Autenticar aplicativos .NET nos serviços do Azure durante o desenvolvimento local usando contas de desenvolvedor

Ao criar aplicativos de nuvem, os desenvolvedores precisam depurar e testar aplicativos em sua estação de trabalho local. Quando um aplicativo é executado na estação de trabalho de um desenvolvedor durante o desenvolvimento local, deve ser feita a autenticação em todos os serviços do Azure usados pelo aplicativo. Este artigo trata de como usar as credenciais do Azure de um desenvolvedor para autenticar o aplicativo no Azure durante o desenvolvimento local.

Para a autenticação de um aplicativo no Azure durante o desenvolvimento local usando as credenciais do Azure do desenvolvedor, o desenvolvedor deve ser conectado ao Azure pela extensão de ferramentas do Azure do VS Code, da CLI do Azure ou Azure PowerShell. O SDK do Azure para .NET pode detectar que o desenvolvedor está conectado a uma dessas ferramentas e, em seguida, obter as credenciais necessárias do cache de credenciais para autenticar o aplicativo no Azure como o usuário conectado.

Essa abordagem é mais fácil de configurar para uma equipe de desenvolvimento, pois aproveita as contas existentes do Azure dos desenvolvedores. No entanto, a conta de um desenvolvedor provavelmente terá mais permissões do que o exigido pelo aplicativo, o que excede as permissões com as quais o aplicativo será executado em produção. Como alternativa, você pode criar entidades de serviço de aplicativo a serem usadas durante o desenvolvimento local, que podem ter apenas o acesso necessário pelo aplicativo.

1 – Criar um grupo do Azure AD para desenvolvimento local

Como quase sempre há vários desenvolvedores que trabalham em um aplicativo, é recomendável primeiro criar um grupo do Azure AD para encapsular as funções (permissões) que o aplicativo precisa no desenvolvimento local. As vantagens oferecidas são:

• Cada desenvolvedor deve ter as mesmas funções atribuídas, já que as funções são atribuídas no nível do grupo.
• Se for necessária uma nova função para o aplicativo, ela somente precisa ser adicionada ao grupo do Azure AD para o aplicativo.
• Se um novo desenvolvedor ingressar na equipe, ele simplesmente precisa ser adicionado ao grupo do Azure AD correto para obter as permissões adequadas para trabalhar no aplicativo.

Se tiver um grupo de Azure AD existente para sua equipe de desenvolvimento, você pode usar esse grupo. Caso contrário, efetue as etapas a seguir para criar um grupo do Azure AD.

Portal do Azure

Instruções	Captura de tela
Navegue até a página do Azure Active Directory no portal do Azure digitando Azure Active Directory na caixa de pesquisa na parte superior da página e selecionando Azure Active Directory em serviços.
Na página do Azure Active Directory, selecione Grupos no menu à esquerda.
Na página Todos os grupos, selecione Novo grupo.
Na página Novo grupo: Tipo de grupo → Segurança Nome do grupo → Um nome para o grupo de segurança, normalmente criado com base no nome do aplicativo. Também é interessante incluir uma cadeia de caracteres como desenvolvimento local no nome do grupo para indicar a finalidade do grupo. Descrição do grupo → Uma descrição da finalidade do grupo. Selecione o link Nenhum membro selecionado em Membros para adicionar membros ao grupo.
Na caixa de diálogo Adicionar membros: Use a caixa de pesquisa para filtrar a lista de nomes de usuário. Selecione os usuários para desenvolvimento local deste aplicativo. Conforme os objetos são selecionados, eles serão movidos para a lista Itens selecionados na parte inferior da caixa de diálogo. Depois de concluir, escolha o botão Selecionar.
De volta à página Novo grupo, selecione Criar para criar o grupo. O grupo será criado e você retorna para a página Todos os grupos. Pode levar até 30 segundos para que o grupo apareça e talvez seja necessário atualizar a página devido ao cache no portal do Azure.

CLI do Azure

O comando az ad group create é usado para criar grupos no Azure Active Directory. Os parâmetros --display-name e --main-nickname são obrigatórios. O nome fornecido ao grupo deve ter como base o nome do aplicativo. Também é interessante incluir uma frase como “desenvolvimento local” no nome do grupo para indicar a finalidade do grupo.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description <group-description>

Para adicionar membros ao grupo, você precisa do ID de objeto do usuário do Azure. Use a lista de usuários do az ad para listar as entidades de serviço disponíveis. O comando de parâmetro --filter aceita filtros de estilo OData e pode ser usado para filtrar a lista no nome de exibição do usuário, conforme mostrado. O parâmetro --query limita as colunas somente às de interesse.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

O comando adicionar membro az ad group pode ser usado para adicionar membros a grupos.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

2 – Atribuir funções ao grupo Azure AD

Em seguida, você precisa determinar as funções (permissões) que seu aplicativo precisa em quais recursos e atribuir essas funções ao seu aplicativo. Neste exemplo, as funções serão atribuídas ao grupo do Azure Active Directory criado na etapa 1. As funções podem ser atribuídas a uma função em um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, uma vez que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.

Portal do Azure

Instruções	Captura de tela
Localize o grupo de recursos do aplicativo pesquisando pelo nome do grupo de recursos e usando a caixa de pesquisa na parte superior do portal do Azure. Navegue até o grupo de recursos selecionando o nome do grupo de recursos no título Grupos de recursos na caixa de diálogo.
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda.
Na página Controle de acesso (IAM): Selecione a guia Atribuições de função. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas ao grupo de recursos. Use a caixa de pesquisa para filtrar a lista para obter um tamanho mais gerenciável. Este exemplo mostra como filtrar as funções do Blob de Armazenamento. Selecione a função que você deseja atribuir. Selecione Avançar para ir para a próxima tela.
A próxima página Adicionar atribuição de função permite especificar a qual usuário atribuir a função. Selecione Usuário, grupo ou entidade de serviço emAtribuir acesso a. Selecionar + Selecionar membros em Membros Uma caixa de diálogo será aberta no lado direito do portal do Azure.
Na caixa de diálogo Selecionar membros: A caixa de texto Selecionar pode ser usada para filtrar a lista de usuários e grupos em sua assinatura. Se necessário, digite os primeiros caracteres do grupo de desenvolvimento local do Azure AD criado para o aplicativo. Selecione o grupo de desenvolvimento local do Azure AD associado ao seu aplicativo. Para continuar, selecione Selecionar na parte inferior da caixa de diálogo.
O grupo do Azure AD agora será exibido como selecionado na tela Adicionar atribuição de função. Selecione Revisar + atribuir para ir para a página final e, em seguida, Revisar + atribuir novamente para concluir o processo.

CLI do Azure

Uma entidade de serviço de aplicativo recebe uma função no Azure usando o comando az role assignment create.

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Para obter os nomes de função aos quais uma entidade de serviço pode ser atribuída, use o comando az role definition list.

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

Por exemplo, para permitir que a entidade de serviço de aplicativo com a ID de aplicativo de 00000000-0000-0000-0000-000000000000 leitura, gravação e exclusão de acesso a contêineres e dados de blob de Armazenamento do Azure a todas as contas de armazenamento no grupo de recursos msdocs-dotnet-sdk-auth-example, você atribuiria a entidade de serviço de aplicativo à função Colaborador de dados de blob de armazenamento usando o comando a seguir.

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, consulte o artigo Atribuir funções do Azure usando a CLI do Azure.

3 – Entrar no Azure usando ferramentas do .NET

Em seguida, você precisa entrar no Azure usando uma das várias opções de ferramentas do .NET. A conta em que você entra também deve existir no grupo do Azure Active Directory criado e configurado anteriormente.

Visual Studio

No menu superior do Visual Studio, navegue até as Opções de >Ferramentas para abrir a caixa de diálogo de opções. Na barra de pesquisa no canto superior esquerdo, digite Azure para filtrar as opções. Na Autenticação de Serviço do Azure, escolha Seleção de Conta.

Selecione o menu suspenso em Escolher uma conta e escolha adicionar uma conta da Microsoft. Uma janela será aberta, solicitando que você escolha uma conta. Insira as credenciais da conta desejada do Azure e selecione a confirmação.

Extensão das Ferramentas do Azure do VS Code

Para que um aplicativo use as credenciais de desenvolvedor do VS Code, a extensão de ferramentas do Azure para VS Code deve ser instalada no VS Code.

Instalar as extensões do Azure Tools para VS Code

No painel esquerdo, você verá um ícone do Azure. Selecione esse ícone para exibir um painel de controle dos serviços do Azure. Escolha Entrar no Azure... em qualquer serviço para concluir o processo de autenticação das ferramentas do Azure no Visual Studio Code.

CLI do Azure

Abra um terminal na estação de trabalho do desenvolvedor e entre no Azure com a CLI do Azure.

az login

PowerShell do Azure

Abra um terminal na estação de trabalho do desenvolvedor e entre no Azure com o Azure PowerShell.

Connect-AzAccount

4 – Implementar DefaultAzureCredential no seu aplicativo

DefaultAzureCredential é compatível com vários métodos de autenticação e determina o método de autenticação que usado no runtime. Dessa forma, seu aplicativo pode usar diferentes métodos de autenticação em ambientes diferentes sem implementar código específico do ambiente.

A ordem e os locais em que DefaultAzureCredential procura credenciais são encontrados em DefaultAzureCredential.

Para implementar DefaultAzureCredential, primeiro adicione os pacotes Azure.Identity e, opcionalmente, os pacotes Microsoft.Extensions.Azure ao seu aplicativo. Você pode fazer isso usando a linha de comando ou o Gerenciador de Pacotes NuGet.

Linha de comando

Abra um ambiente de terminal de sua escolha no diretório do projeto do aplicativo e insira o comando abaixo.

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Gerenciador de Pacotes NuGet

Clique com o botão direito do mouse no nó do projeto no Visual Studio e selecione Gerenciar Pacotes NuGet. Procure por Azure.Identity no campo de pesquisa e instale o pacote correspondente. Repita esse processo para o pacote Microsoft.Extensions.Azure também.

Os serviços do Azure geralmente são acessados usando classes de cliente correspondentes do SDK. Essas classes e seus próprios serviços personalizados devem ser registrados no arquivo Program.cs para que possam ser acessados por meio de injeção de dependência em todo o aplicativo. Dentro de Program.cs, siga as etapas abaixo para configurar corretamente seu serviço e DefaultAzureCredential.

1. Inclua os namespaces Azure.Identity e Microsoft.Extensions.Azure com uma instrução em uso.
2. Registre o serviço do Azure usando métodos auxiliares relevantes.
3. Passe uma instância do objeto DefaultAzureCredential para o método UseCredential.

Um exemplo disso é mostrado na ilustração a seguir.

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

Como alternativa, você também pode utilizar DefaultAzureCredential em seus serviços mais diretamente sem a ajuda de métodos de registro adicionais do Azure, conforme visto abaixo.

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Quando o código acima for executado em sua estação de trabalho local durante o desenvolvimento local, ele procurará nas variáveis de ambiente de uma entidade de serviço de aplicativo ou no Visual Studio, VS Code, na CLI do Azure ou Azure PowerShell um conjunto de credenciais de desenvolvedor, que podem ser usadas para autenticar o aplicativo nos recursos do Azure durante o desenvolvimento local.

Quando implantado no Azure, esse mesmo código também pode autenticar seu aplicativo em outros recursos do Azure. DefaultAzureCredential pode recuperar configurações de ambiente e configurações de identidade gerenciada para autenticar-se em outros serviços automaticamente.