Autenticar aplicativos .NET nos serviços do Azure durante o desenvolvimento local usando contas de desenvolvedor
Ao criar aplicativos em nuvem, os desenvolvedores precisam depurar e testar aplicativos em suas estações de trabalho locais. Quando um aplicativo é executado na estação de trabalho de um desenvolvedor durante o desenvolvimento local, ele ainda deve se autenticar em todos os serviços do Azure usados pelo aplicativo. Este artigo aborda como usar as credenciais do Azure de um desenvolvedor para autenticar o aplicativo no Azure durante o desenvolvimento local.
Para que um aplicativo se autentique no Azure durante o desenvolvimento local usando as credenciais do Azure do desenvolvedor, o desenvolvedor deve estar conectado ao Azure a partir da extensão VS Code Azure Tools, da CLI do Azure ou do Azure PowerShell. O SDK do Azure para .NET é capaz de detetar que o desenvolvedor está conectado a partir de uma dessas ferramentas e, em seguida, obter as credenciais necessárias do cache de credenciais para autenticar o aplicativo no Azure como o usuário conectado.
Essa abordagem é mais fácil de configurar para uma equipe de desenvolvimento, pois aproveita as contas existentes do Azure dos desenvolvedores. No entanto, a conta de um desenvolvedor provavelmente terá mais permissões do que as exigidas pelo aplicativo, excedendo assim as permissões com as quais o aplicativo será executado em produção. Como alternativa, você pode criar entidades de serviço de aplicativo para usar durante o desenvolvimento local, que podem ter o escopo para ter apenas o acesso necessário para o aplicativo.
1 - Criar grupo do Azure AD para desenvolvimento local
Como quase sempre há vários desenvolvedores que trabalham em um aplicativo, é recomendável primeiro criar um grupo do Azure AD para encapsular as funções (permissões) de que o aplicativo precisa no desenvolvimento local. Isto oferece as seguintes vantagens.
- Todos os desenvolvedores têm a garantia de ter as mesmas funções atribuídas, uma vez que as funções são atribuídas no nível do grupo.
- Se uma nova função for necessária para o aplicativo, ela só precisará ser adicionada ao grupo do Azure AD para o aplicativo.
- Se um novo desenvolvedor ingressar na equipe, ele simplesmente deverá ser adicionado ao grupo correto do Azure AD para obter as permissões corretas para trabalhar no aplicativo.
Se você tiver um grupo existente do Azure AD para sua equipe de desenvolvimento, poderá usar esse grupo. Caso contrário, conclua as etapas a seguir para criar um grupo do Azure AD.
2 - Atribuir funções ao grupo do Azure AD
Em seguida, você precisa determinar quais funções (permissões) seu aplicativo precisa em quais recursos e atribuir essas funções ao seu aplicativo. Neste exemplo, as funções serão atribuídas ao grupo do Azure Ative Directory criado na etapa 1. As funções podem ser atribuídas a uma função em um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostrará como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.
3 - Entrar no Azure usando o .NET Tooling
Em seguida, você precisa entrar no Azure usando uma das várias opções de ferramentas do .NET. A conta na qual você entra também deve existir no grupo do Azure Ative Directory que você criou e configurou anteriormente.
No menu superior do Visual Studio, navegue até Opções de Ferramentas>para abrir a caixa de diálogo de opções. Na barra de pesquisa no canto superior esquerdo, digite Azure para filtrar as opções. Em Autenticação de Serviço do Azure, escolha Seleção de Conta.
Selecione o menu suspenso em Escolha uma conta e escolha adicionar uma Conta da Microsoft. Será aberta uma janela solicitando que você escolha uma conta. Insira as credenciais da sua conta do Azure desejada e selecione a confirmação.
4 - Implementar DefaultAzureCredential em seu aplicativo
DefaultAzureCredential
Suporta vários métodos de autenticação e determina o método de autenticação que está sendo usado em tempo de execução. Dessa forma, seu aplicativo pode usar diferentes métodos de autenticação em ambientes diferentes sem implementar código específico do ambiente.
A ordem e os locais em que DefaultAzureCredential
procura credenciais são encontrados em DefaultAzureCredential.
Para implementar DefaultAzureCredential
o , primeiro adicione os Azure.Identity
pacotes e, opcionalmente, ao Microsoft.Extensions.Azure
seu aplicativo. Você pode fazer isso usando a linha de comando ou o Gerenciador de Pacotes NuGet.
Abra um ambiente de terminal de sua escolha no diretório do projeto de aplicativo e digite o comando abaixo.
dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure
Os serviços do Azure geralmente são acessados usando as classes de cliente correspondentes do SDK. Essas classes e seus próprios serviços personalizados devem ser registrados no arquivo para que possam ser acessados por injeção de dependência em todo o Program.cs
aplicativo. Dentro do Program.cs
, siga as etapas abaixo para configurar corretamente seu serviço e DefaultAzureCredential
.
- Inclua os
Azure.Identity
namespaces eMicrosoft.Extensions.Azure
com uma instrução using. - Registre o serviço do Azure usando métodos auxiliares relevantes.
- Passe uma instância do
DefaultAzureCredential
objeto para oUseCredential
método.
Um exemplo disso é mostrado no segmento de código a seguir.
using Microsoft.Extensions.Azure;
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
x.UseCredential(new DefaultAzureCredential());
});
Como alternativa, você também pode utilizar DefaultAzureCredential
em seus serviços mais diretamente sem a ajuda de métodos de registro adicionais do Azure, conforme visto abaixo.
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x =>
new BlobServiceClient(
new Uri("https://<account-name>.blob.core.windows.net"),
new DefaultAzureCredential()));
Quando o código acima é executado em sua estação de trabalho local durante o desenvolvimento local, ele procurará nas variáveis de ambiente uma entidade de serviço de aplicativo ou no Visual Studio, VS Code, CLI do Azure ou Azure PowerShell para um conjunto de credenciais de desenvolvedor, qualquer uma das quais pode ser usada para autenticar o aplicativo nos recursos do Azure durante o desenvolvimento local.
Quando implantado no Azure, esse mesmo código também pode autenticar seu aplicativo em outros recursos do Azure. DefaultAzureCredential
Pode recuperar configurações de ambiente e configurações de identidade gerenciada para autenticar em outros serviços automaticamente.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários