Authentifizieren von Java Apps für Azure Dienste während der lokalen Entwicklung mithilfe von Dienstprinzipalen

Während der lokalen Entwicklung müssen sich Anwendungen bei Azure authentifizieren, um auf verschiedene Azure Dienste zuzugreifen. Sie können sich lokal authentifizieren, indem Sie einen der folgenden Ansätze verwenden:

• Verwenden Sie ein Entwicklerkonto mit einem der Entwicklertools, die von der Azure Identitätsbibliothek unterstützt werden. Weitere Informationen finden Sie unter Authentifizieren Sie Java-Anwendungen während der lokalen Entwicklung mit Entwicklerkonten bei Azure-Diensten.
• Verwenden Sie einen Dienstprinzipal.

Dieser Artikel erklärt, wie Sie einen Anwendungsdienstprinzipal verwenden. Weitere Informationen zu Dienstprinzipalen finden Sie unter Application und Dienstprinzipalobjekte in Microsoft Entra ID. In diesem Artikel wird Folgendes behandelt:

• Anwendung bei Microsoft Entra registrieren, um einen Dienstprinzipal zu erstellen.
• Verwenden Sie Microsoft Entra-Gruppen zum effizienten Verwalten von Berechtigungen.
• Wie man Rollen zu Bereichsberechtigungen zuweist.
• So authentifizieren Sie sich mithilfe eines Dienstprinzipals aus Ihrem App-Code.

Wenn Sie dedizierte Anwendungsdienstprinzipale verwenden, können Sie das Prinzip der geringsten Rechte beim Zugriff auf Azure Ressourcen befolgen. Sie können berechtigungen auf die spezifischen Anforderungen der App während der Entwicklung beschränken, um versehentlichen Zugriff auf Azure Ressourcen zu verhindern, die für andere Apps oder Dienste vorgesehen sind. Dieser Ansatz hilft Ihnen auch, Probleme zu vermeiden, wenn Sie die App in die Produktion verschieben, indem sichergestellt wird, dass sie in der Entwicklungsumgebung nicht überprivilegiert ist.

Wenn Sie die App in Azure registrieren, wird ein Anwendungsdienstprinzipal erstellt. Für die lokale Entwicklung sollten Sie:

• Erstellen Sie eine separate App-Registrierung für jeden Entwickler, der an der App arbeitet, sodass jeder Entwickler einen eigenen Anwendungsdienstprinzipal hat und keine Zugangsdaten freigeben muss.
• Erstellen Sie eine separate App-Registrierung für jede App, um die Berechtigungen der App nur auf die erforderlichen Elemente zu beschränken.

Legen Sie während der lokalen Entwicklung Umgebungsvariablen mit der Identität des Anwendungsdienstprinzipals fest. Die Azure Identitätsbibliothek liest diese Umgebungsvariablen vor, um die App bei den erforderlichen Azure Ressourcen zu authentifizieren.

Registrieren der App in Azure

Anwendungsdienstprinzipalobjekte werden über eine App-Registrierung in Azure entweder über das Azure Portal oder Azure CLI erstellt.

Azure Portal

1. Verwenden Sie im Azure-Portal die Suchleiste, um zur Seite App registrations zu navigieren.

2. Wählen Sie auf der Seite App registrations+ Neue Registrierung aus.

3. Gehen Sie auf der Seite Registrieren einer Anwendung folgendermaßen vor:

   • Geben Sie für das Feld Name einen beschreibenden Wert ein, der den App-Namen und die Zielumgebung enthält.
   • Wählen Sie unter Unterstützte Kontotypendie Option Nur Konten in diesem Organisationsverzeichnis (nur Microsoft Customer Led - Single Tenant)oder die Option, die Ihren Anforderungen am besten entspricht.

4. Wählen Sie Registrieren , um Ihre App zu registrieren und den Dienstprinzipal zu erstellen.

   Ein Screenshot, der zeigt, wie man eine App-Registrierung im Azure-Portal erstellt.

5. Kopieren Sie auf der Seite App-Registrierung Ihrer App die Anwendungs-ID (Client-ID) und Verzeichnis-ID (Mandanten-ID) und fügen Sie sie an einem temporären Speicherort ein, um sie später in Ihren App-Codekonfigurationen zu verwenden.

