Hitelesítés Azure-erőforrásokon a helyszínen üzemeltetett .NET-alkalmazásokból

Az Azure-on kívül, például a helyszínen vagy egy harmadik fél adatközpontjában üzemeltetett alkalmazásoknak egy alkalmazásszolgáltatási főpéldányt kell használniuk a Microsoft Entra ID segítségével az Azure-szolgáltatásokhoz való hitelesítéshez. Az alábbi szakaszokban a következő ismereteket ismerheti meg:

• Alkalmazás regisztrálása a Microsoft Entra szolgáltatásnév létrehozásához
• Szerepkörök hozzárendelése hatókörengedélyekhez
• Hitelesítés szolgáltatásnévvel az alkalmazáskódból

A dedikált alkalmazásszolgáltatás-tagok használatával betarthatja a minimális jogosultság elvét az Azure-erőforrások elérésekor. Az engedélyek az alkalmazás adott követelményeire korlátozódnak a fejlesztés során, megakadályozva a más alkalmazásokhoz vagy szolgáltatásokhoz szánt Azure-erőforrásokhoz való véletlen hozzáférést. Ez a megközelítés abban is segít, hogy elkerüljük a problémákat, amikor az alkalmazást éles környezetbe helyezzük át, biztosítva, hogy a fejlesztési környezetben ne kapjon túlzott jogosultságokat.

Minden olyan környezethez létre kell hozni egy másik alkalmazásregisztrációt, amelyben az alkalmazás üzemel. Ez lehetővé teszi a környezetspecifikus erőforrás-engedélyek konfigurálását minden egyes szolgáltatásnévhez, és győződjön meg arról, hogy egy adott környezetben üzembe helyezett alkalmazás nem beszél egy másik környezet részét képező Azure-erőforrással.

Az alkalmazás regisztrálása az Azure-ban

Az alkalmazásszolgáltatás fő objektumai egy azure-beli alkalmazásregisztráción keresztül jönnek létre az Azure Portal vagy az Azure CLI használatával.

Azure Portal

1. Az Azure Portalon a keresősávon lépjen az Alkalmazásregisztrációk lapra.

2. A Alkalmazásregisztrációk lapon válassza az + Új regisztráció lehetőséget.

3. Az Alkalmazás regisztrációs oldal lapon:

   • A Név mezőben adjon meg egy leíró értéket, amely tartalmazza az alkalmazás nevét és a célkörnyezetet.
   • A támogatott fióktípusokesetén válassza a fiókok közül csak az ebben a szervezeti címtárban lévő fiókokat (csak Microsoft által vezetett ügyfél – egyetlen bérlő), vagy válassza azt az opciót, amelyik a legjobban megfelel a követelményeknek.

4. Az alkalmazás regisztrálásához és a szolgáltatási főszereplő létrehozásához válassza a Regisztrálás lehetőséget.

   

5. Az alkalmazás alkalmazásregisztrációs lapján másolja ki a alkalmazás (ügyfél) azonosítóját és címtár (bérlő) azonosítóját, majd illessze be őket egy ideiglenes helyre, hogy később használhassa őket az alkalmazáskód-konfigurációkban.

6. Válassza Tanúsítvány vagy titkos hozzáadása lehetőséget az alkalmazás hitelesítő adatainak beállításához.

7. A Tanúsítványok > titkos kódok lapon válassza az + Új ügyfélkód lehetőséget.

8. A megnyíló Ügyféltitok hozzáadása lebegő panelen:

   • A Leírásmezőben adja meg a Current értéket.
   • A Lejárat értéknél hagyja meg az alapértelmezett 180 napos ajánlott értéket.
   • Válassza a Hozzáadás lehetőséget a titkos hozzáadásához.

9. A Tanúsítványok & titkos kulcsok lapon másolja ki az ügyfél titkos kódjának Érték tulajdonságát egy későbbi lépésben való használatra.

   Jegyzet

   Az ügyfél titkos kódjának értéke csak egyszer jelenik meg az alkalmazásregisztráció létrehozása után. További ügyféltitkokat adhat hozzá anélkül, hogy érvénytelenítené ezt az ügyféltitkot, de ezt az értéket nem lehet újból megjeleníteni.

Azure CLI

Az Azure CLI-parancsok futtathatók az Azure Cloud Shell vagy egy munkaállomáson, amelyen telepítve van az Azure CLI .

1. Az az ad sp create-for-rbac paranccsal hozzon létre egy új alkalmazásregisztrációt és szolgáltatásnevet az alkalmazáshoz.

   az ad sp create-for-rbac --name <service-principal-name>
   

   A parancs kimenete a következő JSON-ra hasonlít:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Másolja ezt a kimenetet egy szövegszerkesztő ideiglenes fájljába, mivel egy későbbi lépésben szüksége lesz ezekre az értékekre.

   Jegyzet

   Az ügyfél titkos kódjának értéke csak egyszer jelenik meg az alkalmazásregisztráció létrehozása után. További ügyféltitkokat adhat hozzá anélkül, hogy érvénytelenítené ezt az ügyféltitkot, de ezt az értéket később nem lehet újra megjeleníteni.

Szerepkörök hozzárendelése az application service principalhez

Ezután határozza meg, hogy az alkalmazásnak milyen szerepkörökre (engedélyekre) van szüksége az erőforrásokhoz, és rendelje hozzá ezeket a szerepköröket a létrehozott szolgáltatásnévhez. A szerepkörök az erőforrás, az erőforráscsoport vagy az előfizetés hatókörében rendelhetők hozzá. Ez a példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel a legtöbb alkalmazás egyetlen erőforráscsoportba csoportosítja az összes Azure-erőforrást.

Azure Portal

1. Az Azure Portalon keresse meg az alkalmazást tartalmazó erőforráscsoport Áttekintés lapját.

2. Válassza a bal oldali navigációs sávon a Hozzáférés-vezérlés (IAM) lehetőséget.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a + hozzáadása lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. A Szerepkör-hozzárendelés hozzáadása lapon számos lap található a szerepkörök konfigurálásához és hozzárendeléséhez.

4. A Szerepkör lapon keresse meg a hozzárendelni kívánt szerepkört a keresőmezővel. Jelölje ki a szerepkört, majd válassza a Következőlehetőséget.

5. A Tagok lapon:

   • A Hozzáférés hozzárendelése a értékhez: válassza a(z) Felhasználó, csoport vagy szolgáltatási főszereplő lehetőséget.
   • A Tagok értéknél válassza a + Tagok kiválasztása lehetőséget a Tagok kiválasztása előtűnő panel megnyitásához.
   • Keresse meg a korábban létrehozott szolgáltatásnevet, és válassza ki a szűrt eredmények közül. Válassza a és lehetőséget a csoport kiválasztásához, majd zárja be az úszó panelt.
   • Válassza Véleményezés + hozzárendelés a Tagok lap alján.

   

6. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a lap alján.

Azure CLI

1. Az az role definition list paranccsal lekérheti azoknak a szerepköröknek a nevét, amelyekhez egy szolgáltatásnév hozzárendelhető.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Az az role assignment create paranccsal rendeljen hozzá egy szerepkört egy alkalmazásszolgáltatás-taghoz:

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Az erőforrás- vagy előfizetési szintű engedélyek hozzárendeléséről az Azure CLI használatával az Azure-szerepkörök hozzárendelése az Azure CLI segítségével témakörben talál bővebb információt.

Az alkalmazáskörnyezet változóinak beállítása

Futásidőben az Azure Identity Librarybizonyos hitelesítő adatai – például DefaultAzureCredential, EnvironmentCredentialés ClientSecretCredential– konvenció szerint keresnek szolgáltatásnév-információkat a környezeti változókban. A környezeti változók többféleképpen konfigurálhatók a .NET használata során az eszköztől és a környezettől függően.

