Uwierzytelnianie aplikacji Node.js w usługach platformy Azure podczas programowania lokalnego przy użyciu kont deweloperów

Podczas programowania lokalnego aplikacje muszą uwierzytelniać się na platformie Azure, aby uzyskać dostęp do różnych usług platformy Azure. Dwa typowe podejścia do uwierzytelniania lokalnego to użycie jednostki usługi albo użycie konta dewelopera. W tym artykule wyjaśniono, jak używać konta dewelopera. W poniższych sekcjach nauczysz się:

• Jak używać grup firmy Microsoft Entra do wydajnego zarządzania uprawnieniami dla wielu kont deweloperów
• Jak przypisać role do kont deweloperów w celu określenia zakresu uprawnień
• Jak zalogować się do obsługiwanych lokalnych narzędzi programistycznych
• Jak uwierzytelniać się przy użyciu konta dewelopera z poziomu kodu aplikacji

Aby aplikacja uwierzytelniła się na platformie Azure podczas programowania lokalnego przy użyciu poświadczeń platformy Azure dla deweloperów, deweloper musi zalogować się na platformę Azure z jednego z następujących narzędzi deweloperskich:

• Azure CLI
• Azure Developer CLI
• Azure PowerShell

Biblioteka tożsamości platformy Azure może wykryć, że deweloper jest zalogowany z jednego z tych narzędzi. Biblioteka może następnie uzyskać token dostępu firmy Microsoft Entra za pośrednictwem narzędzia w celu uwierzytelnienia aplikacji na platformie Azure jako zalogowanego użytkownika.

Takie podejście korzysta z istniejących kont platformy Azure dewelopera w celu usprawnienia procesu uwierzytelniania. Jednak konto dewelopera prawdopodobnie ma więcej uprawnień niż wymagane przez aplikację, w związku z czym przekracza uprawnienia uruchamiane przez aplikację w środowisku produkcyjnym. Alternatywnie można utworzyć zasady usługi aplikacji do użytku w trakcie lokalnego rozwoju, którym można przypisać jedynie dostęp wymagany przez aplikację.

Utwórz grupę Microsoft Entra dla lokalnego tworzenia

Utwórz grupę w Microsoft Entra, aby zdefiniować role (uprawnienia) potrzebne aplikacji podczas lokalnego rozwoju, zamiast przypisywać role poszczególnym obiektom zasad dostępu. Takie podejście zapewnia następujące korzyści:

• Każdy deweloper ma te same role przypisane na poziomie grupy.
• Jeśli dla aplikacji jest potrzebna nowa rola, należy ją dodać tylko do grupy aplikacji.
• Jeśli nowy deweloper dołączy do zespołu, zostanie utworzona nowa jednostka usługi aplikacji dla dewelopera i dodana do grupy, zapewniając deweloperowi odpowiednie uprawnienia do pracy nad aplikacją.

Witryna Azure Portal

1. Przejdź do strony przeglądu Microsoft Entra ID w portalu Azure.

2. Wybierz pozycję Wszystkie grupy z menu po lewej stronie.

3. Na stronie Grupy wybierz pozycję Nowa grupa.

4. Na stronie Nowa grupa wypełnij następujące pola formularza:

   • Typ grupy: wybierz pozycję Zabezpieczenia.
   • Nazwa grupy: wprowadź nazwę grupy, która zawiera odwołanie do nazwy aplikacji lub środowiska.
   • Opis grupy: wprowadź opis, który wyjaśnia przeznaczenie grupy.

   

5. Wybierz link Brak wybranych członków w obszarze Członkowie, aby dodać członków do grupy.

6. W wyświetlonym panelu wysuwanym wyszukaj utworzoną wcześniej jednostkę usługi i wybierz ją z filtrowanych wyników. Wybierz przycisk Wybierz w dolnej części panelu, aby potwierdzić wybór.

7. Wybierz pozycję Utwórz w dolnej części strony Nowa grupa , aby utworzyć grupę i wrócić do strony Wszystkie grupy . Jeśli nie widzisz nowej grupy na liście, zaczekaj chwilę i odśwież stronę.