6. Wählen Sie Zertifikat oder Geheimnis hinzufügen , um Anmeldedaten für Ihre App einzurichten.

7. Auf der Seite Zertifikate & Geheimnisse wählen Sie + Neues Client-Geheimnis.

8. In dem Hinzufügen eines Client-Geheimnisses Flyout-Panel, das sich öffnet:

   • Für die Beschreibunggeben Sie den Wert Current ein.
   • Für den Wert Expires belassen Sie den empfohlenen Standardwert von 180 Tagen.
   • Wählen Sie Hinzufügen aus, um das Geheimnis hinzuzufügen.

9. Kopieren Sie auf der Seite Zertifikate & Geheimnisse die Eigenschaft Wert des Client-Geheimnisses zur Verwendung in einem späteren Schritt.

   Hinweis

   Der Wert des geheimen Clientschlüssels wird nur einmal angezeigt, nachdem die App-Registrierung erstellt wurde. Sie können weitere geheime Clientschlüssel hinzufügen, ohne diesen geheimen Clientschlüssel ungültig zu machen, aber es gibt keine Möglichkeit, diesen Wert erneut anzuzeigen.

Azure CLI

Azure CLI Befehle können im Azure Cloud Shell oder auf einer Arbeitsstation ausgeführt werden, auf der Azure CLI installiert ist.

1. Verwenden Sie den Befehl az ad sp create-for-rbac , um eine neue App-Registrierung und einen neuen Dienstprinzipal für die App zu erstellen.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Die Ausgabe dieses Befehls ähnelt dem folgenden JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Kopieren Sie diese Ausgabe in eine temporäre Datei in einem Text-Editor, da Sie diese Werte in einem zukünftigen Schritt benötigen.

   Hinweis

   Der Wert des geheimen Clientschlüssels wird nur einmal angezeigt, nachdem die App-Registrierung erstellt wurde. Sie können weitere geheime Clientschlüssel hinzufügen, ohne diesen geheimen Clientschlüssel ungültig zu machen, aber es gibt keine Möglichkeit, diesen Wert erneut anzuzeigen.

Erstellen einer Microsoft Entra Gruppe für die lokale Entwicklung

Erstellen Sie eine Microsoft Entra Gruppe, um die Rollen (Berechtigungen) zu kapseln, die die App in der lokalen Entwicklung benötigt, anstatt die Rollen einzelnen Dienstprinzipalobjekten zuzuweisen. Dieser Ansatz bietet die folgenden Vorteile:

• Jeder Entwickler hat die gleichen Rollen auf Gruppenebene zugewiesen.
• Wenn eine neue Rolle für die App erforderlich ist, muss sie nur der Gruppe für die App hinzugefügt werden.
• Wenn ein neuer Entwickler dem Team beitritt, wird ein neuer Anwendungsdienstprinzipal für den Entwickler erstellt und der Gruppe hinzugefügt, um sicherzustellen, dass der Entwickler über die richtigen Berechtigungen für die Arbeit an der App verfügt.

Azure Portal

1. Navigieren Sie zur Übersichtsseite Microsoft Entra ID im Azure-Portal.

2. Wählen Sie im linken Menü "Alle Gruppen " aus.

3. Wählen Sie auf der Seite "Gruppen " die Option "Neue Gruppe" aus.

4. Füllen Sie auf der Seite "Neue Gruppe " die folgenden Formularfelder aus:

   • Gruppentyp: Wählen Sie Sicherheit aus.
   • Gruppenname: Geben Sie einen Namen für die Gruppe ein, die einen Verweis auf den App- oder Umgebungsnamen enthält.
   • Gruppenbeschreibung: Geben Sie eine Beschreibung ein, die den Zweck der Gruppe erläutert.

   

5. Wählen Sie unter Mitglieder den Link Keine Mitglieder ausgewählt aus, um der Gruppe Mitglieder hinzuzufügen.

6. Suchen Sie im daraufhin geöffneten Flyoutbereich nach dem zuvor erstellten Dienstprinzipal, und wählen Sie ihn aus den gefilterten Ergebnissen aus. Wählen Sie unten im Bereich die Schaltfläche "Auswählen " aus, um Ihre Auswahl zu bestätigen.

7. Wählen Sie unten auf der Seite "Neue Gruppe erstellen" aus, um die Gruppe zu erstellen und zur Seite "Alle Gruppen" zurückzukehren. Wenn die neue Gruppe nicht aufgeführt ist, warten Sie einen Moment, und aktualisieren Sie die Seite.

