Autenticación de aplicaciones .NET en servicios de Azure durante el desarrollo local mediante cuentas de desarrollador

Durante el desarrollo local, las aplicaciones deben autenticarse en Azure para usar diferentes servicios de Azure. Autentíquese localmente mediante uno de estos enfoques:

• Use una cuenta de desarrollador con una de las herramientas de desarrollo compatibles con la biblioteca de identidades de Azure.
• Use un agente para administrar las credenciales.
• Use una entidad de servicio.

En este artículo se explica cómo autenticarse mediante una cuenta de desarrollador con herramientas compatibles con la biblioteca de identidades de Azure. En las siguientes secciones, obtendrá información sobre:

• Cómo usar grupos de Microsoft Entra para administrar de forma eficaz los permisos de varias cuentas de desarrollador.
• Asignación de roles a cuentas de desarrollador para definir el ámbito de los permisos.
• Cómo iniciar sesión en las herramientas de desarrollo local admitidas.
• Autenticación mediante una cuenta de desarrollador desde el código de la aplicación.

Herramientas de desarrollo compatibles para la autenticación

Para que una aplicación se autentique en Azure durante el desarrollo local mediante las credenciales de Azure del desarrollador, el desarrollador debe iniciar sesión en Azure desde una de las siguientes herramientas de desarrollo:

• CLI de Azure
• CLI de desarrollo de Azure
• Azure PowerShell
• Visual Studio
• Visual Studio Code

La biblioteca de identidades de Azure puede detectar que el desarrollador ha iniciado sesión desde una de estas herramientas. Después, la biblioteca puede obtener el token de acceso de Microsoft Entra mediante la herramienta para autenticar la aplicación en Azure como el usuario que ha iniciado sesión.

Este enfoque aprovecha las cuentas de Azure existentes del desarrollador para simplificar el proceso de autenticación. Sin embargo, es probable que la cuenta de un desarrollador tenga más permisos que los que requiere la aplicación, lo que supone superar los permisos con los que se ejecutará la aplicación en producción. Como alternativa, puede crear entidades de servicio de aplicación para usarlas durante el desarrollo local que se pueden limitar para tener solo el acceso necesario para la aplicación.

Creación de un grupo de Microsoft Entra para el desarrollo local

Cree un grupo de Microsoft Entra para encapsular los roles (permisos) que la aplicación necesita en el desarrollo local en lugar de asignar los roles a objetos de entidad de servicio individuales. Este procedimiento ofrece las siguientes ventajas:

• Cada desarrollador tiene los mismos roles asignados en el nivel de grupo.
• Si se necesita un nuevo rol para la aplicación, solo necesita añadirse al grupo de la aplicación.
• Si un nuevo desarrollador se une al equipo, se crea un nuevo principal de servicio de la aplicación para el desarrollador y se agrega al grupo, garantizando que el desarrollador tenga los permisos adecuados para trabajar en la aplicación.

Azure Portal

1. Vaya a la página de información general de ID de Microsoft Entra en el portal de Azure.

2. Seleccione Todos los grupos en el menú de la izquierda.

3. En la página Grupos , seleccione Nuevo grupo.

4. En la página Nuevo grupo , rellene los siguientes campos de formulario:

   • Tipo de grupo: seleccione Seguridad.
   • Nombre del grupo: escriba un nombre para el grupo que incluya una referencia al nombre de la aplicación o del entorno.
   • Descripción del grupo: escriba una descripción que explique el propósito del grupo.

   

5. Seleccione el vínculo Sin miembros seleccionados en Miembros para agregar miembros al grupo.

6. En el panel flotante que se abre, busque la entidad de servicio que creó anteriormente y selecciónela en los resultados filtrados. Elija el botón Seleccionar situado en la parte inferior del panel para confirmar la selección.

7. Seleccione Crear en la parte inferior de la página Nuevo grupo para crear el grupo y volver a la página Todos los grupos . Si no ve el nuevo grupo en la lista, espere un momento y actualice la página.

CLI de Azure

1. Use el comando az ad group create para crear grupos en Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Los parámetros --display-name y --mail-nickname son obligatorios. El nombre asignado al grupo debe basarse en el nombre y el entorno de la aplicación para indicar el propósito del grupo.

2. Para agregar miembros al grupo, necesita el ID de objeto del principal de servicio de la aplicación, que es diferente al ID de la aplicación. Use el comando az ad sp list para enumerar las entidades de servicio disponibles:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   El --filter parámetro acepta filtros de estilo OData y se puede usar para filtrar la lista como se muestra. El --query parámetro limita la salida solo a las columnas de interés.

3. Use el comando az ad group member add para agregar miembros al grupo:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Asignación de roles al grupo

A continuación, determine qué roles (permisos) necesita la aplicación en qué recursos y asigne esos roles al grupo de Microsoft Entra que ha creado. A los grupos se les puede asignar un rol en el ámbito de recurso, grupo de recursos o suscripción. En este ejemplo se muestra cómo asignar roles en el ámbito del grupo de recursos, ya que la mayoría de las aplicaciones agrupan todos sus recursos de Azure en un único grupo de recursos.

Azure Portal

1. En Azure Portal, vaya a la página Información general del grupo de recursos que contiene la aplicación.

2. Seleccione Control de acceso (IAM) en el panel de navegación izquierdo.

3. En la página Control de acceso (IAM), seleccione + Agregar y, a continuación, elija Agregar asignación de roles en el menú desplegable. La página Agregar asignación de roles proporciona varias pestañas para configurar y asignar roles.

4. En la pestaña Rol , use el cuadro de búsqueda para buscar el rol que desea asignar. Seleccione el rol y, a continuación, elija Siguiente.

5. En la pestaña Miembros :

   • En Asignar acceso al valor, seleccione Usuario, grupo o entidad de servicio .
   • Para el valor Miembros , elija + Seleccionar miembros para abrir el panel flotante Seleccionar miembros .
   • Busque el grupo Microsoft Entra que creó anteriormente y selecciónelo en los resultados filtrados. Elija Seleccionar para seleccionar el grupo y cerrar el panel flotante.
   • Seleccione Revisar y asignar en la parte inferior de la pestaña Miembros .

   

6. En la pestaña Revisar y asignar , seleccione Revisar y asignar en la parte inferior de la página.

CLI de Azure

1. Use el comando az role definition list para obtener los nombres de los roles a los que se puede asignar un grupo de Microsoft Entra o una entidad de servicio a:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Use el comando az role assignment create para asignar un rol al grupo de Microsoft Entra que creó:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Para obtener información sobre cómo asignar permisos en el nivel de recurso o suscripción mediante la CLI de Azure, consulte Asignación de roles de Azure mediante la CLI de Azure.

Inicio de sesión en Azure mediante herramientas para desarrolladores

A continuación, inicie sesión en Azure con una de varias herramientas de desarrollo que se pueden usar para realizar la autenticación en el entorno de desarrollo. La cuenta con la que se autentique también debe existir en el grupo de Microsoft Entra que creó y configuró anteriormente.

Visual Studio

Los desarrolladores que usan Visual Studio 2017 o posterior pueden autenticarse mediante su cuenta de desarrollador a través del IDE. Las aplicaciones que usan DefaultAzureCredential o VisualStudioCredential pueden detectar y usar esta cuenta para autenticar las solicitudes de aplicación cuando se ejecutan localmente. Esta cuenta también se usa al publicar aplicaciones directamente desde Visual Studio en Azure.

Importante

Deberá instalar la carga de trabajo de desarrollo de Azure para habilitar las herramientas de Visual Studio para la autenticación, el desarrollo y la implementación de Azure.

1. En Visual Studio, vaya a Opciones de herramientas>para abrir el cuadro de diálogo opciones.

2. En el cuadro Opciones de búsqueda de la parte superior, escriba Azure para filtrar las opciones disponibles.

3. En Autenticación de servicio de Azure, elija Selección de cuenta.

4. Seleccione el menú desplegable en Elegir una cuenta y elija agregar una cuenta Microsoft.

5. En la ventana que se abre, escriba las credenciales de la cuenta de Azure deseada y confirme las entradas.

   

6. Seleccione Aceptar para cerrar el cuadro de diálogo de opciones.

Visual Studio Code

Los desarrolladores que usan Visual Studio Code pueden autenticarse con su cuenta de desarrollador directamente a través del editor a través del agente. Las aplicaciones que usan DefaultAzureCredential o VisualStudioCodeCredential pueden usar esta cuenta para autenticar las solicitudes de aplicación a través de una experiencia de inicio de sesión único sin problemas.

1. En Visual Studio Code, vaya al panel Extensiones e instale la extensión Recursos de Azure . Esta extensión le permite ver y administrar recursos de Azure directamente desde Visual Studio Code. También usa el proveedor de autenticación integrado de Microsoft de Visual Studio Code para autenticarse con Azure.

   

2. Abra la paleta de comandos en Visual Studio Code y, a continuación, busque y seleccione Azure: Iniciar sesión.

   

   Sugerencia

   Abra la paleta de comandos con Ctrl+Shift+P en Windows/Linux o Cmd+Shift+P en macOS.

3. Agregue el paquete NuGet Azure.Identity.Broker a la aplicación:

   dotnet add package Azure.Identity.Broker
   

CLI de Azure

Los desarrolladores pueden usar la CLI de Azure para autenticarse. Las aplicaciones que usan DefaultAzureCredential o AzureCliCredential pueden usar esta cuenta para autenticar solicitudes de aplicación.

Para autenticarse con la CLI de Azure, ejecute el az login comando . En un sistema con un explorador web predeterminado, la CLI de Azure inicia el explorador para autenticar al usuario.

az login

En el caso de los sistemas sin un explorador web predeterminado, el comando az login usa el flujo de autenticación de código de dispositivo. El usuario también puede forzar a la CLI de Azure a usar el flujo de código del dispositivo en lugar de iniciar un explorador especificando el argumento --use-device-code.

az login --use-device-code

CLI de desarrollo de Azure

Los desarrolladores pueden usar la CLI para desarrolladores de Azure para autenticarse. Las aplicaciones que usan DefaultAzureCredential o AzureDeveloperCliCredential pueden usar esta cuenta para autenticar solicitudes de aplicación.

Para autenticarse con la CLI para desarrolladores de Azure, ejecute el azd auth login comando . En un sistema con un explorador web predeterminado, la CLI para desarrolladores de Azure inicia el explorador para autenticar al usuario.

azd auth login

En el caso de los sistemas sin un explorador web predeterminado, usa azd auth login --use-device-code el flujo de autenticación de código de dispositivo. El usuario también puede forzar a la CLI para desarrolladores de Azure a usar el flujo de código del dispositivo en lugar de iniciar un explorador especificando el --use-device-code argumento .

azd auth login --use-device-code

Azure PowerShell

Los desarrolladores pueden usar Azure PowerShell para autenticarse. Las aplicaciones que usan DefaultAzureCredential o AzurePowerShellCredential pueden usar esta cuenta para autenticar solicitudes de aplicación.

Para autenticarse con Azure PowerShell, ejecute el comando Connect-AzAccount. En un sistema con un explorador web predeterminado y la versión 5.0.0 o posterior de Azure PowerShell, inicia el explorador para autenticar al usuario.

Connect-AzAccount

En el caso de los sistemas sin un explorador web predeterminado, el comando Connect-AzAccount usa el flujo de autenticación de código de dispositivo. El usuario también puede forzar a Azure PowerShell a usar el flujo de código del dispositivo en lugar de iniciar un explorador especificando el UseDeviceAuthentication argumento .

Connect-AzAccount -UseDeviceAuthentication

Autenticación en servicios de Azure desde la aplicación

La biblioteca de identidades de Azure proporciona implementaciones de TokenCredential que soportan varios escenarios y flujos de autenticación de Microsoft Entra. Los pasos que se indican a continuación muestran cómo usar DefaultAzureCredential o una credencial de herramienta de desarrollo específica al trabajar con cuentas de usuario localmente.

Implementación del código

Lleve a cabo los pasos siguientes:

1. Agregue referencias a los paquetes Azure.Identity y Microsoft.Extensions.Azure del proyecto:

   dotnet add package Azure.Identity
   dotnet add package Microsoft.Extensions.Azure
   

2. En Program.cs, agregue directivas using para los Azure.Identity y Microsoft.Extensions.Azure namespaces.

3. Registre el cliente de servicio de Azure mediante el método de extensión con el prefijo Add correspondiente.

   Se accede a los servicios de Azure mediante clases de cliente especializadas desde las bibliotecas cliente del SDK de Azure. Registre estos tipos de cliente para que pueda acceder a ellos a través de la inserción de dependencias en la aplicación.

4. Pase una TokenCredential instancia al UseCredential método . Entre los ejemplos comunes se TokenCredential incluyen:

   • Instancia DefaultAzureCredential optimizada para el desarrollo local. En este ejemplo se establece la variable AZURE_TOKEN_CREDENTIALS de entorno en dev. Para obtener más información, vea Excluir una categoría de tipo de credencial.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         DefaultAzureCredential credential = new(
             DefaultAzureCredential.DefaultEnvironmentVariableName);
         clientBuilder.UseCredential(credential);
     });
     

   • Instancia de una credencial correspondiente a una herramienta de desarrollo específica, como VisualStudioCredential.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         VisualStudioCredential credential = new();
         clientBuilder.UseCredential(credential);
     });
     

   Sugerencia

   Cuando el equipo usa varias herramientas de desarrollo para autenticarse con Azure, prefiera una instancia de DefaultAzureCredential optimizada para desarrollo local en lugar de credenciales específicas de la herramienta.