Проверка подлинности приложений Java для Azure служб во время локальной разработки с помощью учетных записей разработчиков

Во время локальной разработки приложениям необходимо пройти аутентификацию для доступа к различным службам Azure. Вы можете выполнить локальную проверку подлинности с помощью одного из следующих подходов:

• Используйте учетную запись разработчика с одним из инструментов разработчика, поддерживаемых библиотекой удостоверений Azure.
• Используйте принципал службы. Дополнительные сведения см. в разделе Аутентификация Java приложений к службам Azure с помощью субъектов-служб во время локальной разработки.

В этой статье объясняется, как пройти проверку подлинности с помощью учетной записи разработчика с инструментами, поддерживаемыми библиотекой удостоверений Azure. В этой статье рассматриваются следующие вопросы:

• Как использовать группы Microsoft Entra для эффективного управления разрешениями для нескольких учетных записей разработчиков.
• Назначение ролей учетным записям разработчиков для определения области действия разрешений.
• Как войти в поддерживаемые локальные средства разработки.
• Как пройти проверку подлинности с помощью учетной записи разработчика из кода приложения.

Поддерживаемые средства разработчика для проверки подлинности

Во время локальной разработки приложение может пройти проверку подлинности в Azure с помощью учетных данных Azure. Для работы этой проверки подлинности необходимо войти в Azure из средства разработчика, например одного из следующих:

• Azure CLI
• CLI разработчика Azure
• Azure PowerShell
• Visual Studio Code
• IntelliJ IDEA

Библиотека удостоверений Azure может обнаружить, что разработчик вошел в систему из одного из этих средств. Затем библиотека может получить токен доступа Microsoft Entra с помощью инструмента, чтобы применять его для аутентификации приложения в Azure, от имени пользователя, вошедшего в систему.

Этот подход использует существующие учетные записи разработчика Azure для упрощения процесса проверки подлинности. Однако учетная запись разработчика, скорее всего, имеет больше разрешений, чем требуется для работы приложения, и превышает разрешения, с которыми приложение работает в промышленной среде. В качестве альтернативы можно создать субъекты-службы приложений для использования во время локальной разработки, которые могут быть ограничены только доступом, необходимым для приложения.

Создание группы Microsoft Entra для локальной разработки

Создайте группу Microsoft Entra, чтобы инкапсулировать роли (разрешения) в локальной разработке, а не назначать роли отдельным объектам субъекта-службы. Этот подход обеспечивает следующие преимущества:

• Каждый разработчик имеет одинаковые роли, назначенные на уровне группы.
• Если для приложения требуется новая роль, ее необходимо только добавить в группу для приложения.
• Если новый разработчик присоединяется к команде, для разработчика создается новая учетная запись службы приложений и добавляется в группу, гарантируя, что разработчик имеет необходимые разрешения на работу с приложением.

Azure

1. Перейдите на страницу обзора Microsoft Entra ID на портале Azure.

2. Выберите все группы в меню слева.

3. На странице Группы выберите Создать группу.

4. На странице "Создать группу" заполните следующие поля формы:

   • Тип группы: выберите Безопасность.
   • Имя группы: введите имя группы, которая содержит ссылку на имя приложения или среды.
   • Описание группы: введите описание, объясняющее назначение группы.

   

5. Выберите ссылку "Нет участников" в разделе "Участники", чтобы добавить участников в группу.

6. На открывшейся всплывающей панели найдите созданную ранее основную служебную учетную запись и выберите её из результатов фильтрации. Нажмите кнопку "Выбрать " в нижней части панели, чтобы подтвердить выбор.

7. Нажмите кнопку "Создать " в нижней части страницы "Создать группу ", чтобы создать группу и вернуться на страницу "Все группы ". Если вы не видите новую группу, подождите минуту и обновите страницу.

Azure CLI

1. Используйте команду az ad group create для создания групп в Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Параметры --display-name и --mail-nickname являются обязательными. Имя группы должно быть основано на имени и среде приложения, чтобы указать назначение группы.

2. Чтобы добавить участников в группу, требуется идентификатор объекта субъекта-службы приложения, который отличается от идентификатора приложения. Используйте команду az ad sp list для перечисления доступных служебных сущностей:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Параметр --filter принимает фильтры в стиле OData и может использоваться для фильтрации списка, как показано ниже. Параметр --query ограничивает выходные данные только столбцами, интересующими вас.

