Аутентификация к ресурсам Azure в приложениях Python, развернутых в локальной среде

Приложения, размещенные за пределами Azure (например, локально или в стороннем центре обработки данных), должны использовать основной объект службы приложения для аутентификации в Azure при доступе к ресурсам Azure. Объекты субъекта-службы приложений создаются с помощью процесса регистрации приложений в Azure. Создание нового служебного принципала приложения приводит к созданию идентификатора клиента и секрета клиента для вашего приложения. Вы сохраняете идентификатор клиента, секрет клиента и идентификатор клиента в переменных среды, которые будут использоваться пакетом SDK Azure для Python для проверки подлинности приложения в Azure во время выполнения.

Для каждой среды необходимо создать другую регистрацию приложения, в которой размещено приложение. Создание другой регистрации приложений позволяет настроить разрешения конкретного ресурса среды для каждого субъекта-службы и убедиться, что приложение, развернутое в одной среде, не разговаривает с ресурсами Azure, которые являются частью другой среды.

Регистрация приложения в Azure

Приложение можно зарегистрировать в Azure с помощью портал Azure или Azure CLI.

Azure CLI

APP_NAME=<app-name>
az ad sp create-for-rbac --name $APP_NAME

Результаты команды аналогичны следующему примеру. Запишите эти значения или оставьте это окно открытым, так как вам потребуется эти значения в следующих шагах и не сможете снова просмотреть значение пароля (секрет клиента).

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Затем необходимо получить appID значение и сохранить его в переменной. Это значение используется для настройки переменных окружения в вашей локальной среде разработки, чтобы пакет SDK Azure для Python мог проходить аутентификацию в Azure с помощью учетной записи службы.

APP_ID=$(az ad sp create-for-rbac \
  --name $APP_NAME --query appId --output tsv)

Портал Azure

Войдите на портал Azure и сделайте следующее.

Инструкции	Снимок экрана
В портале Azure: Введите регистрации приложений в строке поиска в верхней части портала Azure. Выберите элемент, помеченный Регистрация приложений под заголовком "Службы" в меню, которое отображается под строкой поиска.
На странице Регистрация приложений нажмите кнопку +Создать регистрацию.
На странице регистрации приложения заполните форму следующим образом. Имя → Введите имя регистрации приложения в Azure. Рекомендуется, чтобы это имя включало имя приложения и среду (test, prod), для которой выполняется регистрация. Поддерживаемые типы учетных записей → учетные записи только в этом каталоге организации. Выберите Регистрация для регистрации вашего приложения и создания учетной записи службы приложения.
На странице регистрации для вашего приложения: Идентификатор приложения (клиента) → Это идентификатор приложения, который приложение будет использовать для доступа к Azure во время локальной разработки. Скопируйте это значение во временное расположение в текстовом редакторе, поскольку оно понадобится в одном из следующих шагов. Идентификатор каталога (клиента) → Это значение также потребуется приложению при проверке подлинности в Azure. Скопируйте это значение во временное расположение в текстовом редакторе; оно также понадобится на одном из следующих этапов. Учетные данные клиента → Необходимо задать учетные данные клиента для приложения, прежде чем приложение сможет пройти проверку подлинности в Azure и использовать службы Azure. Выберите " Добавить сертификат или секрет ", чтобы добавить учетные данные для приложения.
На странице "Сертификаты и секреты" выберите +Создать секрет клиента.
Диалоговое окно "Добавление секрета клиента" появится в правой части страницы. В этом диалоговом окне: Описание → Введите значение Current. Истекает срок действия → Выберите значение 24 месяцев. Нажмите кнопку "Добавить ", чтобы добавить секрет. ВАЖНО: Задайте напоминание в календаре до даты окончания срока действия секрета. Таким образом, вы можете добавить новый секрет до истечения срока действия него и избежать сбоя в работе приложения.
На странице "Сертификаты и секреты" отображается значение секрета клиента. Скопируйте это значение во временное расположение в текстовом редакторе, так как он необходим в следующем шаге. ВАЖНО. Это единственный раз, когда вы увидите это значение. После выхода или обновления этой страницы вы не сможете снова увидеть это значение. Вы можете добавить еще один секрет клиента, не отменив этот секрет клиента, но вы не увидите это значение снова.

Назначение ролей для служебного принципала приложения

Затем необходимо определить, какие роли (разрешения) приложения требуются для ресурсов и назначить эти роли приложению. Роли могут быть назначены на уровне ресурса, группы ресурсов или области подписки. В этом примере показано, как назначить роли для принципала службы на уровне группы ресурсов, поскольку почти все приложения группируют свои ресурсы Azure в одну группу ресурсов.

Azure CLI

Служебный принципал назначается на роль в Azure с помощью команды az role assignment create.

RESOURCE_GROUP_NAME=<resource-group-name>
SUBSCRIPTION_ID=$(az account show --query id --output tsv)
ROLE_NAME=<role-name>

az role assignment create \
  --assignee "$APP_ID" \
  --scope "./subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP_NAME" \
  --role "$ROLE_NAME"

![!ПРИМЕЧАНИЕ] Чтобы предотвратить рассмотрение /subscriptions/... как путь к файлу, ставьте ./ перед строкой, используемой в параметре scope, и используйте двойные кавычки вокруг всей строки.

Чтобы получить названия ролей, которые можно назначить служебному принципалу, используйте команду az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Например, чтобы разрешить субъект-службы с appId 00001111-aaaa-2222-bbbb-3333cccc4444 доступ к чтению, записи и удалению в контейнерах BLOB-объектов и данных в хранилище Azure во всех учетных записях хранения в группе ресурсов msdocs-python-sdk-auth-example в подписке с идентификатором aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, вы назначите субъект-службы на роль участник данных BLOB-объектов хранилища с помощью следующей команды.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope "./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-python-sdk-auth-example" \
    --role "Storage Blob Data Contributor"

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

Портал Azure

Инструкции	Снимок экрана
Найдите группу ресурсов для вашего приложения, введя имя группы ресурсов в поле поиска в верхней части портала Azure. Перейдите к группе ресурсов, выбрав имя группы ресурсов в заголовке "Группы ресурсов" в диалоговом окне.
На странице группы ресурсов выберите элемент управления доступом (IAM) в меню слева.
На странице управления доступом (IAM): Выберите вкладку Назначения ролей. Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.
На странице "Добавление назначения ролей" перечислены все роли, которые можно назначить для группы ресурсов. Используйте поле поиска, чтобы отфильтровать список до более управляемого размера. В этом примере показано, как фильтровать роли BLOB-объектов хранилища. Выберите роль, которую вы хотите назначить. Нажмите кнопку "Далее ", чтобы перейти к следующему экрану.
На следующей странице "Добавление назначения роли" можно указать, какому пользователю назначить роль. Выберите "Пользователь", "Группа" или "Субъект-служба" в разделе "Назначение доступа". Выберите + Добавить участников в разделе Участники На правой стороне портала Azure открывается диалоговое окно.
В диалоговом окне выбора элементов: Текстовое поле Select можно использовать для фильтрации списка пользователей и групп в подписке. При необходимости введите первые несколько символов принципала службы, созданного для приложения, чтобы отфильтровать список. Выберите субъект-службу, связанную с приложением. Выберите Выбрать в нижней части диалогового окна, чтобы продолжить.
Субъект-служба отображается на экране добавления назначения ролей. Выберите Рецензирование + назначить, чтобы перейти на окончательную страницу, а затем Рецензирование + назначить еще раз, чтобы завершить процесс.

Настройка переменных среды для приложения

Необходимо задать переменные среды AZURE_CLIENT_ID, AZURE_TENANT_ID и AZURE_CLIENT_SECRET для процесса, запускающего ваше приложение Python, чтобы учетные данные участника службы приложения были доступны для приложения во время выполнения. Объект DefaultAzureCredential ищет информацию о главной службе в этих переменных среды.

При использовании Gunicorn для запуска веб-приложений Python в среде сервера UNIX переменные среды для приложения можно указать с помощью директивы EnvironmentFile в gunicorn.server. См. следующий пример.

[Unit]
Description=gunicorn daemon
After=network.target  
  
[Service]  
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/gunicorn --config config.py wsgi:app
            
[Install]  
WantedBy=multi-user.target

Файл, указанный в директиве EnvironmentFile , должен содержать список переменных среды со следующими значениями.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

Реализация DefaultAzureCredential в приложении

Для проверки подлинности клиентских объектов Пакета SDK Azure в Azure приложение должно использовать DefaultAzureCredential класс из azure.identity пакета.

Начните с добавления пакета azure.identity в приложение.

pip install azure-identity

Затем для любого кода Python, создающего клиентский объект Azure SDK в приложении, необходимо:

1. DefaultAzureCredential Импортируйте класс из azure.identity модуля.
2. Создание объекта DefaultAzureCredential.
3. Передайте объект конструктору DefaultAzureCredential клиентского объекта пакета SDK Azure.

Пример этого подхода показан в следующем сегменте кода.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)

В этом примере, когда код создает экземпляр объекта DefaultAzureCredential, DefaultAzureCredential считывает переменные среды AZURE_TENANT_ID, AZURE_CLIENT_ID, и AZURE_CLIENT_SECRET, чтобы подключаться к Azure, используя учетные данные субъект-службы приложения.