Mengautentikasi aplikasi .NET ke layanan Azure selama pengembangan lokal menggunakan akun pengembang

Pengembang perlu men-debug dan menguji aplikasi cloud di stasiun kerja lokal mereka. Saat aplikasi berjalan di stasiun kerja pengembang selama pengembangan lokal, aplikasi harus tetap mengautentikasi ke layanan Azure apa pun yang digunakan oleh aplikasi. Artikel ini membahas cara menggunakan kredensial Azure pengembang untuk mengautentikasi aplikasi ke Azure selama pengembangan lokal.

Agar aplikasi dapat mengautentikasi ke Azure selama pengembangan lokal menggunakan kredensial Azure pengembang, pengembang harus masuk ke Azure dari salah satu alat pengembang berikut:

• Visual Studio
• Azure CLI
• Azure Developer CLI
• Azure PowerShell

Pustaka Azure Identity dapat mendeteksi bahwa pengembang masuk dari salah satu alat ini. Pustaka kemudian dapat memperoleh token akses Microsoft Entra melalui alat untuk mengautentikasi aplikasi ke Azure sebagai pengguna yang masuk.

Pendekatan ini paling mudah disiapkan untuk tim pengembangan karena memanfaatkan akun Azure pengembang yang ada. Namun, akun pengembang kemungkinan memiliki lebih banyak izin daripada yang diperlukan oleh aplikasi, oleh karena itu melebihi izin yang dijalankan aplikasi dalam produksi. Sebagai alternatif, Anda dapat membuat perwakilan layanan aplikasi untuk digunakan selama pengembangan lokal, yang dapat dilingkupkan agar hanya memiliki akses yang diperlukan oleh aplikasi.

1 - Membuat grup Microsoft Entra untuk pengembangan lokal

Karena hampir selalu ada beberapa pengembang yang mengerjakan aplikasi, grup Microsoft Entra disarankan untuk merangkum peran (izin) yang dibutuhkan aplikasi dalam pengembangan lokal. Pendekatan ini menawarkan keuntungan berikut:

• Setiap pengembang diyakinkan untuk memiliki peran yang sama yang ditetapkan karena peran ditetapkan di tingkat grup.
• Jika peran baru diperlukan untuk aplikasi, peran tersebut hanya perlu ditambahkan ke grup untuk aplikasi.
• Jika pengembang baru bergabung dengan tim, mereka mendapatkan izin yang diperlukan untuk mengerjakan aplikasi setelah ditambahkan ke grup.

Jika Anda memiliki grup Microsoft Entra yang sudah ada untuk tim pengembangan, Anda dapat menggunakan grup tersebut. Jika tidak, selesaikan langkah-langkah berikut untuk membuat grup Microsoft Entra.

Portal Azure

Petunjuk	Cuplikan layar
Navigasi ke halaman ID Microsoft Entra di portal Azure dengan mengetik ID Microsoft Entra ke dalam kotak pencarian di bagian atas halaman. Pilih ID Microsoft Entra di bawah bagian Layanan .
Pada halaman ID Microsoft Entra, pilih Grup dari menu sebelah kiri.
Pada halaman Semua grup, pilih Grup baru.
Pada halaman Grup Baru: Pilih Keamanan dari menu drop-down Jenis grup. Nama grup → Nama untuk grup keamanan, biasanya dibuat dari nama aplikasi. Sangat membantu untuk menyertakan string seperti local-dev dalam nama grup untuk menunjukkan tujuan grup. Deskripsi grup → Deskripsi tujuan grup. Pilih link Tidak ada anggota yang dipilih di bawah Anggota untuk menambahkan anggota ke grup.
Pada kotak dialog Tambahkan anggota : Gunakan kotak pencarian untuk memfilter daftar nama pengguna dalam daftar. Pilih satu atau beberapa pengguna untuk pengembangan lokal untuk aplikasi ini. Saat Anda memilih objek, objek berpindah ke daftar Item terpilih di bagian bawah dialog. Setelah selesai, pilih tombol Pilih .
Kembali ke halaman Grup baru, pilih Buat untuk membuat grup. Grup akan dibuat dan Anda akan dibawa kembali ke halaman Semua grup . Mungkin perlu waktu hingga 30 detik agar grup muncul, dan Anda mungkin perlu me-refresh halaman karena penembolokan di portal Azure.

Azure CLI

Perintah az ad group create digunakan untuk membuat grup di ID Microsoft Entra. Parameter --display-name dan --mail-nickname dihitung. Nama yang diberikan kepada grup harus didasarkan pada nama aplikasi. Ini juga berguna untuk menyertakan frasa seperti 'local-dev' dalam nama grup untuk menunjukkan tujuan grup.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay \
    --description <group-description>

Salin nilai id properti dalam output perintah. Properti ini id mewakili ID objek grup. Anda membutuhkannya di langkah-langkah selanjutnya. Anda juga dapat menggunakan perintah az ad group show untuk mengambil properti ini.

Untuk menambahkan anggota ke grup, Anda memerlukan ID objek pengguna Azure. Gunakan perintah az ad user list untuk mencantumkan perwakilan layanan yang tersedia. Perintah --filter parameter menerima filter gaya OData dan dapat digunakan untuk memfilter daftar pada nama tampilan pengguna seperti yang ditunjukkan. Parameter --query membatasi output ke kolom yang diminati.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:id, displayName:displayName}" \
    --output table

Perintah tambahkan anggota grup az ad kemudian dapat digunakan untuk menambahkan anggota ke grup:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Catatan

Secara default, pembuatan grup Microsoft Entra terbatas pada peran istimewa tertentu dalam direktori. Jika Anda tidak dapat membuat grup, hubungi administrator untuk direktori Anda. Jika Anda tidak dapat menambahkan anggota ke grup yang sudah ada, hubungi pemilik grup atau administrator direktori. Untuk mempelajari selengkapnya, lihat Mengelola grup Microsoft Entra dan keanggotaan grup.

2 - Menetapkan peran ke grup Microsoft Entra

Selanjutnya, tentukan peran (izin) apa yang dibutuhkan aplikasi Anda pada sumber daya apa dan tetapkan peran tersebut ke aplikasi Anda. Dalam contoh ini, peran ditetapkan ke grup Microsoft Entra yang dibuat di langkah 1. Grup dapat diberi peran di sumber daya, grup sumber daya, atau cakupan langganan. Contoh ini menunjukkan cara menetapkan peran di grup sumber daya, cakupan karena sebagian besar aplikasi mengelompokkan semua sumber daya Azure mereka ke dalam satu grup sumber daya.

Portal Azure

Petunjuk	Cuplikan layar
Temukan grup sumber daya untuk aplikasi Anda dengan mencari nama grup sumber daya menggunakan kotak pencarian di bagian atas portal Azure. Navigasi ke grup sumber daya Anda dengan memilih nama grup sumber daya di bawah judul Grup Sumber Daya dalam kotak dialog.
Pada halaman untuk grup sumber daya, pilih Kontrol akses (IAM) dari menu sebelah kiri.
Pada halaman Kontrol akses (IAM): Pilih tab Penetapan peran. Pilih + Tambahkan dari menu atas lalu Tambahkan penetapan peran dari menu drop-down yang dihasilkan.
Halaman Tambahkan penetapan peran mencantumkan semua peran yang dapat ditetapkan untuk grup sumber daya. Gunakan kotak pencarian untuk memfilter daftar ke ukuran yang lebih mudah dikelola. Contoh ini menunjukkan cara memfilter peran Blob Penyimpanan. Pilih peran yang ingin ditetapkan. Pilih Berikutnya untuk masuk ke layar berikutnya.
Halaman Tambahkan penetapan peran berikutnya memungkinkan Anda menentukan pengguna yang akan ditetapkan perannya. Pilih Pengguna, grup, atau perwakilan layanan di bawah Tetapkan akses ke. Pilih + Pilih anggota di bawah Anggota. Kotak dialog terbuka di sisi kanan portal Azure.
Dalam dialog Pilih anggota: Kotak teks Pilih dapat digunakan untuk memfilter daftar pengguna dan grup di langganan Anda. Jika diperlukan, ketik beberapa karakter pertama dari grup Microsoft Entra pengembangan lokal yang Anda buat untuk aplikasi. Pilih grup Microsoft Entra pengembangan lokal yang terkait dengan aplikasi Anda. Pilih Pilih di bagian bawah dialog untuk melanjutkan.
Grup Microsoft Entra ditampilkan seperti yang dipilih pada layar Tambahkan penetapan peran. Pilih Tinjau + tetapkan untuk masuk ke halaman akhir lalu Tinjau + tetapkan lagi untuk menyelesaikan proses.

Azure CLI

Perwakilan layanan aplikasi diberi peran di Azure menggunakan perintah az role assignment create :

az role assignment create \
    --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Untuk mendapatkan nama peran yang dapat ditetapkan oleh perwakilan layanan, gunakan perintah az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Misalnya, untuk mengizinkan perwakilan layanan aplikasi dengan appId 00000000-0000-0000-0000-000000000000 membaca, menulis, dan menghapus akses ke kontainer blob Azure Storage dan data ke semua akun penyimpanan dalam grup sumber daya msdocs-dotnet-sdk-auth-example , Anda akan menetapkan perwakilan layanan aplikasi ke peran Kontributor Data Blob Penyimpanan menggunakan perintah berikut:

az role assignment create \
    --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Untuk informasi tentang menetapkan izin di tingkat sumber daya atau langganan menggunakan Azure CLI, lihat Menetapkan peran Azure menggunakan Azure CLI.

3 - Masuk ke Azure menggunakan alat pengembang

Selanjutnya, masuk ke Azure menggunakan salah satu dari beberapa alat pengembang. Akun yang Anda autentikasi juga harus ada di grup Microsoft Entra yang Anda buat dan konfigurasikan sebelumnya.

Visual Studio

1. Navigasi ke Opsi Alat>untuk membuka dialog opsi.

2. Dalam kotak Opsi Pencarian di bagian atas, ketik Azure untuk memfilter opsi yang tersedia.

3. Di bawah Autentikasi Layanan Azure, pilih Pilihan Akun.

4. Pilih menu drop-down di bawah Pilih akun dan pilih untuk menambahkan Akun Microsoft. Jendela terbuka, meminta Anda untuk memilih akun. Masukkan kredensial untuk akun Azure yang Anda inginkan, lalu pilih konfirmasi.

   

5. Pilih OK untuk menutup dialog opsi.

Azure CLI

Buka terminal di stasiun kerja pengembang Anda dan masuk ke Azure dari Azure CLI:

az login

Azure Developer CLI

Buka terminal di stasiun kerja pengembang Anda dan masuk ke Azure dari Azure Developer CLI:

azd auth login

Azure PowerShell

Buka terminal di stasiun kerja pengembang Anda dan masuk ke Azure dari Azure PowerShell:

Connect-AzAccount

4 - Menerapkan DefaultAzureCredential di aplikasi Anda

DefaultAzureCredential adalah urutan mekanisme yang diurutkan dan diurutkan untuk mengautentikasi ke Microsoft Entra. Setiap mekanisme autentikasi adalah kelas yang berasal dari kelas TokenCredential dan dikenal sebagai kredensial. Pada runtime, DefaultAzureCredential upaya untuk mengautentikasi menggunakan kredensial pertama. Jika kredensial tersebut gagal memperoleh token akses, kredensial berikutnya dalam urutan dicoba, dan sebagainya, hingga token akses berhasil diperoleh. Dengan cara ini, aplikasi Anda dapat menggunakan kredensial yang berbeda di lingkungan yang berbeda tanpa menulis kode khusus lingkungan.

Urutan dan lokasi di mana DefaultAzureCredential mencari kredensial ditemukan di DefaultAzureCredential.

Untuk menggunakan DefaultAzureCredential, tambahkan Azure.Identity dan secara opsional paket Microsoft.Extensions.Azure ke aplikasi Anda:

Baris Perintah

Di terminal pilihan Anda, navigasikan ke direktori proyek aplikasi dan jalankan perintah berikut:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Pengelola Paket NuGet

Klik kanan proyek Anda di jendela Penjelajah Solusi Visual Studio dan pilih Kelola Paket NuGet. Cari Azure.Identity, dan instal paket yang cocok. Ulangi proses ini untuk paket Microsoft.Extensions.Azure .

Layanan Azure diakses menggunakan kelas klien khusus dari berbagai pustaka klien Azure SDK. Kelas-kelas ini dan layanan kustom Anda sendiri harus didaftarkan sehingga dapat diakses melalui injeksi dependensi di seluruh aplikasi Anda. Di Program.cs, selesaikan langkah-langkah berikut untuk mendaftarkan kelas klien dan DefaultAzureCredential:

1. Sertakan Azure.Identity namespace layanan dan Microsoft.Extensions.Azure melalui using arahan.
2. Daftarkan klien layanan Azure menggunakan metode ekstensi -awalan Addyang sesuai.
3. Teruskan instans DefaultAzureCredential ke UseCredential metode .

Contohnya:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Alternatifnya UseCredential adalah membuat instans DefaultAzureCredential secara langsung:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Saat kode sebelumnya berjalan di stasiun kerja pengembangan lokal Anda, kode tersebut akan melihat variabel lingkungan untuk perwakilan layanan aplikasi atau di alat pengembang yang diinstal secara lokal, seperti Visual Studio, untuk serangkaian kredensial pengembang. Salah satu pendekatan dapat digunakan untuk mengautentikasi aplikasi ke sumber daya Azure selama pengembangan lokal.

Saat disebarkan ke Azure, kode yang sama ini juga dapat mengautentikasi aplikasi Anda ke sumber daya Azure lainnya. DefaultAzureCredential dapat mengambil pengaturan lingkungan dan konfigurasi identitas terkelola untuk mengautentikasi ke layanan lain secara otomatis.