Hitelesítés Azure-erőforrásokon a helyszínen üzemeltetett .NET-alkalmazásokból

Az Azure-on kívül (például helyszíni vagy külső adatközpontban) üzemeltetett alkalmazásoknak az Azure-erőforrások elérésekor egy alkalmazásszolgáltatás-egyszerű használatával kell hitelesíteni az Azure-ban. Az alkalmazásszolgáltatás egyszerű objektumai az azure-beli alkalmazásregisztrációs folyamattal jönnek létre. Az alkalmazás-szolgáltatásnév létrehozásakor létrejön egy ügyfélazonosító és egy titkos ügyfélkód az alkalmazáshoz. Az ügyfélazonosítót, az ügyfélkulcsot és a bérlőazonosítót ezután környezeti változók tárolják, így az Azure Identity-kódtár az alkalmazás futásidőben történő hitelesítéséhez használhatja őket az Azure-ban.

Minden olyan környezethez létre kell hozni egy másik alkalmazásregisztrációt, amelyben az alkalmazás üzemel. Ez lehetővé teszi a környezetspecifikus erőforrás-engedélyek konfigurálását minden egyes szolgáltatásnévhez, és győződjön meg arról, hogy egy adott környezetben üzembe helyezett alkalmazás nem beszél egy másik környezet részét képező Azure-erőforrással.

1 – Az alkalmazás regisztrálása az Azure-ban

Egy alkalmazás regisztrálható az Azure-ban az Azure Portal vagy az Azure CLI használatával.

Azure Portal

Jelentkezzen be az Azure Portalra , és kövesse az alábbi lépéseket.

Utasítások	Képernyőkép
Az Azure Portalon: Adja meg az alkalmazásregisztrációkat az Azure Portal tetején található keresősávban. A keresősáv alatt megjelenő menü Szolgáltatások fejléce alatt válassza ki a Alkalmazásregisztrációk címkével ellátott elemet.
A Alkalmazásregisztrációk lapon válassza az + Új regisztráció lehetőséget.
Az Alkalmazás regisztrálása lapon töltse ki az űrlapot az alábbiak szerint: Név → Adja meg az alkalmazásregisztráció nevét az Azure-ban. Javasoljuk, hogy ez a név tartalmazza az alkalmazás nevét és környezetét (teszt, prod) az alkalmazásregisztrációhoz. A támogatott fióktípusok csak ebben a szervezeti címtárban → fiókokat. Válassza a Regisztráció lehetőséget az alkalmazás regisztrálásához és az alkalmazás-szolgáltatásnév létrehozásához.
Az alkalmazás alkalmazásregisztrációs oldalán: Alkalmazás (ügyfél) azonosítója → Ez az az alkalmazásazonosító, amelyet az alkalmazás a helyi fejlesztés során az Azure-hoz való hozzáféréshez használ. Másolja ezt az értéket egy szövegszerkesztő ideiglenes helyére, mivel egy későbbi lépésben szüksége lesz rá. Címtár (bérlő) azonosítója → Az alkalmazásnak erre az értékre is szüksége lesz az Azure-ban való hitelesítéskor. Másolja ezt az értéket egy szövegszerkesztő ideiglenes helyére, amely egy későbbi lépésben is szükség lesz rá. Ügyfél-hitelesítő adatok → Be kell állítania az alkalmazás ügyfél-hitelesítő adatait, mielőtt az alkalmazás hitelesítést végezhet az Azure-ban, és használhatja az Azure-szolgáltatásokat. Válassza a Tanúsítvány vagy titkos kód hozzáadása lehetőséget az alkalmazás hitelesítő adatainak hozzáadásához.
A Tanúsítványok > titkos kódok lapon válassza az + Új ügyfélkód lehetőséget.
Az Ügyfélkód hozzáadása párbeszédpanel a lap jobb oldalán jelenik meg. Ebben a párbeszédpanelen: Leírás → Adja meg az Aktuális értéket. Lejár → Válasszon egy 24 hónapos értéket. Válassza a Hozzáadás lehetőséget a titkos kód hozzáadásához. FONTOS: Állítson be emlékeztetőt a naptárban a titkos kód lejárati dátuma előtt. Így hozzáadhat egy új titkos kulcsot, és frissítheti az alkalmazásokat a titkos kód lejárata előtt, és elkerülheti a szolgáltatás megszakítását az alkalmazásban.
A Tanúsítványok > titkos kódok lapon megjelenik az ügyfélkód értéke. Másolja ezt az értéket egy szövegszerkesztő ideiglenes helyére, mivel egy későbbi lépésben szüksége lesz rá. FONTOS: Ez az egyetlen alkalom, amikor megjelenik ez az érték. A lap elhagyása vagy frissítése után nem fogja tudni újra látni ezt az értéket. Hozzáadhat egy további ügyfélkulcsot anélkül, hogy érvénytelenítenék ezt az ügyféltitkot, de ez az érték többé nem jelenik meg.

Azure CLI

az ad sp create-for-rbac --name <app-name>

A parancs kimenete az alábbihoz hasonló lesz. Jegyezze fel ezeket az értékeket, vagy tartsa nyitva ezt az ablakot, mivel a következő lépésben szüksége lesz ezekre az értékekre, és nem fogja tudni újra megtekinteni a jelszó (titkos ügyfélkód) értékét.

{
  "appId": "00000000-1111-2222-3333-444444444444",
  "displayName": "msdocs-dotnet-sdk-auth-prod",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "00000000-0000-0000-0000-000000000000"
}

2 – Szerepkörök hozzárendelése az application service principalhez

Ezután meg kell határoznia, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az adott erőforrásokhoz, és ki kell osztania ezeket a szerepköröket az alkalmazáshoz. A szerepkörök hozzárendelhetők szerepkörökhöz egy erőforrás, erőforráscsoport vagy előfizetés hatókörében. Ez a példa bemutatja, hogyan rendelhet szerepköröket a szolgáltatásnévhez az erőforráscsoport hatókörében, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure-erőforrást.

Azure Portal

Utasítások	Képernyőkép
Keresse meg az alkalmazás erőforráscsoportját az erőforráscsoport nevére az Azure Portal tetején található keresőmező használatával. Lépjen az erőforráscsoportra a párbeszédpanel Erőforráscsoportok fejléce alatt található erőforráscsoport nevére kattintva.
Az erőforráscsoport oldalán válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali menüben.
A Hozzáférés-vezérlés (IAM) lapon: Válassza a Szerepkiosztások lapot. Válassza a +Hozzáadás lehetőséget a felső menüből, majd a szerepkör-hozzárendelés hozzáadása lehetőséget az eredményül kapott legördülő menüből.
A Szerepkör-hozzárendelés hozzáadása lap felsorolja az erőforráscsoporthoz hozzárendelhető összes szerepkört. A keresőmezővel kezelhetőbb méretre szűrheti a listát. Ez a példa bemutatja, hogyan szűrhet a Storage Blob-szerepkörökre. Válassza ki a hozzárendelni kívánt szerepkört. A Tovább gombra kattintva lépjen a következő képernyőre.
A következő Szerepkör-hozzárendelés hozzáadása lapon megadhatja, hogy melyik felhasználóhoz rendelje hozzá a szerepkört. Válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget a Hozzáférés hozzárendelése területen. Válassza a + Tagok kijelölése lehetőséget. Megnyílik egy párbeszédpanel az Azure Portal jobb oldalán.
A Tagok kiválasztása párbeszédpanelen: A Kijelölés szövegmezővel szűrheti az előfizetésben lévő felhasználók és csoportok listáját. Szükség esetén írja be az alkalmazáshoz létrehozott szolgáltatásnév első néhány karakterét a lista szűréséhez. Válassza ki az alkalmazáshoz társított szolgáltatásnevet. A folytatáshoz válassza a Párbeszédpanel alján található Kijelölés lehetőséget.
A szolgáltatásnév mostantól a Szerepkör-hozzárendelés hozzáadása képernyőn kijelöltként jelenik meg. A folyamat befejezéséhez válassza a Véleményezés + hozzárendelés lehetőséget a végső lapra való ugráshoz, majd a Véleményezés + hozzárendelés lehetőséget.

Azure CLI

A szolgáltatásnév az az role assignment create paranccsal van hozzárendelve egy szerepkörhöz az Azure-ban:

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

A szolgáltatásnévhez hozzárendelhető szerepkörnevek lekéréséhez használja az az role definition list parancsot:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Ha például az msdocs-dotnet-sdk-auth-example erőforráscsoportban lévő összes tárfiókhoz engedélyezni szeretné az Azure Storage-blobtárolókhoz és adatokhoz való olvasási, írási és törlési hozzáférést a szolgáltatásnév 00000000-0000-0000-0000-000000000000 appId számára, rendelje hozzá az alkalmazásszolgáltatásnevet a Storage Blob-adatszolgáltató szerepkörhöz az alábbi paranccsal:

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Az engedélyek erőforrás- vagy előfizetési szinten az Azure CLI használatával történő hozzárendeléséről további információt az Azure-szerepkörök hozzárendelése az Azure CLI használatával című témakörben talál.

3 – Környezeti változók konfigurálása az alkalmazáshoz

Az DefaultAzureCredential objektum futásidőben a környezeti változók halmazában fogja keresni a szolgáltatásnév hitelesítő adatait. A környezeti változók többféleképpen konfigurálhatók a .NET használata során az eszköztől és a környezettől függően.

A választott megközelítéstől függetlenül konfigurálja a következő környezeti változókat egy szolgáltatásnév használatakor:

• AZURE_CLIENT_ID → Az alkalmazásazonosító értéke.
• AZURE_TENANT_ID → a bérlőazonosító értékét.
• AZURE_CLIENT_SECRET → Az alkalmazáshoz létrehozott jelszó/hitelesítő adatok.

IIS

Ha az alkalmazást az IIS üzemelteti, javasoljuk, hogy alkalmazáskészletenként állítson be környezeti változókat az alkalmazások közötti beállítások elkülönítéséhez.

appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='ASPNETCORE_ENVIRONMENT',value='Production']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_ID',value='00000000-0000-0000-0000-000000000000']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_TENANT_ID',value='11111111-1111-1111-1111-111111111111']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_SECRET',value='=abcdefghijklmnopqrstuvwxyz']" /commit:apphost

Ezeket a beállításokat közvetlenül a applicationPools fájlon belüli applicationHost.config elem használatával is konfigurálhatja:

<applicationPools>
   <add name="CorePool" managedRuntimeVersion="v4.0" managedPipelineMode="Classic">
      <environmentVariables>
         <add name="ASPNETCORE_ENVIRONMENT" value="Development" />
         <add name="AZURE_CLIENT_ID" value="00000000-0000-0000-0000-000000000000" />
         <add name="AZURE_TENANT_ID" value="11111111-1111-1111-1111-111111111111" />
         <add name="AZURE_CLIENT_SECRET" value="=abcdefghijklmnopqrstuvwxyz" />
      </environmentVariables>
   </add>
</applicationPools>

Windows

A windowsos környezeti változókat a parancssorból állíthatja be. Ha azonban ezt a megközelítést használja, az értékek az adott operációs rendszeren futó összes alkalmazás számára elérhetők, és ütközéseket okozhatnak, ha nem körültekintő. A környezeti változók felhasználói vagy rendszerszinten állíthatók be.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000"
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111"
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000" /m
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111" /m
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz" /m

A PowerShell használatával felhasználói vagy gépi szinten is beállíthat környezeti változókat:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "Machine")

4 – DefaultAzureCredential implementálása az alkalmazásban

A DefaultAzureCredential a Microsoft Entra-nak való hitelesítéshez szükséges, véleményezett, rendezett folyamat. Minden hitelesítési mechanizmus a TokenCredential osztályból származó osztály, amelyet hitelesítő adatnak neveznek. Futásidőben DefaultAzureCredential megkísérli a hitelesítést az első hitelesítő adatok használatával. Ha a hitelesítő adatok nem szereznek be hozzáférési jogkivonatot, a rendszer megkísérli a következő hitelesítő adatot a sorozatban, és így tovább, amíg egy hozzáférési jogkivonatot nem szerez be sikeresen. Ily módon az alkalmazás különböző hitelesítő adatokat használhat különböző környezetekben anélkül, hogy környezetspecifikus kódot ír.

A hitelesítő adatokat kereső sorrend és helyek DefaultAzureCredential a DefaultAzureCredential helyen találhatók.

A használathoz DefaultAzureCredentialadja hozzá az Azure.Identity-t és opcionálisan a Microsoft.Extensions.Azure-csomagokat az alkalmazáshoz:

Parancssor

Keresse meg az alkalmazásprojekt könyvtárát egy tetszőleges terminálon, és futtassa a következő parancsokat:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet-csomagkezelő

Kattintson a jobb gombbal a projektre a Visual Studio Megoldáskezelő ablakában, és válassza a NuGet-csomagok kezelése lehetőséget. Keressen rá az Azure.Identity-ra, és telepítse a megfelelő csomagot. Ismételje meg ezt a folyamatot a Microsoft.Extensions.Azure-csomag esetében.

Az Azure-szolgáltatások speciális ügyfélosztályokkal érhetők el a különböző Azure SDK-ügyfélkódtárakból. Ezeket az osztályokat és a saját egyéni szolgáltatásokat regisztrálni kell, hogy függőséginjektálással elérhetők legyenek az alkalmazáson belül. Ebben Program.csa lépésben hajtsa végre az alábbi lépéseket egy ügyfélosztály regisztrálásához, és DefaultAzureCredentialtegye a következőket:

1. Adja meg az irányelvekkel a névtereket és Microsoft.Extensions.Azure a Azure.Identity névtereketusing.
2. Regisztrálja az Azure-szolgáltatásügyfélt a megfelelő Addelőtagú bővítménymetódus használatával.
3. Adjon át egy példányt DefaultAzureCredential a UseCredential metódusnak.

Példa:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Alternatív megoldás a UseCredential közvetlen példányosítás DefaultAzureCredential :

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Amikor az előző kód a helyi fejlesztői munkaállomáson fut, az alkalmazásszolgáltatásnév környezeti változóiban vagy a helyileg telepített fejlesztői eszközökben(például a Visual Studióban) keresi a fejlesztői hitelesítő adatok készletét. Bármelyik módszer használható az alkalmazás Azure-erőforrásokon való hitelesítésére a helyi fejlesztés során.

Az Azure-ban való üzembe helyezéskor ugyanez a kód más Azure-erőforrásokon is hitelesítheti az alkalmazást. DefaultAzureCredential lekérheti a környezeti beállításokat és a felügyelt identitáskonfigurációkat a többi szolgáltatás automatikus hitelesítéséhez.