온-프레미스에서 호스트되는 .NET 앱에서 Azure 리소스에 인증
Azure 외부(예: 온-프레미스 또는 타사 데이터 센터)에서 호스트되는 앱은 Azure 리소스에 액세스할 때 애플리케이션 서비스 주체를 사용하여 Azure에 인증해야 합니다. 애플리케이션 서비스 주체 개체는 Azure에서 앱 등록 프로세스를 사용하여 만들어집니다. 애플리케이션 서비스 주체가 만들어지면 앱에 대한 클라이언트 ID 및 클라이언트 암호가 생성됩니다. 그런 다음 클라이언트 ID, 클라이언트 암호 및 테넌트 ID가 환경 변수에 저장되므로 .NET용 Azure SDK에서 런타임에 Azure에 앱을 인증하는 데 사용할 수 있습니다.
앱이 호스트되는 각 환경에 대해 다른 앱 등록을 만들어야 합니다. 이렇게 하면 각 서비스 주체에 대해 환경별 리소스 권한을 구성하고 한 환경에 배포된 앱이 다른 환경의 일부인 Azure 리소스와 통신하지 않도록 할 수 있습니다.
1 - Azure에서 애플리케이션 등록
Azure Portal 또는 Azure CLI를 사용하여 Azure에서 앱을 등록할 수 있습니다.
Azure Portal에 로그인하고 다음 단계를 따릅니다.
2 - 애플리케이션 서비스 주체에 역할 할당
다음으로, 어떤 리소스에 대해 앱에 필요한 역할(권한)을 결정하고 해당 역할을 앱에 할당해야 합니다. 역할은 리소스, 리소스 그룹 또는 구독 범위에서 역할을 할당할 수 있습니다. 이 예에서는 대부분의 애플리케이션이 모든 Azure 리소스를 단일 리소스 그룹으로 그룹화하므로 리소스 그룹 범위에서 서비스 주체에 대한 역할을 할당하는 방법을 보여 줍니다.
3 - 애플리케이션에 대한 환경 변수 구성
DefaultAzureCredential
개체는 런타임 시 환경 변수 집합에서 서비스 주체 자격 증명을 찾습니다. .NET으로 작업할 때 도구 및 환경에 따라 환경 변수를 구성하는 방법에는 여러 가지가 있습니다.
어떤 방식을 선택하든 서비스 주체로 작업할 때 다음 환경 변수를 구성해야 합니다.
AZURE_CLIENT_ID
→ 앱 ID 값입니다.AZURE_TENANT_ID
→ 테넌트 ID 값입니다.AZURE_CLIENT_SECRET
→ 앱에 대해 생성된 암호/자격 증명입니다.
앱이 IIS에서 호스트되는 경우 애플리케이션 간에 설정을 격리하도록 앱 풀당 환경 변수를 설정하는 것이 좋습니다.
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='ASPNETCORE_ENVIRONMENT',value='Production']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_ID',value='00000000-0000-0000-0000-000000000000']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_TENANT_ID',value='11111111-1111-1111-1111-111111111111']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_SECRET',value='=abcdefghijklmnopqrstuvwxyz']" /commit:apphost
applicationHost.config
파일 내의 applicationPools
요소를 사용하여 이러한 설정을 직접 구성할 수도 있습니다.
<applicationPools>
<add name="CorePool" managedRuntimeVersion="v4.0" managedPipelineMode="Classic">
<environmentVariables>
<add name="ASPNETCORE_ENVIRONMENT" value="Development" />
<add name="AZURE_CLIENT_ID" value="00000000-0000-0000-0000-000000000000" />
<add name="AZURE_TENANT_ID" value="11111111-1111-1111-1111-111111111111" />
<add name="AZURE_CLIENT_SECRET" value="=abcdefghijklmnopqrstuvwxyz" />
</environmentVariables>
</add>
</applicationPools>
4 - 애플리케이션에 DefaultAzureCredential 구현
DefaultAzureCredential
은 여러 인증 방법을 지원하며 런타임에 사용되는 인증 방법을 결정합니다. 이러한 방식으로 앱은 환경별 코드를 구현하지 않고도 다양한 환경에서 다양한 인증 방법을 사용할 수 있습니다.
DefaultAzureCredential
이 자격 증명을 찾는 순서와 위치는 DefaultAzureCredential에서 확인할 수 있습니다.
DefaultAzureCredential
을 구현하려면 먼저 Azure.Identity
를 추가하고 필요할 때 Microsoft.Extensions.Azure
패키지를 애플리케이션에 추가합니다. 명령줄 또는 NuGet 패키지 관리자를 사용하여 이 작업을 수행할 수 있습니다.
애플리케이션 프로젝트 디렉터리에서 원하는 터미널 환경을 열고 아래 명령을 입력합니다.
dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure
Azure 서비스는 일반적으로 SDK의 해당 클라이언트 클래스를 사용하여 액세스됩니다. 이러한 클래스와 자체 사용자 지정 서비스는 Program.cs
파일에 등록되어야 앱 전체에서 종속성 주입을 통해 액세스할 수 있습니다. Program.cs
내에서 아래 단계에 따라 서비스와 DefaultAzureCredential
을 올바르게 설정하세요.
- using 문을 사용하여
Azure.Identity
및Microsoft.Extensions.Azure
네임스페이스를 포함합니다. - 관련 도우미 메서드를 사용하여 Azure 서비스를 등록합니다.
DefaultAzureCredential
개체의 인스턴스를UseCredential
메서드에 전달합니다.
이 예제는 다음 코드 세그먼트에 나와 있습니다.
using Microsoft.Extensions.Azure;
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
x.UseCredential(new DefaultAzureCredential());
});
또는 아래와 같이 추가 Azure 등록 방법의 도움 없이 서비스에서 DefaultAzureCredential
을 더 직접적으로 활용할 수도 있습니다.
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x =>
new BlobServiceClient(
new Uri("https://<account-name>.blob.core.windows.net"),
new DefaultAzureCredential()));
위 코드가 로컬 개발 중에 로컬 워크스테이션에서 실행되면 환경 변수에서 애플리케이션 서비스 주체를 찾거나 Visual Studio, VS Code, Azure CLI 또는 Azure PowerShell에서 개발자 자격 증명 집합을 찾습니다. 둘 중 하나를 로컬 개발 중에 Azure 리소스에 대해 앱을 인증하는 데 사용할 수 있습니다.
Azure에 배포할 때 이 동일한 코드는 다른 Azure 리소스에 대해 앱을 인증할 수도 있습니다. DefaultAzureCredential
은 환경 설정 및 관리 ID 구성을 검색하여 다른 서비스에 자동으로 인증할 수 있습니다.
.NET
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기