NET-alkalmazások hitelesítése az Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával
Cikk
Felhőalkalmazások létrehozásakor a fejlesztőknek hibakeresést és tesztelést kell végezniük az alkalmazások helyi munkaállomásán. Ha egy alkalmazás egy fejlesztői munkaállomáson fut a helyi fejlesztés során, akkor is hitelesítenie kell az alkalmazás által használt Azure-szolgáltatásokban. Ez a cikk bemutatja, hogyan állíthat be dedikált alkalmazásszolgáltatás-egyszerű objektumokat a helyi fejlesztés során.
A helyi fejlesztéshez szükséges dedikált alkalmazásszolgáltatás-tagok lehetővé teszik a minimális jogosultság elvét az alkalmazásfejlesztés során. Mivel az engedélyek hatóköre pontosan az alkalmazáshoz szükséges a fejlesztés során, az alkalmazáskód nem fér hozzá véletlenül egy másik alkalmazás által használni kívánt Azure-erőforráshoz. Ez azt is megakadályozza, hogy hibák lépjenek fel az alkalmazás éles környezetbe való áthelyezésekor, mert az alkalmazás túlterjedt a fejlesztői környezetben.
Amikor az alkalmazás regisztrálva van az Azure-ban, az alkalmazáshoz egy alkalmazás-szolgáltatásnév van beállítva. A helyi fejlesztésre szánt alkalmazások regisztrálásakor a következőket javasoljuk:
Hozzon létre külön alkalmazásregisztrációkat az alkalmazáson dolgozó minden fejlesztő számára. Ez külön alkalmazásszolgáltatás-tagokat hoz létre az egyes fejlesztők számára, hogy a helyi fejlesztés során használják, és ne kelljen a fejlesztőknek megosztanak hitelesítő adatokat egyetlen alkalmazás-szolgáltatásnévhez.
Alkalmazásonként külön alkalmazásregisztrációkat hozhat létre. Ez csak az alkalmazás által igényelt engedélyekre terjed ki.
A helyi fejlesztés során a környezeti változók az application service principal identitásával vannak beállítva. Az Azure SDK for NET beolvassa ezeket a környezeti változókat, és ezeket az információkat felhasználva hitelesíti az alkalmazást a szükséges Azure-erőforrásokon.
1 – Az alkalmazás regisztrálása az Azure-ban
Az alkalmazásszolgáltatás egyszerű objektumai alkalmazásregisztrációval jönnek létre az Azure-ban. Ez az Azure Portal vagy az Azure CLI használatával végezhető el.
Jelentkezzen be az Azure Portalra , és kövesse az alábbi lépéseket.
Utasítások
Képernyőkép
Az Azure Portalon:
Adja meg az alkalmazásregisztrációkat az Azure Portal tetején található keresősávban.
A keresősáv alatt megjelenő menü Szolgáltatások fejléce alatt válassza ki a Alkalmazásregisztrációk címkével ellátott elemet.
A Alkalmazásregisztrációk lapon válassza az + Új regisztráció lehetőséget.
Az Alkalmazás regisztrálása lapon töltse ki az űrlapot az alábbiak szerint.
Név → Adja meg az alkalmazásregisztráció nevét az Azure-ban. Javasoljuk, hogy ez a név tartalmazza az alkalmazás nevét, az alkalmazásregisztráció felhasználóját, és egy olyan azonosítót, mint a "dev", amely jelzi, hogy ez az alkalmazásregisztráció a helyi fejlesztéshez használható.
A támogatott fióktípusok csak ebben a szervezeti címtárban → fiókokat.
Válassza a Regisztráció lehetőséget az alkalmazás regisztrálásához és az alkalmazás-szolgáltatásnév létrehozásához.
Az alkalmazás alkalmazásregisztrációs oldalán:
Alkalmazás (ügyfél) azonosítója → Ez az az alkalmazásazonosító, amelyet az alkalmazás a helyi fejlesztés során az Azure-hoz való hozzáféréshez használ. Másolja ezt az értéket egy szövegszerkesztő ideiglenes helyére, mivel egy későbbi lépésben szüksége lesz rá.
Címtár (bérlő) azonosítója → Az alkalmazásnak erre az értékre is szüksége lesz az Azure-ban való hitelesítéskor. Másolja ezt az értéket egy szövegszerkesztő ideiglenes helyére, amely egy későbbi lépésben is szükség lesz rá.
Ügyfél-hitelesítő adatok → Be kell állítania az alkalmazás ügyfél-hitelesítő adatait, mielőtt az alkalmazás hitelesítést végezhet az Azure-ban, és használhatja az Azure-szolgáltatásokat. Válassza a Tanúsítvány vagy titkos kód hozzáadása lehetőséget az alkalmazás hitelesítő adatainak hozzáadásához.
A Tanúsítványok > titkos kódok lapon válassza az + Új ügyfélkód lehetőséget.
Az Ügyfélkód hozzáadása párbeszédpanel a lap jobb oldalán jelenik meg. Ebben a párbeszédpanelen:
Leírás → Adja meg az Aktuális értéket.
Lejár → Válasszon egy 24 hónapos értéket.
Válassza a Hozzáadás lehetőséget a titkos kód hozzáadásához.
A Tanúsítványok > titkos kódok lapon megjelenik az ügyfélkód értéke.
Másolja ezt az értéket egy szövegszerkesztő ideiglenes helyére, mivel egy későbbi lépésben szüksége lesz rá.
FONTOS: Ez az egyetlen alkalom, amikor megjelenik ez az érték. A lap elhagyása vagy frissítése után ez az érték többé nem jelenik meg. Hozzáadhat egy további ügyfélkulcsot anélkül, hogy érvénytelenítenék ezt az ügyféltitkot, de ez az érték többé nem jelenik meg.
Az Azure CLI-parancsok futtathatók az Azure Cloud Shellben vagy egy munkaállomáson, amelyen telepítve van az Azure CLI.
Először az az ad sp create-for-rbac paranccsal hozzon létre egy új szolgáltatásnevet az alkalmazáshoz. Ezzel egyidejűleg létre fogja hozni az alkalmazás regisztrációját is.
az ad sp create-for-rbac --name {service-principal-name}
A parancs kimenete a következőhöz hasonlóan fog kinézni. Javasoljuk, hogy ezt a kimenetet egy szövegszerkesztőben lévő ideiglenes fájlba másolja, mivel egy későbbi lépésben szüksége lesz ezekre az értékekre, mivel ez az egyetlen hely, ahol valaha is megjelenik a szolgáltatásnévhez tartozó titkos ügyfélkód (jelszó). Később azonban hozzáadhat új jelszót anélkül, hogy szükség esetén érvénytelenítenék a szolgáltatásnevet vagy a meglévő jelszavakat.
2 – Azure AD biztonsági csoport létrehozása helyi fejlesztéshez
Mivel egy alkalmazáson általában több fejlesztő dolgozik, javasoljuk, hogy hozzon létre egy Azure AD-csoportot, amely az alkalmazás által igényelt szerepköröket (engedélyeket) foglalja magában a helyi fejlesztésben ahelyett, hogy az egyes szolgáltatásnév-objektumokhoz rendelné a szerepköröket. Ez a következő előnyöket nyújtja.
Minden fejlesztőnek ugyanazok a szerepkörök lesznek hozzárendelve, mivel a szerepkörök csoportszinten vannak hozzárendelve.
Ha új szerepkörre van szükség az alkalmazáshoz, azt csak az alkalmazás Azure AD-csoportjához kell hozzáadni.
Ha egy új fejlesztő csatlakozik a csapathoz, egy új alkalmazásszolgáltatás-tag jön létre a fejlesztő számára, és hozzáadódik a csoporthoz, biztosítva, hogy a fejlesztő megfelelő engedélyekkel rendelkezik az alkalmazás használatához.
