Delen via


.NET-apps verifiëren bij Azure-services tijdens lokale ontwikkeling met behulp van ontwikkelaarsaccounts

Ontwikkelaars moeten fouten opsporen en testen op cloud-apps op hun lokale werkstations. Wanneer een app wordt uitgevoerd op het werkstation van een ontwikkelaar tijdens de lokale ontwikkeling, moet deze nog steeds worden geverifieerd bij alle Azure-services die door de app worden gebruikt. In dit artikel wordt beschreven hoe u de Azure-referenties van een ontwikkelaar gebruikt om de app tijdens lokale ontwikkeling bij Azure te verifiëren.

Een diagram met een app die wordt uitgevoerd in lokale ontwikkeling met behulp van een identiteit voor ontwikkelaarshulpprogramma's om verbinding te maken met Azure-resources.

Als een app zich tijdens lokale ontwikkeling bij Azure kan verifiëren met behulp van de Azure-referenties van de ontwikkelaar, moet de ontwikkelaar zijn aangemeld bij Azure vanuit een van de volgende ontwikkelhulpprogramma's:

  • Visual Studio
  • Azure-CLI
  • Azure Developer CLI
  • Azure PowerShell

De Azure Identity-bibliotheek kan detecteren dat de ontwikkelaar is aangemeld vanuit een van deze hulpprogramma's. De bibliotheek kan vervolgens het Microsoft Entra-toegangstoken verkrijgen via het hulpprogramma om de app te verifiëren bij Azure als de aangemelde gebruiker.

Deze benadering is het eenvoudigst in te stellen voor een ontwikkelteam, omdat deze gebruikmaakt van de bestaande Azure-accounts van de ontwikkelaars. Het account van een ontwikkelaar heeft echter waarschijnlijk meer machtigingen dan vereist is voor de app, waardoor de machtigingen van de app in productie worden overschreden. Als alternatief kunt u service-principals voor toepassingen maken die moeten worden gebruikt tijdens de lokale ontwikkeling. Dit kan worden beperkt tot alleen de toegang die nodig is voor de app.

1 - Microsoft Entra-groep maken voor lokale ontwikkeling

Omdat er bijna altijd meerdere ontwikkelaars zijn die aan een app werken, wordt een Microsoft Entra-groep aanbevolen om de rollen (machtigingen) die de app nodig heeft in lokale ontwikkeling in te kapselen. Deze aanpak biedt de volgende voordelen:

  • Elke ontwikkelaar weet zeker dat dezelfde rollen zijn toegewezen omdat rollen op groepsniveau worden toegewezen.
  • Als er een nieuwe rol nodig is voor de app, hoeft deze alleen aan de groep voor de app te worden toegevoegd.
  • Als een nieuwe ontwikkelaar lid wordt van het team, krijgt deze de benodigde machtigingen om aan de app te werken nadat deze aan de groep is toegevoegd.

Als u een bestaande Microsoft Entra-groep voor uw ontwikkelteam hebt, kunt u die groep gebruiken. Voer anders de volgende stappen uit om een Microsoft Entra-groep te maken.

Instructies Schermafbeelding
Navigeer naar de pagina Microsoft Entra-id in Azure Portal door Microsoft Entra-id in het zoekvak boven aan de pagina te typen. Selecteer Microsoft Entra-id in de sectie Services . Een schermopname die laat zien hoe u de bovenste zoekbalk in Azure Portal gebruikt om naar de pagina Microsoft Entra-id te zoeken en te navigeren.
Selecteer Groepen in het linkermenu op de pagina Microsoft Entra-id. Een schermopname van de locatie van de menuopdracht Groepen in het linkermenu van de pagina Standaardmap van Microsoft Entra-id.
Selecteer Nieuwe groep op de pagina Alle groepen. Een schermopname van de locatie van de knop Nieuwe groep op de pagina Alle groepen.
Op de pagina Nieuwe groep :
  1. Selecteer Beveiliging in de vervolgkeuzelijst Groepstype .
  2. Groepsnaam → A-naam voor de beveiligingsgroep, meestal gemaakt op basis van de naam van de toepassing. Het is ook handig om een tekenreeks zoals local-dev op te nemen in de naam van de groep om het doel van de groep aan te geven.
  3. Groepsbeschrijving → Een beschrijving van het doel van de groep.
  4. Selecteer de koppeling Geen leden geselecteerd onder Leden om leden toe te voegen aan de groep.
Een schermopname die laat zien hoe u een nieuwe Microsoft Entra-groep maakt. De locatie van de koppeling die u wilt selecteren om leden aan deze groep toe te voegen, is gemarkeerd.
In het dialoogvenster Leden toevoegen:
  1. Gebruik het zoekvak om de lijst met gebruikersnamen in de lijst te filteren.
  2. Kies een of meer gebruikers voor lokale ontwikkeling voor deze app. Terwijl u een object kiest, wordt het object verplaatst naar de lijst met geselecteerde items onder aan het dialoogvenster.
  3. Wanneer u klaar bent, kiest u de knop Selecteren .
Een schermopname van het dialoogvenster Leden toevoegen waarin wordt getoond hoe u ontwikkelaarsaccounts selecteert die in de groep moeten worden opgenomen.
Selecteer Op de pagina Nieuwe groep maken de optie Maken om de groep te maken. De groep wordt gemaakt en u gaat terug naar de pagina Alle groepen . Het kan tot 30 seconden duren voordat de groep wordt weergegeven. Mogelijk moet u de pagina vernieuwen vanwege caching in Azure Portal. Een schermopname van de pagina Nieuwe groep waarin wordt getoond hoe u het proces voltooit door de knop Maken te selecteren.

