Uwierzytelnianie aplikacji platformy .NET w usługach platformy Azure podczas programowania lokalnego przy użyciu kont deweloperów

Podczas programowania lokalnego aplikacje muszą uwierzytelniać się na platformie Azure, aby korzystać z różnych usług platformy Azure. Uwierzytelnij się lokalnie przy użyciu jednego z następujących metod:

• Użyj konta dewelopera z jednym z narzędzi deweloperskich obsługiwanych przez bibliotekę tożsamości platformy Azure.
• Użyj brokera do zarządzania poświadczeniami.
• Użyj jednostki usługi.

W tym artykule wyjaśniono, jak uwierzytelniać się przy użyciu konta dewelopera przy użyciu narzędzi obsługiwanych przez bibliotekę tożsamości platformy Azure. W poniższych sekcjach nauczysz się:

• Jak używać grup firmy Microsoft Entra do wydajnego zarządzania uprawnieniami dla wielu kont deweloperów.
• Jak przypisywać role do kont deweloperów w celu określenia zakresu uprawnień.
• Jak zalogować się do obsługiwanych lokalnych narzędzi programistycznych.
• Jak uwierzytelniać się przy użyciu konta dewelopera z poziomu kodu aplikacji.

Obsługiwane narzędzia deweloperskie do uwierzytelniania

Aby aplikacja uwierzytelniła się na platformie Azure podczas programowania lokalnego przy użyciu poświadczeń platformy Azure dla deweloperów, deweloper musi zalogować się na platformę Azure z jednego z następujących narzędzi deweloperskich:

• Interfejs Azure CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio
• Visual Studio Code

Biblioteka tożsamości platformy Azure może wykryć, że deweloper jest zalogowany z jednego z tych narzędzi. Biblioteka może następnie uzyskać token dostępu firmy Microsoft Entra za pośrednictwem narzędzia w celu uwierzytelnienia aplikacji na platformie Azure jako zalogowanego użytkownika.

Takie podejście korzysta z istniejących kont platformy Azure dewelopera w celu usprawnienia procesu uwierzytelniania. Jednak konto dewelopera prawdopodobnie ma więcej uprawnień niż wymagane przez aplikację, w związku z czym przekracza uprawnienia uruchamiane przez aplikację w środowisku produkcyjnym. Alternatywnie, można utworzyć konta usługi aplikacji do użycia podczas lokalnego tworzenia, które mogą mieć jedynie dostęp wymagany przez aplikację.

Utwórz grupę Microsoft Entra do rozwoju lokalnego

Utwórz grupę Entra w Microsoft, aby zgrupować role (uprawnienia), których aplikacja potrzebuje w środowisku lokalnym, zamiast przypisywać te role do poszczególnych obiektów głównych usługi. Takie podejście zapewnia następujące korzyści:

• Każdy deweloper ma te same role przypisane na poziomie grupy.
• Jeśli dla aplikacji jest potrzebna nowa rola, należy ją dodać tylko do grupy aplikacji.
• Jeśli nowy deweloper dołączy do zespołu, zostanie utworzona nowa jednostka usługi aplikacji dla dewelopera i dodana do grupy, zapewniając deweloperowi odpowiednie uprawnienia do pracy nad aplikacją.

Portal Azure

1. Przejdź do strony przeglądu Microsoft Entra ID w portalu Azure.

2. Wybierz opcję Wszystkie grupy z menu po lewej stronie.

3. Na stronie grupy wybierz pozycję Nowa grupa.

4. Na stronie Nowa grupa wypełnij następujące pola formularza:

   • Typ grupy: wybierz pozycję Security.
   • nazwa grupy: wprowadź nazwę grupy zawierającej odwołanie do nazwy aplikacji lub środowiska.
   • opis grupy: wprowadź opis wyjaśniający cel grupy.

   

5. Wybierz link „Brak wybranych członków” w obszarze „Członkowie”, aby dodać członków do grupy.

6. W wyświetlonym panelu wysuwanym wyszukaj utworzoną wcześniej jednostkę usługi i wybierz ją z filtrowanych wyników. Wybierz przycisk Wybierz na dole panelu, aby potwierdzić swój wybór.

7. Wybierz pozycję Utwórz u dołu strony Nowa grupa, aby utworzyć grupę i wrócić do strony Wszystkie grupy. Jeśli nie widzisz nowej grupy na liście, zaczekaj chwilę i odśwież stronę.

Azure CLI

1. Użyj polecenia az ad group create, aby utworzyć grupy w usłudze Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametry --display-name i --mail-nickname są wymagane. Nazwa nadana grupie powinna być oparta na nazwie i środowisku aplikacji, aby wskazać cel grupy.

2. Aby dodać członków do grupy, potrzebny jest identyfikator obiektu "service principal" aplikacji, który różni się od identyfikatora aplikacji. Użyj polecenia az ad sp list, aby wyświetlić listę dostępnych jednostek usługi:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametr --filter akceptuje filtry w stylu OData i może służyć do filtrowania listy, jak pokazano. Parametr --query ogranicza dane wyjściowe tylko do interesujących kolumn.

3. Użyj komendy az ad group member add, aby dodać członków do grupy.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Przypisywanie ról do grupy

Następnie określ, jakich ról (uprawnień) potrzebuje twoja aplikacja na temat zasobów i przypisz te role do utworzonej grupy firmy Microsoft Entra. Grupy można przypisać do roli w zakresie zasobu, grupy zasobów lub subskrypcji. W tym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ większość aplikacji grupuje wszystkie zasoby platformy Azure w jedną grupę zasobów.

Portal Azure

1. W portalu Azure przejdź do strony Przegląd grupy zasobów zawierającej Twoją aplikację.

2. Wybierz Kontrola dostępu (IAM) z nawigacji po lewej stronie.

3. Na stronie kontroli dostępu (IAM) wybierz pozycję + Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli z rozwijanego menu. Strona Dodawania ról zawiera kilka zakładek do konfigurowania i przypisywania ról.

4. Na karcie Rola użyj pola wyszukiwania, aby zlokalizować rolę, którą chcesz przypisać. Wybierz rolę, a następnie wybierz pozycję Dalej.

5. Na karcie Członkowie:

   • Dla wartości Przypisz dostęp do wybierz użytkownik, grupa lub jednostka usługi .
   • Dla wartości członkowie wybierz pozycję + Wybierz członków, aby otworzyć panel wysuwany Wybierz członków.
   • Wyszukaj utworzoną wcześniej grupę Microsoft Entra i wybierz ją z filtrowanych wyników. Wybierz , a następnie, aby wybrać grupę i zamknąć wysuwane okno.
   • Wybierz Przejrzyj i przypisz w dolnej części karty Członków.

   

6. Na zakładce Przeglądanie i przypisywanie wybierz pozycję Przeglądanie i przypisywanie na dole strony.

Azure CLI

1. Użyj polecenia az role definition list, aby uzyskać nazwy ról, do których można przypisać grupę lub jednostkę usługi firmy Microsoft:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Użyj polecenia az role assignment create, aby przypisać rolę do utworzonej grupy Microsoft Entra.

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Logowanie się do platformy Azure przy użyciu narzędzi deweloperskich

Następnie zaloguj się do platformy Azure przy użyciu jednego z kilku narzędzi deweloperskich, których można użyć do przeprowadzenia uwierzytelniania w środowisku projektowym. Konto, które uwierzytelnisz, powinno również istnieć w utworzonej i skonfigurowanej wcześniej grupie Microsoft Entra.

Deweloperzy korzystający z programu Visual Studio 2017 lub nowszego mogą uwierzytelniać się przy użyciu konta dewelopera za pośrednictwem środowiska IDE. Aplikacje korzystające z DefaultAzureCredential lub VisualStudioCredential mogą odnajdywać i używać tego konta do uwierzytelniania żądań aplikacji podczas uruchamiania lokalnego. To konto jest również używane podczas publikowania aplikacji bezpośrednio z programu Visual Studio na platformę Azure.

Ważne

Musisz zainstalować obciążenie programistyczne Azure, aby umożliwić użycie narzędzi programu Visual Studio do uwierzytelniania, tworzenia i wdrażania w Azure.

1. W programie Visual Studio przejdź do Tools>Options, aby otworzyć okno dialogowe opcji.

2. W polu Opcje wyszukiwania u góry wpisz Azure, aby filtrować dostępne opcje.

3. W obszarze Uwierzytelnianie usługi Azure wybierz Wybór konta.

4. Wybierz menu rozwijane w obszarze Wybierz konto i wybierz opcję dodania konta Microsoft.

5. W otwartym oknie wprowadź poświadczenia wybranego przez ciebie konta Azure, a następnie potwierdź wprowadzone dane.

   

6. Wybierz przycisk OK , aby zamknąć okno dialogowe opcji.

Visual Studio Code

Deweloperzy korzystający z programu Visual Studio Code mogą uwierzytelniać się przy użyciu konta dewelopera bezpośrednio za pośrednictwem edytora za pośrednictwem brokera. Aplikacje korzystające z DefaultAzureCredential lub VisualStudioCodeCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji poprzez bezproblemowe jednokrotne logowanie.

1. W programie Visual Studio Code przejdź do panelu Rozszerzenia i zainstaluj rozszerzenie Zasoby platformy Azure . To rozszerzenie umożliwia wyświetlanie zasobów platformy Azure i zarządzanie nimi bezpośrednio z poziomu programu Visual Studio Code. Używa również wbudowanego dostawcy uwierzytelniania firmy Microsoft programu Visual Studio Code do uwierzytelniania za pomocą platformy Azure.

   

2. Otwórz paletę poleceń w programie Visual Studio Code, a następnie wyszukaj i wybierz pozycję Azure: Zaloguj.

   

   Wskazówka

   Otwórz paletę poleceń przy użyciu systemu Ctrl+Shift+P Windows/Linux lub Cmd+Shift+P w systemie macOS.