Interfejs wiersza polecenia platformy Azure

1. Użyj polecenia az ad group create , aby utworzyć grupy w usłudze Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametry --display-name i --mail-nickname są wymagane. Nazwa nadana grupie powinna być oparta na nazwie i środowisku aplikacji, aby wskazać cel grupy.

2. Aby dodać członków do grupy, potrzebny jest identyfikator obiektu jednostki usługi aplikacji, który różni się od identyfikatora aplikacji. Użyj polecenia az ad sp list , aby wyświetlić listę dostępnych jednostek usługi:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametr --filter akceptuje filtry w stylu OData i może służyć do filtrowania listy, jak pokazano. Parametr --query ogranicza dane wyjściowe tylko do interesujących kolumn.

3. Użyj polecenia az ad group member add , aby dodać członków do grupy:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Przypisywanie ról do grupy

Następnie określ, jakich ról (uprawnień) potrzebuje twoja aplikacja na temat zasobów i przypisz te role do utworzonej grupy firmy Microsoft Entra. Grupy można przypisać do roli w zakresie zasobu, grupy zasobów lub subskrypcji. W tym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ większość aplikacji grupuje wszystkie zasoby platformy Azure w jedną grupę zasobów.

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do strony Przegląd grupy zasobów zawierającej aplikację.

2. Wybierz z lewego menu Kontrola dostępu (IAM).

3. Na stronie Kontrola dostępu (zarządzanie dostępem i tożsamościami) wybierz pozycję + Dodaj , a następnie z menu rozwijanego wybierz pozycję Dodaj przypisanie roli . Strona Dodawanie przypisania roli zawiera kilka kart do konfigurowania i przypisywania ról.

4. Na karcie Rola użyj pola wyszukiwania, aby zlokalizować rolę, którą chcesz przypisać. Wybierz rolę, a następnie wybierz pozycję Dalej.

5. Na karcie Członkowie :

   • W polu Przypisz dostęp do wartości wybierz pozycję Użytkownik, grupa lub jednostka usługi .
   • Dla wartości Członkowie wybierz pozycję + Wybierz członków , aby otworzyć panel wysuwany Wybieranie członków .
   • Wyszukaj utworzoną wcześniej grupę Microsoft Entra i wybierz ją z filtrowanych wyników. Wybierz Wybierz, aby wybrać grupę i zamknąć panel wysuwany.
   • Wybierz Przejrzyj + przypisz na dole zakładki Członkowie.

   

6. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz w dolnej części strony.

Interfejs wiersza polecenia platformy Azure

1. Użyj polecenia az role definition list aby uzyskać nazwy ról, które można przypisać grupie Microsoft Entra lub głównej jednostce usługi.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Użyj polecenia az role assignment create , aby przypisać rolę do utworzonej grupy firmy Microsoft Entra:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Logowanie się do platformy Azure przy użyciu narzędzi deweloperskich

Następnie zaloguj się do platformy Azure przy użyciu jednego z kilku narzędzi deweloperskich, których można użyć do przeprowadzenia uwierzytelniania w środowisku projektowym. Konto, które uwierzytelnisz, powinno również istnieć w utworzonej i skonfigurowanej wcześniej grupie Microsoft Entra.

Interfejs wiersza polecenia platformy Azure

Deweloperzy mogą używać interfejsu wiersza polecenia platformy Azure do uwierzytelniania w usłudze Microsoft Entra ID. Aplikacje korzystające z DefaultAzureCredential lub AzureCliCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji podczas uruchamiania lokalnie.

