Autenticare le app Node.js nei servizi di Azure durante lo sviluppo locale usando gli account per sviluppatori

Durante lo sviluppo locale, le applicazioni devono eseguire l'autenticazione in Azure per accedere a vari servizi di Azure. Due approcci comuni per l'autenticazione locale sono l'uso di un'entità servizio o l'uso di un account per sviluppatore. Questo articolo illustra come usare un account per sviluppatore. Nelle sezioni seguenti si apprenderà:

• Come usare i gruppi di Microsoft Entra per gestire in modo efficiente le autorizzazioni per più account per sviluppatori
• Come assegnare ruoli agli account per sviluppatori per le autorizzazioni di ambito
• Come accedere agli strumenti di sviluppo locali supportati
• Come eseguire l'autenticazione usando un account sviluppatore dal codice dell'app

Affinché un'app esegua l'autenticazione in Azure durante lo sviluppo locale usando le credenziali di Azure dello sviluppatore, lo sviluppatore deve accedere ad Azure da uno degli strumenti di sviluppo seguenti:

• Azure CLI
• CLI per sviluppatori di Azure
• Azure PowerShell

La libreria di identità di Azure può rilevare che lo sviluppatore ha eseguito l'accesso da uno di questi strumenti. La libreria può quindi ottenere il token di accesso di Microsoft Entra tramite lo strumento per autenticare l'app in Azure come utente connesso.

Questo approccio sfrutta gli account Azure esistenti dello sviluppatore per semplificare il processo di autenticazione. Tuttavia, l'account di uno sviluppatore ha probabilmente più autorizzazioni rispetto a quelle richieste dall'app, quindi supera le autorizzazioni eseguite dall'app nell'ambiente di produzione. In alternativa, è possibile creare principali di servizio dell'applicazione da usare durante lo sviluppo locale, che possono essere limitati per avere solo l'accesso necessario dall'app.

Creare un gruppo Microsoft Entra per lo sviluppo locale

Creare un gruppo Microsoft Entra per incapsulare i ruoli (autorizzazioni) necessari per lo sviluppo locale dell'app, anziché assegnare i ruoli a singoli oggetti principali del servizio. Questo approccio offre i vantaggi seguenti:

• Ogni sviluppatore ha gli stessi ruoli assegnati a livello di gruppo.
• Se è necessario un nuovo ruolo per l'app, è sufficiente aggiungerlo al gruppo per l'app.
• Se un nuovo sviluppatore si aggiunge al team, viene creata una nuova entità servizio dell'applicazione per lo sviluppatore e aggiunta al gruppo, assicurando che lo sviluppatore disponga delle autorizzazioni appropriate per lavorare sull'app.

Portale di Azure

1. Passare alla pagina di panoramica di Microsoft Entra ID nel portale di Azure.

2. Selezionare Tutti i gruppi dal menu a sinistra.

3. Nella pagina Gruppi selezionare Nuovo gruppo.

4. Nella pagina Nuovo gruppo compilare i campi modulo seguenti:

   • Tipo di gruppo: selezionare Sicurezza.
   • Nome gruppo: immettere un nome per il gruppo che include un riferimento al nome dell'app o dell'ambiente.
   • Descrizione gruppo: immettere una descrizione che spiega lo scopo del gruppo.

   

5. Selezionare il collegamento Nessun membro selezionato in Membri per aggiungere membri al gruppo.

6. Nel pannello fluttuante che si apre, cercare il service principal creato in precedenza e selezionarlo nei risultati filtrati. Scegliere il pulsante Seleziona nella parte inferiore del pannello per confermare la selezione.

7. Selezionare Crea nella parte inferiore della pagina Nuovo gruppo per creare il gruppo e tornare alla pagina Tutti i gruppi . Se il nuovo gruppo non è elencato, attendere un attimo e aggiornare la pagina.

Interfaccia della riga di comando di Azure

1. Usare il comando az ad group create per creare gruppi in Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   I parametri --display-name e --mail-nickname sono obbligatori. Il nome assegnato al gruppo deve essere basato sul nome e sull'ambiente dell'app per indicare lo scopo del gruppo.

2. Per aggiungere membri al gruppo, è necessario l'object ID del service principal dell'applicazione, che è diverso dall'application ID. Usare il comando az ad sp list per elencare i principali del servizio disponibili.

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Il --filter parametro accetta filtri in stile OData e può essere usato per filtrare l'elenco come illustrato. Il --query parametro limita l'output solo alle colonne di interesse.

3. Usare il comando az ad group member add per aggiungere membri al gruppo:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Assegnare ruoli al gruppo

Successivamente, determinare i ruoli (autorizzazioni) necessari per l'app in base alle risorse e assegnare tali ruoli al gruppo Microsoft Entra creato. Ai gruppi può essere assegnato un ruolo nell'ambito della risorsa, del gruppo di risorse o della sottoscrizione. Questo esempio illustra come assegnare ruoli nell'ambito del gruppo di risorse, poiché la maggior parte delle app raggruppa tutte le risorse di Azure in un singolo gruppo di risorse.

Portale di Azure

1. Nel portale di Azure passare alla pagina Panoramica del gruppo di risorse che contiene l'app.

2. Selezionare Controllo di Accesso (IAM) dalla navigazione a sinistra.

3. Nella pagina Controllo di accesso (IAM) selezionare + Aggiungi e quindi scegliere Aggiungi assegnazione di ruolo dal menu a discesa. Nella pagina Aggiungi assegnazione di ruolo sono disponibili diverse schede per configurare e assegnare ruoli.

4. Nella scheda Ruolo usare la casella di ricerca per individuare il ruolo da assegnare. Selezionare il ruolo e quindi scegliere Avanti.

5. Nella scheda Membri :

   • Per il valore Assegna l'accesso a, selezionare Utente, gruppo o entità servizio.
   • Per il valore Membri scegliere + Seleziona membri per aprire il pannello a comparsa Seleziona membri .
   • Cercare il gruppo Microsoft Entra creato in precedenza e selezionarlo nei risultati filtrati. Scegliere Seleziona per selezionare il gruppo e chiudere il pannello a comparsa.
   • Selezionare Rivedi e assegna nella parte inferiore della scheda Membri .

   

6. Nella scheda Rivedi e assegna selezionare Rivedi e assegna nella parte inferiore della pagina.

Interfaccia della riga di comando di Azure

1. Usare il comando az role definition list per ottenere i nomi dei ruoli a cui è possibile assegnare un gruppo o un'entità servizio Microsoft Entra:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Usare il comando az role assignment create per assegnare un ruolo al gruppo Microsoft Entra creato:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite l'interfaccia della riga di comando di Azure, vedere Assegnare ruoli di Azure tramite l'interfaccia della riga di comando di Azure.

Accedere ad Azure con gli strumenti per sviluppatori

Accedere quindi ad Azure usando uno dei diversi strumenti di sviluppo che possono essere usati per eseguire l'autenticazione nell'ambiente di sviluppo. L'account autenticato deve esistere anche nel gruppo Microsoft Entra creato e configurato in precedenza.

Interfaccia della riga di comando di Azure

Gli sviluppatori possono usare l'interfaccia della riga di comando di Azure per eseguire l'autenticazione con Microsoft Entra ID. Le app che usano DefaultAzureCredential o AzureCliCredential possono quindi usare questo account per autenticare le richieste di app durante l'esecuzione in locale.

Per eseguire l'autenticazione con l'interfaccia della riga di comando di Azure, eseguire il az login comando . In un sistema con un Web browser predefinito, l'interfaccia della riga di comando di Azure avvia il browser per autenticare l'utente.

az login

Per i sistemi senza un Web browser predefinito, il comando az login usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare l'interfaccia della riga di comando di Azure a usare il flusso del codice del dispositivo anziché avviare un browser specificando l'argomento --use-device-code.

az login --use-device-code

CLI per sviluppatori di Azure

Gli sviluppatori possono usare l'interfaccia della riga di comando per sviluppatori di Azure per eseguire l'autenticazione con Microsoft Entra ID. Le app che usano DefaultAzureCredential o AzureDeveloperCliCredential possono quindi usare questo account per autenticare le richieste di app durante l'esecuzione in locale.

Per eseguire l'autenticazione con l'interfaccia della riga di comando per sviluppatori di Azure, eseguire il azd auth login comando . In un sistema con un Web browser predefinito, l'interfaccia della riga di comando per sviluppatori di Azure avvia il browser per autenticare l'utente.

azd auth login

Per i sistemi senza un Web browser predefinito, azd auth login --use-device-code usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare l'Azure Developer CLI a utilizzare il flusso del codice del dispositivo invece di avviare un browser specificando l'argomento --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Gli sviluppatori possono usare Azure PowerShell per eseguire l'autenticazione con Microsoft Entra ID. Le app che usano DefaultAzureCredential o AzurePowerShellCredential possono quindi usare questo account per autenticare le richieste di app durante l'esecuzione in locale.

Per eseguire l'autenticazione con Azure PowerShell, eseguire il comando Connect-AzAccount. In un sistema con un Web browser predefinito e la versione 5.0.0 o successiva di Azure PowerShell, avvia il browser per autenticare l'utente.

Connect-AzAccount

Per i sistemi senza un Web browser predefinito, il comando Connect-AzAccount usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare Azure PowerShell a usare il flusso del codice del dispositivo anziché avviare un browser specificando l'argomento UseDeviceAuthentication .

Connect-AzAccount -UseDeviceAuthentication

Eseguire l'autenticazione ai servizi di Azure dall'app

La libreria di identità di Azure fornisce varie credenziali, ovvero implementazioni di adattate al supporto di diversi scenari e flussi di TokenCredential autenticazione di Microsoft Entra. I passaggi successivi illustrano come usare DefaultAzureCredential quando si lavora con gli account utente in locale.

Implementare il codice

DefaultAzureCredential è una sequenza ordinata e mirata di meccanismi per autenticarsi in Microsoft Entra ID. Ogni meccanismo di autenticazione è una classe derivata dalla classe TokenCredential ed è nota come credenziale. In fase di esecuzione tenta DefaultAzureCredential di eseguire l'autenticazione usando la prima credenziale. Se tale credenziale non riesce ad acquisire un token di accesso, viene tentata la credenziale successiva nella sequenza e così via finché non viene ottenuto un token di accesso correttamente. In questo modo, l'app può usare credenziali diverse in ambienti diversi senza scrivere codice specifico dell'ambiente.

Per usare DefaultAzureCredential, aggiungere i pacchetti di @azure/identity all'applicazione. In un terminale di propria scelta passare alla directory del progetto dell'applicazione ed eseguire il comando seguente:

npm install @azure/identity

È possibile accedere ai servizi di Azure usando classi client specializzate dalle varie librerie client di Azure SDK. Queste classi e i propri servizi personalizzati devono essere registrati in modo che possano essere accessibili in tutta l'app. Completare i passaggi a livello di codice seguenti per creare una classe client e DefaultAzureCredential:

1. Importare il pacchetto @azure/identity.
2. Creare il client del servizio di Azure e passarvi una nuova istanza di DefaultAzureCredential.

import { DefaultAzureCredential } from "@azure/identity";
import { SomeAzureServiceClient } from "@azure/arm-some-service";

const client = new SomeAzureServiceClient(new DefaultAzureCredential());