Notitie

Standaard is het maken van Microsoft Entra-groepen beperkt tot bepaalde bevoorrechte rollen in een directory. Als u geen groep kunt maken, neemt u contact op met een beheerder voor uw adreslijst. Als u geen leden kunt toevoegen aan een bestaande groep, neemt u contact op met de groepseigenaar of een adreslijstbeheerder. Zie Microsoft Entra-groepen en groepslidmaatschap beheren voor meer informatie.

2 - Rollen toewijzen aan de Microsoft Entra-groep

Bepaal vervolgens welke rollen (machtigingen) uw app nodig heeft voor welke resources en wijs deze rollen toe aan uw app. In dit voorbeeld worden de rollen toegewezen aan de Microsoft Entra-groep die in stap 1 is gemaakt. Aan groepen kan een rol worden toegewezen voor een resource, resourcegroep of abonnementsbereik. In dit voorbeeld ziet u hoe u rollen toewijst aan de resourcegroep, omdat de meeste apps al hun Azure-resources groeperen in één resourcegroep.

Instructies Schermafbeelding
Zoek de resourcegroep voor uw app door te zoeken naar de naam van de resourcegroep met behulp van het zoekvak boven aan Azure Portal. Navigeer naar uw resourcegroep door de naam van de resourcegroep te selecteren onder de kop Resourcegroepen in het dialoogvenster. Een schermopname die laat zien hoe u het bovenste zoekvak in Azure Portal kunt gebruiken om naar de resourcegroep te gaan waaraan u rollen (machtigingen) wilt toewijzen.
Selecteer op de pagina voor de resourcegroep toegangsbeheer (IAM) in het menu aan de linkerkant. Een schermopname van de pagina resourcegroep met de locatie van het menu-item Toegangsbeheer (IAM).
Op de pagina Toegangsbeheer (IAM):
  1. Selecteer het tabblad Roltoewijzingen.
  2. Selecteer + Toevoegen in het bovenste menu en voeg vervolgens roltoewijzing toe in de resulterende vervolgkeuzelijst.
Een schermopname van het navigeren naar het tabblad Roltoewijzingen en de locatie van de knop die wordt gebruikt om roltoewijzingen toe te voegen aan een resourcegroep.
De pagina Roltoewijzing toevoegen bevat alle rollen die kunnen worden toegewezen voor de resourcegroep.
  1. Gebruik het zoekvak om de lijst te filteren op een beter beheerbare grootte. In dit voorbeeld ziet u hoe u filtert op Storage Blob-rollen.
  2. Selecteer de rol die u wilt toewijzen.
Selecteer Volgende om naar het volgende scherm te gaan.
Een schermopname van het filteren en selecteren van roltoewijzingen die moeten worden toegevoegd aan de resourcegroep.
Op de volgende pagina Roltoewijzing toevoegen kunt u opgeven aan welke gebruiker de rol moet toewijzen.
  1. Selecteer Gebruiker, groep of service-principal onder Toegang toewijzen aan.
  2. Selecteer + Leden selecteren onder Leden.
Aan de rechterkant van Azure Portal wordt een dialoogvenster geopend.
Een schermopname van het keuzerondje om een rol toe te wijzen aan een Microsoft Entra-groep en de koppeling die wordt gebruikt om de groep te selecteren waaraan de rol moet worden toegewezen.
In het dialoogvenster Leden selecteren :
  1. Het tekstvak Selecteren kan worden gebruikt om de lijst met gebruikers en groepen in uw abonnement te filteren. Typ indien nodig de eerste paar tekens van de Microsoft Entra-groep voor lokale ontwikkeling die u voor de app hebt gemaakt.
  2. Selecteer de microsoft Entra-groep voor lokale ontwikkeling die is gekoppeld aan uw toepassing.
Selecteer Selecteren onderaan het dialoogvenster om door te gaan.
Een schermopname van het filteren op en selecteren van de Microsoft Entra-groep voor de toepassing in het dialoogvenster Leden selecteren.
De Microsoft Entra-groep wordt weergegeven als geselecteerd in het scherm Roltoewijzing toevoegen. Selecteer Beoordelen + toewijzen om naar de laatste pagina te gaan en vervolgens opnieuw beoordelen en toewijzen om het proces te voltooien. Een schermopname van de voltooide pagina Roltoewijzing toevoegen en de locatie van de knop Beoordelen en toewijzen die wordt gebruikt om het proces te voltooien.