Lépjen az Azure PortalOn az Azure Active Directory lapjára az Azure Active Directory beírásával a lap tetején lévő keresőmezőbe, majd válassza ki az Azure Active Directoryt a szolgáltatások alatt.
Az Azure Active Directory lapon válassza a Csoportok lehetőséget a bal oldali menüben.
A Minden csoport lapon válassza az Új csoportot.
Az Új csoport lapon:
Csoporttípus → Security
A csoport neve → A biztonsági csoport neve, amely általában az alkalmazás nevéből jön létre. Az is hasznos, ha a csoport nevében egy helyi fejlesztéshez hasonló sztringet is felveszünk a csoport céljának jelzésére.
A csoport leírása → A csoport céljának leírása.
A Tagok csoportban válassza a Nem kijelölt tagok hivatkozást, ha tagokat szeretne hozzáadni a csoporthoz.
A Tagok hozzáadása párbeszédpanelen:
A keresőmezővel szűrheti a lista egyszerű neveit.
Válassza ki az alkalmazás helyi fejlesztéséhez szükséges alkalmazásszolgáltatás-tagokat. A kijelölt objektumok szürkén jelennek meg, és a párbeszédpanel alján található Kijelölt elemek listára kerülnek.
Ha végzett, válassza a Kiválasztás gombot.
Az Új csoport lapon válassza a Létrehozás lehetőséget a csoport létrehozásához.
A rendszer létrehozza a csoportot, és visszavesz a Minden csoport lapra. A csoport megjelenése akár 30 másodpercet is igénybe vehet, és előfordulhat, hogy frissítenie kell az oldalt az Azure Portal gyorsítótárazása miatt.
Az az ad group create paranccsal csoportok hozhatók létre az Azure Active Directoryban. A --display-name és a --main-nickname paraméterek kötelezőek. A csoportnak adott névnek az alkalmazás nevén kell alapulnia. Hasznos lehet egy "local-dev" kifejezést is belefoglalni a csoport nevére, hogy jelezze a csoport célját.
az ad group create \
--display-name MyDisplay \
--mail-nickname MyDisplay \
--description \<group-description>
Ha tagokat szeretne hozzáadni a csoporthoz, szüksége lesz az alkalmazás-szolgáltatásnév objektumazonosítójára, amely eltér az alkalmazásazonosítótól. Az az ad sp listával listázhatja az elérhető szolgáltatásnevek listáját. A --filter paraméterparancs elfogadja az OData-stílusszűrőket, és a lista szűrésére használható az ábrán látható módon. A --query paraméter csak a fontos oszlopokra korlátozza az oszlopokat.
az ad sp list \
--filter "startswith(displayName, 'msdocs')" \
--query "[].{objectId:objectId, displayName:displayName}" \
--output table
Az az ad group member add parancs ezután a tagok csoportokhoz való hozzáadására használható.
az ad group member add \
--group \<group-name> \
--member-id \<object-id> \
3 – Szerepkörök hozzárendelése az alkalmazáshoz
Ezután meg kell határoznia, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az adott erőforrásokhoz, és ki kell osztania ezeket a szerepköröket az alkalmazáshoz. Ebben a példában a szerepkörök a 2. lépésben létrehozott Azure Active Directory-csoporthoz lesznek hozzárendelve. A szerepkörök hozzárendelhetők szerepkörökhöz egy erőforrás, erőforráscsoport vagy előfizetés hatókörében. Ez a példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure-erőforrást.
Keresse meg az alkalmazás erőforráscsoportját az erőforráscsoport nevére az Azure Portal tetején található keresőmező használatával.
Lépjen az erőforráscsoportra a párbeszédpanel Erőforráscsoportok fejléce alatt található erőforráscsoport nevére kattintva.
Az erőforráscsoport oldalán válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali menüben.
A Hozzáférés-vezérlés (IAM) lapon:
Válassza a Szerepkiosztások lapot.
