Uwierzytelnianie aplikacji języka Python w usługach Azure podczas programowania lokalnego za pomocą kont deweloperskich

Podczas programowania lokalnego aplikacje muszą uwierzytelniać się na platformie Azure, aby korzystać z różnych usług platformy Azure. Uwierzytelnij się lokalnie przy użyciu jednego z następujących podejść:

• Użyj konta dewelopera z jednym z narzędzi deweloperskich obsługiwanych przez bibliotekę tożsamości platformy Azure.
• Użyj brokera do zarządzania poświadczeniami.
• Użyj jednostki usługi.

W tym artykule wyjaśniono, jak uwierzytelniać się przy użyciu konta dewelopera z narzędziami obsługiwanymi przez bibliotekę Azure Identity. W poniższych sekcjach nauczysz się:

• Jak używać grup firmy Microsoft Entra do wydajnego zarządzania uprawnieniami dla wielu kont deweloperów.
• Jak przypisywać role do kont deweloperów w celu określenia zakresu uprawnień.
• Jak zalogować się do obsługiwanych lokalnych narzędzi programistycznych.
• Jak uwierzytelnić się przy użyciu konta dewelopera z poziomu kodu aplikacji.

Obsługiwane narzędzia deweloperskie do uwierzytelniania

Aby aplikacja mogła uwierzytelnić się na platformie Azure podczas programowania lokalnego przy użyciu poświadczeń platformy Azure dewelopera, deweloper musi zalogować się do platformy Azure za pomocą jednego z następujących narzędzi deweloperskich:

• Azure CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio Code

Biblioteka Azure Identity może wykryć, że deweloper jest zalogowany z jednego z tych narzędzi. Biblioteka może następnie uzyskać za pośrednictwem narzędzia token dostępu Microsoft Entra, aby uwierzytelnić aplikację w usłudze Azure jako zalogowanego użytkownika.

Takie podejście usprawnia proces uwierzytelniania, korzystając z istniejących kont Azure dewelopera. Jednak konto dewelopera prawdopodobnie ma więcej uprawnień niż wymagane przez aplikację, co oznacza, że przekracza uprawnienia uruchamiane przez aplikację w środowisku produkcyjnym. Alternatywnie można utworzyć jednostki usługi aplikacji do użycia podczas programowania lokalnego, które można ograniczyć do zakresu, aby mieć tylko dostęp wymagany przez aplikację.

Utwórz grupę Microsoft Entra do rozwoju lokalnego

Utwórz grupę Entra w Microsoft, aby zgrupować role (uprawnienia), których aplikacja potrzebuje w środowisku lokalnym, zamiast przypisywać te role do poszczególnych obiektów głównych usługi. Takie podejście zapewnia następujące korzyści:

• Każdy deweloper ma te same role przypisane na poziomie grupy.
• Jeśli dla aplikacji jest potrzebna nowa rola, należy ją dodać tylko do grupy aplikacji.
• Jeśli nowy deweloper dołączy do zespołu, zostanie utworzona nowa jednostka usługi aplikacji dla dewelopera i dodana do grupy, zapewniając deweloperowi odpowiednie uprawnienia do pracy nad aplikacją.

Portal Azure

1. Przejdź do strony przeglądu Microsoft Entra ID w portalu Azure.

2. Wybierz pozycję Wszystkie grupy z menu po lewej stronie.

3. Na stronie Grupy wybierz pozycję Nowa grupa.

4. Na stronie Nowa grupa wypełnij następujące pola formularza:

   • Typ grupy: wybierz pozycję Security.
   • Nazwa grupy: wprowadź nazwę grupy, która zawiera odwołanie do nazwy aplikacji lub środowiska.
   • Opis grupy: wprowadź opis, który wyjaśnia przeznaczenie grupy.

   

5. Wybierz link Brak wybranych członków w obszarze Członkowie, aby dodać członków do grupy.

6. W wyświetlonym panelu wysuwanym wyszukaj utworzoną wcześniej jednostkę usługi i wybierz ją z filtrowanych wyników. Wybierz przycisk Wybierz w dolnej części panelu, aby potwierdzić wybór.

7. Wybierz pozycję Utwórz w dolnej części strony Nowa grupa , aby utworzyć grupę i wrócić do strony Wszystkie grupy . Jeśli nie widzisz nowej grupy na liście, zaczekaj chwilę i odśwież stronę.

Interfejs wiersza polecenia platformy Azure

1. Użyj polecenia az ad group create, aby utworzyć grupy w usłudze Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametry --display-name i --mail-nickname są wymagane. Nazwa nadana grupie powinna być oparta na nazwie i środowisku aplikacji, aby wskazać cel grupy.

