Autenticare le app .NET nei servizi di Azure durante lo sviluppo locale usando gli account per sviluppatori

Durante lo sviluppo locale, le applicazioni devono eseguire l'autenticazione in Azure per usare servizi di Azure diversi. Eseguire l'autenticazione in locale usando uno di questi approcci:

• Usare un account per sviluppatore con uno degli strumenti di sviluppo supportati dalla libreria di identità di Azure.
• Usare un broker per gestire le credenziali.
• Usare un'entità servizio.

Questo articolo illustra come eseguire l'autenticazione usando un account per sviluppatore con gli strumenti supportati dalla libreria di identità di Azure. Nelle sezioni seguenti si apprenderà:

• Come usare i gruppi di Microsoft Entra per gestire in modo efficiente le autorizzazioni per più account per sviluppatori.
• Come assegnare ruoli agli account sviluppatore per limitare le autorizzazioni.
• Come accedere agli strumenti di sviluppo locali supportati.
• Come eseguire l'autenticazione usando un account sviluppatore dal codice dell'app.

Strumenti di sviluppo supportati per l'autenticazione

Affinché un'app esegua l'autenticazione in Azure durante lo sviluppo locale usando le credenziali di Azure dello sviluppatore, lo sviluppatore deve accedere ad Azure da uno degli strumenti di sviluppo seguenti:

• Interfaccia CLI di Azure
• CLI per sviluppatori di Azure
• Azure PowerShell
• Visual Studio
• Visual Studio Code

La libreria di identità di Azure può rilevare che lo sviluppatore ha eseguito l'accesso da uno di questi strumenti. La libreria può quindi ottenere il token di accesso di Microsoft Entra tramite lo strumento per autenticare l'app in Azure come utente connesso.

Questo approccio sfrutta gli account Azure esistenti dello sviluppatore per semplificare il processo di autenticazione. Tuttavia, l'account di uno sviluppatore ha probabilmente più autorizzazioni rispetto a quelle richieste dall'app, quindi supera le autorizzazioni eseguite dall'app nell'ambiente di produzione. In alternativa, è possibile creare principali del servizio dell'applicazione da usare durante lo sviluppo locale, che possono essere configurati per avere solo l'accesso necessario all'app.

Creare un gruppo Microsoft Entra per lo sviluppo locale

Per lo sviluppo locale, creare un gruppo Microsoft Entra per racchiudere i ruoli (autorizzazioni) necessari all'applicazione, invece di assegnare i ruoli ai singoli oggetti principale di servizio. Questo approccio offre i vantaggi seguenti:

• Ogni sviluppatore ha gli stessi ruoli assegnati a livello di gruppo.
• Se è necessario un nuovo ruolo per l'app, deve essere aggiunto solo al gruppo dell'app.
• Se un nuovo sviluppatore si aggiunge al team, viene creata una nuova entità servizio dell'applicazione per lo sviluppatore e aggiunta al gruppo, assicurando che lo sviluppatore disponga delle autorizzazioni appropriate per lavorare sull'app.

Portale di Azure

1. Vai alla pagina di panoramica ID Entra di Microsoft nel portale di Azure.

2. Selezionare Tutti i gruppi dal menu a sinistra.

3. Nella pagina Gruppi , selezionare Nuovo gruppo .

4. Nella pagina Nuovo gruppo, compila i seguenti campi del modulo:

   • Tipo di gruppo: selezionare Security.
   • Nome gruppo: immettere un nome per il gruppo che include un riferimento al nome dell'app o dell'ambiente.
   • Descrizione gruppo: immettere una descrizione che spiega lo scopo del gruppo.

   

5. Seleziona il link Nessun membro selezionato nella sezione Membri per aggiungere membri al gruppo.

6. Nel pannello a comparsa che si apre, cercare l'entità servizio creata in precedenza e selezionarla dai risultati filtrati. Scegliere il pulsante Seleziona nella parte inferiore del pannello per confermare la selezione.

7. Selezionare Crea nella parte inferiore della pagina Nuovo gruppo per creare il gruppo e tornare alla pagina Tutti i gruppi. Se il nuovo gruppo non è elencato, attendere un attimo e aggiornare la pagina.

CLI di Azure

1. Usare il comando az ad group create per creare gruppi in Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   I parametri --display-name e --mail-nickname sono obbligatori. Il nome assegnato al gruppo deve essere basato sul nome e sull'ambiente dell'app per indicare lo scopo del gruppo.

2. Per aggiungere membri al gruppo, è necessario l'ID oggetto del servizio principale dell'applicazione, che è diverso dall'ID applicazione. Usare il comando az ad sp list per elencare i principali del servizio disponibili:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Il parametro --filter accetta filtri in stile OData e può essere usato per filtrare l'elenco come illustrato. Il parametro --query limita l'output solo alle colonne di interesse.

3. Usa il comando az ad group member add per aggiungere membri al gruppo:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Assegnare ruoli al gruppo

Successivamente, determinare i ruoli (autorizzazioni) necessari per l'app in base alle risorse e assegnare tali ruoli al gruppo Microsoft Entra creato. Ai gruppi può essere assegnato un ruolo nell'ambito della risorsa, del gruppo di risorse o della sottoscrizione. Questo esempio illustra come assegnare ruoli nell'ambito del gruppo di risorse, poiché la maggior parte delle app raggruppa tutte le risorse di Azure in un singolo gruppo di risorse.

Portale di Azure

1. Nel portale di Azure passare alla pagina Panoramica del gruppo di risorse che contiene l'app.

2. Selezionare Access control (IAM) dal menu di navigazione a sinistra.

3. Nella pagina Controllo di accesso (IAM), selezionare + Aggiungi e quindi scegliere Assegna ruolo dal menu a discesa. Nella pagina Aggiungi assegnazione di ruolo sono disponibili diverse schede per configurare e assegnare ruoli.

4. Nella scheda Ruolo, usare la casella di ricerca per individuare il ruolo da assegnare. Selezionare il ruolo e quindi scegliere Avanti.

5. Nella scheda membri :

   • Per assegnare l'accesso al valore di , selezionare utente, gruppo o principale di servizio.
   • Per il valore membri , scegliere + Seleziona membri per aprire il riquadro a comparsa Seleziona membri.
   • Cercare il gruppo Microsoft Entra creato in precedenza e selezionarlo nei risultati filtrati. Scegliere Selezionare per selezionare il gruppo e chiudere il pannello a comparsa.
   • Selezionare Rivedi e assegna nella parte inferiore della scheda Membri.

   

6. Nella scheda Rivedi e assegna, seleziona Rivedi e assegna, nella parte inferiore della pagina.

CLI di Azure

1. Usare il comando az role definition list per ottenere i nomi dei ruoli a cui è possibile assegnare un gruppo o un oggetto servizio Microsoft Entra:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Usare il comando az role assignment create per assegnare un ruolo al gruppo Microsoft Entra che hai creato.

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite l'interfaccia della riga di comando di Azure, vedere Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

Accedere ad Azure con gli strumenti per sviluppatori

Accedere quindi ad Azure usando uno dei diversi strumenti di sviluppo che possono essere usati per eseguire l'autenticazione nell'ambiente di sviluppo. L'account autenticato deve esistere anche nel gruppo Microsoft Entra creato e configurato in precedenza.

Visual Studio

Gli sviluppatori che usano Visual Studio 2017 o versione successiva possono eseguire l'autenticazione usando il proprio account sviluppatore tramite l'IDE. Le app che usano DefaultAzureCredential o VisualStudioCredential possono individuare e usare questo account per autenticare le richieste di app durante l'esecuzione in locale. Questo account viene usato anche quando si pubblicano app direttamente da Visual Studio in Azure.

Importante

È necessario installare il carico di lavoro Sviluppo di Azure per abilitare gli strumenti di Visual Studio per l'autenticazione, lo sviluppo e la distribuzione di Azure.

1. In Visual Studio passare a Opzioni strumenti> per aprire la finestra di dialogo opzioni.

2. Nella casella Opzioni di ricerca nella parte superiore digitare Azure per filtrare le opzioni disponibili.

3. In Autenticazione del servizio di Azure scegliere Selezione account.

4. Selezionare il menu a discesa in Scegliere un account e scegliere di aggiungere un account Microsoft.

5. Nella finestra visualizzata immettere le credenziali per l'account Azure desiderato e quindi confermare gli input.

   

6. Selezionare OK per chiudere la finestra di dialogo delle opzioni.

Visual Studio Code

Gli sviluppatori che usano Visual Studio Code possono eseguire l'autenticazione con il proprio account sviluppatore direttamente tramite l'editor tramite il broker. Le app che usano DefaultAzureCredential o VisualStudioCodeCredential possono quindi usare questo account per autenticare le richieste di app tramite un'esperienza single sign-on senza problemi.

1. In Visual Studio Code passare al pannello Estensioni e installare l'estensione Risorse di Azure . Questa estensione consente di visualizzare e gestire le risorse di Azure direttamente da Visual Studio Code. Usa anche il provider di autenticazione Microsoft predefinito di Visual Studio Code per l'autenticazione con Azure.

   

2. Aprire il riquadro comandi in Visual Studio Code, quindi cercare e selezionare Azure: Accedi.

   

   Suggerimento

   Aprire il riquadro comandi usando Ctrl+Shift+P in Windows/Linux o Cmd+Shift+P in macOS.