A választott megközelítéstől függetlenül konfigurálja a következő környezeti változókat egy szolgáltatásnévhez:

• AZURE_CLIENT_ID: Az Azure-ban regisztrált alkalmazás azonosítására szolgál.
• AZURE_TENANT_ID: A Microsoft Entra-bérlő azonosítója.
• AZURE_CLIENT_SECRET: Az alkalmazáshoz létrehozott titkos hitelesítő adatok.

Visual Studio

A Visual Studióban a környezeti változók a projekt Properties mappájának launchsettings.json fájljában állíthatók be. Ezeket az értékeket a rendszer automatikusan beszedi az alkalmazás indításakor. Ezek a konfigurációk azonban nem utaznak az alkalmazással az üzembe helyezés során, ezért környezeti változókat kell beállítania a célüzemeltetési környezetben.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    }
  }

Visual Studio Code

A Visual Studio Code-ban a környezeti változók a projekt launch.json fájljában állíthatók be. Ezeket az értékeket a rendszer automatikusan beszedi az alkalmazás indításakor. Ezek a konfigurációk azonban nem utaznak az alkalmazással az üzembe helyezés során, ezért környezeti változókat kell beállítania a célüzemeltetési környezetben.

"configurations": [
{
    "env": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

A windowsos környezeti változókat a parancssorból állíthatja be. Az értékek azonban elérhetők az adott operációs rendszeren futó összes alkalmazás számára, és ütközéseket okozhatnak, ezért körültekintően járjon el ezzel a megközelítéssel. A környezeti változók felhasználói vagy rendszerszinten állíthatók be.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

A PowerShell a környezeti változók felhasználói vagy rendszerszintű beállítására is használható:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Hitelesítés az Azure-szolgáltatásokban az alkalmazásból

A Azure Identity-kódtár különböző hitelesítő adatokat biztosít– a különböző forgatókönyvekhez és a Microsoft Entra-hitelesítési folyamatokhoz igazított TokenCredential implementációit. Az alábbi lépések bemutatják, hogyan használható ClientSecretCredential a szolgáltatásnevek helyi és éles környezetben történő használata során.

A kód implementálása

Adja hozzá a Azure.Identity csomagot. Egy ASP.NET Core-projektben telepítse a Microsoft.Extensions.Azure csomagot is:

Parancssor

Keresse meg az alkalmazásprojekt könyvtárát egy tetszőleges terminálon, és futtassa a következő parancsokat:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet csomagkezelő

Kattintson a jobb gombbal a projektre a Visual Studio Megoldáskezelő ablakban, és válassza a NuGet-csomagok kezeléselehetőséget. Keressen rá az Azure.Identity-ra, és telepítse a megfelelő csomagot. Ismételje meg ezt a folyamatot a Microsoft.Extensions.Azure-csomag esetében.

Telepítsen csomagot a csomagkezelővel.

Az Azure-szolgáltatások speciális ügyfélosztályokkal érhetők el a különböző Azure SDK-ügyfélkódtárakból. Ezeket az osztályokat és a saját egyéni szolgáltatásokat regisztrálni kell a függőséginjektáláshoz, hogy azok az alkalmazás teljes területén használhatók legyenek. A(z) Program.cscsoportban hajtsa végre a következő lépéseket egy kliensosztály függőséginjektálásának és token alapú hitelesítésének konfigurálásához:

1. Tartalmazza a Azure.Identity és a Microsoft.Extensions.Azure névtereket using irányelvekkel.
2. Regisztrálja az Azure szolgáltatás kliensét a megfelelő Add-előtagú kiterjesztési metódus használatával.
3. Konfigurálja az ClientSecretCredential-t a tenantId-gyel, clientId-vel és clientSecret-mal.
4. Adja át a ClientSecretCredential példányt a UseCredential metódusnak.

builder.Services.AddAzureClients(clientBuilder =>
{
    var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
    var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
    var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new ClientSecretCredential(tenantId, clientId, clientSecret));
});

A UseCredential módszer alternatíva a hitelesítő adatok közvetlen biztosítása a szolgáltatásügyfél számára:

var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new ClientSecretCredential(tenantId, clientId, clientSecret)));