Python-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával

A helyi fejlesztés során az alkalmazásoknak hitelesíteni kell magukat az Azure-ban a különböző Azure-szolgáltatások használatához. Helyi hitelesítés az alábbi módszerek egyikével:

• Használjon fejlesztői fiókot az Azure Identity-kódtár által támogatott fejlesztői eszközök egyikével.
• A hitelesítő adatok kezeléséhez használjon közvetítőt .
• Használjon egyszerű szolgáltatást.

Ez a cikk azt ismerteti, hogyan hitelesíthető egy fejlesztői fiókkal az Azure Identity-kódtár által támogatott eszközökkel. Az alábbi szakaszokban a következő ismereteket ismerheti meg:

• A Microsoft Entra-csoportok használata több fejlesztői fiók engedélyeinek hatékony kezelésére.
• Fejlesztői fiókokhoz szerepkörök hozzárendelése a jogosultságok hatókörének meghatározásához.
• Bejelentkezés a támogatott helyi fejlesztési eszközökre.
• Hogyan hitelesíthető egy fejlesztői fiókkal az alkalmazás kódjából.

Támogatott fejlesztői eszközök hitelesítéshez

Ahhoz, hogy egy alkalmazás helyi fejlesztés során hitelesíthesse magát az Azure-ban a fejlesztő Azure-beli hitelesítő adataival, a fejlesztőnek be kell jelentkeznie az Azure-ba az alábbi fejlesztői eszközök egyikéből:

• Azure CLI (Az Azure parancssori felülete)
• Azure Developer CLI
• Azure PowerShell
• Visual Studio Code

Az Azure Identity-kódtár képes észlelni, hogy a fejlesztő bejelentkezett az egyik ilyen eszközről. Ezután a könyvtár beszerezheti az eszközzel a Microsoft Entra hozzáférési jogkivonatot, hogy az alkalmazást bejelentkezett felhasználóként az Azure-ban hitelesítse.

Ez a megközelítés kihasználja a fejlesztő meglévő Azure-fiókjait a hitelesítési folyamat egyszerűsítése érdekében. A fejlesztői fiók azonban valószínűleg több engedéllyel rendelkezik, mint amennyit az alkalmazás igényel, ezért túllépi az alkalmazás éles környezetben futtatott engedélyeit. Alternatív megoldásként létrehozhat alkalmazási szolgáltatás-főkomponenseket, amelyeket a helyi fejlesztés során használhat, és amelyek hatóköre kizárólag az alkalmazás által igényelt hozzáférésre terjedhet ki.

Microsoft Entra-csoport létrehozása helyi fejlesztéshez

Hozzon létre egy Microsoft Entra-csoportot, amely az alkalmazás által igényelt szerepköröket (engedélyeket) foglalja magában a helyi fejlesztés során, és nem rendeli hozzá a szerepköröket az egyes szolgáltatásnév-objektumokhoz. Ez a megközelítés a következő előnyöket kínálja:

• Minden fejlesztőhöz ugyanazok a szerepkörök vannak hozzárendelve a csoport szintjén.
• Ha új szerepkörre van szükség az alkalmazáshoz, azt csak az alkalmazás csoportához kell hozzáadni.
• Ha egy új fejlesztő csatlakozik a csapathoz, egy új alkalmazásszolgáltatás-tag jön létre a fejlesztő számára, és hozzáadódik a csoporthoz, biztosítva, hogy a fejlesztő megfelelő engedélyekkel rendelkezik az alkalmazás használatához.

Azure Portál

1. Lépjen a Microsoft Entra ID áttekintési oldalára az Azure Portalon.

2. Válassza az Összes csoportot a bal oldali menüből.

3. A Csoportok lapon válassza Új csoportlehetőséget.

4. Az Új csoport lapon töltse ki az alábbi űrlapmezőket:

   • Csoporttípus: Válassza Biztonságilehetőséget.
   • Csoportnév: Adja meg annak a csoportnak a nevét, amely az alkalmazás vagy a környezet nevére mutató hivatkozást tartalmaz.
   • Csoport leírása: Adjon meg egy leírást, amely ismerteti a csoport célját.

   

5. A Tagok csoportban válassza a Nem kijelölt tagok hivatkozást, ha tagokat szeretne hozzáadni a csoporthoz.

6. A megnyíló legördülő panelen keresse meg a korábban létrehozott szolgáltatási objektumot, és válassza ki a szűrt eredmények közül. A kijelölés megerősítéséhez kattintson a panel alján található Kiválasztás gombra.

7. Az Új csoport lap alján válassza a Létrehozás lehetőséget a csoport létrehozásához és a Minden csoport laphoz való visszatéréshez. Ha nem látja az új csoportot a listában, várjon egy kis időt, és frissítse a lapot.