Válassza a +Hozzáadás lehetőséget a felső menüből, majd a szerepkör-hozzárendelés hozzáadása lehetőséget az eredményül kapott legördülő menüből.
A Szerepkör-hozzárendelés hozzáadása lap felsorolja az erőforráscsoporthoz hozzárendelhető összes szerepkört.
A keresőmezővel kezelhetőbb méretre szűrheti a listát. Ez a példa bemutatja, hogyan szűrhet a Storage Blob-szerepkörökre.
Válassza ki a hozzárendelni kívánt szerepkört.
A Tovább gombra kattintva lépjen a következő képernyőre.
A következő Szerepkör-hozzárendelés hozzáadása lapon megadhatja, hogy melyik felhasználóhoz rendelje hozzá a szerepkört.
Válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget a Hozzáférés hozzárendelése területen.
Select + Select members under Members
Megnyílik egy párbeszédpanel az Azure Portal jobb oldalán.
A Tagok kiválasztása párbeszédpanelen:
A Kijelölés szövegmezővel szűrheti az előfizetésben lévő felhasználók és csoportok listáját. Szükség esetén írja be az alkalmazáshoz létrehozott helyi fejlesztési Azure AD-csoport első néhány karakterét.
Válassza ki az alkalmazáshoz társított helyi fejlesztési Azure AD-csoportot.
A folytatáshoz válassza a Párbeszédpanel alján található Kijelölés lehetőséget.
Az Azure AD-csoport mostantól a Szerepkör-hozzárendelés hozzáadása képernyőn kiválasztott módon jelenik meg.
A folyamat befejezéséhez válassza a Véleményezés + hozzárendelés lehetőséget a végső lapra való ugráshoz, majd a Véleményezés + hozzárendelés lehetőséget.
az role assignment create --assignee "{appId}" \
--role "{roleName}" \
--resource-group "{resourceGroupName}"
A szolgáltatásnévhez hozzárendelhető szerepkörnevek lekéréséhez használja az az role definition list parancsot.
az role definition list \
--query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
--output table
Ha például lehetővé szeretné tenni, hogy az alkalmazásszolgáltatásnév az appId 00000000-0000-0000-0000-000000000000 azonosítójával olvasási, írási és törlési hozzáférést biztosítson az Azure Storage-blobtárolókhoz és -adatokhoz az msdocs-dotnet-sdk-auth-example erőforráscsoport összes tárfiókjában, az alábbi paranccsal rendelje hozzá az alkalmazásszolgáltatásnevet a Storage Blob-adatszolgáltató szerepkörhöz.
az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
--role "Storage Blob Data Contributor" \
--resource-group "msdocs-dotnet-sdk-auth-example"
Az DefaultAzureCredential objektum futásidőben a környezeti változók egy halmazában fogja keresni a szolgáltatásnév adatait. A környezeti változók többféleképpen konfigurálhatók a .NET használata során az eszköztől és a környezettől függően.
Függetlenül attól, hogy melyik megközelítést választja, konfigurálnia kell a következő környezeti változókat egy szolgáltatásnév használatakor.
AZURE_CLIENT_ID → Az alkalmazásazonosító értéke.
AZURE_TENANT_ID → a bérlőazonosító értékét.
AZURE_CLIENT_SECRET → Az alkalmazáshoz létrehozott jelszó/hitelesítő adatok.
Ha helyileg dolgozik a Visual Studióval, a környezeti változók a launchsettings.json projekt mappájában lévő fájlban Properties állíthatók be. Az alkalmazás indításakor ezek az értékek automatikusan be lesznek állítva. Ne feledje, hogy ezek a konfigurációk nem utaznak az alkalmazással az üzembe helyezéskor, ezért a környezeti változókat továbbra is be kell állítania a célüzemeltetési környezetben.