3. Aggiungere il pacchetto NuGet Azure.Identity.Broker all'app:

   dotnet add package Azure.Identity.Broker
   

CLI di Azure

Gli sviluppatori possono usare l'interfaccia della riga di comando di Azure per l'autenticazione. Le app che usano DefaultAzureCredential o AzureCliCredential possono quindi usare questo account per autenticare le richieste di app.

Per eseguire l'autenticazione con l'interfaccia della riga di comando di Azure, eseguire il az login comando . In un sistema con un Web browser predefinito, l'interfaccia della riga di comando di Azure avvia il browser per autenticare l'utente.

az login

Per i sistemi senza un Web browser predefinito, il comando az login usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare Azure CLI a utilizzare il flusso di codice dispositivo anziché avviare un browser specificando l'argomento --use-device-code.

az login --use-device-code

CLI per sviluppatori di Azure

Gli sviluppatori possono usare l'interfaccia della riga di comando per sviluppatori di Azure per l'autenticazione. Le app che usano DefaultAzureCredential o AzureDeveloperCliCredential possono quindi usare questo account per autenticare le richieste di app.

Per eseguire l'autenticazione con l'interfaccia della riga di comando per sviluppatori di Azure, eseguire il azd auth login comando . In un sistema con un Web browser predefinito, l'interfaccia della riga di comando per sviluppatori di Azure avvia il browser per autenticare l'utente.

azd auth login

Per i sistemi senza un Web browser predefinito, azd auth login --use-device-code usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare l'Azure Developer CLI a utilizzare il flusso del codice del dispositivo invece di avviare un browser specificando l'argomento --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Gli sviluppatori possono usare Azure PowerShell per l'autenticazione. Le app che usano DefaultAzureCredential o AzurePowerShellCredential possono quindi usare questo account per autenticare le richieste di app.

Per eseguire l'autenticazione con Azure PowerShell, eseguire il comando Connect-AzAccount. In un sistema con un Web browser predefinito e la versione 5.0.0 o successiva di Azure PowerShell, avvia il browser per autenticare l'utente.

Connect-AzAccount

Per i sistemi senza un Web browser predefinito, il comando Connect-AzAccount usa il flusso di autenticazione del codice del dispositivo. L'utente può anche forzare Azure PowerShell a usare il flusso del codice del dispositivo anziché avviare un browser specificando l'argomento UseDeviceAuthentication .

Connect-AzAccount -UseDeviceAuthentication

Eseguire l'autenticazione ai servizi di Azure dall'app

La libreria di identità di Azure fornisce implementazioni di TokenCredential che supportano vari scenari e flussi di autenticazione di Microsoft Entra. I passaggi successivi illustrano come usare DefaultAzureCredential o una credenziale specifica dello strumento di sviluppo quando si usano gli account utente in locale.

Implementare il codice

Completa i passaggi seguenti:

1. Aggiungere riferimenti ai pacchetti Azure.Identity e Microsoft.Extensions.Azure nel progetto:

   dotnet add package Azure.Identity
   dotnet add package Microsoft.Extensions.Azure
   

2. In Program.cs aggiungere using direttive per gli spazi dei nomi di Azure.Identity e Microsoft.Extensions.Azure.

3. Registrare il client del servizio di Azure utilizzando il corrispondente metodo di estensione con prefisso Add.

   È possibile accedere ai servizi di Azure usando classi client specializzate dalle librerie client di Azure SDK. Registrare questi tipi di client in modo che sia possibile accedervi tramite l'iniezione delle dipendenze nell'app.

4. Passare un'istanza TokenCredential al metodo UseCredential. Esempi comuni TokenCredential includono:

   • DefaultAzureCredential Istanza ottimizzata per lo sviluppo locale. In questo esempio la variabile di ambiente viene impostata AZURE_TOKEN_CREDENTIALS su dev. Per altre informazioni, vedere Escludere una categoria di tipi di credenziali.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         DefaultAzureCredential credential = new(
             DefaultAzureCredential.DefaultEnvironmentVariableName);
         clientBuilder.UseCredential(credential);
     });
     

   • Istanza di una credenziale corrispondente a uno strumento di sviluppo specifico, ad esempio VisualStudioCredential.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         VisualStudioCredential credential = new();
         clientBuilder.UseCredential(credential);
     });
     

   Suggerimento

   Quando il team usa più strumenti di sviluppo per l'autenticazione con Azure, preferisce un'istanza di sviluppo locale ottimizzata per lo sviluppo rispetto alle credenziali specifiche degli DefaultAzureCredential strumenti.