Aby uwierzytelnić się za pomocą Azure CLI, uruchom polecenie az login. W systemie z domyślną przeglądarką internetową interfejs wiersza polecenia platformy Azure uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

az login

W przypadku systemów bez domyślnej przeglądarki internetowej polecenie az login używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić użycie przepływu kodu urządzenia przez interfejs wiersza polecenia platformy Azure, a nie uruchomienie przeglądarki, określając argument --use-device-code.

az login --use-device-code

Azure CLI dla deweloperów

Deweloperzy mogą używać interfejsu wiersza polecenia dla deweloperów platformy Azure do uwierzytelniania w usłudze Microsoft Entra ID. Aplikacje korzystające z DefaultAzureCredential lub AzureDeveloperCliCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji, gdy działają lokalnie.

Aby uwierzytelnić się za pomocą Azure Developer CLI, uruchom polecenie azd auth login. W systemie z domyślną przeglądarką internetową interfejs wiersza polecenia dewelopera platformy Azure uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

azd auth login

W przypadku systemów bez domyślnej przeglądarki internetowej, azd auth login --use-device-code używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić, aby Azure Developer CLI korzystał z przepływu kodu urządzenia zamiast uruchamiania przeglądarki, poprzez określenie argumentu --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Deweloperzy mogą używać programu Azure PowerShell do uwierzytelniania w usłudze Microsoft Entra ID. Aplikacje korzystające z DefaultAzureCredential lub AzurePowerShellCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji przy lokalnym uruchamianiu.

Aby przeprowadzić uwierzytelnianie za pomocą programu Azure PowerShell, uruchom polecenie Connect-AzAccount. W systemie z domyślną przeglądarką internetową i wersją 5.0.0 lub nowszą programu Azure PowerShell uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

Connect-AzAccount

W przypadku systemów bez domyślnej przeglądarki internetowej polecenie Connect-AzAccount używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić użycie przepływu kodu urządzenia przez program Azure PowerShell zamiast uruchamiania przeglądarki przez określenie argumentu UseDeviceAuthentication .

Connect-AzAccount -UseDeviceAuthentication

Uwierzytelnianie w usługach platformy Azure z aplikacji

Biblioteka tożsamości platformy Azure udostępnia różne poświadczenia — implementacjeTokenCredential dostosowane do obsługi różnych scenariuszy i przepływów uwierzytelniania firmy Microsoft Entra. W kolejnych krokach pokazano, jak używać DefaultAzureCredential podczas pracy lokalnie z kontami użytkowników.

Implementowanie kodu

DefaultAzureCredential to uporządkowana sekwencja mechanizmów uwierzytelniania w usłudze Microsoft Entra ID. Każdy mechanizm uwierzytelniania jest klasą pochodzącą z klasy TokenCredential i jest nazywana poświadczeniami. W czasie wykonywania DefaultAzureCredential próbuje uwierzytelnić się przy użyciu pierwszego poświadczenia. Jeśli to poświadczenie nie może uzyskać tokenu dostępu, zostanie podjęta próba następnego poświadczenia w sekwencji itd., dopóki token dostępu nie zostanie pomyślnie uzyskany. W ten sposób aplikacja może używać różnych poświadczeń w różnych środowiskach bez konieczności pisania kodu specyficznego dla środowiska.

Aby użyć DefaultAzureCredential, dodaj pakiety @azure/identity do aplikacji. W wybranym terminalu przejdź do katalogu projektu aplikacji i uruchom następujące polecenie:

npm install @azure/identity

Dostęp do usług platformy Azure jest uzyskiwany przy użyciu wyspecjalizowanych klas klientów z różnych bibliotek klienckich zestawu Azure SDK. Te klasy i własne usługi niestandardowe powinny być zarejestrowane, aby można było uzyskiwać do nich dostęp w całej aplikacji. Wykonaj następujące kroki programowe, aby utworzyć klasę klienta i DefaultAzureCredential:

1. Zaimportuj @azure/identity pakiet.
2. Utwórz klienta usługi Azure i przekaż mu nowe wystąpienie DefaultAzureCredential.

import { DefaultAzureCredential } from "@azure/identity";
import { SomeAzureServiceClient } from "@azure/arm-some-service";

const client = new SomeAzureServiceClient(new DefaultAzureCredential());