JavaScript-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával

A helyi fejlesztés során az alkalmazásoknak hitelesíteni kell magukat az Azure-ban a különböző Azure-szolgáltatások eléréséhez. A helyi hitelesítés két gyakori módszere a fejlesztői fiók vagy a szolgáltatási azonosító használata. Ez a cikk az alkalmazás-szolgáltatásnév használatát ismerteti. A következő szakaszokban a következőket ismerheti meg:

• Alkalmazás regisztrálása a Microsoft Entra-ban egy szolgáltatási főszereplő létrehozásához
• A Microsoft Entra-csoportok használata az engedélyek hatékony kezeléséhez
• Szerepkörök hozzárendelése hatókörengedélyekhez
• Hogyan hitelesítsünk szolgáltatás főnév alkalmazásával az alkalmazásod kódjából

Dedikált alkalmazásszolgáltatás-tagok használatával betarthatja a minimális jogosultság elvét az Azure-erőforrások elérésekor. Korlátozza az engedélyeket az alkalmazás adott követelményeire a fejlesztés során, megakadályozva a más alkalmazásokhoz vagy szolgáltatásokhoz szánt Azure-erőforrásokhoz való véletlen hozzáférést. Ez a megközelítés segít elkerülni azokat a problémákat is, amikor az alkalmazást éles környezetbe helyezik át, mivel biztosítja, hogy a fejlesztési környezetben ne rendelkezzen túlzott jogosultságokkal.

Amikor regisztrálja az alkalmazást az Azure-ban, létrehoz egy alkalmazásszolgáltatás-tagot. Helyi fejlesztéshez:

• Hozzon létre egy külön alkalmazásregisztrációt az alkalmazáson dolgozó minden fejlesztő számára, hogy minden fejlesztő saját alkalmazásszolgáltatás-tagot használjon, és ne kelljen hitelesítő adatokat megosztania.
• Hozzon létre egy külön alkalmazásregisztrációt minden alkalmazáshoz, hogy az alkalmazás engedélyeit csak a szükségesre korlátozza.

A helyi fejlesztés során állítsa be a környezeti változókat az application service principal identitásával. Az Azure Identity-kódtár felolvassa ezeket a környezeti változókat, hogy hitelesítse az alkalmazást a szükséges Azure-erőforrásokon.

Az alkalmazás regisztrálása az Azure-ban

Az alkalmazásszolgáltatás fő objektumai egy azure-beli alkalmazásregisztráción keresztül jönnek létre az Azure Portal vagy az Azure CLI használatával.

Azure Portal

1. Az Azure portálon a keresősáv segítségével lépjen az alkalmazásregisztrációk lapra.

2. A Alkalmazásregisztrációk lapon válassza az + Új regisztráció lehetőséget.

3. Az alkalmazás regisztrálása oldalon:

   • A Név mezőben adjon meg egy leíró értéket, amely tartalmazza az alkalmazás nevét és a célkörnyezetet.
   • A Támogatott fióktípusokesetén válassza csak ebben a szervezeti címtárban lévő fiókokat (csak Microsoft Ügyfél által vezetett – Egyetlen bérlő), vagy amelyik a legjobban megfelel a követelményeknek.

4. Az alkalmazás regisztrálásához és a szolgáltatásfőfelhasználó létrehozásához válassza a Regisztrálás lehetőséget.

   

5. Az alkalmazás alkalmazásregisztrációs lapján másolja ki a alkalmazás (ügyfél) azonosítóját és címtár (bérlő) azonosítóját, majd illessze be őket egy ideiglenes helyre, hogy később használhassa őket az alkalmazáskód-konfigurációkban.

6. Válassza Tanúsítvány vagy titkos hozzáadása lehetőséget az alkalmazás hitelesítő adatainak beállításához.

7. A Tanúsítványok > titkos kódok lapon válassza az + Új ügyfélkód lehetőséget.

8. A megnyíló Ügyfélkód hozzáadása legördülő panelen:

   • A Leírásmezőben adja meg az Aktuális értéket.
   • A Lejárat értéknél hagyja meg az alapértelmezett 180 napos ajánlott értéket.
   • Válassza a Hozzáadás lehetőséget a titkos kód hozzáadásához.

