Ověřování aplikací .NET ve službách Azure během místního vývoje pomocí vývojářských účtů

Během místního vývoje se aplikace musí ověřit v Azure, aby používaly různé služby Azure. Místní ověřování pomocí jednoho z těchto přístupů:

• Použijte vývojářský účet s jedním z vývojářských nástrojů podporovaných knihovnou identit Azure.
• Ke správě přihlašovacích údajů použijte zprostředkovatele .
• Použijte service principal.

Tento článek vysvětluje, jak se ověřit pomocí vývojářského účtu pomocí nástrojů podporovaných knihovnou identit Azure. V dalších částech se dozvíte:

• Jak používat skupiny Microsoft Entra k efektivní správě oprávnění pro více vývojářských účtů
• Jak přiřadit role vývojářským účtům pro vymezení oprávnění.
• Jak se přihlásit k podporovaným místním vývojovým nástrojům
• Jak ověřit pomocí vývojářského účtu z kódu vaší aplikace

Podporované vývojářské nástroje pro ověřování

Aby se aplikace během místního vývoje ověřila v Azure pomocí přihlašovacích údajů Azure vývojáře, musí být vývojář přihlášený k Azure z některého z následujících vývojářských nástrojů:

• Azure CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio
• Visual Studio Code

Knihovna identit Azure dokáže zjistit, že vývojář je přihlášený z některého z těchto nástrojů. Knihovna pak může získat přístupový token Microsoft Entra prostřednictvím nástroje k ověření aplikace v Azure jako přihlášený uživatel.

Tento přístup využívá stávající účty Azure vývojáře ke zjednodušení procesu ověřování. Účet vývojáře ale pravděpodobně má více oprávnění, než vyžaduje aplikace, a proto překračuje oprávnění, která aplikace běží v produkčním prostředí. Jako alternativu můžete vytvořit zástupce služeb aplikace pro použití při místním vývoji, které lze nastavit tak, aby měly pouze přístup potřebný pro aplikaci.

Vytvoření skupiny Microsoft Entra pro místní vývoj

Vytvořte skupinu Microsoft Entra, která zapouzdří role (oprávnění), jež aplikace potřebuje pro místní vývoj, spíše než přiřazovat role jednotlivým služebním hlavním objektům. Tento přístup nabízí následující výhody:

• Každý vývojář má stejné role přiřazené na úrovni skupiny.
• Pokud je pro aplikaci potřeba nová role, stačí ji přidat jenom do skupiny aplikace.
• Pokud se nový vývojář připojí k týmu, vytvoří se nový instanční objekt aplikace pro vývojáře a přidá se do skupiny, aby vývojář získal správná oprávnění pro práci s aplikací.

1. Na portálu Azure přejděte na stránku s přehledem Microsoft Entra ID .

2. V seznamu vlevo vyberte Všechny skupiny.

3. Na stránce Skupiny vyberte Nová skupina.

4. Na stránce Nová skupina vyplňte následující pole formuláře:

   • Typ skupiny: Vyberte zabezpečení.
   • název skupiny: Zadejte název skupiny, která obsahuje odkaz na název aplikace nebo prostředí.
   • popis skupiny: Zadejte popis, který vysvětluje účel skupiny.

   

5. Vyberte odkaz Žádní členové vybráni v části Členové a přidejte členy do skupiny.

6. V rozbalovacím panelu, který se otevře, vyhledejte aplikační objekt služby, který jste vytvořili dříve, a vyberte ho z filtrovaných výsledků. Výběrem tlačítka Vybrat v dolní části panelu potvrďte výběr.

7. Chcete-li vytvořit skupinu a vrátit se na stránku Všechny skupiny, vyberte Vytvořit ve spodní části stránky Nová skupina. Pokud novou skupinu nevidíte, chvíli počkejte a aktualizujte stránku.

1. Pomocí příkazu az ad group create vytvořte skupiny v systému Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametry --display-name a --mail-nickname jsou povinné. Název dané skupiny by měl být založený na názvu a prostředí aplikace, aby bylo možné určit účel skupiny.

2. Pokud chcete do skupiny přidat členy, potřebujete ID objektu hlavní služby aplikace, které se liší od ID aplikace. Pomocí příkazu az ad sp list zobrazte seznam dostupných servisních entit.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametr --filter přijímá filtry ve stylu OData a dá se použít k filtrování seznamu, jak je znázorněno. Parametr --query omezuje výstup pouze na sloupce, které zajímají.

3. Pomocí příkazu az ad group member add můžete členy přidat do skupiny.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Přiřazení rolí ke skupině

Dále určete, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřaďte tyto role skupině Microsoft Entra, kterou jste vytvořili. Skupinám lze přiřadit roli v rámci prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupuje všechny prostředky Azure do jedné skupiny prostředků.

1. Na portálu Azure přejděte na stránku Přehled skupiny prostředků, která obsahuje vaši aplikaci.

2. V levém navigačním panelu vyberte řízení přístupu (IAM).

3. Na stránce Řízení přístupu (IAM) vyberte + Přidat a pak v rozevírací nabídce zvolte Přidat roli. Stránka Přidat přiřazení role obsahuje několik záložek pro konfiguraci a přiřazení rolí.

4. Na kartě Role použijte vyhledávací pole a vyhledejte roli, kterou chcete přiřadit. Vyberte roli a pak zvolte Další.

5. Na záložce Členové:

   • V části Přiřadit přístup k hodnotě vyberte možnost Uživatel, skupina nebo instanční objekt .
   • U hodnoty Členové zvolte možnost + Vybrat členy pro otevření panelu Vybrat členy.
   • Vyhledejte skupinu Microsoft Entra, kterou jste vytvořili dříve, a vyberte ji z filtrovaných výsledků. Zvolte Vyberte pro vybrání skupiny a zavření panelu zobrazení.
   • V dolní části karty Členové vyberte možnost Zkontrolovat a přidělit.

   

6. Na kartě Review + assign vyberte Review + assign v dolní části stránky.

1. Pomocí příkazu az role definition list získejte názvy rolí, které lze přiřadit skupině Microsoft Entra nebo služebnímu principálu:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Pomocí příkazu az role assignment create přiřaďte roli skupině Microsoft Entra, kterou jste vytvořili:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Informace o přiřazování oprávnění na úrovni prostředku nebo předplatného pomocí Azure CLI naleznete v tématu Přiřazení rolí Azure pomocí Azure CLI.

Přihlášení k Azure pomocí vývojářských nástrojů

Dále se přihlaste k Azure pomocí některého z několika vývojářských nástrojů, které se dají použít k ověřování ve vašem vývojovém prostředí. Účet, který ověříte, by měl existovat také ve skupině Microsoft Entra, kterou jste vytvořili a nakonfigurovali dříve.

Vývojáři, kteří používají Visual Studio 2017 nebo novější, se můžou ověřit pomocí svého vývojářského účtu prostřednictvím integrovaného vývojového prostředí( IDE). Aplikace používající DefaultAzureCredential nebo VisualStudioCredential můžou zjišťovat a používat tento účet k ověřování žádostí o aplikace při místním spuštění. Tento účet se používá také při publikování aplikací přímo ze sady Visual Studio do Azure.

Důležité

Abyste mohli aktivovat nástroje sady Visual Studio pro ověřování v Azure, vývoj a nasazení, budete muset nainstalovat pracovní zátěž vývoje Azure.

1. V sadě Visual Studio přejděte na Tools>Options a otevřete dialogové okno možností.

2. Do pole Možnosti hledání v horní části zadejte Azure a vyfiltrujte dostupné možnosti.

3. V části Ověřování služby Azure zvolte Výběr účtu.

4. Vyberte rozevírací nabídku v části Zvolte účet a zvolte přidání účtu Microsoft.

5. V okně, které se otevře, zadejte přihlašovací údaje pro požadovaný účet Azure a potvrďte své vstupy.

   

6. Vyberte OK a zavřete dialogové okno možností.

Visual Studio Code

Vývojáři, kteří používají Visual Studio Code, se můžou ověřit pomocí svého vývojářského účtu přímo prostřednictvím editoru prostřednictvím zprostředkovatele. Aplikace, které používají DefaultAzureCredential nebo VisualStudioCodeCredential můžou tento účet používat k ověřování žádostí o aplikace prostřednictvím bezproblémového jednotného přihlašování

1. V editoru Visual Studio Code přejděte na panel Rozšíření a nainstalujte rozšíření Azure Resources . Toto rozšíření umožňuje zobrazit a spravovat prostředky Azure přímo ze sady Visual Studio Code. Používá také integrovaného poskytovatele ověřování Microsoftu v editoru Visual Studio Code pro ověřování u Azure.

   

2. Otevřete paletu příkazů v editoru Visual Studio Code a vyhledejte a vyberte Azure: Přihlásit se.

   

   Návod

   Otevřete paletu příkazů v Ctrl+Shift+P systémech Windows/Linux nebo Cmd+Shift+P macOS.