Ha helyileg dolgozik a Visual Studio Code-ban, a környezeti változók a launch.json projekt fájljában állíthatók be. Az alkalmazás indításakor ezek az értékek automatikusan be lesznek állítva. Ne feledje, hogy ezek a konfigurációk nem utaznak az alkalmazással az üzembe helyezéskor, ezért a környezeti változókat továbbra is be kell állítania a célüzemeltetési környezetben.
A windowsos környezeti változókat a parancssorból állíthatja be. Ha azonban ezt a megközelítést használja, az értékek az adott operációs rendszeren futó összes alkalmazás számára elérhetők, és ütközéseket okozhatnak, ha nem körültekintő. A környezeti változók felhasználói vagy rendszerszinten állíthatók be.
# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000"
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111"
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz"
# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000" /m
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111" /m
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz" /m
A PowerShell a környezeti változók felhasználói vagy gépi szintű beállítására is használható.
# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "User")
# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "Machine")
5 – DefaultAzureCredential implementálása az alkalmazásban
DefaultAzureCredential több hitelesítési módszert támogat, és meghatározza a futtatókörnyezetben használt hitelesítési módszert. Ily módon az alkalmazás különböző hitelesítési módszereket használhat különböző környezetekben, környezetspecifikus kód implementálása nélkül.
A hitelesítő adatokat kereső sorrend és helyek DefaultAzureCredential a DefaultAzureCredential helyen találhatók.
A megvalósításhoz DefaultAzureCredentialelőször adja hozzá a Azure.Identity csomagokat, és igény szerint adja hozzá az Microsoft.Extensions.Azure alkalmazáshoz. Ezt a parancssor vagy a NuGet Csomagkezelő használatával teheti meg.
Kattintson a jobb gombbal a projektcsomópontra a Visual Studióban, és válassza a NuGet-csomagok kezelése lehetőséget. Keressen rá az Azure.Identity kifejezésre a keresőmezőben, és telepítse a megfelelő csomagot. Ismételje meg ezt a folyamatot a Microsoft.Extensions.Azure-csomag esetében is.
Az Azure-szolgáltatásokat általában az SDK megfelelő ügyfélosztályai használják. Ezeket az osztályokat és a saját egyéni szolgáltatásokat regisztrálni kell a Program.cs fájlban, hogy az alkalmazás függőséginjektálásával elérhetőek legyenek. Program.csBelül kövesse az alábbi lépéseket a szolgáltatás és a .DefaultAzureCredential
Adja meg a névtereket és Microsoft.Extensions.Azure a Azure.Identity névtereket egy felhasználói utasítással.
Regisztrálja az Azure-szolgáltatást a megfelelő segítő módszerek használatával.
Adja át az objektum egy példányát DefaultAzureCredential a UseCredential metódusnak.
Erre példa a következő kódszakaszban látható.
using Microsoft.Extensions.Azure;
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
x.UseCredential(new DefaultAzureCredential());
});
Azt is megteheti, hogy a szolgáltatásokban közvetlenül, további Azure-regisztrációs módszerek nélkül is használhatja DefaultAzureCredential az alábbiakban látható módon.
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x =>
new BlobServiceClient(
new Uri("https://<account-name>.blob.core.windows.net"),
new DefaultAzureCredential()));
Ha a fenti kód a helyi fejlesztés során fut a helyi munkaállomáson, az alkalmazás-szolgáltatásnév környezeti változóiban, illetve a Visual Studióban, a VS Code-ban, az Azure CLI-ben vagy az Azure PowerShellben fog keresni a fejlesztői hitelesítő adatok készletében, amelyek bármelyikével hitelesítheti az alkalmazást az Azure-erőforrásokban a helyi fejlesztés során.
Az Azure-ban való üzembe helyezéskor ugyanez a kód más Azure-erőforrásokon is hitelesítheti az alkalmazást. DefaultAzureCredential lekérheti a környezeti beállításokat és a felügyelt identitáskonfigurációkat a többi szolgáltatás automatikus hitelesítéséhez.
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: