Hitelesítés a helyszínen üzemeltetett Java alkalmazásokból származó Azure erőforrásokhoz

A Azure kívül üzemeltetett alkalmazásoknak, például a helyszínen vagy egy külső adatközpontban, Microsoft Entra ID kell használniuk egy alkalmazásszolgáltatásnevet a Azure szolgáltatások hitelesítéséhez. A következő szakaszokban a következőket ismerheti meg:

• Egy alkalmazás regisztrálása a Microsoft Entra szolgáltatásazonosító létrehozásához.
• Szerepkörök hozzárendelése hatókörengedélyekhez.
• Hogyan lehet hitelesíteni egy szolgáltatási főazonosító használatával az alkalmazáskódon keresztül.

Dedikált alkalmazásszolgáltatás-tagok használatával a minimális jogosultság elvét követheti Azure erőforrások elérésekor. Korlátozza az alkalmazás adott követelményeire vonatkozó engedélyeket a fejlesztés során, hogy megakadályozza a más alkalmazásokhoz vagy szolgáltatásokhoz szánt Azure erőforrások véletlen elérését. Ez a megközelítés segít elkerülni az alkalmazás éles környezetbe való áthelyezésekor felmerülő problémákat is, mert így biztosíthatja, hogy az alkalmazás ne legyen túljogosított a fejlesztői környezetben.

Hozzon létre egy másik alkalmazásregisztrációt minden olyan környezethez, ahol az alkalmazást üzemelteti. Konfigurálhat környezetspecifikus erőforrás-engedélyeket minden egyes szolgáltatásnévhez, és biztosíthatja, hogy az egyik környezetben üzembe helyezett alkalmazás ne férhessen hozzá Azure erőforrásokhoz egy másik környezetben.

Az alkalmazás regisztrálása a Azure

Az alkalmazásszolgáltatási szolgáltatásfő objektumai az Azure-ban egy alkalmazásregisztráción keresztül jönnek létre, az Azure portál vagy az Azure CLI használatával.

Azure portál

1. A Azure portál keresősávján lépjen a App registrations lapra.

2. A App registrations lapon válassza a + Új regisztráció lehetőséget.

3. Az alkalmazás regisztrálása oldalon:

   • A Név mezőben adjon meg egy leíró értéket, amely tartalmazza az alkalmazás nevét és a célkörnyezetet.
   • A Támogatott fióktípusokesetén válassza csak ebben a szervezeti címtárban lévő fiókokat (csak Microsoft Ügyfél által vezetett – Egyetlen bérlő), vagy amelyik a legjobban megfelel a követelményeknek.

4. Az alkalmazás regisztrálásához és a szolgáltatásfőfelhasználó létrehozásához válassza a Regisztrálás lehetőséget.

   

5. Az alkalmazás alkalmazásregisztrációs lapján másolja ki a alkalmazás (ügyfél) azonosítóját és címtár (bérlő) azonosítóját, majd illessze be őket egy ideiglenes helyre, hogy később használhassa őket az alkalmazáskód-konfigurációkban.

6. Válassza Tanúsítvány vagy titkos hozzáadása lehetőséget az alkalmazás hitelesítő adatainak beállításához.

7. A Tanúsítványok > titkos kódok lapon válassza az + Új ügyfélkód lehetőséget.

8. A megnyíló Ügyfélkód hozzáadása legördülő panelen:

   • A Leírásmezőben adja meg az Aktuális értéket.
   • A Lejárat értéknél hagyja meg az alapértelmezett 180 napos ajánlott értéket.
   • Válassza az Hozzáadás lehetőséget a titkos kód hozzáadásához.

9. A Tanúsítványok & titkos kulcsok lapon másolja ki az ügyfél titkos kódjának Érték tulajdonságát egy későbbi lépésben való használatra.

   Megjegyzés:

   Az ügyfél titkos kódjának értéke csak egyszer jelenik meg az alkalmazásregisztráció létrehozása után. Több ügyféltitkot is hozzáadhat anélkül, hogy érvénytelenítené ezt az ügyféltitkot, de ennek az értékét többé nem lehet megjeleníteni.

Azure CLI

Azure CLI parancsok futtathatók a Azure Cloud Shell vagy a Azure CLI telepített munkaállomáson.

1. Az az ad sp create-for-rbac paranccsal hozzon létre egy új alkalmazásregisztrációt és szolgáltatásnevet az alkalmazáshoz.

   az ad sp create-for-rbac --name <service-principal-name>
   

   A parancs kimenete a következő JSON-ra hasonlít:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Másolja ezt a kimenetet egy szövegszerkesztő ideiglenes fájljába, mivel egy későbbi lépésben szüksége lesz ezekre az értékekre.

   Megjegyzés:

   Az ügyfél titkos kódjának értéke csak egyszer jelenik meg az alkalmazásregisztráció létrehozása után. Több ügyféltitkot is hozzáadhat anélkül, hogy érvénytelenítené ezt az ügyféltitkot, de ennek az értékét többé nem lehet megjeleníteni.

Szerepkörök hozzárendelése az application service principalhez

Ezután határozza meg, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az erőforrásokhoz, és rendelje hozzá ezeket a szerepköröket a létrehozott szolgáltatásnévhez. A szerepkörök az erőforrás, az erőforráscsoport vagy az előfizetés hatókörében rendelhetők hozzá. Ez a példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure erőforrást.

Azure portál

1. A Azure portálon keresse meg az alkalmazást tartalmazó erőforráscsoport Overview lapját.

2. A bal oldali navigációs sávon válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + Hozzáadás lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. A Szerepkör-hozzárendelés hozzáadása lap számos lapot biztosít a szerepkörök konfigurálásához és hozzárendeléséhez.

