Autenticare le app .NET nei servizi di Azure durante lo sviluppo locale usando gli account per sviluppatori

Quando si creano applicazioni cloud, gli sviluppatori devono eseguire il debug e il test delle applicazioni nella workstation locale. Quando un'applicazione viene eseguita nella workstation di uno sviluppatore durante lo sviluppo locale, deve comunque eseguire l'autenticazione a tutti i servizi di Azure usati dall'app. Questo articolo illustra come usare le credenziali di Azure di uno sviluppatore per autenticare l'app in Azure durante lo sviluppo locale.

Affinché un'app esegua l'autenticazione in Azure durante lo sviluppo locale usando le credenziali di Azure dello sviluppatore, lo sviluppatore deve accedere ad Azure dall'estensione Strumenti di Azure di VS Code, dall'interfaccia della riga di comando di Azure o da Azure PowerShell. Azure SDK per .NET è in grado di rilevare che lo sviluppatore ha eseguito l'accesso da uno di questi strumenti e quindi ottenere le credenziali necessarie dalla cache delle credenziali per autenticare l'app in Azure come utente connesso.

Questo approccio è più semplice da configurare per un team di sviluppo perché sfrutta gli account Azure esistenti degli sviluppatori. Tuttavia, l'account di uno sviluppatore avrà probabilmente più autorizzazioni rispetto a quelle richieste dall'applicazione, pertanto il superamento delle autorizzazioni che l'app verrà eseguita con nell'ambiente di produzione. In alternativa, è possibile creare entità servizio dell'applicazione da usare durante lo sviluppo locale che possono essere definite come ambito per avere solo l'accesso necessario per l'app.

1 - Creare un gruppo di Azure AD per lo sviluppo locale

Poiché esistono quasi sempre più sviluppatori che lavorano su un'applicazione, è consigliabile creare prima un gruppo di Azure AD per incapsulare i ruoli (autorizzazioni) necessari per l'app nello sviluppo locale. Questo offre i vantaggi seguenti:

• Ogni sviluppatore ha la certezza di avere gli stessi ruoli assegnati perché i ruoli vengono assegnati a livello di gruppo.
• Se è necessario un nuovo ruolo per l'app, deve essere aggiunto solo al gruppo di Azure AD per l'app.
• Se un nuovo sviluppatore si aggiunge al team, è sufficiente aggiungerlo al gruppo di Azure AD corretto per ottenere le autorizzazioni corrette per lavorare nell'app.

Se si dispone di un gruppo di Azure AD esistente per il team di sviluppo, è possibile usare tale gruppo. In caso contrario, completare la procedura seguente per creare un gruppo di Azure AD.

Azure portal

Istruzioni	Schermata
Passare alla pagina Azure Active Directory nel portale di Azure digitando Azure Active Directory nella casella di ricerca nella parte superiore della pagina e quindi selezionando Azure Active Directory in servizi.
Nella pagina Azure Active Directory, selezionare Gruppi dal menu a sinistra.
Nella pagina Tutti i gruppi, selezionare Nuovo gruppo.
Nella pagina Nuovo gruppo: Tipo di gruppo: → Sicurezza Nome gruppo → Un nome per il gruppo di sicurezza, in genere creato dal nome dell'applicazione. È anche utile includere una stringa come local-dev nel nome del gruppo per indicare lo scopo del gruppo. Descrizione del gruppo → Una descrizione dello scopo del gruppo. Selezionare il collegamento Nessun membro selezionato in Membri per aggiungere membri al gruppo.
Nella finestra di dialogo Aggiungi membri: Usare la casella di ricerca per filtrare l'elenco di nomi utente nell'elenco. Selezionare gli utenti per lo sviluppo locale per questa app. Quando vengono selezionati gli oggetti, verranno spostati nell'elenco Elementi selezionati nella parte inferiore della finestra di dialogo. Al termine, selezionare il pulsante Seleziona.
Nella pagina Nuovo gruppo, selezionare Crea per creare il gruppo. Il gruppo verrà creato e si tornerà alla pagina Tutti i gruppi. La visualizzazione del gruppo potrebbe richiedere fino a 30 secondi e potrebbe essere necessario aggiornare la pagina a causa della memorizzazione nella cache nel portale di Azure.

Interfaccia della riga di comando di Azure

Il comando az ad group create viene usato per creare gruppi in Azure Active Directory. I parametri --display-name e --main-nickname sono obbligatori. Il nome assegnato al gruppo deve essere basato sul nome dell'applicazione. È anche utile includere una stringa come local-dev nel nome del gruppo per indicare lo scopo del gruppo.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description <group-description>

Per aggiungere membri al gruppo, è necessario l'ID oggetto dell'utente di Azure. Usare az ad user list per elencare le entità servizio disponibili. Il comando del parametro --filter accetta filtri di stile OData e può essere usato per filtrare l'elenco in base al nome visualizzato dell'utente, come illustrato. Il parametro --query limita le colonne solo a quelle di interesse.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

Il comando az ad group member add può quindi essere usato per aggiungere membri ai gruppi.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

2 - Assegnare i ruoli al gruppo Azure AD

Successivamente, è necessario determinare i ruoli (autorizzazioni) necessari per l'app in base alle risorse e assegnare tali ruoli all'app. In questo esempio i ruoli verranno assegnati al gruppo di Azure Active Directory creato nel passaggio 1. I ruoli possono essere assegnati a una risorsa, a gruppo di risorse o a una sottoscrizione. Questo esempio illustra come assegnare i ruoli a livello di gruppo di risorse perché la maggior parte delle applicazioni raggruppa tutte le risorse di Azure in un unico gruppo di risorse.

Azure portal

Istruzioni	Schermata
Individuare il gruppo di risorse per l'applicazione cercando il nome del gruppo di risorse usando la casella di ricerca nella parte superiore del portale di Azure. Passare al gruppo di risorse selezionando il nome del gruppo di risorse nell'intestazione Gruppi di risorse della finestra di dialogo.
Nella pagina del gruppo di risorse selezionare Controllo di accesso (IAM) nel menu a sinistra.
Nella pagina Controllo di accesso (IAM): Selezionare la scheda Assegnazioni di ruolo. Selezionare + Aggiungi nel menu in alto e quindi Aggiungi assegnazione di ruolo nel menu a discesa risultante.
Nella pagina Aggiungi assegnazione di ruolo sono elencati tutti i ruoli che è possibile assegnare per il gruppo di risorse. Usare la casella di ricerca per filtrare l'elenco in modo da renderlo più gestibile. Questo esempio illustra come filtrare i ruoli di BLOB del servizio di archiviazione. Selezionare il ruolo che si vuole assegnare. Selezionare Avanti per passare alla schermata successiva.
La pagina Aggiungi assegnazione di ruolo successiva consente di specificare a quale utente assegnare il ruolo. Selezionare Utente, gruppo o servizio principale in Assegnazione dell'accesso a . Selezionare + Selezionare membri in Membri Verrà aperta una finestra di dialogo sul lato destro del portale di Azure.
Nella finestra di dialogo Seleziona membri: La casella di testo Seleziona può essere usata per filtrare l'elenco di utenti e gruppi nella sottoscrizione. Se necessario, digitare i primi caratteri del gruppo di Azure AD di sviluppo locale creato per l'app. Selezionare il gruppo azure AD di sviluppo locale associato all'applicazione. Selezionare Seleziona nella parte inferiore della finestra di dialogo per continuare.
Il gruppo Azure AD verrà ora visualizzata come selezionata nella schermata Aggiungi assegnazione di ruolo. Selezionare Rivedi e assegna per passare alla pagina finale e quindi Rivedi e assegna di nuovo per completare il processo.

Interfaccia della riga di comando di Azure

A un'entità servizio dell'applicazione viene assegnato un ruolo in Azure usando il comando az role assignment create.

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Per ottenere i nomi di ruolo a cui è possibile assegnare un'entità servizio, usare il comando az role definition list.

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

Ad esempio, per consentire all'entità servizio dell'applicazione il valore appId di 00000000-0000-0000-0000-000000000000 l'accesso in lettura, scrittura ed eliminazione ai contenitori BLOB e ai dati di Archiviazione di Azure in tutti gli account di archiviazione del gruppo di risorse msdocs-dotnet-sdk-auth-example, è necessario assegnare l'entità servizio dell'applicazione al ruolo Collaboratore ai dati dei BLOB di archiviazione usando il comando seguente.

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Per informazioni sull'assegnazione delle autorizzazioni a livello di risorsa o sottoscrizione tramite l'interfaccia della riga di comando di Azure, vedere l'articolo Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

3 - Accedere ad Azure con gli strumenti .NET

Successivamente è necessario accedere ad Azure usando una delle diverse opzioni di strumenti .NET. L'account a cui si accede deve esistere anche nel gruppo di Azure Active Directory creato e configurato in precedenza.