Azure CLI

1. Verwenden Sie den Befehl az ad group create, um Gruppen in Microsoft Entra ID zu erstellen.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Die --display-name- und --mail-nickname-Parameter sind erforderlich. Der Name der Gruppe sollte auf dem Namen und der Umgebung der App basieren, um den Zweck der Gruppe anzugeben.

2. Um der Gruppe Mitglieder hinzuzufügen, benötigen Sie die Objekt-ID des Anwendungsdienstprinzipals, die sich von der Anwendungs-ID unterscheidet. Verwenden Sie den Befehl "az ad sp list" , um die verfügbaren Dienstprinzipale auflisten:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Der --filter Parameter akzeptiert OData-Formatfilter und kann verwendet werden, um die Liste wie dargestellt zu filtern. Der --query Parameter beschränkt die Ausgabe auf nur die Spalten von Interesse.

3. Verwenden Sie den Befehl " az ad group member add" zum Hinzufügen von Mitgliedern zur Gruppe:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Weisen Sie der Gruppe Rollen zu

Ermitteln Sie als Nächstes, welche Rollen (Berechtigungen) Ihre App für welche Ressourcen benötigt, und weisen Sie diese Rollen der erstellten Microsoft Entra Gruppe zu. Gruppen können einer Rolle im Ressourcen-, Ressourcengruppen- oder Abonnementbereich zugewiesen werden. In diesem Beispiel wird gezeigt, wie Rollen im Ressourcengruppenbereich zugewiesen werden, da die meisten Apps alle ihre Azure Ressourcen in einer einzelnen Ressourcengruppe gruppieren.

Azure Portal

1. Navigieren Sie im Azure-Portal zur Seite Overview der Ressourcengruppe, die Ihre App enthält.

2. Wählen Sie im linken Navigationsbereich die Option Zugriffssteuerung (IAM).

3. Wählen Sie auf der Seite access control (IAM)+ Hinzufügen und dann im Dropdownmenü " Rollenzuweisung hinzufügen " aus. Die Seite " Rollenzuweisung hinzufügen " bietet mehrere Registerkarten zum Konfigurieren und Zuweisen von Rollen.

4. Verwenden Sie auf der Registerkarte " Rolle " das Suchfeld, um die Rolle zu suchen, die Sie zuweisen möchten. Wählen Sie die Rolle und dann "Weiter" aus.

5. Auf der Registerkarte „Mitglieder“

   • Wählen Sie für den Wert "Zugriff zuweisen""Benutzer", "Gruppe" oder "Dienstprinzipal" aus.
   • Wählen Sie für den Wert " Mitglieder " die Option "Mitglieder auswählen " aus, um den Flyoutbereich " Mitglieder auswählen " zu öffnen.
   • Suchen Sie nach der zuvor erstellten Microsoft Entra Gruppe, und wählen Sie sie aus den gefilterten Ergebnissen aus. Wählen Sie Auswählen aus, um die Gruppe auszuwählen und das Flyout-Panel zu schließen.
   • Wählen Sie "Überprüfen" und "Zuweisen " am unteren Rand der Registerkarte " Mitglieder " aus.

   Ein Screenshot, der zeigt, wie man einer Microsoft Entra-Gruppe eine Rolle zuweist.

6. Wählen Sie auf der Registerkarte " Überprüfen+ Zuweisen " die Option "Überprüfen" und "Zuweisen " am unteren Rand der Seite aus.

Azure CLI

1. Verwenden Sie die Rollendefinitionsliste az, um die Namen der Rollen abzurufen, denen eine Microsoft Entra Gruppe oder ein Dienstprinzipal zugewiesen werden kann:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Verwenden Sie den Befehl az role assignment create, um der erstellten Microsoft Entra Gruppe eine Rolle zuzuweisen:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Informationen zum Zuweisen von Berechtigungen auf Ressourcen- oder Abonnementebene mithilfe des Azure CLI finden Sie unter Assign-Azure Rollen mithilfe der Azure CLI.

