Uwierzytelnianie aplikacji platformy .NET w usługach platformy Azure podczas programowania lokalnego przy użyciu kont deweloperów
Podczas tworzenia aplikacji w chmurze deweloperzy muszą debugować i testować aplikacje na lokalnej stacji roboczej. Gdy aplikacja jest uruchamiana na stacji roboczej dewelopera podczas programowania lokalnego, nadal musi uwierzytelniać się w dowolnych usługach platformy Azure używanych przez aplikację. W tym artykule opisano, jak używać poświadczeń platformy Azure dewelopera do uwierzytelniania aplikacji na platformie Azure podczas programowania lokalnego.
Aby aplikacja uwierzytelniła się na platformie Azure podczas programowania lokalnego przy użyciu poświadczeń platformy Azure dewelopera, deweloper musi być zalogowany na platformie Azure z poziomu rozszerzenia narzędzi platformy Azure programu VS Code, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Zestaw Azure SDK dla platformy .NET może wykryć, że deweloper jest zalogowany z jednego z tych narzędzi, a następnie uzyskuje wymagane poświadczenia z pamięci podręcznej poświadczeń w celu uwierzytelnienia aplikacji na platformie Azure jako zalogowanego użytkownika.
To podejście jest najłatwiejsze do skonfigurowania dla zespołu deweloperów, ponieważ korzysta z istniejących kont platformy Azure deweloperów. Jednak konto dewelopera prawdopodobnie będzie mieć więcej uprawnień niż wymagane przez aplikację, dlatego przekroczenie uprawnień, z których aplikacja będzie działać w środowisku produkcyjnym. Alternatywnie można utworzyć jednostki usługi aplikacji do użycia podczas tworzenia lokalnego, które mogą być ograniczone tylko do dostępu wymaganego przez aplikację.
1 — Tworzenie grupy usługi Azure AD na potrzeby programowania lokalnego
Ponieważ prawie zawsze istnieje wielu deweloperów, którzy pracują nad aplikacją, zaleca się najpierw utworzenie grupy usługi Azure AD w celu hermetyzacji ról (uprawnień) wymaganych przez aplikację w lokalnych programach deweloperskich. Oferuje to następujące korzyści.
- Każdy deweloper ma przypisane te same role, ponieważ role są przypisywane na poziomie grupy.
- Jeśli dla aplikacji potrzebna jest nowa rola, należy ją dodać tylko do grupy usługi Azure AD dla aplikacji.
- Jeśli nowy deweloper dołącza do zespołu, po prostu musi zostać dodany do właściwej grupy usługi Azure AD, aby uzyskać odpowiednie uprawnienia do pracy nad aplikacją.
Jeśli masz istniejącą grupę usługi Azure AD dla zespołu deweloperów, możesz użyć tej grupy. W przeciwnym razie wykonaj następujące kroki, aby utworzyć grupę usługi Azure AD.
2 — Przypisywanie ról do grupy usługi Azure AD
Następnie należy określić, jakich ról (uprawnień) potrzebuje twoja aplikacja na temat zasobów i przypisać te role do aplikacji. W tym przykładzie role zostaną przypisane do grupy usługi Azure Active Directory utworzonej w kroku 1. Role mogą być przypisywane do roli w zakresie zasobu, grupy zasobów lub subskrypcji. W tym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ większość aplikacji grupuje wszystkie zasoby platformy Azure w jedną grupę zasobów.
3 — Logowanie się do platformy Azure przy użyciu narzędzi platformy .NET
Następnie musisz zalogować się do platformy Azure przy użyciu jednej z kilku opcji narzędzi platformy .NET. Konto, do którego się logujesz, powinno również istnieć w utworzonej i skonfigurowanej wcześniej grupie usługi Azure Active Directory.
- Program Visual Studio
- Rozszerzenie narzędzi platformy Azure programu VS Code
- Interfejs wiersza polecenia platformy Azure
- Azure PowerShell
W górnym menu programu Visual Studio przejdź do pozycji Opcje narzędzi>, aby otworzyć okno dialogowe opcji. Na pasku wyszukiwania w lewym górnym rogu wpisz Azure , aby filtrować opcje. W obszarze Uwierzytelnianie usługi platformy Azure wybierz pozycję Wybór konta.
Wybierz menu rozwijane w obszarze Wybierz konto i wybierz opcję dodania konta Microsoft. Zostanie otwarte okno z monitem o wybranie konta. Wprowadź poświadczenia żądanego konta platformy Azure, a następnie wybierz potwierdzenie.
4 — Implementowanie wartości domyślnejAzureCredential w aplikacji
DefaultAzureCredential
obsługuje wiele metod uwierzytelniania i określa metodę uwierzytelniania używaną w czasie wykonywania. W ten sposób aplikacja może używać różnych metod uwierzytelniania w różnych środowiskach bez implementowania kodu specyficznego dla środowiska.
Kolejność i lokalizacje, w których DefaultAzureCredential
wyszukiwanie poświadczeń znajduje się w obszarze DefaultAzureCredential.
Aby zaimplementować element DefaultAzureCredential
, najpierw dodaj Azure.Identity
pakiety i opcjonalnie Microsoft.Extensions.Azure
do aplikacji. Można to zrobić przy użyciu wiersza polecenia lub Menedżer pakietów NuGet.
Otwórz wybrane środowisko terminalowe w katalogu projektu aplikacji i wprowadź poniższe polecenie.
dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure
Dostęp do usług platformy Azure jest zwykle uzyskiwany przy użyciu odpowiednich klas klientów z zestawu SDK. Te klasy i własne usługi niestandardowe powinny być zarejestrowane w Program.cs
pliku, aby można było uzyskać do nich dostęp za pośrednictwem wstrzykiwania zależności w całej aplikacji. W pliku Program.cs
wykonaj poniższe kroki, aby poprawnie skonfigurować usługę i DefaultAzureCredential
.
- Uwzględnij
Azure.Identity
przestrzenie nazw iMicrosoft.Extensions.Azure
z instrukcją using. - Zarejestruj usługę platformy Azure przy użyciu odpowiednich metod pomocnika.
- Przekaż wystąpienie
DefaultAzureCredential
obiektu doUseCredential
metody .
Przykład jest pokazany w następującym segmencie kodu.
using Microsoft.Extensions.Azure;
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
x.UseCredential(new DefaultAzureCredential());
});
Alternatywnie możesz również korzystać DefaultAzureCredential
z usług bardziej bezpośrednio bez pomocy dodatkowych metod rejestracji platformy Azure, jak pokazano poniżej.
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x =>
new BlobServiceClient(
new Uri("https://<account-name>.blob.core.windows.net"),
new DefaultAzureCredential()));
Gdy powyższy kod jest uruchamiany na lokalnej stacji roboczej podczas programowania lokalnego, będzie on wyglądał w zmiennych środowiskowych dla jednostki usługi aplikacji lub w programie Visual Studio, VS Code, interfejsie wiersza polecenia platformy Azure lub programie Azure PowerShell dla zestawu poświadczeń dewelopera, których można użyć do uwierzytelniania aplikacji w zasobach platformy Azure podczas programowania lokalnego.
Po wdrożeniu na platformie Azure ten sam kod może również uwierzytelniać aplikację w innych zasobach platformy Azure. DefaultAzureCredential
program może automatycznie pobierać ustawienia środowiska i konfiguracje tożsamości zarządzanej w celu automatycznego uwierzytelniania w innych usługach.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla