Autenticare le app Go ai servizi di Azure durante lo sviluppo locale usando gli account per sviluppatori

Durante lo sviluppo locale, le applicazioni devono eseguire l'autenticazione in Azure per usare servizi di Azure diversi. Eseguire l'autenticazione in locale usando uno di questi approcci:

Usare un account per sviluppatore con uno degli strumenti di sviluppo supportati dalla libreria di identità di Azure.
Usare un'entità servizio.

Questo articolo illustra come eseguire l'autenticazione usando un account per sviluppatore con gli strumenti supportati dalla libreria di identità di Azure. Nelle sezioni seguenti si apprenderà:

Come usare i gruppi di Microsoft Entra per gestire in modo efficiente le autorizzazioni per più account per sviluppatori.
Come assegnare ruoli agli account sviluppatore per limitare le autorizzazioni.
Come accedere agli strumenti di sviluppo locali supportati.
Come eseguire l'autenticazione usando un account sviluppatore dal codice dell'app.

Strumenti di sviluppo supportati per l'autenticazione

Affinché un'app esegua l'autenticazione in Azure durante lo sviluppo locale usando le credenziali di Azure dello sviluppatore, lo sviluppatore deve accedere ad Azure da uno degli strumenti di sviluppo seguenti:

Azure CLI
CLI per sviluppatori di Azure
Azure PowerShell

La libreria di identità di Azure può rilevare che lo sviluppatore ha eseguito l'accesso da uno di questi strumenti. La libreria può quindi ottenere il token di accesso di Microsoft Entra tramite lo strumento per autenticare l'app in Azure come utente connesso.

Questo approccio sfrutta gli account Azure esistenti dello sviluppatore per semplificare il processo di autenticazione. Tuttavia, l'account di uno sviluppatore ha probabilmente più autorizzazioni rispetto a quelle richieste dall'app, quindi supera le autorizzazioni eseguite dall'app nell'ambiente di produzione. In alternativa, è possibile creare principali del servizio dell'applicazione da usare durante lo sviluppo locale, che possono essere configurati per avere solo l'accesso necessario all'app.

Creare un gruppo Microsoft Entra per lo sviluppo locale

Creare un gruppo Microsoft Entra per incapsulare i ruoli (autorizzazioni) necessari per lo sviluppo locale dell'app, anziché assegnare i ruoli a singoli oggetti principali del servizio. Questo approccio offre i vantaggi seguenti:

Ogni sviluppatore ha gli stessi ruoli assegnati a livello di gruppo.
Se è necessario un nuovo ruolo per l'app, è sufficiente aggiungerlo al gruppo per l'app.
Se un nuovo sviluppatore si aggiunge al team, viene creata una nuova entità servizio dell'applicazione per lo sviluppatore e aggiunta al gruppo, assicurando che lo sviluppatore disponga delle autorizzazioni appropriate per lavorare sull'app.

Portale di Azure
CLI di Azure

Passare alla pagina di panoramica di Microsoft Entra ID nel portale di Azure.
Selezionare Tutti i gruppi dal menu a sinistra.
Nella pagina Gruppi selezionare Nuovo gruppo.
Nella pagina Nuovo gruppo, compila i seguenti campi del modulo:
- Tipo di gruppo: selezionare Security.
- Nome gruppo: immettere un nome per il gruppo che include un riferimento al nome dell'app o dell'ambiente.
- Descrizione gruppo: immettere una descrizione che spiega lo scopo del gruppo.
Seleziona il link Nessun membro selezionato nella sezione Membri per aggiungere membri al gruppo.
Nel pannello fluttuante che si apre, cercare il service principal creato in precedenza e selezionarlo nei risultati filtrati. Scegliere il pulsante Seleziona nella parte inferiore del pannello per confermare la selezione.
Selezionare Crea nella parte inferiore della pagina Nuovo gruppo per creare il gruppo e tornare alla pagina Tutti i gruppi . Se il nuovo gruppo non è elencato, attendere un attimo e aggiornare la pagina.

Usare il comando az ad group create per creare gruppi in Microsoft Entra ID.
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
I parametri --display-name e --mail-nickname sono obbligatori. Il nome assegnato al gruppo deve essere basato sul nome e sull'ambiente dell'app per indicare lo scopo del gruppo.
Per aggiungere membri al gruppo, è necessario l'ID oggetto del servizio principale dell'applicazione, che è diverso dall'ID applicazione. Usare il comando az ad sp list per elencare i principali del servizio disponibili.
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
Il --filter parametro accetta filtri in stile OData e può essere usato per filtrare l'elenco come illustrato. Il parametro --query limita l'output solo alle colonne di interesse.

Usare il comando az ad group member add per aggiungere membri al gruppo:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Assegnare ruoli al gruppo

Successivamente, determinare i ruoli (autorizzazioni) necessari per l'app in base alle risorse e assegnare tali ruoli al gruppo Microsoft Entra creato. Ai gruppi può essere assegnato un ruolo nell'ambito della risorsa, del gruppo di risorse o della sottoscrizione. Questo esempio illustra come assegnare ruoli nell'ambito del gruppo di risorse, poiché la maggior parte delle app raggruppa tutte le risorse di Azure in un singolo gruppo di risorse.

Portale di Azure
CLI di Azure

Nel portale di Azure passare alla pagina Panoramica del gruppo di risorse che contiene l'app.
Selezionare Access control (IAM) dal menu di navigazione a sinistra.
Nella pagina Controllo di accesso (IAM) selezionare + Aggiungi e quindi scegliere Aggiungi assegnazione di ruolo dal menu a discesa. Nella pagina Aggiungi assegnazione di ruolo sono disponibili diverse schede per configurare e assegnare ruoli.
Nella scheda Ruolo usare la casella di ricerca per individuare il ruolo da assegnare. Selezionare il ruolo e quindi scegliere Avanti.
Nella scheda Membri :
- Per il valore Assegna l'accesso a, selezionare Utente, gruppo o entità servizio.
- Per il valore Membri scegliere + Seleziona membri per aprire il pannello a comparsa Seleziona membri .
- Cercare il gruppo Microsoft Entra creato in precedenza e selezionarlo nei risultati filtrati. Scegliere Selezionare per selezionare il gruppo e chiudere il pannello a comparsa.
- Selezionare Rivedi e assegna nella parte inferiore della scheda Membri .
Nella scheda Rivedi e assegna selezionare Rivedi e assegna nella parte inferiore della pagina.

Usare il comando az role definition list per ottenere i nomi dei ruoli a cui è possibile assegnare un gruppo o un'entità servizio Microsoft Entra:
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Usare il comando az role assignment create per assegnare un ruolo al gruppo Microsoft Entra creato:
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite l'interfaccia della riga di comando di Azure, vedere Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

Accedere quindi ad Azure usando uno dei diversi strumenti di sviluppo che possono essere usati per eseguire l'autenticazione nell'ambiente di sviluppo. L'account autenticato deve esistere anche nel gruppo Microsoft Entra creato e configurato in precedenza.

Gli sviluppatori possono usare l'interfaccia della riga di comando di Azure per l'autenticazione. Le app che usano DefaultAzureCredential o AzureCLICredential possono quindi usare questo account per autenticare le richieste di app.

Per eseguire l'autenticazione con l'interfaccia della riga di comando di Azure, eseguire il az login comando . In un sistema con un Web browser predefinito, l'interfaccia della riga di comando di Azure avvia il browser per autenticare l'utente.

az login

Per i sistemi senza un Web browser predefinito, il comando az login usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare Azure CLI a utilizzare il flusso di codice dispositivo anziché avviare un browser specificando l'argomento --use-device-code.

az login --use-device-code

Gli sviluppatori possono usare l'interfaccia della riga di comando per sviluppatori di Azure per l'autenticazione. Le app che usano DefaultAzureCredential o AzureDeveloperCLICredential possono quindi usare questo account per autenticare le richieste dell'app.

Per eseguire l'autenticazione con l'interfaccia della riga di comando per sviluppatori di Azure, eseguire il azd auth login comando . In un sistema con un Web browser predefinito, l'interfaccia della riga di comando per sviluppatori di Azure avvia il browser per autenticare l'utente.

azd auth login

Per i sistemi senza un Web browser predefinito, azd auth login --use-device-code usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare l'Azure Developer CLI a utilizzare il flusso del codice del dispositivo invece di avviare un browser specificando l'argomento --use-device-code.

azd auth login --use-device-code

Gli sviluppatori possono usare Azure PowerShell per l'autenticazione. Le app che usano DefaultAzureCredential o AzurePowerShellCredential possono quindi usare questo account per autenticare le richieste dell'app.

Per eseguire l'autenticazione con Azure PowerShell, eseguire il comando Connect-AzAccount. In un sistema con un Web browser predefinito e la versione 5.0.0 o successiva di Azure PowerShell, avvia il browser per autenticare l'utente.

Connect-AzAccount

Per i sistemi senza un Web browser predefinito, il comando Connect-AzAccount usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare Azure PowerShell a usare il flusso del codice del dispositivo anziché avviare un browser specificando l'argomento UseDeviceAuthentication .

Connect-AzAccount -UseDeviceAuthentication

Eseguire l'autenticazione ai servizi di Azure dall'app

Il pacchetto azidentity fornisce varie credenziali adattate al supporto di diversi scenari e flussi di autenticazione di Microsoft Entra. I passaggi successivi illustrano come usare DefaultAzureCredential quando si lavora con i principal di servizio in locale e in produzione.

Implementare il codice

Per autenticare gli oggetti client di Azure SDK in Azure, l'applicazione deve usare la DefaultAzureCredential classe . In questo scenario verifica DefaultAzureCredential in sequenza se lo sviluppatore ha eseguito l'accesso ad Azure usando l'interfaccia della riga di comando di Azure o l'interfaccia della riga di comando per sviluppatori di Azure. Se lo sviluppatore ha eseguito l'accesso ad Azure usando uno di questi strumenti, le credenziali usate per accedere allo strumento verranno usate dall'app per l'autenticazione in Azure.

Aggiungere prima di tutto il pacchetto azidentity all'applicazione.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Successivamente, per qualsiasi codice Go che crea un oggetto client di Azure SDK nell'app, è necessario:

Importare il pacchetto azidentity.
Creare un'istanza di tipo DefaultAzureCredential.
Passare l'istanza di tipo DefaultAzureCredential al costruttore del client Azure SDK.

Un esempio di questi passaggi è illustrato nel segmento di codice seguente.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2025-10-17