Проверка подлинности приложений Go в службах Azure во время локальной разработки с помощью учетных записей разработчиков

Во время локальной разработки приложения должны пройти проверку подлинности в Azure для использования различных служб Azure. Проверка подлинности локально с помощью одного из следующих подходов:

• Используйте учетную запись разработчика с одним из инструментов для разработчиков, поддерживаемых библиотекой удостоверений Azure.
• Используйте субъект-службу.

В этой статье объясняется, как пройти проверку подлинности с помощью учетной записи разработчика с инструментами, поддерживаемыми библиотекой удостоверений Azure. В следующих разделах вы узнаете:

• Использование групп Microsoft Entra для эффективного управления разрешениями для нескольких учетных записей разработчиков.
• Назначение ролей учетным записям разработчиков для определения области действия разрешений.
• Как войти в поддерживаемые локальные средства разработки.
• Как пройти проверку подлинности с помощью учетной записи разработчика из кода приложения.

Поддерживаемые средства разработчика для проверки подлинности

Чтобы приложение выполнило проверку подлинности в Azure во время локальной разработки с помощью учетных данных Azure разработчика, разработчик должен войти в Azure из одного из следующих средств разработчика:

• Azure CLI (Интерфейс командной строки для Azure)
• Azure Developer CLI (Интерфейс командной строки для разработчиков Azure)
• Azure PowerShell

Библиотека идентификации Azure может обнаружить, что разработчик вошел с помощью одного из этих инструментов. Затем библиотека может получить токен доступа Microsoft Entra с помощью инструмента для аутентификации приложения в Azure от имени авторизованного пользователя.

Этот подход использует существующие учетные записи Azure разработчика для упрощения процесса проверки подлинности. Однако учетная запись разработчика, скорее всего, имеет больше разрешений, чем требуется для приложения, поэтому превышает разрешения, с которыми приложение работает в продакшене. В качестве альтернативы, можно создавать учетные записи служб приложений, которые можно использовать во время локальной разработкии обладать только тем доступом, который необходим приложению.

Создание группы Microsoft Entra для локальной разработки

Создайте группу Microsoft Entra, чтобы объединять роли (разрешения), необходимые приложению при локальной разработке, а не назначать роли отдельным объектам службы-принципала. Этот подход обеспечивает следующие преимущества:

• Каждый разработчик имеет одинаковые роли, назначенные на уровне группы.
• Если для приложения требуется новая роль, ее необходимо только добавить в группу для приложения.
• Если новый разработчик присоединяется к команде, для разработчика создается новая учетная запись службы приложений и добавляется в группу, гарантируя, что разработчик имеет необходимые разрешения на работу с приложением.

портал Azure

1. Перейдите на страницу обзора идентификатора Microsoft Entra на портале Azure.

2. Выберите все группы в меню слева.

3. На странице Группы выберите Создать группу.

4. На странице "Создать группу" заполните следующие поля формы:

   • Тип группы: Выберите безопасность .
   • Имя группы: введите имя группы, которая содержит ссылку на имя приложения или среды.
   • Описание группы: введите описание, объясняющее назначение группы.

   

5. Выберите ссылку "Нет участников" в разделе "Члены", чтобы добавить участников в группу.

6. На открывшейся всплывающей панели найдите созданную ранее основную служебную учетную запись и выберите её из результатов фильтрации. Нажмите кнопку "Выбрать " в нижней части панели, чтобы подтвердить выбор.

7. Нажмите кнопку "Создать " в нижней части страницы "Создать группу ", чтобы создать группу и вернуться на страницу "Все группы ". Если вы не видите новую группу, подождите минуту и обновите страницу.

Azure CLI

1. Используйте команду az ad group create для создания групп в идентификаторе Microsoft Entra.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Требуются параметры --display-name и --mail-nickname. Имя группы должно быть основано на имени и среде приложения, чтобы указать назначение группы.

2. Чтобы добавить участников в группу, требуется идентификатор объекта субъекта-службы приложения, который отличается от идентификатора приложения. Используйте команду az ad sp list для перечисления доступных служебных сущностей:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Параметр --filter принимает фильтры в стиле OData и может использоваться для фильтрации списка, как показано ниже. Параметр --query ограничивает выходные данные только столбцами, интересующими вас.

3. Используйте команду az ad group member add, чтобы добавить участников в группу.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Назначьте роли группе

Затем определите, какие роли (разрешения) приложения требуются для ресурсов и назначьте эти роли созданной группе Microsoft Entra. Группы можно назначить роль в ресурсе, группе ресурсов или области подписки. В этом примере показано, как назначать роли в области группы ресурсов, так как большинство приложений группируют все свои ресурсы Azure в одну группу ресурсов.

портал Azure

1. На портале Azure перейдите на страницу обзора группы ресурсов, содержащей приложение.

2. Выберите управление доступом (IAM) в левой панели навигации.

3. На странице управления доступом (IAM) выберите +Добавить , а затем выберите "Добавить назначение ролей " в раскрывающемся меню. Страница "Добавление назначения ролей " предоставляет несколько вкладок для настройки и назначения ролей.

4. На вкладке "Роль" используйте поле поиска, чтобы найти роль, которую вы хотите назначить. Выберите роль и нажмите кнопку "Далее".

5. На вкладке "Члены" :

   • Чтобы назначить доступ к значению , выберите "Пользователь", "Группа" или "Субъект-служба ".
   • Для значения "Члены" нажмите кнопку "Выбрать участников ", чтобы открыть панель всплывающего меню "Выбор участников ".
   • Найдите созданную ранее группу Microsoft Entra и выберите ее из отфильтрованных результатов. Выберите команду "Выбрать ", чтобы выбрать группу и закрыть панель всплывающего меню.
   • Выберите Обзор + Назначение внизу вкладки Члены.

