.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával

A helyi fejlesztés során az alkalmazásoknak hitelesíteni kell magukat az Azure-ban a különböző Azure-szolgáltatások használatához. Helyi hitelesítés az alábbi módszerek egyikével:

• Használjon fejlesztői fiókot az Azure Identity-kódtár által támogatott fejlesztői eszközök egyikével.
• A hitelesítő adatok kezeléséhez használjon közvetítőt .
• Használjon egyszerű szolgáltatást.

Ez a cikk azt ismerteti, hogyan hitelesíthető egy fejlesztői fiókkal az Azure Identity-kódtár által támogatott eszközökkel. Az alábbi szakaszokban a következő ismereteket ismerheti meg:

• A Microsoft Entra-csoportok használata több fejlesztői fiók engedélyeinek hatékony kezelésére.
• Fejlesztői fiókokhoz szerepkörök hozzárendelése a jogosultságok hatókörének meghatározásához.
• Bejelentkezés a támogatott helyi fejlesztési eszközökre.
• Hogyan hitelesíthető egy fejlesztői fiókkal az alkalmazás kódjából.

Támogatott fejlesztői eszközök hitelesítéshez

Ahhoz, hogy egy alkalmazás helyi fejlesztés során hitelesíthesse magát az Azure-ban a fejlesztő Azure-beli hitelesítő adataival, a fejlesztőnek be kell jelentkeznie az Azure-ba az alábbi fejlesztői eszközök egyikéből:

• Azure CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio
• Visual Studio Code

Az Azure Identity-kódtár képes észlelni, hogy a fejlesztő bejelentkezett az egyik ilyen eszközről. Ezután a könyvtár beszerezheti az eszközzel a Microsoft Entra hozzáférési jogkivonatot, hogy az alkalmazást bejelentkezett felhasználóként az Azure-ban hitelesítse.

Ez a megközelítés kihasználja a fejlesztő meglévő Azure-fiókjait a hitelesítési folyamat egyszerűsítése érdekében. A fejlesztői fiók azonban valószínűleg több engedéllyel rendelkezik, mint amennyit az alkalmazás igényel, ezért túllépi az alkalmazás éles környezetben futtatott engedélyeit. Alternatív megoldásként létrehozhat alkalmazási szolgáltatás-főkomponenseket, amelyeket a helyi fejlesztés során használhat, és amelyek hatóköre kizárólag az alkalmazás által igényelt hozzáférésre terjedhet ki.

Microsoft Entra-csoport létrehozása helyi fejlesztéshez

Hozzon létre egy Microsoft Entra-csoportot, amely az alkalmazás által igényelt szerepköröket (engedélyeket) foglalja magában a helyi fejlesztés során, és nem rendeli hozzá a szerepköröket az egyes szolgáltatásnév-objektumokhoz. Ez a megközelítés a következő előnyöket kínálja:

• Minden fejlesztőhöz ugyanazok a szerepkörök vannak hozzárendelve a csoport szintjén.
• Ha új szerepkörre van szükség az alkalmazáshoz, azt csak az alkalmazás csoportához kell hozzáadni.
• Ha egy új fejlesztő csatlakozik a csapathoz, egy új alkalmazásszolgáltatás-tag jön létre a fejlesztő számára, és hozzáadódik a csoporthoz, biztosítva, hogy a fejlesztő megfelelő engedélyekkel rendelkezik az alkalmazás használatához.

Azure Portal

1. Lépjen a Microsoft Entra ID áttekintési lapjára az Azure portálon.

2. A bal oldali menüben válassza Minden csoport lehetőséget.

3. A Csoportok lapon válassza Új csoportlehetőséget.

4. Az Új csoport lapon töltse ki az alábbi űrlapmezőket:

   • Csoporttípus: Válassza Biztonságilehetőséget.
   • csoportnév: Adja meg annak a csoportnak a nevét, amely az alkalmazás vagy a környezet nevére mutató hivatkozást tartalmaz.
   • csoport leírása: Adjon meg egy leírást, amely ismerteti a csoport célját.