2. Aby dodać członków do grupy, potrzebny jest identyfikator obiektu głównej jednostki usługi aplikacji, który różni się od identyfikatora aplikacji. Użyj polecenia az ad sp list , aby wyświetlić listę dostępnych jednostek usługi:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametr --filter akceptuje filtry w stylu OData i może służyć do filtrowania listy, jak pokazano. Parametr --query ogranicza dane wyjściowe tylko do interesujących kolumn.

3. Użyj polecenia az ad group member add , aby dodać członków do grupy:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Przypisywanie ról do grupy

Następnie określ, jakich ról (uprawnień) potrzebuje twoja aplikacja na temat zasobów i przypisz te role do utworzonej grupy firmy Microsoft Entra. Grupy można przypisać do roli w zakresie zasobu, grupy zasobów lub subskrypcji. W tym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ większość aplikacji grupuje wszystkie zasoby platformy Azure w jedną grupę zasobów.

Portal Azure

1. W witrynie Azure Portal przejdź do strony Przegląd grupy zasobów zawierającej aplikację.

2. Wybierz Kontrola dostępu (IAM) z nawigacji po lewej stronie.

3. Na stronie Kontrola dostępu (zarządzanie dostępem i tożsamościami) wybierz pozycję + Dodaj , a następnie z menu rozwijanego wybierz pozycję Dodaj przypisanie roli . Strona Dodawanie przypisania roli zawiera kilka kart do konfigurowania i przypisywania ról.

4. Na karcie Rola użyj pola wyszukiwania, aby zlokalizować rolę, którą chcesz przypisać. Wybierz rolę, a następnie wybierz pozycję Dalej.

5. Na karcie Członkowie:

   • W polu Przypisz dostęp do wartości wybierz pozycję Użytkownik, grupa lub jednostka usługi .
   • Dla wartości Członkowie wybierz pozycję + Wybierz członków , aby otworzyć panel wysuwany Wybieranie członków .
   • Wyszukaj utworzoną wcześniej grupę Microsoft Entra i wybierz ją z filtrowanych wyników. Wybierz , a następnie, aby wybrać grupę i zamknąć wysuwane okno.
   • Wybierz Przejrzyj + przypisz na dole zakładki Członkowie.

   

6. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz w dolnej części strony.

Interfejs wiersza polecenia platformy Azure

1. Użyj polecenia az role definition list aby uzyskać nazwy ról, które można przypisać grupie Microsoft Entra lub głównej jednostce usługi.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Użyj polecenia az role assignment create , aby przypisać rolę do utworzonej grupy firmy Microsoft Entra:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji za pomocą Azure CLI, zobacz Przypisywanie ról platformy Azure za pomocą Azure CLI.

Zaloguj się do Azure przy użyciu narzędzi deweloperskich

Aby uwierzytelnić się przy użyciu konta Azure, wybierz jedną z następujących metod:

Visual Studio Code

Deweloperzy korzystający z programu Visual Studio Code mogą uwierzytelniać się przy użyciu konta dewelopera bezpośrednio za pośrednictwem edytora za pośrednictwem brokera. Aplikacje korzystające z elementu DefaultAzureCredential lub VisualStudioCodeCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji za pomocą bezproblemowego środowiska logowania jednokrotnego.

1. W programie Visual Studio Code przejdź do panelu Rozszerzenia i zainstaluj rozszerzenie Zasoby platformy Azure . To rozszerzenie umożliwia wyświetlanie zasobów platformy Azure i zarządzanie nimi bezpośrednio z poziomu programu Visual Studio Code. Używa również wbudowanego dostawcy uwierzytelniania firmy Microsoft programu Visual Studio Code do uwierzytelniania za pomocą platformy Azure.

   

2. Otwórz paletę poleceń w programie Visual Studio Code, a następnie wyszukaj i wybierz pozycję Azure: Zaloguj.

   

   Wskazówka

   Otwórz paletę poleceń przy użyciu polecenia Ctrl+Shift+P w systemie Windows/Linux lub Cmd+Shift+P macOS.

3. azure-identity-broker Dodaj pakiet języka Python do aplikacji:

   pip install azure-identity-broker
   

Interfejs wiersza polecenia platformy Azure

Deweloperzy mogą używać interfejsu wiersza polecenia platformy Azure do uwierzytelniania w usłudze Microsoft Entra ID. Aplikacje korzystające z DefaultAzureCredential lub AzureCliCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji podczas uruchamiania lokalnie.

Aby uwierzytelnić się za pomocą Azure CLI, uruchom polecenie az login. W systemie z domyślną przeglądarką internetową interfejs wiersza polecenia platformy Azure uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

az login

W przypadku systemów bez domyślnej przeglądarki internetowej polecenie az login używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić użycie przepływu kodu urządzenia przez Azure CLI zamiast uruchamiania przeglądarki, określając argument --use-device-code.

az login --use-device-code

Interfejs wiersza polecenia dla deweloperów platformy Azure

Deweloperzy mogą używać interfejsu wiersza polecenia dla deweloperów platformy Azure do uwierzytelniania w usłudze Microsoft Entra ID. Aplikacje korzystające z DefaultAzureCredential lub AzureDeveloperCliCredential mogą używać tego konta do uwierzytelniania żądań aplikacji podczas uruchamiania lokalnie.

Aby się uwierzytelnić przy użyciu interfejsu wiersza polecenia Azure Developer CLI, uruchom polecenie azd auth login. W systemie z domyślną przeglądarką internetową interfejs wiersza polecenia dewelopera platformy Azure uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

azd auth login

W przypadku systemów bez domyślnej przeglądarki internetowej polecenie azd auth login --use-device-code używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić, aby Azure Developer CLI korzystał z przepływu kodu urządzenia zamiast uruchamiania przeglądarki, poprzez określenie argumentu --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Deweloperzy mogą używać programu Azure PowerShell do uwierzytelniania w usłudze Microsoft Entra ID. Aplikacje korzystające z DefaultAzureCredential lub AzurePowerShellCredential mogą używać tego konta do uwierzytelniania żądań aplikacji, gdy są uruchamiane lokalnie.

Aby uwierzytelnić się przy użyciu Azure PowerShell, uruchom polecenie Connect-AzAccount. W systemie z domyślną przeglądarką internetową i wersją 5.0.0 lub nowszą programu Azure PowerShell uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

Connect-AzAccount

W przypadku systemów bez domyślnej przeglądarki internetowej polecenie Connect-AzAccount używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić użycie przepływu kodu urządzenia przez program Azure PowerShell zamiast uruchamiania przeglądarki przez określenie argumentu UseDeviceAuthentication .

Connect-AzAccount -UseDeviceAuthentication

Uwierzytelnianie w usługach platformy Azure z aplikacji

Biblioteka tożsamości platformy Azure udostępnia implementacje TokenCredential, które obsługują różne scenariusze i przepływy uwierzytelniania Microsoft Entra. W poniższych krokach pokazano, jak używać poświadczeń defaultAzureCredential lub określonego narzędzia programistycznego podczas pracy z kontami użytkowników lokalnie.

Implementowanie kodu

1. Dodaj pakiet azure-identity i wszystkie pakiety klienta usługi Azure wymagane przez aplikację:

   pip install azure-identity azure-storage-blob
   

   Uwaga

   W przypadku korzystania z VisualStudioCodeCredential należy również zainstalować azure-identity-broker pakiet:

   pip install azure-identity-broker
   

   Dodaj niezbędne import instrukcje dla modułu azure.identity i modułu klienta usługi Azure, których potrzebuje aplikacja.

2. Wybierz jedną z implementacji poświadczeń na podstawie danego scenariusza.

   • Użyj poświadczeń specyficznych dla narzędzia programistycznego: ta opcja jest najlepsza w przypadku scenariuszy pojedynczej osoby lub jednego narzędzia.
   • Użyj poświadczeń dostępnych do użycia w dowolnym narzędziu programistycznym: ta opcja jest najlepsza dla projektów open source i różnych zespołów narzędzi.

Używanie poświadczeń specyficznych dla narzędzia programistycznego

Przekaż wystąpienie TokenCredential odpowiadające określonemu narzędziu programistycznemu do konstruktora klienta usługi platformy Azure, takie jak AzureCliCredential.

from azure.identity import AzureCliCredential
from azure.storage.blob import BlobServiceClient

credential = AzureCliCredential()

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Używanie poświadczeń dostępnych do użycia w dowolnym narzędziu programistycznym

Użyj wystąpienia DefaultAzureCredential, które jest zoptymalizowane do wszystkich lokalnych narzędzi programistycznych. W tym przykładzie zmienna środowiskowa AZURE_TOKEN_CREDENTIALS jest ustawiona na dev. Aby uzyskać więcej informacji, zobacz Wykluczanie kategorii typu poświadczeń.

Ustaw zmienną środowiskową przed uruchomieniem aplikacji:

export AZURE_TOKEN_CREDENTIALS=dev

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

credential = DefaultAzureCredential(require_envvar=True)

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Wskazówka

Gdy zespół używa wielu narzędzi programistycznych do uwierzytelniania za pomocą platformy Azure, preferuj DefaultAzureCredential zamiast poświadczeń specyficznych dla narzędzi.