Alkalmazások hitelesítése Node.js Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával

A helyi fejlesztés során az alkalmazásoknak hitelesíteni kell magukat az Azure-ban a különböző Azure-szolgáltatások eléréséhez. A helyi hitelesítés két gyakori módszere egy szolgáltatásnév vagy egy fejlesztői fiók használata. Ez a cikk bemutatja, hogyan használható fejlesztői fiók. Az alábbi szakaszokban a következő ismereteket ismerheti meg:

• Microsoft Entra-csoportok használata több fejlesztői fiók engedélyeinek hatékony kezeléséhez
• Hogyan lehet szerepköröket hozzárendelni fejlesztői fiókokhoz az engedélyek hatókörének beállításához
• Bejelentkezés támogatott helyi fejlesztési eszközökre
• Hitelesítés fejlesztői fiókkal az alkalmazáskódból

Ahhoz, hogy egy alkalmazás helyi fejlesztés során hitelesíthesse magát az Azure-ban a fejlesztő Azure-beli hitelesítő adataival, a fejlesztőnek be kell jelentkeznie az Azure-ba az alábbi fejlesztői eszközök egyikéből:

• Azure CLI (Az Azure parancssori felülete)
• Azure Developer CLI
• Azure PowerShell

Az Azure Identity-kódtár képes észlelni, hogy a fejlesztő bejelentkezett az egyik ilyen eszközről. A könyvtár ezután egy eszközzel beszerezheti a Microsoft Entra hozzáférési jogkivonatot, hogy az alkalmazást bejelentkezett felhasználóként hitelesítse az Azure-ban.

Ez a megközelítés kihasználja a fejlesztő meglévő Azure-fiókjait a hitelesítési folyamat egyszerűsítése érdekében. A fejlesztői fiók azonban valószínűleg több engedéllyel rendelkezik, mint amennyit az alkalmazás igényel, ezért túllépi az alkalmazás éles környezetben futtatott engedélyeit. Alternatív megoldásként létrehozhat alkalmazásszolgáltatás-tagokat, amelyeket a helyi fejlesztés során használhat, amelyek hatóköre csak az alkalmazás által igényelt hozzáférésre terjedhet ki.

Microsoft Entra-csoport létrehozása helyi fejlesztéshez

Hozzon létre egy Microsoft Entra-csoportot, amely az alkalmazás által igényelt szerepköröket (engedélyeket) foglalja magában a helyi fejlesztés során, és nem rendeli hozzá a szerepköröket az egyes szolgáltatásnév-objektumokhoz. Ez a megközelítés a következő előnyöket kínálja:

• Minden fejlesztőhöz ugyanazok a szerepkörök vannak hozzárendelve a csoport szintjén.
• Ha új szerepkörre van szükség az alkalmazáshoz, azt csak az alkalmazás csoportához kell hozzáadni.
• Ha egy új fejlesztő csatlakozik a csapathoz, egy új alkalmazásszolgáltatás-tag jön létre a fejlesztő számára, és hozzáadódik a csoporthoz, biztosítva, hogy a fejlesztő megfelelő engedélyekkel rendelkezik az alkalmazás használatához.

Azure Portal

1. Lépjen a Microsoft Entra ID áttekintési oldalára az Azure Portalon.

2. Válassza az Összes csoportot a bal oldali menüből.

3. A Csoportok lapon válassza az Új csoportot.

4. Az Új csoport lapon töltse ki az alábbi űrlapmezőket:

   • Csoport típusa: Válassza a Biztonság lehetőséget.
   • Csoportnév: Adja meg annak a csoportnak a nevét, amely az alkalmazás vagy a környezet nevére mutató hivatkozást tartalmaz.
   • Csoport leírása: Adjon meg egy leírást, amely ismerteti a csoport célját.

   

5. A Tagok csoportban válassza a Nem kijelölt tagok hivatkozást, ha tagokat szeretne hozzáadni a csoporthoz.

6. A megnyíló úszó panelen keresse meg a korábban létrehozott szolgáltatásnevet, és válassza ki a szűrt eredmények közül. A kijelölés megerősítéséhez kattintson a panel alján található Kiválasztás gombra.

7. Az Új csoport lap alján válassza a Létrehozás lehetőséget a csoport létrehozásához és a Minden csoport laphoz való visszatéréshez. Ha nem látja az új csoportot a listában, várjon egy kis időt, és frissítse a lapot.