Azure CLI

1. Az az ad group create paranccsal hozzon létre csoportokat a Microsoft Entra ID-ban.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   A --display-name és --mail-nickname paraméterek kötelezőek. A csoportnak adott névnek az alkalmazás nevén és környezetén kell alapulnia, hogy jelezze a csoport célját.

2. Ha tagokat szeretne hozzáadni a csoporthoz, szüksége van az alkalmazás-szolgáltatásnév objektumazonosítójára, amely eltér az alkalmazásazonosítótól. Az az ad sp list paranccsal listázhatja az elérhető szolgáltatási főképviselőket.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   A --filter paraméter OData-stílusú szűrőket fogad el, és a lista szűrésére használható az ábrán látható módon. A --query paraméter csak a fontos oszlopokra korlátozza a kimenetet.

3. Az az ad group member add paranccsal vegyen fel tagokat a csoportba:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Szerepkörök hozzárendelése a csoporthoz

Ezután határozza meg, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az erőforrásokhoz, és rendelje hozzá ezeket a szerepköröket a létrehozott Microsoft Entra-csoporthoz. A csoportok szerepkörhöz rendelhetők az erőforrás, az erőforráscsoport vagy az előfizetés hatókörében. Ez a példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure-erőforrást.

Azure Portál

1. Az Azure Portalon lépjen az alkalmazást tartalmazó erőforráscsoport Áttekintés lapjára.

2. A bal oldali navigációs sávon válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + Hozzáadás lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. A Szerepkör-hozzárendelés hozzáadása lap számos lapot biztosít a szerepkörök konfigurálásához és hozzárendeléséhez.

4. A Szerepkör lapon a keresőmezővel keresse meg a hozzárendelni kívánt szerepkört. Jelölje ki a szerepkört, majd kattintson a Tovább gombra.

5. A Tagok lapon:

   • Az értékhez való hozzáférés hozzárendeléséhez válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.
   • A Tagok értéknél válassza a + Tagok kijelölése lehetőséget a Tagok kijelölése úszó panel megnyitásához.
   • Keresse meg a korábban létrehozott Microsoft Entra-csoportot, és válassza ki a szűrt eredmények közül. Válassza a , majd a lehetőséget a csoport kijelöléséhez és a lebegő panel bezárásához.
   • Válassza a Véleményezés + hozzárendelés lehetőséget a Tagok lap alján.

   

6. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a lap alján.

Azure CLI

1. Az az role definition list parancs használatával lekérheti azoknak a szerepköröknek a nevét, amelyekhez egy Microsoft Entra-csoport vagy szolgáltatási főidentitás hozzárendelhető.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Az az role assignment create paranccsal rendeljen hozzá egy szerepkört a létrehozott Microsoft Entra-csoporthoz:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Az erőforrás- vagy előfizetési szintű engedélyek hozzárendeléséről az Azure CLI használatával az Azure-szerepkörök hozzárendelése az Azure CLI segítségével témakörben talál bővebb információt.

Bejelentkezés az Azure-ba fejlesztői eszközökkel

Az Azure-fiókkal való hitelesítéshez válasszon az alábbi módszerek közül:

Visual Studio Code

A Visual Studio Code-ot használó fejlesztők közvetlenül a szerkesztőn keresztül hitelesíthetik fejlesztői fiókjukat a közvetítőn keresztül. A DefaultAzureCredential vagy a VisualStudioCodeCredential alkalmazást használó alkalmazások ezt a fiókot használhatják az alkalmazáskérések zökkenőmentes egyszeri bejelentkezéssel történő hitelesítéséhez.

1. A Visual Studio Code-ban lépjen a Bővítmények panelre, és telepítse az Azure Resources bővítményt. Ezzel a bővítménysel közvetlenül a Visual Studio Code-ból tekintheti meg és kezelheti az Azure-erőforrásokat. Emellett a beépített Visual Studio Code Microsoft-hitelesítésszolgáltatót is használja az Azure-ral való hitelesítéshez.

   

2. Nyissa meg a Parancskatalógust a Visual Studio Code-ban, majd keresse meg és válassza az Azure: Bejelentkezés lehetőséget.

   

   Jótanács

   Nyissa meg a Parancs palettát Ctrl+Shift+P Windows/Linux rendszeren vagy Cmd+Shift+P macOS rendszeren.

3. Adja hozzá a azure-identity-broker Python-csomagot az alkalmazáshoz:

   pip install azure-identity-broker
   

Azure CLI

A fejlesztők az Azure CLI használatával hitelesíthetik magukat a Microsoft Entra-azonosítóval. Azok az alkalmazások, amelyek a DefaultAzureCredential vagy AzureCliCredential fiókot használják, ezután használhatják ezt a fiókot az alkalmazáskérések hitelesítésére, amikor helyben futnak.