9. A Tanúsítványok & titkos kulcsok lapon másolja ki az ügyfél titkos kódjának Érték tulajdonságát egy későbbi lépésben való használatra.

   Megjegyzés:

   Az ügyfél titkos kódjának értéke csak egyszer jelenik meg az alkalmazásregisztráció létrehozása után. Több ügyféltitkot is hozzáadhat anélkül, hogy érvénytelenítené ezt az ügyféltitkot, de ennek az értékét többé nem lehet megjeleníteni.

Azure CLI

Az Azure CLI-parancsok futtathatók az Azure Cloud Shellben vagy egy munkaállomáson, amelyen telepítve van az Azure CLI.

1. Az az ad sp create-for-rbac paranccsal hozzon létre egy új alkalmazásregisztrációt és szolgáltatásnevet az alkalmazáshoz.

   az ad sp create-for-rbac --name <service-principal-name>
   

   A parancs kimenete a következő JSON-ra hasonlít:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Másolja ezt a kimenetet egy szövegszerkesztő ideiglenes fájljába, mivel egy későbbi lépésben szüksége lesz ezekre az értékekre.

   Megjegyzés:

   Az ügyfél titkos kódjának értéke csak egyszer jelenik meg az alkalmazásregisztráció létrehozása után. Több ügyféltitkot is hozzáadhat anélkül, hogy érvénytelenítené ezt az ügyféltitkot, de ennek az értékét többé nem lehet megjeleníteni.

Microsoft Entra-csoport létrehozása helyi fejlesztéshez

Hozzon létre egy Microsoft Entra-csoportot, amely az alkalmazás által igényelt szerepköröket (engedélyeket) foglalja magában a helyi fejlesztés során, és nem rendeli hozzá a szerepköröket az egyes szolgáltatásnév-objektumokhoz. Ez a megközelítés a következő előnyöket kínálja:

• Minden fejlesztőhöz ugyanazok a szerepkörök vannak hozzárendelve a csoport szintjén.
• Ha új szerepkörre van szükség az alkalmazáshoz, azt csak az alkalmazás csoportához kell hozzáadni.
• Ha egy új fejlesztő csatlakozik a csapathoz, egy új alkalmazásszolgáltatás-tag jön létre a fejlesztő számára, és hozzáadódik a csoporthoz, biztosítva, hogy a fejlesztő megfelelő engedélyekkel rendelkezik az alkalmazás használatához.

Azure Portal

1. Lépjen a Microsoft Entra ID áttekintési oldalára az Azure Portalon.

2. Válassza az Összes csoportot a bal oldali menüből.

3. A Csoportok lapon válassza Új csoportlehetőséget.

4. Az Új csoport lapon töltse ki az alábbi űrlapmezőket:

   • Csoporttípus: Válassza Biztonságilehetőséget.
   • Csoportnév: Adja meg annak a csoportnak a nevét, amely az alkalmazás vagy a környezet nevére mutató hivatkozást tartalmaz.
   • Csoport leírása: Adjon meg egy leírást, amely ismerteti a csoport célját.

   

5. A Tagok csoportban válassza a Nem kijelölt tagok hivatkozást, ha tagokat szeretne hozzáadni a csoporthoz.

6. A megnyíló legördülő panelen keresse meg a korábban létrehozott szolgáltatási objektumot, és válassza ki a szűrt eredmények közül. A kijelölés megerősítéséhez kattintson a panel alján található Kiválasztás gombra.

7. Az Új csoport lap alján válassza a Létrehozás lehetőséget a csoport létrehozásához és a Minden csoport laphoz való visszatéréshez. Ha nem látja az új csoportot a listában, várjon egy kis időt, és frissítse a lapot.

Azure CLI

1. Az az ad group create paranccsal hozzon létre csoportokat a Microsoft Entra ID-ban.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   A --display-name és a --mail-nickname paraméterek kötelezőek. A csoportnak adott névnek az alkalmazás nevén és környezetén kell alapulnia, hogy jelezze a csoport célját.

2. Ha tagokat szeretne hozzáadni a csoporthoz, szüksége van az alkalmazás-szolgáltatásnév objektumazonosítójára, amely eltér az alkalmazásazonosítótól. Az az ad sp list paranccsal listázhatja az elérhető szolgáltatási főképviselőket.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   A --filter paraméter OData-stílusú szűrőket fogad el, és a lista szűrésére használható az ábrán látható módon. A --query paraméter csak a fontos oszlopokra korlátozza a kimenetet.

3. Az az ad group member add paranccsal vegyen fel tagokat a csoportba:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Szerepkörök hozzárendelése a csoporthoz

Ezután határozza meg, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az erőforrásokhoz, és rendelje hozzá ezeket a szerepköröket a létrehozott Microsoft Entra-csoporthoz. A csoportok szerepkörhöz rendelhetők az erőforrás, az erőforráscsoport vagy az előfizetés hatókörében. Ez a példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure-erőforrást.

Azure Portal

1. Az Azure Portalon lépjen az alkalmazást tartalmazó erőforráscsoport Áttekintés lapjára.

2. A bal oldali navigációs sávon válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + Hozzáadás lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. A Szerepkör-hozzárendelés hozzáadása lap számos lapot biztosít a szerepkörök konfigurálásához és hozzárendeléséhez.

4. A Szerepkör lapon a keresőmezővel keresse meg a hozzárendelni kívánt szerepkört. Jelölje ki a szerepkört, majd kattintson a Tovább gombra.

5. A Tagok lapon:

   • Az értékhez való hozzáférés hozzárendeléséhez válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.
   • A Tagok értéknél válassza a + Tagok kijelölése lehetőséget a Tagok kijelölése úszó panel megnyitásához.
   • Keresse meg a korábban létrehozott Microsoft Entra-csoportot, és válassza ki a szűrt eredmények közül. Válassza a , majd a lehetőséget a csoport kijelöléséhez és a lebegő panel bezárásához.
   • Válassza a Véleményezés + hozzárendelés lehetőséget a Tagok lap alján.

   

6. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a lap alján.

Azure CLI

1. Az az role definition list parancs használatával lekérheti azoknak a szerepköröknek a nevét, amelyekhez egy Microsoft Entra-csoport vagy szolgáltatási főidentitás hozzárendelhető.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Az az role assignment create paranccsal rendeljen hozzá egy szerepkört a létrehozott Microsoft Entra-csoporthoz:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Az erőforrás- vagy előfizetési szintű engedélyek hozzárendeléséről az Azure CLI használatával az Azure-szerepkörök hozzárendelése az Azure CLI segítségével témakörben talál bővebb információt.

Az alkalmazáskörnyezet változóinak beállítása

Futásidőben az Azure Identity Librarybizonyos hitelesítő adatai – például DefaultAzureCredential, EnvironmentCredentialés ClientSecretCredential– konvenció szerint keresnek szolgáltatásnév-információkat a környezeti változókban. A környezeti változók többféleképpen konfigurálhatók a JavaScript használatakor, az eszköztől és a környezettől függően.

A választott megközelítéstől függetlenül konfigurálja a következő környezeti változókat egy szolgáltatásnévhez:

• AZURE_CLIENT_ID: Az Azure-ban regisztrált alkalmazás azonosítására szolgál.
• AZURE_TENANT_ID: A Microsoft Entra tenant azonosítója.
• AZURE_CLIENT_SECRET: Az alkalmazáshoz létrehozott titkos hitelesítő adatok.

Visual Studio Code

A Visual Studio Code-ban a környezeti változók a projekt launch.json fájljában állíthatók be. Ezeket az értékeket a rendszer automatikusan beszedi az alkalmazás indításakor. Ezek a konfigurációk azonban nem utaznak az alkalmazással az üzembe helyezés során, ezért környezeti változókat kell beállítania a célüzemeltetési környezetben.

"configurations": [
{
    "env": {
        "NODE_ENV": "development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Windows

A windowsos környezeti változókat a parancssorból állíthatja be. Az értékek azonban elérhetők az adott operációs rendszeren futó összes alkalmazás számára, és ütközéseket okozhatnak, ezért körültekintően járjon el ezzel a megközelítéssel. A környezeti változók felhasználói vagy rendszerszinten állíthatók be.

# Set user environment variables
setx NODE_ENV "development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx NODE_ENV "development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

A PowerShell a környezeti változók felhasználói vagy rendszerszintű beállítására is használható:

# Set user environment variables
[Environment]::SetEnvironmentVariable("NODE_ENV", "development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("NODE_ENV", "development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

.env fájl

Helyi fejlesztéshez használhat egy .env fájlt. Node.js 20.6.0 és újabb verziói támogatják a --env-file zászlót, amely lehetővé teszi a környezeti változók automatikus betöltését egy .env fájlból.

1. Hozzon létre egy .env fájlt a projekt gyökérkönyvtárában:

   AZURE_CLIENT_ID=<your-client-id>
   AZURE_TENANT_ID=<your-tenant-id>
   AZURE_CLIENT_SECRET=<your-client-secret>
   

2. Futtassa az alkalmazást a --env-file jelölővel:

   node --env-file=.env app.js
   

A korábbi Node.js verziókhoz használhatja a dotenv npm csomagot:

1. Telepítse a dotenv csomagot:

   npm install dotenv
   

2. Töltse be a környezeti változókat az alkalmazásban:

   import 'dotenv/config';
   

Caution

Soha ne töltse fel a .env fájlokat vagy az ügyfél-titkokat a forráskódkezelőbe. Adja hozzá a .env elemet a .gitignore fájljához.

Hitelesítés az Azure-szolgáltatásokban az alkalmazásból

Az Azure Identity-kódtár különböző hitelesítő adatokat biztosít– a TokenCredential különböző forgatókönyvekhez és a Microsoft Entra hitelesítési folyamatokhoz igazított implementációkat. Az alábbi lépések bemutatják, hogyan használható a DefaultAzureCredential a felhasználói fiókokkal való helyi munka során.

A kód implementálása

DefaultAzureCredential egy véleményvezérelt, rendezett mechanizmus-sorozat a Microsoft Entra ID-hoz való hitelesítéshez. Minden hitelesítési mechanizmus a TokenCredential osztályból származó osztály, amelyet hitelesítő adatnak neveznek. Futásidőben DefaultAzureCredential megkísérli a hitelesítést az első hitelesítő adatok használatával. Ha a hitelesítő adatok nem szereznek be hozzáférési jogkivonatot, a rendszer megkísérli a következő hitelesítő adatot a sorozatban, és így tovább, amíg egy hozzáférési jogkivonatot nem szerez be sikeresen. Ily módon az alkalmazás különböző hitelesítő adatokat használhat különböző környezetekben anélkül, hogy környezetspecifikus kódot ír.

A DefaultAzureCredential használatához adja hozzá a @azure/identity csomagokat az alkalmazásához. Keresse meg az alkalmazásprojekt könyvtárát egy tetszőleges terminálon, és futtassa a következő parancsot:

npm install @azure/identity

Az Azure-szolgáltatások speciális ügyfélosztályokkal érhetők el a különböző Azure SDK-ügyfélkódtárakból. Ezeket az osztályokat és a saját egyéni szolgáltatásokat regisztrálni kell, hogy azok az alkalmazás teljes területén elérhetők legyenek. Hajtsa végre az alábbi programkövetkezetes lépéseket egy ügyfélosztály létrehozásához ésDefaultAzureCredential:

1. Importálja a @azure/identity csomagot.
2. Hozza létre az Azure szolgáltatás klienst, és adja át neki egy új példányát DefaultAzureCredential.

import { DefaultAzureCredential } from "@azure/identity";
import { SomeAzureServiceClient } from "@azure/arm-some-service";

const client = new SomeAzureServiceClient(new DefaultAzureCredential());