   

6. На вкладке "Обзор и назначение" выберите "Обзор и назначение" в нижней части страницы.

Azure CLI

1. Используйте команду az role definition list, чтобы получить имена ролей, которым может быть назначена группа Microsoft Entra или учетная запись службы:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Используйте команду az role assignment create , чтобы назначить роль созданной группе Microsoft Entra:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

Вход в Azure с помощью средств разработчика

Затем войдите в Azure с помощью одного из нескольких средств разработчика, которые можно использовать для проверки подлинности в среде разработки. Учетная запись, которую вы используете для аутентификации, также должна существовать в созданной и настроенной ранее группе Microsoft Entra.

Azure CLI

Разработчики могут использовать Azure CLI для проверки подлинности. Приложения, использующие DefaultAzureCredential или AzureCLICredential , могут использовать эту учетную запись для проверки подлинности запросов приложений.

Чтобы выполнить проверку подлинности с помощью Azure CLI, выполните az login команду. В системе с веб-браузером по умолчанию Azure CLI запускает браузер для проверки подлинности пользователя.

az login

Для систем без веб-браузера по умолчанию команда az login использует поток проверки подлинности кода устройства. Вы можете принудительно указать Azure CLI использовать поток кода устройства, а не запускать браузер с аргументом --use-device-code.

az login --use-device-code

Интерфейс командной строки для разработчиков Azure

Разработчики могут использовать Интерфейс командной строки разработчика Azure для проверки подлинности. Приложения, использующие DefaultAzureCredential или AzureDeveloperCLICredential , могут использовать эту учетную запись для проверки подлинности запросов приложений.

Чтобы выполнить проверку подлинности с помощью интерфейса командной строки разработчика Azure, выполните azd auth login команду. В системе с веб-браузером по умолчанию интерфейс командной строки разработчика Azure запускает браузер для проверки подлинности пользователя.

azd auth login

Для систем без веб-браузера по умолчанию команда azd auth login --use-device-code использует поток проверки подлинности кода устройства. Вы также можете принудительно заставить Azure Developer CLI использовать поток кода устройства вместо запуска браузера, указав аргумент --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Разработчики могут использовать Azure PowerShell для проверки подлинности. Приложения, использующие DefaultAzureCredential или AzurePowerShellCredential , могут использовать эту учетную запись для проверки подлинности запросов приложений.

Чтобы выполнить проверку подлинности с помощью Azure PowerShell, выполните команду Connect-AzAccount. В системе с веб-браузером по умолчанию и версией 5.0.0 или более поздней версии Azure PowerShell команда запускает браузер для проверки подлинности пользователя.

Connect-AzAccount

Для систем без веб-браузера по умолчанию команда Connect-AzAccount использует поток проверки подлинности кода устройства. Вы можете принудительно указать Azure PowerShell использовать поток кода устройства, а не запускать браузер с аргументом UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Авторизация в службах Azure из вашего приложения

Пакет azidentity предоставляет различные учетные данные, адаптированные для поддержки различных сценариев и потоков проверки подлинности Microsoft Entra. Ниже показано, как использовать DefaultAzureCredential при работе со служебными единицами локально и в продуктивной среде.

Реализация кода

Для проверки подлинности клиентских объектов Пакета SDK Azure в Azure приложение должно использовать класс DefaultAzureCredential. В этом сценарии DefaultAzureCredential последовательно проверяется, вошёл ли разработчик в Azure с помощью Azure CLI или Azure Developer CLI. Если разработчик входит в Azure с помощью одного из этих средств, приложение использует учетные данные для проверки подлинности.

DefaultAzureCredential — это упорядоченная последовательность механизмов проверки подлинности в идентификаторе Microsoft Entra. Каждый механизм проверки подлинности — это тип, реализующий TokenCredential интерфейс и известный как учетные данные. DefaultAzureCredential последовательно проверяет, выполнил ли разработчик вход в Azure с помощью Azure CLI или Azure developer CLI. Если разработчик входит в Azure с помощью одного из этих средств, приложение использует учетные данные для проверки подлинности. Дополнительные сведения о настройке цепочки учетных данных см. в разделе "Настройка DefaultAzureCredential".

1. Добавьте azidentity пакет в ваше приложение.

   go get github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Для любого кода Go, создающего клиентский объект Azure SDK в приложении, необходимо:

   1. Импортируйте пакет azidentity.
   2. Используйте DefaultAzureCredential или AzureCLICredential, чтобы создать экземпляр учетных данных. Рассмотрим пример.

   • Чтобы использовать DefaultAzureCredential, задайте для переменной AZURE_TOKEN_CREDENTIALSdev среды значение, указывающее, что приложение работает в среде разработки. Дополнительные сведения см. в разделе "Настройка DefaultAzureCredential".

     // Environment variable AZURE_TOKEN_CREDENTIALS=dev or a specific developer tool credential value
     cred, err := azidentity.NewDefaultAzureCredential(nil)
     

   • Или используйте определенные учетные данные, например AzureCLICredential, AzureDeveloperCLICredentialили AzurePowerShellCredential для проверки подлинности с помощью пользователя, выполнившего вход для определенного средства разработки.

     cred, err := azidentity.NewAzureCLICredential(nil)
     // or cred, err := azidentity.NewAzureDeveloperCLICredential(nil)
     // or cred, err := azidentity.NewAzurePowerShellCredential(nil)
     

   1. Передайте экземпляр учетных данных в конструктор клиента Azure SDK.

Пример этих шагов показан в следующем сегменте кода.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	// or cred, err := azidentity.NewAzureCLICredential(nil)
	// or cred, err := azidentity.NewAzureDeveloperCLICredential(nil)
	// or cred, err := azidentity.NewAzurePowerShellCredential(nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}