupné pro všechny aplikace spuštěné v tomto operačním systému a můžou způsobit konflikty, proto při tomto přístupu buďte opatrní. Proměnné prostředí lze nastavit na úrovni uživatele nebo systému.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell se dá použít také k nastavení proměnných prostředí na úrovni uživatele nebo systému:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Ověřování ve službách Azure z vaší aplikace

Knihovna Azure Identity poskytuje různé přihlašovací údaje– implementace TokenCredential přizpůsobené na podporu různých scénářů a toků ověřování Microsoft Entra. Následující kroky demonstrují, jak používat ClientSecretCredential při práci se služebními identitami místně a v produkčním prostředí.

Implementace kódu

Přidejte balíček Azure.Identity. V projektu ASP.NET Core nainstalujte také balíček Microsoft.Extensions.Azure:

Příkazový řádek

V terminálu podle vašeho výběru přejděte do adresáře projektu aplikace a spusťte následující příkazy:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Správce balíčků NuGet

Klikněte pravým tlačítkem na projekt v okně Průzkumníka řešení sady Visual Studio a vyberte Spravovat balíčky NuGet. Vyhledejte Azure.Identity a nainstalujte odpovídající balíček. Opakujte tento postup pro balíček Microsoft.Extensions.Azure.

Nainstalujte balíček pomocí správce balíčků.

Ke službám Azure se přistupuje pomocí specializovaných klientských tříd z různých klientských knihoven Azure SDK. Tyto třídy a vlastní služby by se měly zaregistrovat pro injektáž závislostí, aby je bylo možné používat v celé aplikaci. V Program.csproveďte následující kroky a nakonfigurujte třídu klienta pro injektáž závislostí a ověřování na základě tokenů:

1. Zahrňte obory názvů Azure.Identity a Microsoft.Extensions.Azure prostřednictvím direktiv using.
2. Zaregistrujte klienta služby Azure pomocí odpovídající metody rozšíření s předponou Add.
3. Nakonfigurujte ClientSecretCredential pomocí tenantId, clientIda clientSecret.
4. Předejte instanci ClientSecretCredential metodě UseCredential.

builder.Services.AddAzureClients(clientBuilder =>
{
    var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
    var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
    var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new ClientSecretCredential(tenantId, clientId, clientSecret));
});

Alternativou k metodě UseCredential je poskytnutí přihlašovacích údajů klientovi služby přímo:

var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new ClientSecretCredential(tenantId, clientId, clientSecret)));