Autenticare Java app per Azure servizi durante lo sviluppo locale usando gli account per sviluppatori

Durante lo sviluppo locale, le applicazioni devono eseguire l'autenticazione per Azure per accedere a vari servizi Azure. È possibile eseguire l'autenticazione in locale usando uno degli approcci seguenti:

• Usare un account per sviluppatore con uno degli strumenti di sviluppo supportati dalla libreria di identità Azure.
• Usare un'entità servizio. Per ulteriori informazioni, vedere Autenticare le app Java ai servizi Azure durante lo sviluppo locale utilizzando i principali di servizio.

Questo articolo illustra come eseguire l'autenticazione usando un account per sviluppatore con gli strumenti supportati dalla libreria di identità di Azure. Contenuto dell'articolo:

• Come usare i gruppi di Microsoft Entra per gestire in modo efficiente le autorizzazioni per più account per sviluppatori.
• Come assegnare ruoli agli account sviluppatore per limitare le autorizzazioni.
• Come accedere agli strumenti di sviluppo locali supportati.
• Come eseguire l'autenticazione usando un account sviluppatore dal codice dell'app.

Strumenti di sviluppo supportati per l'autenticazione

Durante lo sviluppo locale, un'app può eseguire l'autenticazione per Azure usando le credenziali di Azure. Per il corretto funzionamento di questa autenticazione, è necessario accedere a Azure da uno strumento di sviluppo, ad esempio uno dei seguenti:

• interfaccia della riga di comando di Azure
• interfaccia della riga di comando per sviluppatori Azure
• Azure PowerShell
• Visual Studio Code
• IntelliJ IDEA

La libreria di identità Azure può rilevare che lo sviluppatore ha eseguito l'accesso da uno di questi strumenti. La libreria può quindi ottenere il token di accesso Microsoft Entra tramite lo strumento per autenticare l'app per Azure come utente connesso.

Questo approccio sfrutta gli account di Azure esistenti dello sviluppatore per semplificare il processo di autenticazione. Tuttavia, l'account di uno sviluppatore ha probabilmente più autorizzazioni rispetto a quelle richieste dall'app, quindi supera le autorizzazioni eseguite dall'app nell'ambiente di produzione. In alternativa, è possibile creare principali del servizio dell'applicazione da usare durante lo sviluppo locale, che possono essere configurati per avere solo l'accesso necessario all'app.

Creare un gruppo di Microsoft Entra per lo sviluppo locale

Creare un gruppo Microsoft Entra per incapsulare i ruoli (autorizzazioni) necessari per l'app nello sviluppo locale, piuttosto che assegnare i ruoli a singoli oggetti principali del servizio. Questo approccio offre i vantaggi seguenti:

• Ogni sviluppatore ha gli stessi ruoli assegnati a livello di gruppo.
• Se è necessario un nuovo ruolo per l'app, è sufficiente aggiungerlo al gruppo per l'app.
• Se un nuovo sviluppatore si aggiunge al team, viene creata una nuova entità servizio dell'applicazione per lo sviluppatore e aggiunta al gruppo, assicurando che lo sviluppatore disponga delle autorizzazioni appropriate per lavorare sull'app.

Portal di Azure

1. Passare alla pagina di panoramica Microsoft Entra ID nel portale di Azure.

2. Selezionare Tutti i gruppi dal menu a sinistra.

3. Nella pagina Gruppi selezionare Nuovo gruppo.

4. Nella pagina Nuovo gruppo, compila i seguenti campi del modulo:

   • Tipo di gruppo: selezionare Sicurezza.
   • Nome gruppo: immettere un nome per il gruppo che include un riferimento al nome dell'app o dell'ambiente.
   • Descrizione gruppo: immettere una descrizione che spiega lo scopo del gruppo.

   Uno screenshot che mostra come creare un gruppo nel portale di Azure.

5. Selezionare il collegamento Nessun membro selezionato in Membri per aggiungere membri al gruppo.

6. Nel pannello fluttuante che si apre, cercare il service principal creato in precedenza e selezionarlo nei risultati filtrati. Scegliere il pulsante Seleziona nella parte inferiore del pannello per confermare la selezione.

7. Selezionare Crea nella parte inferiore della pagina Nuovo gruppo per creare il gruppo e tornare alla pagina Tutti i gruppi . Se il nuovo gruppo non è elencato, attendere un attimo e aggiornare la pagina.

interfaccia della riga di comando di Azure

1. Usare il comando az ad group create per creare gruppi in Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   I parametri e sono obbligatori. Il nome assegnato al gruppo deve essere basato sul nome e sull'ambiente dell'app per indicare lo scopo del gruppo.

2. Per aggiungere membri al gruppo, è necessario l'ID oggetto del servizio principale dell'applicazione, che è diverso dall'ID applicazione. Usare il comando az ad sp list per elencare i principali del servizio disponibili.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Il parametro accetta filtri in stile OData e può essere usato per filtrare l'elenco come illustrato. Il parametro limita l'output solo alle colonne di interesse.

