Autenticar aplicativos .NET nos serviços do Azure durante o desenvolvimento local usando contas de desenvolvedor

Os desenvolvedores precisam depurar e testar aplicativos na nuvem em suas estações de trabalho locais. Quando um aplicativo é executado na estação de trabalho de um desenvolvedor durante o desenvolvimento local, ele ainda deve se autenticar em quaisquer serviços do Azure usados pelo aplicativo. Este artigo aborda como usar as credenciais do Azure de um desenvolvedor para autenticar o aplicativo no Azure durante o desenvolvimento local.

Para que um aplicativo se autentique no Azure durante o desenvolvimento local usando as credenciais do Azure do desenvolvedor, o desenvolvedor deve estar conectado ao Azure a partir de uma das seguintes ferramentas de desenvolvedor:

• Visual Studio
• CLI do Azure
• Azure Developer CLI
• Azure PowerShell

A biblioteca de Identidade do Azure pode detetar que o desenvolvedor está conectado a partir de uma dessas ferramentas. A biblioteca pode obter o token de acesso do Microsoft Entra por meio da ferramenta para autenticar o aplicativo no Azure como o usuário conectado.

Essa abordagem é mais fácil de configurar para uma equipe de desenvolvimento, pois aproveita as contas existentes do Azure dos desenvolvedores. No entanto, a conta de um desenvolvedor provavelmente tem mais permissões do que as exigidas pelo aplicativo, excedendo assim as permissões com as quais o aplicativo é executado em produção. Como alternativa, você pode criar entidades de serviço de aplicativo para usar durante o desenvolvimento local, que podem ter escopo para ter apenas o acesso necessário para o aplicativo.

1 - Criar grupo Microsoft Entra para desenvolvimento local

Como quase sempre há vários desenvolvedores que trabalham em um aplicativo, um grupo do Microsoft Entra é recomendado para encapsular as funções (permissões) de que o aplicativo precisa no desenvolvimento local. Esta abordagem oferece as seguintes vantagens:

• Todos os desenvolvedores têm a garantia de ter as mesmas funções atribuídas, uma vez que as funções são atribuídas no nível do grupo.
• Se uma nova função for necessária para o aplicativo, ela só precisará ser adicionada ao grupo do aplicativo.
• Se um novo desenvolvedor se juntar à equipe, ele obterá as permissões necessárias para trabalhar no aplicativo depois de ser adicionado ao grupo.

Se você tiver um grupo existente do Microsoft Entra para sua equipe de desenvolvimento, poderá usar esse grupo. Caso contrário, conclua as etapas a seguir para criar um grupo do Microsoft Entra.

Portal do Azure

Instruções	Captura de ecrã
Navegue até a página ID do Microsoft Entra no portal do Azure digitando ID do Microsoft Entra na caixa de pesquisa na parte superior da página. Selecione Microsoft Entra ID na seção Serviços .
Na página ID do Microsoft Entra , selecione Grupos no menu à esquerda.
Na página Todos os grupos, selecione Novo grupo.
Na página Novo Grupo: Selecione Segurança na lista suspensa Tipo de grupo. Nome do grupo → Um nome para o grupo de segurança, normalmente criado a partir do nome do aplicativo. Também é útil incluir uma cadeia de caracteres como local-dev no nome do grupo para indicar a finalidade do grupo. Descrição do grupo → Uma descrição do objetivo do grupo. Selecione o link Sem membros selecionados em Membros para adicionar membros ao grupo.
Na caixa de diálogo Adicionar membros : Use a caixa de pesquisa para filtrar a lista de nomes de usuário na lista. Escolha um ou mais usuários para desenvolvimento local para este aplicativo. À medida que você escolhe um objeto, o objeto se move para a lista Itens selecionados na parte inferior da caixa de diálogo. Quando terminar, escolha o botão Selecionar .
De volta à página Novo grupo , selecione Criar para criar o grupo. O grupo será criado e você será levado de volta para a página Todos os grupos . Pode levar até 30 segundos para que o grupo apareça, e talvez seja necessário atualizar a página devido ao cache no portal do Azure.