Az Azure CLI-vel való hitelesítéshez futtassa a az login parancsot. Egy alapértelmezett webböngészővel rendelkező rendszeren az Azure CLI elindítja a böngészőt a felhasználó hitelesítéséhez.

az login

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében a az login parancs az eszközkód-hitelesítési folyamatot használja. A felhasználó a --use-device-code argumentum megadásával arra is kényszerítheti az Azure CLI-t, hogy használja az eszköz kódfolyamatát a böngésző elindítása helyett.

az login --use-device-code

Azure Developer CLI

A fejlesztők az Azure Developer CLI használatával hitelesíthetik magukat a Microsoft Entra-azonosítón. Azok az alkalmazások, amelyek a DefaultAzureCredential vagy AzureDeveloperCliCredential fiókot használják, ezután használhatják ezt a fiókot az alkalmazáskérések hitelesítésére, amikor helyben futnak.

Az Azure Developer CLI-vel való hitelesítéshez futtassa a azd auth login parancsot. Egy alapértelmezett webböngészővel rendelkező rendszeren az Azure Developer CLI elindítja a böngészőt a felhasználó hitelesítéséhez.

azd auth login

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében az azd auth login --use-device-code eszközkód hitelesítési folyamatát használja. A felhasználó arra is kényszerítheti az Azure Developer CLI-t, hogy használja az eszköz kódfolyamatát a böngésző elindítása helyett az --use-device-code argumentum megadásával.

azd auth login --use-device-code

Azure PowerShell

A fejlesztők az Azure PowerShell használatával hitelesíthetik magukat a Microsoft Entra-azonosítóval. Azok az alkalmazások, amelyek a DefaultAzureCredential vagy AzurePowerShellCredential fiókot használják, ezután használhatják ezt a fiókot az alkalmazáskérések hitelesítésére, amikor helyben futnak.

Az Azure PowerShell-lel való hitelesítéshez futtassa a parancsot Connect-AzAccount. Az alapértelmezett webböngészővel és az Azure PowerShell 5.0.0-s vagy újabb verziójával rendelkező rendszereken elindítja a böngészőt a felhasználó hitelesítéséhez.

Connect-AzAccount

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében a Connect-AzAccount parancs az eszközkód-hitelesítési folyamatot használja. A felhasználó az argumentum megadásával UseDeviceAuthentication arra is kényszerítheti az Azure PowerShellt, hogy használja az eszköz kódfolyamatát ahelyett, hogy elindítanál egy böngészőt.

Connect-AzAccount -UseDeviceAuthentication

Hitelesítés az Azure-szolgáltatásokban az alkalmazásból

Az Azure Identity-kódtár olyan TokenCredential implementációkat biztosít, amelyek különböző forgatókönyveket és Microsoft Entra hitelesítési folyamatokat támogatnak. Az alábbi lépések bemutatják, hogyan használható a DefaultAzureCredential vagy egy adott fejlesztői eszköz hitelesítő adatai a felhasználói fiókok helyi használatakor.

A kód implementálása

1. Adja hozzá az azure-identity csomagot az alkalmazáshoz:

   pip install azure-identity
   

   Feljegyzés

   Ha a VisualStudioCodeCredential-t használja, a azure-identity-broker csomagot is telepítenie kell.

   pip install azure-identity-broker
   

   Adja hozzá a import utasításokat a azure.identity modulhoz és az alkalmazáshoz szükséges Azure-szolgáltatási ügyfélmodulhoz.

2. Válasszon egy hitelesítőadat-implementációt a forgatókönyve alapján.

   • Használjon a fejlesztési eszközre jellemző hitelesítő adatokat: ez a beállítás a legjobb egyszemélyes vagy egyeszközes forgatókönyvekhez.
   • Bármely fejlesztési eszközben használható hitelesítő adatokat használhat: ez a lehetőség nyílt forráskódú projektekhez és különböző eszközcsoportokhoz ideális.

Használjon a fejlesztési eszközhöz kifejezetten kapcsolódó hitelesítő adatokat.

Adjon át a(z) TokenCredential adott fejlesztési eszköznek megfelelő példányt az Azure szolgáltatás kliens konstruktorának, például AzureCliCredential.

from azure.identity import AzureCliCredential
from azure.storage.blob import BlobServiceClient

credential = AzureCliCredential()

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Bármely fejlesztési eszközben használható hitelesítő adatok használata

Az DefaultAzureCredential példányt, amely minden helyi fejlesztési eszközhöz optimalizálva van, használja. Ebben a példában a környezeti változót AZURE_TOKEN_CREDENTIALS a következőre devkell beállítani: . További információ: Hitelesítő adatok kategóriáinak kizárása.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

credential = DefaultAzureCredential(require_envvar=True)

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Jótanács

Ha a csapat több fejlesztőeszközt használ az Azure-ral való hitelesítéshez, inkább az eszközspecifikus hitelesítő adatokat részesítse előnyben DefaultAzureCredential .