Проверка подлинности в Azure ресурсов из приложений, размещенных в локальной среде Java

Приложения, размещенные вне Azure, например, локально или в стороннем центре обработки данных, должны использовать учетную запись службы приложения через Microsoft Entra ID для аутентификации в службах Azure. В следующих разделах вы узнаете:

• Как зарегистрировать приложение с помощью Microsoft Entra для создания сервисного принципала.
• Как назначать роли в рамках разрешений области.
• Как пройти проверку подлинности с помощью сервисного принципала из кода приложения.

Используя специальные служебные принципалы приложений, вы можете следовать принципу наименьших привилегий при доступе к ресурсам Azure. Ограничьте разрешения определенным требованиям приложения во время разработки, чтобы предотвратить случайный доступ к ресурсам Azure, предназначенным для других приложений или служб. Этот подход также помогает избежать проблем при перемещении приложения в рабочую среду, гарантируя, что приложение не является более привилегированным в среде разработки.

Создайте другую регистрацию приложения для каждой среды, в которой размещается приложение. Вы можете настроить разрешения ресурсов для каждого субъекта-службы для конкретной среды и убедиться, что приложение, развернутое в одной среде, не обращается к ресурсам Azure в другой среде.

Регистрация приложения в Azure

Объекты основного сервиса приложения создаются посредством регистрации приложения в Azure через портал Azure или Azure CLI.

Azure

1. На портале Azure используйте строку поиска, чтобы перейти на страницу App registrations.

2. На странице App registrations выберите + Новая регистрация.

3. На странице Зарегистрировать приложение:

   • В поле Имя введите описательное значение, включающее имя приложения и целевую среду.
   • Для поддерживаемых типов учетных записейвыберите учетные записи только в этом каталоге организации (только клиент Майкрософт — один клиент)или любой вариант, который лучше всего соответствует вашим требованиям.

4. Выберите Регистрация, чтобы зарегистрировать приложение и создать служебный принципал.

   

5. На странице регистрации приложений скопируйте идентификатор приложения (клиента) и идентификатор каталога (клиента) и вставьте их во временное расположение для последующего использования в конфигурациях кода приложения.

6. Выберите Добавить сертификат или секрет, чтобы установить учетные данные для приложения.

7. На странице "Сертификаты и секреты" выберите "+ Новый секрет клиента".

8. На панели, открывающейся для добавления секрета клиента, выполните следующие действия:

   • В поле "Описание" введите значение Current.
   • Для значения "Срок действия" оставьте рекомендуемое значение 180 daysпо умолчанию.
   • Нажмите кнопку "Добавить ", чтобы добавить секрет.

9. На странице сертификатов & секретов скопируйте свойство значения секрета клиента для использования в следующем шаге.

   Замечание

   Значение секрета клиента отображается только один раз после создания регистрации приложения. Вы можете добавить дополнительные секреты клиента, не отменив этот секрет клиента, но невозможно снова отобразить это значение.

Azure CLI

команды Azure CLI можно выполнять в Azure Cloud Shell или на рабочей станции с установленным Azure CLI.

1. Используйте команду az ad sp create-for-rbac, чтобы создать новую регистрацию приложения и сервисный принципал для приложения.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Выходные данные этой команды похожи на следующий код JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Скопируйте эти выходные данные в временный файл в текстовом редакторе, так как эти значения потребуются на следующем шаге.

   Замечание

   Значение секрета клиента отображается только один раз после создания регистрации приложения. Вы можете добавить дополнительные секреты клиента, не отменив этот секрет клиента, но невозможно снова отобразить это значение.

Назначение ролей для служебного принципала приложения

Затем определите, какие роли (разрешения) приложению требуются для каких ресурсов, и назначьте эти роли созданному субъекту-службе. Роли можно назначать на уровне ресурса, группы ресурсов или подписки. В этом примере показано, как назначать роли в области группы ресурсов, так как большинство приложений группируют все свои Azure ресурсы в единую группу ресурсов.

Azure

1. На портале Azure перейдите на страницу Overview группы ресурсов, содержащей приложение.

2. Выберите управление доступом (IAM) в левой панели навигации.

3. На странице управления доступом (IAM) выберите +Добавить , а затем выберите "Добавить назначение ролей " в раскрывающемся меню. Страница "Добавление назначения ролей " предоставляет несколько вкладок для настройки и назначения ролей.

