Проверка подлинности приложений Python в службах Azure во время локальной разработки с помощью учетных записей разработчиков

Во время локальной разработки приложения должны пройти проверку подлинности в Azure для использования различных служб Azure. Проверка подлинности локально с помощью одного из следующих подходов:

• Используйте учетную запись разработчика с одним из инструментов для разработчиков, поддерживаемых библиотекой удостоверений Azure.
• Используйте брокер для управления учетными данными.
• Используйте субъект-службу.

В этой статье объясняется, как пройти проверку подлинности с помощью учетной записи разработчика с инструментами, поддерживаемыми библиотекой удостоверений Azure. В следующих разделах вы узнаете:

• Использование групп Microsoft Entra для эффективного управления разрешениями для нескольких учетных записей разработчиков.
• Назначение ролей учетным записям разработчиков для определения области действия разрешений.
• Как войти в поддерживаемые локальные средства разработки.
• Как пройти проверку подлинности с помощью учетной записи разработчика из кода приложения.

Поддерживаемые средства разработчика для проверки подлинности

Чтобы приложение аутентифицировалось в Azure во время локальной разработки с использованием учетных данных разработчика Azure, разработчик должен войти в Azure через одно из следующих средств разработки:

• Azure CLI (Интерфейс командной строки для Azure)
• Azure Developer CLI (Интерфейс командной строки для разработчиков Azure)
• Azure PowerShell
• Visual Studio Code

Библиотека удостоверений Azure может обнаружить, что разработчик вошел в систему из одного из этих средств. Затем библиотека может получить токен доступа Microsoft Entra с помощью инструмента для аутентификации приложения в Azure от имени авторизованного пользователя.

Этот подход использует существующие учетные записи Azure разработчика для упрощения процесса проверки подлинности. Однако учетная запись разработчика, скорее всего, имеет больше разрешений, чем требуется для приложения, поэтому превышает разрешения, с которыми приложение работает в продакшене. В качестве альтернативы можно создать субъекты-службы приложений для использования во время локальной разработки, которые могут быть ограничены только доступом, необходимым для приложения.

Создание группы Microsoft Entra для локальной разработки

Создайте группу Microsoft Entra, чтобы объединять роли (разрешения), необходимые приложению при локальной разработке, а не назначать роли отдельным объектам службы-принципала. Этот подход обеспечивает следующие преимущества:

• Каждый разработчик имеет одинаковые роли, назначенные на уровне группы.
• Если для приложения требуется новая роль, ее необходимо только добавить в группу для приложения.
• Если новый разработчик присоединяется к команде, для разработчика создается новая учетная запись службы приложений и добавляется в группу, гарантируя, что разработчик имеет необходимые разрешения на работу с приложением.

Портал Azure

1. Перейдите на страницу обзора идентификатора Microsoft Entra на портале Azure.

2. Выберите все группы в меню слева.

3. На странице Группы выберите Создать группу.

4. На странице "Создать группу" заполните следующие поля формы:

   • Тип группы: Выберите безопасность .
   • Имя группы: введите имя группы, которая содержит ссылку на имя приложения или среды.
   • Описание группы: введите описание, объясняющее назначение группы.

   

5. Выберите ссылку "Нет участников", выбранную в разделе "Участники", чтобы добавить участников в группу.

6. На открывшейся всплывающей панели найдите созданную ранее основную служебную учетную запись и выберите её из результатов фильтрации. Нажмите кнопку "Выбрать " в нижней части панели, чтобы подтвердить выбор.

7. Нажмите кнопку "Создать " в нижней части страницы "Создать группу ", чтобы создать группу и вернуться на страницу "Все группы ". Если вы не видите новую группу, подождите минуту и обновите страницу.

Azure CLI

1. Используйте команду az ad group create для создания групп в идентификаторе Microsoft Entra.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Параметры --display-name и --mail-nickname являются обязательными. Имя группы должно быть основано на имени и среде приложения, чтобы указать назначение группы.

2. Чтобы добавить участников в группу, требуется идентификатор объекта субъекта-службы приложения, который отличается от идентификатора приложения. Используйте команду az ad sp list для перечисления доступных служебных сущностей:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Параметр --filter принимает фильтры в стиле OData и может использоваться для фильтрации списка, как показано ниже. Параметр --query ограничивает выходные данные только столбцами, интересующими вас.

3. Используйте команду az ad group member add, чтобы добавить участников в группу.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Назначьте роли группе

Затем определите, какие роли (разрешения) приложения требуются для ресурсов и назначьте эти роли созданной группе Microsoft Entra. Группы можно назначить роль в ресурсе, группе ресурсов или области подписки. В этом примере показано, как назначать роли в области группы ресурсов, так как большинство приложений группируют все свои ресурсы Azure в одну группу ресурсов.

Портал Azure

1. На портале Azure перейдите на страницу обзора группы ресурсов, содержащей приложение.

2. Выберите управление доступом (IAM) в левой панели навигации.

3. На странице управления доступом (IAM) выберите +Добавить , а затем выберите "Добавить назначение ролей " в раскрывающемся меню. Страница "Добавление назначения ролей " предоставляет несколько вкладок для настройки и назначения ролей.

4. На вкладке "Роль" используйте поле поиска, чтобы найти роль, которую вы хотите назначить. Выберите роль и нажмите кнопку "Далее".

5. На вкладке "Члены" :

   • Чтобы назначить доступ к значению , выберите "Пользователь", "Группа" или "Субъект-служба ".
   • Для значения "Члены" нажмите кнопку "Выбрать участников ", чтобы открыть панель всплывающего меню "Выбор участников ".
   • Найдите созданную ранее группу Microsoft Entra и выберите ее из отфильтрованных результатов. Выберите команду "Выбрать ", чтобы выбрать группу и закрыть панель всплывающего меню.
   • Выберите Обзор + Назначение внизу вкладки Члены.

   

6. На вкладке "Обзор и назначение" выберите "Обзор и назначение" в нижней части страницы.

Azure CLI

1. Используйте команду az role definition list, чтобы получить имена ролей, которым может быть назначена группа Microsoft Entra или учетная запись службы:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Используйте команду az role assignment create , чтобы назначить роль созданной группе Microsoft Entra:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

Вход в Azure с помощью средств разработчика

Чтобы пройти проверку подлинности с помощью учетной записи Azure, выберите один из следующих методов:

Visual Studio Code

Разработчики, использующие Visual Studio Code, могут аутентифицироваться с помощью своей учетной записи непосредственно в редакторе через брокера. Приложения, использующие DefaultAzureCredential или VisualStudioCodeCredential , могут использовать эту учетную запись для проверки подлинности запросов приложений с помощью простого единого входа.

1. В Visual Studio Code перейдите на панель расширений и установите расширение ресурсов Azure . Это расширение позволяет просматривать ресурсы Azure непосредственно из Visual Studio Code и управлять ими. Он также использует встроенный поставщик проверки подлинности Microsoft Visual Studio Code для проверки подлинности в Azure.

   

2. Откройте палитру команд в Visual Studio Code, а затем найдите и выберите Azure: войдите.

   

   Подсказка

   Откройте палитру команд с помощью Ctrl+Shift+P на Windows/Linux или Cmd+Shift+P на macOS.

3. azure-identity-broker Добавьте пакет Python в приложение:

   pip install azure-identity-broker
   

Azure CLI

Разработчики могут использовать Azure CLI для проверки подлинности в идентификаторе Microsoft Entra. Приложения, использующие DefaultAzureCredential или AzureCliCredential могут использовать эту учетную запись для проверки подлинности запросов приложений при локальном запуске.

Чтобы выполнить проверку подлинности с помощью Azure CLI, выполните az login команду. В системе с веб-браузером по умолчанию Azure CLI запускает браузер для проверки подлинности пользователя.

az login

Для систем без веб-браузера по умолчанию команда az login использует поток проверки подлинности кода устройства. Пользователь также может принудительно заставить Azure CLI использовать поток кода устройства вместо запуска браузера, указав аргумент --use-device-code.

az login --use-device-code

Интерфейс командной строки разработчика Azure

Разработчики могут использовать интерфейс командной строки разработчика Azure для проверки подлинности в идентификаторе Microsoft Entra. Приложения, использующие DefaultAzureCredential или AzureDeveloperCliCredential могут использовать эту учетную запись для проверки подлинности запросов приложений при локальном запуске.

Чтобы выполнить проверку подлинности с помощью интерфейса командной строки разработчика Azure, выполните azd auth login команду. В системе с веб-браузером по умолчанию интерфейс командной строки разработчика Azure запускает браузер для проверки подлинности пользователя.

azd auth login

Для систем, у которых отсутствует веб-браузер по умолчанию, azd auth login --use-device-code использует поток аутентификации с кодом устройства. Пользователь также может заставить интерфейс командной строки разработчика Azure использовать поток кода устройства вместо запуска браузера, указав аргумент --use-device-code.

azd auth login --use-device-code

Azure PowerShell

Разработчики могут использовать Azure PowerShell для проверки подлинности в идентификаторе Microsoft Entra. Приложения, использующие DefaultAzureCredential или AzurePowerShellCredential могут использовать эту учетную запись для проверки подлинности запросов приложений при локальном запуске.

Чтобы выполнить проверку подлинности с помощью Azure PowerShell, выполните команду Connect-AzAccount. В системе с веб-браузером по умолчанию и версией 5.0.0 или более поздней версии Azure PowerShell он запускает браузер для проверки подлинности пользователя.

Connect-AzAccount

Для систем без веб-браузера по умолчанию команда Connect-AzAccount использует поток проверки подлинности кода устройства. Пользователь также может заставить Azure PowerShell использовать поток кода устройства, а не запустить браузер, указав UseDeviceAuthentication аргумент.

Connect-AzAccount -UseDeviceAuthentication

Авторизация в службах Azure из вашего приложения

Библиотека удостоверений Azure предоставляет реализацию TokenCredential, которая поддерживает различные сценарии и потоки проверки подлинности Microsoft Entra. На шагах ниже показано, как использовать учетные данные по умолчанию DefaultAzureCredential или определенные учетные данные средства разработки при локальной работе с учетными записями пользователей.

Реализация кода

1. Добавьте пакет azure-identity в приложение:

   pip install azure-identity
   

   Примечание.

   При использовании VisualStudioCodeCredentialнеобходимо также установить azure-identity-broker пакет:

   pip install azure-identity-broker
   

   Добавьте необходимые import инструкции для azure.identity модуля и клиентского модуля службы Azure, который требуется вашему приложению.

2. Выберите одну из реализаций данных для аутентификации в зависимости от вашего сценария.

   • Используйте учетные данные, относящиеся к средству разработки: этот вариант лучше всего подходит для отдельных пользователей или отдельных сценариев инструментов.
   • Используйте учетные данные, доступные для использования в любом средстве разработки: этот вариант лучше всего подходит для проектов с открытым кодом и различных команд инструментов.

Используйте учетные данные, относящиеся к вашему средству разработки

TokenCredential Передайте экземпляр, соответствующий конкретному средству разработки, конструктору клиента службы Azure, напримерAzureCliCredential.

from azure.identity import AzureCliCredential
from azure.storage.blob import BlobServiceClient

credential = AzureCliCredential()

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Использование учетных данных, доступных для использования в любом средстве разработки

Используйте экземпляр DefaultAzureCredential, оптимизированный для всех локальных средств разработки. В этом примере требуется, чтобы для переменной AZURE_TOKEN_CREDENTIALS среды задано значение dev. Дополнительные сведения см. в разделе "Исключить категорию типов учетных данных".

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

credential = DefaultAzureCredential(require_envvar=True)

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Подсказка

Когда ваша команда использует несколько средств разработки для проверки подлинности в Azure, отдавайте предпочтение DefaultAzureCredential вместо учетных данных, специфичных для инструментов.