3. Usare il comando az ad group member add per aggiungere membri al gruppo:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Assegnare ruoli al gruppo

Determinare quindi i ruoli (autorizzazioni) necessari per le risorse necessarie per l'app e assegnare tali ruoli al gruppo di Microsoft Entra creato. Ai gruppi può essere assegnato un ruolo nell'ambito della risorsa, del gruppo di risorse o della sottoscrizione. Questo esempio illustra come assegnare ruoli nell'ambito del gruppo di risorse, poiché la maggior parte delle app raggruppa tutte le risorse Azure in un singolo gruppo di risorse.

Portal di Azure

1. Nel portale di Azure passare alla pagina Panoramica del gruppo di risorse che contiene l'app.

2. Selezionare Access control (IAM) dal menu di navigazione a sinistra.

3. Nella pagina Controllo di accesso (IAM) selezionare + Aggiungi e quindi scegliere Aggiungi assegnazione di ruolo dal menu a discesa. Nella pagina Aggiungi assegnazione di ruolo sono disponibili diverse schede per configurare e assegnare ruoli.

4. Nella scheda Ruolo usare la casella di ricerca per individuare il ruolo da assegnare. Selezionare il ruolo e quindi scegliere Avanti.

5. Nella scheda Membri :

   • Per il valore Assegna l'accesso a, selezionare Utente, gruppo o entità servizio.
   • Per il valore Membri scegliere + Seleziona membri per aprire il pannello a comparsa Seleziona membri .
   • Cercare il gruppo di Microsoft Entra creato in precedenza e selezionarlo nei risultati filtrati. Scegliere Selezionare per selezionare il gruppo e chiudere il pannello a comparsa.
   • Selezionare Rivedi e assegna nella parte inferiore della scheda Membri .

   Un

6. Nella scheda Rivedi e assegna selezionare Rivedi e assegna nella parte inferiore della pagina.

interfaccia della riga di comando di Azure

1. Usare il comando az role definition list per ottenere i nomi dei ruoli a cui è possibile assegnare un gruppo o un'entità servizio Microsoft Entra:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Usare il comando az role assignment create per assegnare un ruolo al gruppo di Microsoft Entra creato:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite il interfaccia della riga di comando di Azure, vedere Assegnare ruoli Azure usando il interfaccia della riga di comando di Azure.

Accedere a Azure usando gli strumenti per sviluppatori

Accedere quindi a Azure usando uno degli strumenti di sviluppo che è possibile usare per eseguire l'autenticazione nell'ambiente di sviluppo. L'account autenticato deve esistere anche nel gruppo di Microsoft Entra creato e configurato in precedenza.

Visual Studio Code

Gli sviluppatori che usano Visual Studio Code possono eseguire l'autenticazione con il proprio account sviluppatore direttamente tramite l'editor tramite il broker. Le app che usano o possono quindi usare questo account per autenticare le richieste di app tramite un'esperienza single sign-on senza problemi.

1. In Visual Studio Code passare al pannello Extensions e installare l'estensione Azure Resources. Questa estensione consente di visualizzare e gestire le risorse Azure direttamente da Visual Studio Code. Usa anche il provider di autenticazione Microsoft predefinito Visual Studio Code per l'autenticazione con Azure.

   

2. Aprire il riquadro comandi in Visual Studio Code, quindi cercare e selezionare Azure: Accedi.

   

   Suggerimento

   Aprire il riquadro comandi usando Ctrl+Shift+P in Windows/Linux o Cmd+Shift+P in macOS.

Lo sviluppatore che usa IntelliJ può eseguire l'autenticazione usando il plug-in Azure Toolkit for IntelliJ. Usare questa procedura per eseguire l'accesso:

1. Nella finestra di IntelliJ, apri File Impostazioni Plug-in.
2. Cercare "Azure Toolkit for IntelliJ" nel marketplace. Installare e riavviare l'IDE.
3. Trovare la nuova voce di menu Tools > Azure > Azure Accedi.
4. La funzione di accesso al dispositivo ti aiuta ad accedere con un account utente. Seguire le istruzioni per accedere al sito Web usando il codice del dispositivo. IntelliJ richiede di selezionare le sottoscrizioni. Selezionare la sottoscrizione con le risorse a cui si vuole accedere.

interfaccia della riga di comando di Azure

Gli sviluppatori possono usare interfaccia della riga di comando di Azure per l'autenticazione. Le app che usano o possono quindi usare questo account per autenticare le richieste dell'app.