4. На вкладке "Роль" используйте поле поиска, чтобы найти роль, которую вы хотите назначить. Выберите роль и нажмите кнопку "Далее".

5. На вкладке "Члены" :

   • Чтобы назначить доступ к значению , выберите "Пользователь", "Группа" или "Субъект-служба ".
   • Для значения "Члены" нажмите кнопку "Выбрать участников ", чтобы открыть панель всплывающего меню "Выбор участников ".
   • Найдите служебный принципал, созданный ранее, и выберите его из отфильтрованных результатов. Выберите команду "Выбрать ", чтобы выбрать группу и закрыть панель всплывающего меню.
   • Выберите Обзор + Назначение внизу вкладки Члены.

   

6. На вкладке "Обзор и назначение" выберите "Обзор и назначение" в нижней части страницы.

Azure CLI

1. Используйте команду az role definition list, чтобы получить имена ролей, которым может быть назначен служебный принципал.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Используйте команду az role assignment create, чтобы назначить роль основному объекту службы приложения.

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье Назначение ролей Azure с помощью Azure CLI.

Установите переменные среды приложения

Во время выполнения определенные учетные данные из библиотеки удостоверений Azure Identity, такие как DefaultAzureCredential, EnvironmentCredential, и ClientSecretCredential, выполняют поиск информации о служебном объекте в переменных среды в соответствии с соглашением. При работе с Java можно настроить переменные среды несколькими способами в зависимости от инструментов и среды.

Независимо от выбранного подхода настройте следующие переменные среды для субъекта-службы:

• AZURE_CLIENT_ID: используется для идентификации зарегистрированного приложения в Azure.
• AZURE_TENANT_ID: идентификатор клиента Microsoft Entra.
• AZURE_CLIENT_SECRET: секретные учетные данные, созданные для приложения.

Bash

Задайте следующие переменные среды. Замените значения заполнителей фактическими значениями из регистрации приложения:

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Для приложения Java, работающего в качестве системной службы на рабочем сервере, определите переменные среды в файле и сослаться на него с директивой EnvironmentFile в файле единицы обслуживания:

[Unit]
Description=Java application service
After=network.target

[Service]
User=app-user
WorkingDirectory=/path/to/java-app
EnvironmentFile=/path/to/java-app/app-environment-variables
ExecStart=/usr/bin/java -jar app.jar

[Install]
WantedBy=multi-user.target

Файл среды должен содержать список переменных среды со своими значениями:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Visual Studio Code

В Visual Studio Code задайте переменные среды в файле .vscode/launch.json проекта. Приложение автоматически использует эти значения при запуске. Однако эти конфигурации не перемещаются вместе с приложением во время развертывания, поэтому необходимо настроить переменные среды в целевой среде размещения.

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Настройте переменные среды в конфигурации запуска:

1. Выберите "Выполнить > изменение конфигураций...".

2. Выберите конфигурацию приложения.

3. В поле переменных среды добавьте переменные :

   AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>
   

4. Выберите Применить, а затем ОК.

Windows

Переменные среды можно задать для Windows из командной строки. Однако все приложения, работающие в этой операционной системе, могут получить доступ к значениям, которые могут вызвать конфликты. Используйте осторожность с этим подходом. Переменные среды можно задать на уровне пользователя или системы.

# Set user environment variables
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

Вы также можете использовать PowerShell для задания переменных среды на уровне пользователя или системы:

# Set user environment variables
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Аутентификация для подключения к службам Azure из вашего приложения

Библиотека Azure Identity предоставляет различные учетные данные — реализации TokenCredential для поддержки различных сценариев и потоков аутентификации Microsoft Entra. Ниже показано, как использовать ClientSecretCredential при работе с субъектами-службами локально и в рабочей среде.

Реализация кода

Добавьте зависимость azure-identity в ваш pom.xml файл:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Доступ к службам Azure используется с помощью специализированных клиентских классов из различных клиентских библиотек Azure SDK. Для любого кода Java, создающего в приложении объект клиента Azure SDK, выполните следующие действия.

1. ClientSecretCredentialBuilder Импортируйте класс из com.azure.identity пакета.
2. Создайте объект с помощью ClientSecretCredentialBuilder, используя tenantId, clientId и clientSecret.
3. Передайте экземпляр ClientSecretCredential в метод credential объекта-создателя клиента Azure SDK.

Пример этого подхода показан в следующем сегменте кода:

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();