3. Используйте команду az ad group member add, чтобы добавить участников в группу.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Назначьте роли группе

Затем определите, какие роли (разрешения) приложению требуются для каких ресурсов, и назначьте эти роли созданной группе Microsoft Entra. Группы можно назначить роль в ресурсе, группе ресурсов или области подписки. В этом примере показано, как назначать роли в области группы ресурсов, так как большинство приложений группируют все свои Azure ресурсы в единую группу ресурсов.

Azure

1. На портале Azure перейдите на страницу Overview группы ресурсов, содержащей приложение.

2. Выберите управление доступом (IAM) в левой панели навигации.

3. На странице управления доступом (IAM) выберите +Добавить , а затем выберите "Добавить назначение ролей " в раскрывающемся меню. Страница "Добавление назначения ролей " предоставляет несколько вкладок для настройки и назначения ролей.

4. На вкладке "Роль" используйте поле поиска, чтобы найти роль, которую вы хотите назначить. Выберите роль и нажмите кнопку "Далее".

5. На вкладке "Члены" :

   • Чтобы назначить доступ к значению , выберите "Пользователь", "Группа" или "Субъект-служба ".
   • Для значения "Члены" нажмите кнопку "Выбрать участников ", чтобы открыть панель всплывающего меню "Выбор участников ".
   • Найдите созданную ранее группу Microsoft Entra и выберите ее из отфильтрованных результатов. Выберите команду "Выбрать ", чтобы выбрать группу и закрыть панель всплывающего меню.
   • Выберите Обзор + Назначение внизу вкладки Члены.

   Снимок экрана, показывающий как назначить роль группе Microsoft Entra.

6. На вкладке "Обзор и назначение" выберите "Обзор и назначение" в нижней части страницы.

Azure CLI

1. Используйте команду az role definition list, чтобы получить список ролей, к которым можно назначить группу Microsoft Entra или субъект-службу.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Используйте команду az role assignment create, чтобы назначить роль созданной группе Microsoft Entra:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье Назначение ролей Azure с помощью Azure CLI.

Войдите в Azure с помощью средств разработчика

Затем войдите в Azure с помощью одного из средств разработчика, которые можно использовать для проверки подлинности в среде разработки. Учетная запись, по которой вы выполняете проверку подлинности, также должна существовать в созданной и настроенной ранее группе Microsoft Entra.

Visual Studio Code

Разработчики, использующие Visual Studio Code, могут аутентифицироваться с помощью учётной записи разработчика прямо в редакторе через брокер. Приложения, которые используют DefaultAzureCredential или VisualStudioCodeCredential затем могут использовать эту учетную запись для проверки подлинности запросов приложений с помощью простого единого входа.

1. В Visual Studio Code перейдите на панель Extensions и установите расширение Azure Resources. Это расширение позволяет просматривать ресурсы Azure и управлять ими непосредственно из Visual Studio Code. Он также использует встроенный в Visual Studio Code поставщик проверки подлинности от Microsoft для аутентификации с Azure.

   

2. Откройте палитру команд в Visual Studio Code, а затем найдите и выберите Azure: войдите.

   

   Подсказка

   Откройте палитру команд с помощью Ctrl+Shift+P в Windows/Linux или Cmd+Shift+P в macOS.

Разработчик, используя IntelliJ, может пройти аутентификацию с помощью плагина Azure Toolkit для IntelliJ. Выполните следующие действия, чтобы войти в систему:

1. В окне IntelliJ откройте Файл > Настройки > Плагины.
2. Найдите "Azure Toolkit for IntelliJ" в Marketplace. Установите и перезапустите интегрированную среду разработки.
3. Найдите новый пункт меню Tools > Azure > Azure Вход.
4. Вход на устройстве помогает вам войти в систему под учетной записью пользователя. Следуйте инструкциям для входа на login.microsoftonline.com веб-сайт с помощью кода устройства. IntelliJ предложит выбрать подписки. Выберите подписку с ресурсами, к которым требуется получить доступ.

Azure CLI

Разработчики могут использовать Azure CLI для проверки подлинности. Приложения, использующие DefaultAzureCredential или AzureCLICredential могут использовать эту учетную запись для проверки подлинности запросов приложений.

Чтобы выполнить проверку подлинности с помощью Azure CLI, выполните команду az login. В системе с веб-браузером по умолчанию Azure CLI запускает браузер для проверки подлинности пользователя.

az login

Для систем без веб-браузера по умолчанию команда az login использует поток проверки подлинности кода устройства. Вы также можете заставить Azure CLI использовать поток кода устройства вместо запуска браузера, указав аргумент --use-device-code.

az login --use-device-code

CLI разработчика Azure

Разработчики могут использовать Azure Developer CLI для аутентификации в Microsoft Entra ID. Приложения, использующие DefaultAzureCredential или AzureDeveloperCliCredential могут использовать эту учетную запись для проверки подлинности запросов приложений при локальном запуске.