   

5. A Tagok csoportban válassza a Nem kijelölt tagok hivatkozást, ha tagokat szeretne hozzáadni a csoporthoz.

6. A megnyíló legördülő panelen keresse meg a korábban létrehozott szolgáltatási objektumot, és válassza ki a szűrt eredmények közül. A kijelölés megerősítéséhez válassza a kiválasztása gombot a panel alján.

7. Válassza a Új csoport lap alján található létrehozása lehetőséget a csoport létrehozásához és a Minden csoport lapra való visszatéréshez. Ha nem látja az új csoportot a listában, várjon egy kis időt, és frissítse a lapot.

Azure CLI

1. Az az ad group create paranccsal hozzon létre csoportokat a Microsoft Entra ID rendszerében.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   A --display-name és a --mail-nickname paraméterek kötelezőek. A csoportnak adott névnek az alkalmazás nevén és környezetén kell alapulnia, hogy jelezze a csoport célját.

2. Ha tagokat szeretne hozzáadni a csoporthoz, szüksége van az alkalmazás-szolgáltatásnév objektumazonosítójára, amely eltér az alkalmazásazonosítótól. Az az ad sp list paranccsal listázhatja az elérhető szolgáltatásneveket:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   A --filter paraméter OData-stílusú szűrőket fogad el, és a lista szűrésére használható az ábrán látható módon. A --query paraméter csak a fontos oszlopokra korlátozza a kimenetet.

3. Az az ad group member add paranccsal vegyen fel tagokat a csoportba:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Szerepkörök hozzárendelése a csoporthoz

Ezután határozza meg, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az erőforrásokhoz, és rendelje hozzá ezeket a szerepköröket a létrehozott Microsoft Entra-csoporthoz. A csoportok szerepkörhöz rendelhetők az erőforrás, az erőforráscsoport vagy az előfizetés hatókörében. Ez a példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure-erőforrást.

Azure Portal

1. Az Azure Portalon keresse meg az alkalmazást tartalmazó erőforráscsoport Áttekintés lapját.

2. A bal oldali navigációs sávon válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + hozzáadása lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. A Szerepkör-hozzárendelés hozzáadása lapon számos lap található a szerepkörök konfigurálásához és hozzárendeléséhez.

4. A Szerepkör lapon keresse meg a hozzárendelni kívánt szerepkört a keresőmezővel. Jelölje ki a szerepkört, majd válassza a Következőlehetőséget.

5. A Tagok lapon:

   • A Hozzáférés hozzárendelése értékhez, válassza Felhasználó, csoport vagy szolgáltatásnév lehetőséget.
   • A Tagok értéknél válassza a + Tagok kiválasztása lehetőséget a Tagok kiválasztása előtűnő panel megnyitásához.
   • Keresse meg a korábban létrehozott Microsoft Entra-csoportot, és válassza ki a szűrt eredmények közül. Válassza a , majd a lehetőséget a csoport kijelöléséhez és a lebegő panel bezárásához.
   • Válassza Véleményezés + hozzárendelés a Tagok lap alján.

   

6. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a lap alján.

Azure CLI

1. Az az role definition list paranccsal lekérheti azoknak a szerepköröknek a nevét, amelyekhez egy Microsoft Entra-csoportot vagy szolgáltatásnevet hozzá lehet rendelni.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Az az role assignment create paranccsal rendeljen hozzá egy szerepkört a létrehozott Microsoft Entra-csoporthoz:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Az erőforrás- vagy előfizetési szinten lévő engedélyek hozzárendeléséről az Azure CLI használatával a következő témakörben talál információt: Azure-szerepkörök hozzárendelése az Azure CLI használatával.

Bejelentkezés az Azure-ba fejlesztői eszközökkel

Ezután jelentkezzen be az Azure-ba a fejlesztési környezetben a hitelesítés végrehajtásához használható számos fejlesztői eszköz egyikével. A hitelesített fióknak a korábban létrehozott és konfigurált Microsoft Entra-csoportban is léteznie kell.

A Visual Studio 2017-et vagy újabb verziót használó fejlesztők az IDE-ben hitelesíthetik magukat a fejlesztői fiókjukkal. Azok az alkalmazások, amelyek DefaultAzureCredential vagy VisualStudioCredential használják, felderíthetik és használhatják ezt a fiókot az alkalmazáskérések hitelesítésére helyi futtatáskor. Ez a fiók akkor is használatos, ha alkalmazásokat tesz közzé közvetlenül a Visual Studióból az Azure-ba.

Fontos

Az Azure-beli fejlesztési számítási feladat telepítéséhez engedélyeznie kell a Visual Studio-eszközöket az Azure-hitelesítéshez, fejlesztéshez és üzembe helyezéshez.

1. A Visual Studióban lépjen az Eszközök>beállításai elemre a beállítások párbeszédpanel megnyitásához.

2. A keresési beállítások mező tetején írja be az Azure szót az elérhető beállítások leszűréséhez.

3. Az Azure-szolgáltatás-hitelesítés alatt válassza ki a Fiókválasztást.

4. Válassza a Fiók kiválasztása menü legördülő menüjét , és válassza a Microsoft-fiók hozzáadását.

5. A megnyíló ablakban adja meg a kívánt Azure-fiók hitelesítő adatait, majd erősítse meg a bemeneteket.

   

6. A beállítások párbeszédpanel bezárásához kattintson az OK gombra.

Visual Studio Code

A Visual Studio Code-ot használó fejlesztők közvetlenül a szerkesztőn keresztül hitelesíthetik fejlesztői fiókjukat a közvetítőn keresztül. Az alkalmazások, amelyek a DefaultAzureCredential vagy VisualStudioCodeCredential fiókot használják, ezt a fiókot használhatják az alkalmazáskérések hitelesítésére zökkenőmentes egyszeri bejelentkezési élmény segítségével.

1. A Visual Studio Code-ban lépjen a Bővítmények panelre, és telepítse az Azure Resources bővítményt. Ezzel a bővítménysel közvetlenül a Visual Studio Code-ból tekintheti meg és kezelheti az Azure-erőforrásokat. Emellett a beépített Visual Studio Code Microsoft-hitelesítésszolgáltatót is használja az Azure-ral való hitelesítéshez.

   

2. Nyissa meg a Parancskatalógust a Visual Studio Code-ban, majd keresse meg és válassza az Azure: Bejelentkezés lehetőséget.

   

   Jótanács

   Nyissa meg a Parancs palettát Ctrl+Shift+P Windows/Linux rendszeren vagy Cmd+Shift+P macOS rendszeren.

3. Adja hozzá az Azure.Identity.Broker NuGet-csomagot az alkalmazáshoz:

   dotnet add package Azure.Identity.Broker
   

A fejlesztők az Azure CLI használatával végezhetnek hitelesítést. Az alkalmazások a DefaultAzureCredential vagy AzureCliCredential használatával hitelesíthetik az alkalmazáskéréseket ezen a fiókon keresztül.

Az Azure CLI-vel való hitelesítéshez futtassa a az login parancsot. Egy alapértelmezett webböngészővel rendelkező rendszeren az Azure CLI elindítja a böngészőt a felhasználó hitelesítéséhez.

az login

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében a az login parancs az eszközkód-hitelesítési folyamatot használja. A felhasználó a --use-device-code argumentum megadásával arra is kényszerítheti az Azure CLI-t, hogy használja az eszköz kódfolyamatát a böngésző elindítása helyett.

az login --use-device-code

A fejlesztők az Azure Developer CLI használatával végezhetnek hitelesítést. Az alkalmazások a DefaultAzureCredential vagy AzureDeveloperCliCredential használatával hitelesíthetik az alkalmazáskéréseket ezen a fiókon keresztül.