CLI do Azure

O comando az ad group create é usado para criar grupos no Microsoft Entra ID. Os parâmetros --display-name e --mail-nickname são necessários. O nome dado ao grupo deve ser baseado no nome do aplicativo. Também é útil incluir uma frase como 'local-dev' no nome do grupo para indicar o propósito do grupo.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay \
    --description <group-description>

Copie o id valor da propriedade na saída do comando. Esta id propriedade representa a ID do objeto do grupo. Você precisa dele em etapas posteriores. Você também pode usar o comando az ad group show para recuperar essa propriedade.

Para adicionar membros ao grupo, você precisa da ID do objeto do usuário do Azure. Use o comando az ad user list para listar as entidades de serviço disponíveis. O --filter comando parameter aceita filtros no estilo OData e pode ser usado para filtrar a lista no nome de exibição do usuário, conforme mostrado. O --query parâmetro limita a saída a colunas de interesse.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:id, displayName:displayName}" \
    --output table

O comando az ad group member add pode ser usado para adicionar membros a um grupo:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Nota

Por padrão, a criação de grupos do Microsoft Entra é limitada a determinadas funções privilegiadas em um diretório. Se não conseguir criar um grupo, contacte um administrador do seu diretório. Se não conseguir adicionar membros a um grupo existente, contacte o proprietário do grupo ou um administrador de diretório. Para saber mais, consulte Gerenciar grupos do Microsoft Entra e associação a grupos.

2 - Atribuir funções ao grupo Microsoft Entra

Em seguida, determine quais funções (permissões) seu aplicativo precisa em quais recursos e atribua essas funções ao seu aplicativo. Neste exemplo, as funções são atribuídas ao grupo Microsoft Entra criado na etapa 1. Os grupos podem receber uma função em um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostra como atribuir funções no grupo de recursos, escopo, já que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.

Portal do Azure

Instruções	Captura de ecrã
Localize o grupo de recursos para seu aplicativo pesquisando o nome do grupo de recursos usando a caixa de pesquisa na parte superior do portal do Azure. Navegue até o grupo de recursos selecionando o nome do grupo de recursos sob o título Grupos de Recursos na caixa de diálogo.
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda.
Na página Controle de acesso (IAM): Selecione o separador Atribuição de funções. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas para o grupo de recursos. Use a caixa de pesquisa para filtrar a lista para um tamanho mais gerenciável. Este exemplo mostra como filtrar funções de Blob de Armazenamento. Selecione a função que pretende atribuir. Selecione Avançar para ir para a próxima tela.
A próxima página Adicionar atribuição de função permite especificar a qual usuário atribuir a função. Selecione Usuário, grupo ou entidade de serviço em Atribuir acesso a. Selecione + Selecionar membros em Membros. Uma caixa de diálogo é aberta no lado direito do portal do Azure.
Na caixa de diálogo Selecionar membros: A caixa de texto Selecionar pode ser usada para filtrar a lista de usuários e grupos em sua assinatura. Se necessário, digite os primeiros caracteres do grupo de desenvolvimento local do Microsoft Entra que você criou para o aplicativo. Selecione o grupo de desenvolvimento local do Microsoft Entra associado ao seu aplicativo. Selecione Selecionar na parte inferior da caixa de diálogo para continuar.
O grupo Microsoft Entra é exibido como selecionado na tela Adicionar atribuição de função. Selecione Rever + atribuir para ir para a página final e, em seguida, Rever + atribuir novamente para concluir o processo.

CLI do Azure

Uma entidade de serviço de aplicativo recebe uma função no Azure usando o comando az role assignment create :

az role assignment create \
    --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Para obter os nomes de função aos quais uma entidade de serviço pode ser atribuída, use o comando az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por exemplo, para permitir que a entidade de serviço de aplicativo com o appId de leitura, gravação e exclusão tenha acesso a contêineres e dados de blob de Armazenamento do Azure a todas as contas de armazenamento no grupo de recursos msdocs-dotnet-sdk-auth-example, você atribuiria a entidade de serviço de aplicativo à função de Colaborador de Dados de Blob de 00000000-0000-0000-0000-000000000000 Armazenamento usando o seguinte comando:

az role assignment create \
    --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, consulte Atribuir funções do Azure usando a CLI do Azure.

3 - Entre no Azure usando ferramentas de desenvolvedor

Em seguida, entre no Azure usando uma das várias ferramentas de desenvolvedor. A conta que você autenticar também deve existir no grupo do Microsoft Entra que você criou e configurou anteriormente.

Visual Studio

1. Navegue até Opções de ferramentas>para abrir a caixa de diálogo de opções.

2. Na caixa Opções de Pesquisa na parte superior, digite Azure para filtrar as opções disponíveis.

3. Em Autenticação de Serviço do Azure, escolha Seleção de Conta.

4. Selecione o menu suspenso em Escolha uma conta e escolha adicionar uma Conta da Microsoft. Uma janela é aberta, solicitando que você escolha uma conta. Insira as credenciais da sua conta do Azure desejada e selecione a confirmação.

   

5. Selecione OK para fechar a caixa de diálogo de opções.

CLI do Azure

Abra um terminal na estação de trabalho do desenvolvedor e entre no Azure a partir da CLI do Azure:

az login

CLI do desenvolvedor do Azure

Abra um terminal na estação de trabalho do desenvolvedor e entre no Azure a partir da CLI do Desenvolvedor do Azure:

azd auth login

Azure PowerShell

Abra um terminal na estação de trabalho do desenvolvedor e entre no Azure a partir do Azure PowerShell:

Connect-AzAccount

4 - Implementar DefaultAzureCredential em seu aplicativo

DefaultAzureCredential é uma sequência opinativa e ordenada de mecanismos para autenticação no Microsoft Entra. Cada mecanismo de autenticação é uma classe derivada da classe TokenCredential e é conhecida como uma credencial. No tempo de execução, DefaultAzureCredential tenta autenticar usando a primeira credencial. Se essa credencial não conseguir adquirir um token de acesso, a próxima credencial na sequência será tentada, e assim por diante, até que um token de acesso seja obtido com êxito. Dessa forma, seu aplicativo pode usar credenciais diferentes em ambientes diferentes sem escrever código específico do ambiente.

A ordem e os locais em que DefaultAzureCredential procura credenciais são encontrados em DefaultAzureCredential.

Para usar DefaultAzureCredentialo , adicione o Azure.Identity e, opcionalmente, os pacotes Microsoft.Extensions.Azure ao seu aplicativo:

Linha de Comandos

Em um terminal de sua escolha, navegue até o diretório do projeto de aplicativo e execute os seguintes comandos:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Gestor de Pacotes NuGet

Clique com o botão direito do mouse em seu projeto na janela Gerenciador de Soluções do Visual Studio e selecione Gerenciar Pacotes NuGet. Procure Azure.Identity e instale o pacote correspondente. Repita esse processo para o pacote Microsoft.Extensions.Azure .

Os serviços do Azure são acessados usando classes de cliente especializadas das várias bibliotecas de cliente do SDK do Azure. Essas classes e seus próprios serviços personalizados devem ser registrados para que possam ser acessados por meio de injeção de dependência em todo o aplicativo. No Program.cs, conclua as seguintes etapas para registrar uma classe de cliente e DefaultAzureCredential:

1. Inclua os namespaces e Microsoft.Extensions.Azure por Azure.Identity meio using de diretivas.
2. Registre o cliente de serviço do Azure usando o método de extensão -prefixed correspondente Add.
3. Passe uma instância de DefaultAzureCredential para o UseCredential método.

Por exemplo:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Uma alternativa é UseCredential instanciar DefaultAzureCredential diretamente:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Quando o código anterior é executado em sua estação de trabalho de desenvolvimento local, ele procura nas variáveis de ambiente uma entidade de serviço de aplicativo ou em ferramentas de desenvolvedor instaladas localmente, como o Visual Studio, para um conjunto de credenciais de desenvolvedor. Qualquer uma das abordagens pode ser usada para autenticar o aplicativo nos recursos do Azure durante o desenvolvimento local.

Quando implantado no Azure, esse mesmo código também pode autenticar seu aplicativo em outros recursos do Azure. DefaultAzureCredential Pode recuperar configurações de ambiente e configurações de identidade gerenciada para autenticar em outros serviços automaticamente.