Azure CLI

1. Az az ad group create paranccsal hozzon létre csoportokat a Microsoft Entra ID-ban.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   A --display-name és a --mail-nickname paraméterek kötelezőek. A csoportnak adott névnek az alkalmazás nevén és környezetén kell alapulnia, hogy jelezze a csoport célját.

2. Ha tagokat szeretne hozzáadni a csoporthoz, szüksége van az alkalmazás-szolgáltatásnév objektumazonosítójára, amely eltér az alkalmazásazonosítótól. Az az ad sp list paranccsal listázhatja az elérhető szolgáltatási főképviselőket.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   A --filter paraméter OData-stílusú szűrőket fogad el, és a lista szűrésére használható az ábrán látható módon. A --query paraméter csak a fontos oszlopokra korlátozza a kimenetet.

3. Az az ad group member add paranccsal vegyen fel tagokat a csoportba:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Szerepkörök hozzárendelése a csoporthoz

Ezután határozza meg, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az erőforrásokhoz, és rendelje hozzá ezeket a szerepköröket a létrehozott Microsoft Entra-csoporthoz. A csoportok szerepkörhöz rendelhetők az erőforrás, az erőforráscsoport vagy az előfizetés hatókörében. Ez a példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure-erőforrást.

Azure Portal

1. Az Azure Portalon lépjen az alkalmazást tartalmazó erőforráscsoport Áttekintés lapjára.

2. Válassza a bal oldali navigációs sávból a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + Hozzáadás lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. A Szerepkör-hozzárendelés hozzáadása lap számos lapot biztosít a szerepkörök konfigurálásához és hozzárendeléséhez.

4. A Szerepkör lapon a keresőmezővel keresse meg a hozzárendelni kívánt szerepkört. Jelölje ki a szerepkört, majd kattintson a Tovább gombra.

5. A Tagok lapon:

   • Az értékhez való hozzáférés hozzárendeléséhez válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.
   • A Tagok értéknél válassza a + Tagok kijelölése lehetőséget a Tagok kijelölése úszó panel megnyitásához.
   • Keresse meg a korábban létrehozott Microsoft Entra-csoportot, és válassza ki a szűrt eredmények közül. Kattintson a Kijelölés gombra a csoport kijelöléséhez és az úszó panel bezárásához.
   • Válassza a Véleményezés + hozzárendelés lehetőséget a Tagok lap alján.

   

6. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a lap alján.

Azure CLI

1. Az az role definition list parancs használatával lekérheti azoknak a szerepköröknek a nevét, amelyekhez egy Microsoft Entra-csoport vagy szolgáltatási főidentitás hozzárendelhető.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Az az role assignment create paranccsal rendeljen hozzá egy szerepkört a létrehozott Microsoft Entra-csoporthoz:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Az engedélyek erőforrás- vagy előfizetési szinten az Azure CLI használatával történő hozzárendeléséről további információt az Azure-szerepkörök hozzárendelése az Azure CLI használatával című témakörben talál.

Bejelentkezés az Azure-ba fejlesztői eszközökkel

Ezután jelentkezzen be az Azure-ba a fejlesztési környezetben a hitelesítés végrehajtásához használható számos fejlesztői eszköz egyikével. A hitelesített fióknak a korábban létrehozott és konfigurált Microsoft Entra-csoportban is léteznie kell.

Azure CLI

A fejlesztők az Azure CLI használatával hitelesíthetik magukat a Microsoft Entra-azonosítóval. Azok az alkalmazások, amelyek a DefaultAzureCredential vagy AzureCliCredential fiókot használják, ezután használhatják ezt a fiókot az alkalmazáskérések hitelesítésére, amikor helyben futnak.

Az Azure CLI-vel való hitelesítéshez futtassa a az login parancsot. Egy alapértelmezett webböngészővel rendelkező rendszeren az Azure CLI elindítja a böngészőt a felhasználó hitelesítéséhez.

az login

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében a az login parancs az eszközkód-hitelesítési folyamatot használja. A felhasználó a --use-device-code argumentum megadásával arra is kényszerítheti az Azure CLI-t, hogy használja az eszköz kódfolyamatát a böngésző elindítása helyett.

az login --use-device-code

Azure Developer CLI

A fejlesztők az Azure Developer CLI használatával hitelesíthetik magukat a Microsoft Entra-azonosítón. Azok az alkalmazások, amelyek a DefaultAzureCredential vagy AzureDeveloperCliCredential szolgáltatást használják, használhatják ezt a fiókot az alkalmazáskérések helyi futtatáskor történő hitelesítésére.