Чтобы выполнить проверку подлинности с помощью интерфейса командной строки разработчика Azure, выполните команду azd auth login. В системе с веб-браузером по умолчанию интерфейс командной строки разработчика Azure запускает браузер для проверки подлинности пользователя.

azd auth login

Для систем, у которых отсутствует веб-браузер по умолчанию, azd auth login --use-device-code использует поток аутентификации с кодом устройства. Пользователь также может принудительно использовать интерфейс командной строки разработчика Azure для потока кода устройства вместо того, чтобы запускать браузер, указав аргумент --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Разработчики могут использовать Azure PowerShell для проверки подлинности в Microsoft Entra ID. Приложения, использующие DefaultAzureCredential или AzurePowerShellCredential могут использовать эту учетную запись для проверки подлинности запросов приложений при локальном запуске.

Чтобы выполнить проверку подлинности с помощью Azure PowerShell, выполните команду Connect-AzAccount. В системе с веб-браузером по умолчанию и версией 5.0.0 или более поздней версии Azure PowerShell он запускает браузер для проверки подлинности пользователя.

Connect-AzAccount

Для систем без веб-браузера по умолчанию команда Connect-AzAccount использует поток проверки подлинности кода устройства. Пользователь также может принудительно Azure PowerShell использовать поток кода устройства, а не запустить браузер, указав аргумент UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Аутентификация для подключения к службам Azure из вашего приложения

Библиотека удостоверений Azure предоставляет реализации TokenCredential, поддерживающих различные сценарии и потоки аутентификации Microsoft Entra. В последующих шагах описано, как использовать DefaultAzureCredential или учетные данные определенного инструмента разработки при локальной работе с учетными записями пользователей.

Реализация кода

1. Добавьте зависимость azure-identity в ваш pom.xml файл:

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
   </dependency>
   

2. Выберите одну из реализаций данных для аутентификации в зависимости от вашего сценария.

   • Используйте учетные данные, относящиеся к средству разработки: этот вариант лучше всего подходит для отдельных пользователей или отдельных сценариев инструментов.
   • Используйте учетные данные, доступные для использования в любом средстве разработки: этот вариант лучше всего подходит для проектов с открытым кодом и различных команд инструментов.

Используйте учетные данные, относящиеся к вашему средству разработки

Передайте экземпляр TokenCredential, соответствующий конкретному средству разработки, конструктору клиента службы Azure, например AzureCliCredential.

import com.azure.identity.AzureCliCredential;
import com.azure.identity.AzureCliCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

AzureCliCredential credential = new AzureCliCredentialBuilder().build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Учетные данные каждого инструмента следуют одному шаблону. Замените тип учетных данных и его соответствующий построитель по мере необходимости.

• AzureCliCredential / AzureCliCredentialBuilder
• AzureDeveloperCliCredential / AzureDeveloperCliCredentialBuilder
• AzurePowerShellCredential / AzurePowerShellCredentialBuilder
• IntelliJCredential / IntelliJCredentialBuilder
• VisualStudioCodeCredential / VisualStudioCodeCredentialBuilder

Использование учетных данных, доступных для использования в любом средстве разработки

Используйте экземпляр DefaultAzureCredential, оптимизированный для всех локальных средств разработки. В этом примере требуется, чтобы для переменной AZURE_TOKEN_CREDENTIALS среды задано значение dev. Дополнительные сведения см. в разделе "Исключить категорию типов учетных данных".

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .requireEnvVars(AzureIdentityEnvVars.AZURE_TOKEN_CREDENTIALS)
    .build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Дальнейшие действия

В этой статье описана проверка подлинности во время разработки с помощью учетных данных, доступных на компьютере. Эта форма проверки подлинности является одним из нескольких способов проверки подлинности в Azure SDK для Java. В следующих статьях описаны другие способы.

• Аутентификация приложений Java для служб Azure при локальной разработке с помощью учетных записей служб.
• Аутентифицируйте размещенные в Azure приложения Java по отношению к ресурсам Azure, используя управляемую удостоверенность, назначенную системой
• Аутентификация размещаемых в Azure Java приложений с Azure ресурсами посредством назначенного пользователем управляемого удостоверения

Если возникают проблемы, связанные с проверкой подлинности среды разработки, см. статью "Устранение неполадок с проверкой подлинности среды разработки".

После освоения аутентификации ознакомьтесь со статьей Настройка ведения журнала в Azure SDK для Java, чтобы получить информацию о предоставляемой SDK функциональности ведения журнала.