3. Přidejte do aplikace balíček NuGet Azure.Identity.Broker :

   dotnet add package Azure.Identity.Broker
   

Vývojáři můžou k ověření použít Azure CLI . Aplikace používající DefaultAzureCredential nebo AzureCliCredential můžou tento účet použít k ověřování žádostí o aplikace.

Pokud se chcete ověřit pomocí Azure CLI, spusťte az login příkaz. V systému s výchozím webovým prohlížečem azure CLI spustí prohlížeč pro ověření uživatele.

az login

Pro systémy bez výchozího webového prohlížeče používá příkaz az login tok ověřování kódu zařízení. Uživatel může také vynutit, aby azure CLI používalo tok kódu zařízení místo spuštění prohlížeče zadáním argumentu --use-device-code.

az login --use-device-code

Vývojáři můžou k ověření použít Azure Developer CLI . Aplikace používající DefaultAzureCredential nebo AzureDeveloperCliCredential můžou tento účet použít k ověřování žádostí o aplikace.

Pokud se chcete ověřit pomocí Azure Developer CLI, spusťte azd auth login příkaz. V systému s výchozím webovým prohlížečem spustí rozhraní příkazového řádku Azure Developer CLI prohlížeč pro ověření uživatele.

azd auth login

Pro systémy bez výchozího webového prohlížeče se používá tok ověřování zařízení pomocí kódu azd auth login --use-device-code. Uživatel může také vynutit, aby rozhraní příkazového řádku Azure Developer CLI používalo tok kódu zařízení místo spuštění prohlížeče zadáním argumentu --use-device-code .

azd auth login --use-device-code

Vývojáři můžou k ověření použít Azure PowerShell . Aplikace používající DefaultAzureCredential nebo AzurePowerShellCredential můžou tento účet použít k ověřování žádostí o aplikace.

Pokud se chcete ověřit pomocí Azure PowerShellu, spusťte příkaz Connect-AzAccount. V systému s výchozím webovým prohlížečem a verzí 5.0.0 nebo novějším Azure PowerShellu se spustí prohlížeč pro ověření uživatele.

Connect-AzAccount

Pro systémy bez výchozího webového prohlížeče používá příkaz Connect-AzAccount tok ověřování kódu zařízení. Uživatel může také vynutit, aby Azure PowerShell používal tok kódu zařízení místo spuštění prohlížeče zadáním argumentu UseDeviceAuthentication .

Connect-AzAccount -UseDeviceAuthentication

Ověřování ve službách Azure z vaší aplikace

Knihovna Identit Azure poskytuje implementaceTokenCredential, které podporují různé scénáře a toky ověřování Microsoft Entra. Následující kroky ukazují, jak používat DefaultAzureCredential přihlašovací údaje konkrétního vývojového nástroje při práci s uživatelskými účty místně.

Implementace kódu

Proveďte následující kroky:

1. Přidejte do projektu odkazy na balíčky Azure.Identity a Microsoft.Extensions.Azure :

   dotnet add package Azure.Identity
   dotnet add package Microsoft.Extensions.Azure
   

2. V Program.cs přidejte direktivy using pro obory názvů Azure.Identity a Microsoft.Extensions.Azure.

3. Zaregistrujte klienta služby Azure pomocí odpovídající metody rozšíření s předponou Add.

   Ke službám Azure se přistupuje pomocí specializovaných klientských tříd z klientských knihoven Azure SDK. Zaregistrujte tyto typy klientů, abyste k nim měli přístup prostřednictvím injektáže závislostí napříč vaší aplikací.

4. Předejte TokenCredential instanci metodě UseCredential . Mezi běžné TokenCredential příklady patří:

   • Instance DefaultAzureCredential optimalizovaná pro místní vývoj. Tento příklad nastaví proměnnou AZURE_TOKEN_CREDENTIALS prostředí na dev. Další informace najdete v tématu Vyloučení kategorie typu přihlašovacích údajů.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         DefaultAzureCredential credential = new(
             DefaultAzureCredential.DefaultEnvironmentVariableName);
         clientBuilder.UseCredential(credential);
     });
     

   • Instance přihlašovacích údajů odpovídající určitému vývojovému nástroji, například VisualStudioCredential.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         VisualStudioCredential credential = new();
         clientBuilder.UseCredential(credential);
     });
     

   Návod

   Pokud váš tým k ověřování v Azure používá více vývojových nástrojů, upřednostňujte místní instanci DefaultAzureCredential optimalizovanou pro vývoj před přihlašovacími údaji specifickými pro konkrétní nástroje.