Per eseguire l'autenticazione con il interfaccia della riga di comando di Azure, eseguire il comando az login. In un sistema con un Web browser predefinito, il interfaccia della riga di comando di Azure avvia il browser per autenticare l'utente.

az login

Per i sistemi senza un Web browser predefinito, il comando usa il flusso di autenticazione del codice del dispositivo. È anche possibile forzare il interfaccia della riga di comando di Azure a usare il flusso del codice del dispositivo anziché avviare un browser specificando l'argomento --use-device-code.

az login --use-device-code

Azure Developer CLI

Gli sviluppatori possono usare Azure Developer CLI per autenticarsi presso Microsoft Entra ID. Le app che usano o possono quindi usare questo account per autenticare le richieste di app durante l'esecuzione in locale.

Per eseguire l'autenticazione con l'interfaccia della riga di comando per sviluppatori di Azure, eseguire il comando azd auth login. In un sistema con un Web browser predefinito, l'interfaccia della riga di comando di Azure Developer avvia il browser per autenticare l'utente.

azd auth login

Per i sistemi senza un Web browser predefinito, usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare l'Azure Developer CLI a usare il flusso del codice del dispositivo anziché avviare un browser specificando l'argomento --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Gli sviluppatori possono usare Azure PowerShell per eseguire l'autenticazione a Microsoft Entra ID. Le app che usano o possono quindi usare questo account per autenticare le richieste di app durante l'esecuzione in locale.

Per eseguire l'autenticazione con Azure PowerShell, eseguire il comando Connect-AzAccount. In un sistema con un Web browser predefinito e la versione 5.0.0 o successiva di Azure PowerShell, avvia il browser per autenticare l'utente.

Connect-AzAccount

Per i sistemi senza un Web browser predefinito, il comando usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare Azure PowerShell a usare il flusso del codice del dispositivo anziché avviare un browser specificando l'argomento UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Autenticarsi ai servizi di Azure dalla tua app

La libreria di identità Azure fornisce implementazioni di TokenCredential che supportano vari scenari e flussi di autenticazione Microsoft Entra. I passaggi seguenti illustrano come usare DefaultAzureCredential o una credenziale specifica dello strumento di sviluppo quando si usano gli account utente in locale.

Implementare il codice

1. Aggiungere la dipendenza al file:

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
   </dependency>
   

2. Scegliere una delle implementazioni delle credenziali in base allo scenario in uso.

   • Usare una credenziale specifica dello strumento di sviluppo: questa opzione è ideale per scenari con una singola persona o uno strumento singolo.
   • Usare le credenziali disponibili per l'uso in qualsiasi strumento di sviluppo: questa opzione è ideale per progetti open source e team di strumenti diversi.

Usare credenziali specifiche dello strumento di sviluppo

Passare un'istanza di TokenCredential corrispondente a uno strumento di sviluppo specifico al costruttore client del servizio Azure, ad esempio AzureCliCredential.

import com.azure.identity.AzureCliCredential;
import com.azure.identity.AzureCliCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

AzureCliCredential credential = new AzureCliCredentialBuilder().build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Ogni credenziale dello strumento segue lo stesso modello. Sostituire il tipo di credenziale e il relativo generatore corrispondente in base alle esigenze:

• AzureCliCredential / AzureCliCredentialBuilder
• AzureDeveloperCliCredential / AzureDeveloperCliCredentialBuilder
• AzurePowerShellCredential / AzurePowerShellCredentialBuilder
• IntelliJCredential / IntelliJCredentialBuilder
• VisualStudioCodeCredential / VisualStudioCodeCredentialBuilder

Usare le credenziali disponibili per l'uso in qualsiasi strumento di sviluppo

Usare un'istanza ottimizzata per tutti gli strumenti di sviluppo locali. Questo esempio richiede che la variabile di ambiente sia impostata su . Per altre informazioni, vedere Escludere una categoria di tipi di credenziali.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .requireEnvVars(AzureIdentityEnvVars.AZURE_TOKEN_CREDENTIALS)
    .build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Passaggi successivi

Questo articolo ha illustrato l'autenticazione durante lo sviluppo usando le credenziali disponibili nel computer. Questa forma di autenticazione è uno dei diversi modi in cui è possibile eseguire l'autenticazione nel Azure SDK per Java. Gli articoli seguenti descrivono altri modi:

• Autenticare le applicazioni Java ai servizi Azure durante lo sviluppo locale utilizzando principali del servizio
• Autenticare le app Java ospitate su Azure alle risorse di Azure utilizzando un'identità gestita assegnata dal sistema
• Autentica le app Java ospitate su Azure alle risorse di Azure utilizzando un'identità gestita assegnata dall'utente

Se si verificano problemi relativi all'autenticazione dell'ambiente di sviluppo, vedere Risolvere i problemi di autenticazione dell'ambiente di sviluppo.

Dopo l'autenticazione master, vedere Configurare la registrazione nella Azure SDK per Java per informazioni sulle funzionalità di registrazione fornite dall'SDK.