Az Azure Developer CLI-vel való hitelesítéshez futtassa a azd auth login parancsot. Egy alapértelmezett webböngészővel rendelkező rendszeren az Azure Developer CLI elindítja a böngészőt a felhasználó hitelesítéséhez.

azd auth login

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében az azd auth login --use-device-code eszközkód hitelesítési folyamatát használja. A felhasználó arra is kényszerítheti az Azure Developer CLI-t, hogy használja az eszköz kódfolyamatát a böngésző elindítása helyett az --use-device-code argumentum megadásával.

azd auth login --use-device-code

A fejlesztők az Azure PowerShell használatával végezhetnek hitelesítést. Az alkalmazások a DefaultAzureCredential vagy AzurePowerShellCredential használatával hitelesíthetik az alkalmazáskéréseket ezen a fiókon keresztül.

Az Azure PowerShell-lel való hitelesítéshez futtassa a parancsot Connect-AzAccount. Az alapértelmezett webböngészővel és az Azure PowerShell 5.0.0-s vagy újabb verziójával rendelkező rendszereken elindítja a böngészőt a felhasználó hitelesítéséhez.

Connect-AzAccount

Az alapértelmezett webböngészővel nem rendelkező rendszerek esetében a Connect-AzAccount parancs az eszközkód-hitelesítési folyamatot használja. A felhasználó az argumentum megadásával UseDeviceAuthentication arra is kényszerítheti az Azure PowerShellt, hogy használja az eszköz kódfolyamatát ahelyett, hogy elindítanál egy böngészőt.

Connect-AzAccount -UseDeviceAuthentication

Hitelesítés az Azure-szolgáltatásokban az alkalmazásból

Az Azure Identity-kódtár olyan implementációkat TokenCredential biztosít, amelyek különböző forgatókönyveket és Microsoft Entra hitelesítési folyamatokat támogatnak. Az előttünk álló lépések bemutatják, hogyan használhatja DefaultAzureCredential vagy használhatja egy adott fejlesztői eszköz hitelesítő adatait a felhasználói fiókok helyi használata során.

A kód implementálása

Hajtsa végre a következő lépéseket:

1. Adjon hozzá hivatkozásokat az Azure.Identity és a Microsoft.Extensions.Azure-csomagokra a projektben:

   dotnet add package Azure.Identity
   dotnet add package Microsoft.Extensions.Azure
   

2. Program.cs-ban adjon hozzá using irányelveket a Azure.Identity és Microsoft.Extensions.Azure névterekhez.

3. Regisztrálja az Azure-szolgáltatásügyfélt a megfelelő Addelőtagú bővítménymetódus használatával.

   Az Azure-szolgáltatások speciális ügyfélosztályokkal érhetők el az Azure SDK-ügyfélkódtárakból. Regisztrálja ezeket az ügyféltípusokat, hogy függőséginjektálással érhesse el őket az alkalmazásban.

4. Adjon át egy példányt TokenCredential a UseCredential metódusnak. Gyakori TokenCredential példák a következők:

   • Helyi DefaultAzureCredential fejlesztésre optimalizált példány. Ez a példa a környezeti változót AZURE_TOKEN_CREDENTIALS a következőre állítja dev: . További információ: Hitelesítő adatok kategóriáinak kizárása.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         DefaultAzureCredential credential = new(
             DefaultAzureCredential.DefaultEnvironmentVariableName);
         clientBuilder.UseCredential(credential);
     });
     

   • Olyan hitelesítő adatok példánya, amely egy adott fejlesztési eszközhöz, például VisualStudioCredential-hez tartozik.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         VisualStudioCredential credential = new();
         clientBuilder.UseCredential(credential);
     });
     

   Jótanács

   Ha a csapat több fejlesztőeszközt használ az Azure-ral való hitelesítéshez, előnyben részesítse DefaultAzureCredential a helyi fejlesztésre optimalizált példányt az eszközspecifikus hitelesítő adatokhoz.