3 - Aanmelden bij Azure met behulp van hulpprogramma's voor ontwikkelaars

Meld u vervolgens aan bij Azure met behulp van een van de verschillende ontwikkelhulpprogramma's. Het account dat u verifieert, moet ook aanwezig zijn in de Microsoft Entra-groep die u eerder hebt gemaakt en geconfigureerd.

  1. Ga naar Extra-opties> om het dialoogvenster Opties te openen.

  2. Typ in het vak Zoekopties bovenaan Azure om de beschikbare opties te filteren.

  3. Kies accountselectie onder Azure-serviceverificatie.

  4. Selecteer de vervolgkeuzelijst onder Een account kiezen en kies ervoor om een Microsoft-account toe te voegen. Er wordt een venster geopend waarin u wordt gevraagd een account te kiezen. Voer de referenties in voor uw gewenste Azure-account en selecteer vervolgens de bevestiging.

    Een schermopname die laat zien hoe u zich aanmeldt bij Azure met behulp van Visual Studio.

  5. Selecteer OK om het dialoogvenster Opties te sluiten.

4 - DefaultAzureCredential implementeren in uw toepassing

DefaultAzureCredential is een geordende volgorde van mechanismen voor verificatie bij Microsoft Entra. Elk verificatiemechanisme is een klasse die is afgeleid van de TokenCredential-klasse en wordt een referentie genoemd. Tijdens runtime DefaultAzureCredential wordt geprobeerd om te verifiëren met behulp van de eerste referentie. Als deze referentie geen toegangstoken kan verkrijgen, wordt de volgende referentie in de reeks geprobeerd, enzovoort, totdat een toegangstoken is verkregen. Op deze manier kan uw app verschillende referenties in verschillende omgevingen gebruiken zonder omgevingsspecifieke code te schrijven.

De volgorde en locaties waarin DefaultAzureCredential wordt gezocht naar referenties, vindt u op DefaultAzureCredential.

Als u dit wilt gebruiken DefaultAzureCredential, voegt u de Azure.Identity en eventueel de Microsoft.Extensions.Azure-pakketten toe aan uw toepassing:

Navigeer in een terminal van uw keuze naar de projectmap van de toepassing en voer de volgende opdrachten uit:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure-services worden geopend met behulp van gespecialiseerde clientklassen uit de verschillende Azure SDK-clientbibliotheken. Deze klassen en uw eigen aangepaste services moeten worden geregistreerd, zodat ze kunnen worden geopend via afhankelijkheidsinjectie in uw app. Voer Program.csin de volgende stappen de volgende stappen uit om een clientklasse te registreren en DefaultAzureCredential:

  1. Neem de Azure.Identity en Microsoft.Extensions.Azure naamruimten op via using instructies.
  2. Registreer de Azure-serviceclient met behulp van de bijbehorende Add-voorvoegselextensiemethode.
  3. Geef een exemplaar van DefaultAzureCredential de UseCredential methode door.

Voorbeeld:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Een alternatief UseCredential is om rechtstreeks te instantiëren DefaultAzureCredential :

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Wanneer de voorgaande code wordt uitgevoerd op uw lokale ontwikkelwerkstation, wordt er gezocht in de omgevingsvariabelen voor een toepassingsservice-principal of in lokaal geïnstalleerde ontwikkelhulpprogramma's, zoals Visual Studio, voor een set ontwikkelaarsreferenties. Beide benaderingen kunnen worden gebruikt om de app te verifiëren bij Azure-resources tijdens lokale ontwikkeling.

Wanneer deze code wordt geïmplementeerd in Azure, kan dezelfde code uw app ook verifiëren bij andere Azure-resources. DefaultAzureCredential kan omgevingsinstellingen en beheerde identiteitsconfiguraties ophalen om automatisch te verifiëren bij andere services.