Visual Studio

Nel menu in alto di Visual Studio passare a Strumenti>Opzioni per aprire la finestra di dialogo opzioni. Nella barra di ricerca in alto a sinistra digitare Azure per filtrare le opzioni. In Autenticazione del servizio di Azure, scegliere Selezione account.

Selezionare il menu a discesa in Scegliere un account e scegliere di aggiungere un account Microsoft. Verrà aperta una finestra che richiede di selezionare un account. Immettere le credenziali per l'account Azure desiderato e quindi selezionare la conferma.

Estensione Strumenti di Azure di VISUAL Studio Code

Per consentire a un'app di usare le credenziali per sviluppatori di VS Code, è necessario installare l'estensione Visual Studio Code in Visual Studio Code.

Installare le estensioni degli strumenti di Azure per Visual Studio Code

Nel pannello a sinistra verrà visualizzata un'icona di Azure. Selezionare questa icona e verrà visualizzato un pannello di controllo per i servizi di Azure. Scegliere Accedi ad Azure... in qualsiasi servizio per completare il processo di autenticazione per gli strumenti di Azure in Visual Studio Code.

Interfaccia della riga di comando di Azure

Aprire un terminale nella workstation per sviluppatori e accedere ad Azure dall'interfaccia della riga di comando di Azure.

az login

Azure PowerShell

Aprire un terminale nella workstation per sviluppatori e accedere ad Azure da Azure PowerShell.

Connect-AzAccount

4 - Implementare DefaultAzureCredential nell'applicazione

DefaultAzureCredential supporta più metodi di autenticazione e determina il metodo di autenticazione usato in fase di esecuzione. In questo modo, l'app può usare metodi di autenticazione diversi in ambienti diversi senza implementare codice specifico dell'ambiente.

L'ordine e le posizioni in cui DefaultAzureCredential cerca le credenziali sono disponibili in DefaultAzureCredential.

Per implementare DefaultAzureCredential, aggiungere prima di tutto il pacchetto Azure.Identity e facoltativamente i pacchetti Microsoft.Extensions.Azure all'applicazione. A tale scopo, è possibile usare la riga di comando o Gestione pacchetti NuGet.

Riga di comando

Aprire l'ambiente terminale desiderato nella directory del progetto dell'applicazione e immettere il comando seguente.

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Gestione pacchetti NuGet

Fare clic con il pulsante destro del mouse sul nodo del progetto in Visual Studio e scegliere Gestisci pacchetti NuGet. Cercare Azure.Identity nel campo di ricerca e installare il pacchetto corrispondente. Ripetere questo processo anche per il pacchetto Microsoft.Extensions.Azure.

I servizi di Azure sono in genere accessibili usando le classi client corrispondenti dall'SDK. Queste classi e i propri servizi personalizzati devono essere registrati nel file Program.cs in modo da poter essere accessibili tramite l'inserimento delle dipendenze in tutta l'app. All'interno di Program.cs, seguire questa procedura per configurare correttamente il servizio e DefaultAzureCredential.

1. Includere gli spazi dei nomi Azure.Identity e Microsoft.Extensions.Azure con un'istruzione using.
2. Registrare il servizio di Azure usando i metodi helper pertinenti.
3. Passare un'istanza dell'oggetto DefaultAzureCredential al metodo UseCredential.

Un esempio è illustrato nel segmento di codice seguente.

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

In alternativa, è anche possibile usare DefaultAzureCredential nei servizi più direttamente senza l'aiuto di altri metodi di registrazione di Azure, come illustrato di seguito.

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Quando il codice precedente viene eseguito nella workstation locale durante lo sviluppo locale, cercherà nelle variabili di ambiente un'entità servizio dell'applicazione o in Visual Studio, VS Code, nell'interfaccia della riga di comando di Azure o in Azure PowerShell un set di credenziali per sviluppatori, che possono essere usate per autenticare l'app nelle risorse di Azure durante lo sviluppo locale.

Quando distribuito in Azure, lo stesso codice può anche autenticare l'app in altre risorse di Azure. DefaultAzureCredential può recuperare automaticamente le impostazioni dell'ambiente e le configurazioni dell'identità gestita per l'autenticazione automatica in altri servizi.