Festlegen der App-Umgebungsvariablen

Zur Laufzeit suchen bestimmte Anmeldeinformationen aus der Azure Identitätsbibliothek, wie DefaultAzureCredential, EnvironmentCredential und ClientSecretCredential, konventionell in den Umgebungsvariablen nach Dienstprinzipalinformationen. Beim Arbeiten mit Java können Sie Umgebungsvariablen je nach Tool und Umgebung auf unterschiedliche Weise konfigurieren.

Konfigurieren Sie unabhängig vom gewählten Ansatz die folgenden Umgebungsvariablen für einen Dienstprinzipal:

• AZURE_CLIENT_ID: Wird verwendet, um die registrierte App in Azure zu identifizieren.
• AZURE_TENANT_ID: Die ID des Microsoft Entra Mandanten.
• AZURE_CLIENT_SECRET: Die geheimen Anmeldeinformationen, die für die App generiert wurden.

Bash

Fügen Sie die folgenden Zeilen in Ihre Datei ~/.bashrc oder ~/.zshrc hinzu. Ersetzen Sie die Platzhalterwerte durch die tatsächlichen Werte ihrer App-Registrierung:

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Nachdem Sie die Datei bearbeitet haben, führen Sie source ~/.bashrc aus, oder source ~/.zshrc, um die Änderungen auf Ihre aktuelle Sitzung anzuwenden.

Visual Studio Code

Konfigurieren von Umgebungsvariablen in .vscode/launch.json:

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

IntelliJ IDEA

Konfigurieren von Umgebungsvariablen in der Ausführungskonfiguration:

1. Wählen Sie "Konfigurationen ausführen>" aus.

2. Wählen Sie Ihre Anwendungskonfiguration aus.

3. Fügen Sie im Feld "Umgebungsvariablen " Ihre Variablen hinzu:

   AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>
   

4. Wählen Sie Übernehmen und anschließend OK aus.

Authentifizieren bei Azure Diensten aus Ihrer App

Die Azure Identity Library stellt verschiedene Credentials bereit: Implementierungen von TokenCredential, die unterschiedliche Szenarien und Microsoft Entra Authentifizierungsflüsse unterstützen. Die folgenden Schritte zeigen Ihnen, wie Sie ClientSecretCredential verwenden, wenn Sie lokal und in der Produktion mit Dienstprinzipalen arbeiten.

Implementieren des Codes

Fügen Sie die azure-identity Abhängigkeit zu Ihrer pom.xml Datei hinzu.

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Sie greifen auf Azure Dienste zu, indem Sie spezielle Clientklassen aus den verschiedenen Azure SDK Clientbibliotheken verwenden. Führen Sie für jeden Java Code, der ein Azure SDK Clientobjekt in Ihrer App erstellt, die folgenden Schritte aus:

1. Importieren Sie die ClientSecretCredentialBuilder Klasse aus dem com.azure.identity Paket.
2. Erstellen Sie ein ClientSecretCredential-Objekt mithilfe von ClientSecretCredentialBuilder und den tenantId, clientId und clientSecret.
3. Übergeben Sie die instanz ClientSecretCredential an die credential-Methode des Azure SDK Clientobjekt-Generators.

Ein Beispiel für diesen Ansatz wird im folgenden Codesegment gezeigt:

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();

Nächste Schritte

In diesem Artikel wurde die Authentifizierung über einen Dienstprinzipal behandelt. Diese Form der Authentifizierung ist eine von vielen Möglichkeiten, wie Sie sich im Azure SDK für Java authentifizieren können. In den folgenden Artikeln werden weitere Methoden zur Authentifizierung beschrieben:

• Authentifizieren Sie Java-Apps für Azure-Dienste während der lokalen Entwicklung mit Entwicklerkonten
• Authentifizieren Sie Java-Anwendungen, die auf Azure gehostet werden, bei Azure-Ressourcen, indem Sie eine vom System zugewiesene verwaltete Identität verwenden
• Authentifizieren Sie in Azure gehostete Java-Apps für Azure-Ressourcen mithilfe einer benutzerdefinierten verwalteten Identität

Wenn Sie auf Probleme bezogen auf die Dienstprinzipalauthentifizierung stoßen, finden Sie weitere Informationen unter Problembehandlung bei der Dienstprinzipalauthentifizierung.

Nachdem Sie die Authentifizierung gemeistert haben, sehen Sie sich Konfigurieren der Protokollierung im Azure SDK für Java an, um Informationen über die vom SDK bereitgestellten Protokollierungsfunktionen zu erhalten.