3. Dodaj pakiet NuGet Azure.Identity.Broker do aplikacji:

   dotnet add package Azure.Identity.Broker
   

Deweloperzy mogą uwierzytelniać się przy użyciu interfejsu wiersza polecenia platformy Azure . Aplikacje korzystające z DefaultAzureCredential lub AzureCliCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji.

Aby uwierzytelnić się za pomocą interfejsu wiersza polecenia platformy Azure, uruchom polecenie az login. W systemie z domyślną przeglądarką internetową interfejs wiersza polecenia platformy Azure uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

az login

W przypadku systemów bez domyślnej przeglądarki internetowej polecenie az login używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić użycie przepływu kodu urządzenia przez Azure CLI zamiast uruchamiania przeglądarki, określając argument --use-device-code.

az login --use-device-code

Deweloperzy mogą uwierzytelniać się przy użyciu interfejsu wiersza polecenia dla deweloperów platformy Azure . Aplikacje korzystające z DefaultAzureCredential lub AzureDeveloperCliCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji.

Aby uwierzytelnić się przy użyciu Azure Developer CLI, uruchom polecenie azd auth login. W systemie z domyślną przeglądarką internetową interfejs wiersza polecenia dewelopera platformy Azure uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

azd auth login

W przypadku systemów bez domyślnej przeglądarki internetowej azd auth login --use-device-code używa procesu uwierzytelniania za pomocą kodu urządzenia. Użytkownik może również wymusić, aby Azure Developer CLI korzystał z przepływu kodu urządzenia zamiast uruchamiania przeglądarki, poprzez określenie argumentu --use-device-code.

azd auth login --use-device-code

Deweloperzy mogą uwierzytelniać się przy użyciu programu Azure PowerShell . Aplikacje korzystające z DefaultAzureCredential lub AzurePowerShellCredential mogą następnie używać tego konta do uwierzytelniania żądań aplikacji.

Aby uwierzytelnić się za pomocą programu Azure PowerShell, uruchom polecenie Connect-AzAccount. W systemie z domyślną przeglądarką internetową i wersją 5.0.0 lub nowszą programu Azure PowerShell uruchamia przeglądarkę w celu uwierzytelnienia użytkownika.

Connect-AzAccount

W przypadku systemów bez domyślnej przeglądarki internetowej polecenie Connect-AzAccount używa przepływu uwierzytelniania kodu urządzenia. Użytkownik może również wymusić użycie przepływu kodu urządzenia przez program Azure PowerShell, a nie uruchomienie przeglądarki, określając argument UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Uwierzytelnianie w usługach platformy Azure z aplikacji

Biblioteka tożsamości platformy Azure udostępnia implementacje, które obsługują różne scenariusze TokenCredential i przepływy uwierzytelniania firmy Microsoft Entra. Poniższe kroki pokazują, jak używać DefaultAzureCredential lub poświadczeń dla określonego narzędzia programistycznego podczas pracy z kontami użytkowników lokalnie.

Implementowanie kodu

Wykonaj następujące kroki:

1. Dodaj odwołania do pakietów Azure.Identity i Microsoft.Extensions.Azure w projekcie:

   dotnet add package Azure.Identity
   dotnet add package Microsoft.Extensions.Azure
   

2. W Program.cs dodaj using dyrektywy dla przestrzeni nazw Azure.Identity i Microsoft.Extensions.Azure.

3. Zarejestruj klienta usługi Azure używając odpowiedniej metody rozszerzenia z prefiksem Add.

   Dostęp do usług platformy Azure jest uzyskiwany przy użyciu wyspecjalizowanych klas klientów z bibliotek klienckich zestawu Azure SDK. Zarejestruj te typy klientów, aby uzyskać do nich dostęp za pośrednictwem wstrzykiwania zależności w aplikacji.

4. Przekaż wystąpienie TokenCredential do metody UseCredential. Typowe TokenCredential przykłady obejmują:

   • DefaultAzureCredential Wystąpienie zoptymalizowane pod kątem programowania lokalnego. W tym przykładzie zmienna środowiskowa AZURE_TOKEN_CREDENTIALS jest ustawiana na dev. Aby uzyskać więcej informacji, zobacz Wykluczanie kategorii typu poświadczeń.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         DefaultAzureCredential credential = new(
             DefaultAzureCredential.DefaultEnvironmentVariableName);
         clientBuilder.UseCredential(credential);
     });
     

   • Instancja poświadczenia odpowiadająca określonemu narzędziu programistycznemu, takiemu jak VisualStudioCredential.

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         VisualStudioCredential credential = new();
         clientBuilder.UseCredential(credential);
     });
     

   Wskazówka

   Kiedy zespół używa wielu narzędzi programistycznych do uwierzytelniania w Azure, preferuj lokalne wystąpienie DefaultAzureCredential zoptymalizowane pod kątem lokalnego środowiska deweloperskiego zamiast poświadczeń specyficznych dla narzędzi.