Az Azure Developer CLI-vel való hitelesítéshez futtassa a azd auth login parancsot. Egy alapértelmezett webböngészővel rendelkező rendszeren az Azure Developer CLI elindítja a böngészőt a felhasználó hitelesítéséhez.

azd auth login

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében az azd auth login --use-device-code eszközkód hitelesítési folyamatát használja. A felhasználó arra is kényszerítheti az Azure Developer CLI-t, hogy használja az eszköz kódfolyamatát a böngésző elindítása helyett az --use-device-code argumentum megadásával.

azd auth login --use-device-code

Azure PowerShell

A fejlesztők az Azure PowerShell használatával hitelesíthetik magukat a Microsoft Entra-azonosítóval. Az alkalmazások, amelyek DefaultAzureCredential vagy AzurePowerShellCredential használják, ezt a fiókot az alkalmazáskérések hitelesítésére használhatják, amikor helyben futnak.

Az Azure PowerShell-lel való hitelesítéshez futtassa a parancsot Connect-AzAccount. Az alapértelmezett webböngészővel és az Azure PowerShell 5.0.0-s vagy újabb verziójával rendelkező rendszereken elindítja a böngészőt a felhasználó hitelesítéséhez.

Connect-AzAccount

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében a Connect-AzAccount parancs az eszközkód-hitelesítési folyamatot használja. A felhasználó az argumentum megadásával UseDeviceAuthentication arra is kényszerítheti az Azure PowerShellt, hogy használja az eszköz kódfolyamatát ahelyett, hogy elindítanál egy böngészőt.

Connect-AzAccount -UseDeviceAuthentication

Hitelesítés az Azure-szolgáltatásokban az alkalmazásból

Az Azure Identity-kódtár különböző hitelesítő adatokat biztosít– a TokenCredential különböző forgatókönyvekhez és a Microsoft Entra hitelesítési folyamatokhoz igazított implementációkat. Az alábbi lépések bemutatják, hogyan használható a DefaultAzureCredential, amikor a felhasználói fiókokkal helyben dolgozik.

A kód implementálása

DefaultAzureCredential egy véleményvezérelt, rendezett mechanizmus-sorozat a Microsoft Entra ID-hoz való hitelesítéshez. Minden hitelesítési mechanizmus a TokenCredential osztályból származó osztály, amelyet hitelesítő adatnak neveznek. Futásidőben DefaultAzureCredential megkísérli a hitelesítést az első hitelesítő adatok használatával. Ha a hitelesítő adatok nem szereznek be hozzáférési jogkivonatot, a rendszer megkísérli a következő hitelesítő adatot a sorozatban, és így tovább, amíg egy hozzáférési jogkivonatot nem szerez be sikeresen. Ily módon az alkalmazás különböző hitelesítő adatokat használhat különböző környezetekben anélkül, hogy környezetspecifikus kódot ír.

A DefaultAzureCredential használatához adja hozzá a @azure/identity csomagokat az alkalmazásához. Keresse meg az alkalmazásprojekt könyvtárát egy tetszőleges terminálon, és futtassa a következő parancsot:

npm install @azure/identity

Az Azure-szolgáltatások speciális ügyfélosztályokkal érhetők el a különböző Azure SDK-ügyfélkódtárakból. Ezeket az osztályokat és a saját egyéni szolgáltatásokat regisztrálni kell, hogy azok az alkalmazás teljes területén elérhetők legyenek. Hajtsa végre az alábbi programkövetkezetes lépéseket egy ügyfélosztály létrehozásához ésDefaultAzureCredential:

1. Importálja a @azure/identity csomagot.
2. Hozza létre az Azure szolgáltatás klienst, és adja át neki egy új példányát DefaultAzureCredential.

import { DefaultAzureCredential } from "@azure/identity";
import { SomeAzureServiceClient } from "@azure/arm-some-service";

const client = new SomeAzureServiceClient(new DefaultAzureCredential());