4. A Szerepkör lapon a keresőmezővel keresse meg a hozzárendelni kívánt szerepkört. Jelölje ki a szerepkört, majd kattintson a Tovább gombra.

5. A Tagok lapon:

   • Az értékhez való hozzáférés hozzárendeléséhez válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.
   • A Tagok értéknél válassza a + Tagok kijelölése lehetőséget a Tagok kijelölése úszó panel megnyitásához.
   • Keresse meg a korábban létrehozott szolgáltatásnevet, és válassza ki a szűrt eredmények közül. Válassza a , majd a lehetőséget a csoport kijelöléséhez és a lebegő panel bezárásához.
   • Válassza a Véleményezés + hozzárendelés lehetőséget a Tagok lap alján.

   

6. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a lap alján.

Azure CLI

1. Az az role definition list paranccsal lekérheti azoknak a szerepköröknek a nevét, amelyekhez egy szolgáltatásfőnév hozzárendelhető.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Az az role assignment create paranccsal rendeljen hozzá egy szerepkört egy alkalmazásszolgáltatás-taghoz:

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Az engedélyek erőforrás- vagy előfizetési szinten a Azure CLI használatával történő hozzárendeléséről további információt a Az Azure szerepkörök hozzárendelése a Azure CLI használatával című témakörben talál.

Az alkalmazáskörnyezet változóinak beállítása

Futtatási időben az Azure Identity könyvtár bizonyos hitelesítő adatai, mint például a DefaultAzureCredential, EnvironmentCredential és ClientSecretCredential, konvenció szerint keresik a szolgáltatás főgazda információkat a környezeti változókban. A Java használatakor többféleképpen konfigurálhatja a környezeti változókat az eszközhasználattól és a környezettől függően.

A választott megközelítéstől függetlenül konfigurálja a következő környezeti változókat egy szolgáltatásnévhez:

• AZURE_CLIENT_ID: A regisztrált alkalmazás azonosítására szolgál a Azure.
• AZURE_TENANT_ID: A Microsoft Entra bérlő azonosítója.
• AZURE_CLIENT_SECRET: Az alkalmazáshoz létrehozott titkos hitelesítő adatok.

Bash

Állítsa be a következő környezeti változókat. Cserélje le a helyőrző értékeket az alkalmazásregisztráció tényleges értékeire:

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Egy éles kiszolgálón rendszerezett szolgáltatásként futó Java-alkalmazások esetében adja meg a környezeti változókat egy fájlban, és hivatkozzon rá a szolgáltatásegység-fájl EnvironmentFile irányelvével:

[Unit]
Description=Java application service
After=network.target

[Service]
User=app-user
WorkingDirectory=/path/to/java-app
EnvironmentFile=/path/to/java-app/app-environment-variables
ExecStart=/usr/bin/java -jar app.jar

[Install]
WantedBy=multi-user.target

A környezeti fájlnak tartalmaznia kell a környezeti változók listáját az értékükkel:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Visual Studio Code

A Visual Studio Code állítsa be a környezeti változókat a projekt .vscode/launch.json fájljában. Az alkalmazás automatikusan ezeket az értékeket használja az indításkor. Ezek a konfigurációk azonban nem utaznak az alkalmazással az üzembe helyezés során, ezért környezeti változókat kell beállítania a célüzemeltetési környezetben.

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

IntelliJ IDEA

Környezeti változók konfigurálása a futtatási konfigurációban:

1. Válassza a Konfigurációk szerkesztése parancsot > ....

2. Válassza ki az alkalmazáskonfigurációt.

3. A Környezeti változók mezőben adja hozzá a változókat:

   AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>
   

4. Válassza az Alkalmaz és az OK gombokat.

Windows

A parancssorból beállíthatja a Windows környezeti változóit. Az adott operációs rendszeren futó alkalmazások azonban hozzáférhetnek az értékekhez, ami ütközéseket okozhat. Ezzel a megközelítéssel óvatosan járjon el. A környezeti változókat felhasználói vagy rendszerszinten állíthatja be.

# Set user environment variables
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

A PowerShell használatával felhasználói vagy rendszerszintű környezeti változókat is beállíthat:

# Set user environment variables
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Hitelesítés Azure szolgáltatásokhoz az alkalmazásból

Az Azure Identitástár különböző hitelesítő adatokat - a különböző forgatókönyveket és Microsoft Entra hitelesítési folyamatokat támogató TokenCredential implementációit biztosítja. Az alábbi lépések bemutatják, hogyan használhatja a ClientSecretCredential-t, amikor helyi és éles környezetben dolgozik a szolgáltatásnevekkel.

A kód implementálása

Adja hozzá a azure-identity függőséget a pom.xml fájlhoz:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

A Azure szolgáltatásokat a különböző Azure SDK ügyfélkódtárak speciális ügyfélosztályainak használatával érheti el. Minden olyan Java kód esetében, amely Azure SDK ügyfélobjektumot hoz létre az alkalmazásban, kövesse az alábbi lépéseket:

1. Importálja az osztályt ClientSecretCredentialBuilder a com.azure.identity csomagból.
2. Hozzon létre egy ClientSecretCredential objektumot ClientSecretCredentialBuilder a tenantId, clientId és clientSecret használatával.
3. Adja át a ClientSecretCredential példányt az Azure SDK ügyfélobjektum-készítő credential metódusának.

Erre a megközelítésre a következő kódszegmensben látható példa:

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();