Проверка подлинности приложений Python в службах Azure во время локальной разработки с помощью субъектов-служб

2025-06-02

При создании облачных приложений разработчикам часто нужно запускать и тестировать приложения локально. Даже во время локальной разработки приложение должно пройти проверку подлинности в любых службах Azure, с которыми он взаимодействует. В этой статье объясняется, как настроить выделенные удостоверения службы, специально предназначенные для использования во время локальной разработки.

Схема, показывающая, как приложение работает на локальном компьютере, получает принципала службы приложения из файла .env, а затем использует это удостоверение для подключения к ресурсам Azure.

Выделенные субъекты-службы приложений для локальной разработки поддерживают принцип наименьшей привилегии путем ограничения доступа только к ресурсам Azure, необходимым приложению во время разработки. Использование выделенной учетной записи службы приложений снижает риск непреднамеренного доступа к другим ресурсам и помогает предотвратить ошибки, связанные с разрешениями при переходе в продакшн, где более широкие разрешения могут привести к проблемам.

При регистрации приложений для локальной разработки в Azure рекомендуется:

Создайте отдельные регистрации приложений для каждого разработчика. Это обеспечивает каждому разработчику собственную служебную учетную запись, что исключает необходимость совместного использования учетных данных и обеспечивает более детальное управление доступом.
Создание отдельных регистраций приложений для каждого приложения. Это гарантирует, что каждое приложение имеет только необходимые разрешения, уменьшая потенциальную область атаки.

Чтобы включить проверку подлинности во время локальной разработки, задайте переменные среды учетными данными субъекта-службы приложения. Пакет SDK Azure для Python обнаруживает эти переменные и использует их для проверки подлинности запросов к службам Azure.

1. Регистрация приложения в Azure

Объекты учетной записи службы приложений создаются при регистрации приложения в Azure. Эту регистрацию можно выполнить с помощью портала Azure или Azure CLI. Процесс регистрации создает запись приложения на идентификационной платформе Microsoft Entra ID (ранее Azure Active Directory) и формирует объект служебного принципала для приложения. Объект главного сервиса используется для проверки подлинности приложения в сервисах Azure. Процесс регистрации приложения также создает секрет клиента (пароль) для приложения. Этот секрет используется для проверки подлинности приложения в службах Azure. Секрет клиента никогда не хранится в системе управления версиями, а в файле в .env каталоге приложений. Файл .env считывается приложением во время выполнения, чтобы задать переменные среды, которые пакет SDK Azure для Python использует для проверки подлинности приложения. Следующие шаги показывают, как зарегистрировать приложение в Azure и создать служебный принципал для приложения. Шаги показаны как для Azure CLI, так и для портала Azure.

Azure CLI
Портал Azure

Команды Azure CLI могут выполняться в Azure Cloud Shell или на рабочей станции с установленным интерфейсом Azure CLI.

Сначала используйте команду az ad sp create-for-rbac, чтобы создать новую учетную запись службы для приложения. Команда также создает регистрацию приложения для приложения одновременно.

SERVICE_PRINCIPAL_NAME=<service-principal-name>
az ad sp create-for-rbac --name $SERVICE_PRINCIPAL_NAME

Выходные данные этой команды похожи на следующие. Запишите эти значения или оставьте это окно открытым, так как вам потребуется эти значения в следующих шагах и не сможете снова просмотреть значение пароля (секрет клиента). Однако при необходимости можно добавить новый пароль без аннулирования учетной записи службы или существующих паролей.

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "<service-principal-name>",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Затем необходимо получить appID значение и сохранить его в переменной. Это значение используется для настройки переменных окружения в вашей локальной среде разработки, чтобы пакет SDK Azure для Python мог проходить аутентификацию в Azure с помощью учетной записи службы.

APP_ID=$(az ad sp list \
  --all \
  --query "[?displayName=='$SERVICE_PRINCIPAL_NAME'].appId | [0]" \
  --output tsv)

Войдите на портал Azure и сделайте следующее.

Инструкции	Снимок экрана
В портал Azure: Введите регистрацию приложений в строке поиска в верхней части портала Azure. Выберите элемент, помеченный Регистрация приложений под заголовком "Службы" в меню, которое отображается под строкой поиска.
На странице Регистрация приложений нажмите кнопку +Создать регистрацию.
На странице регистрации приложения заполните форму следующим образом. Имя → Введите имя регистрации приложения в Azure. Рекомендуется, чтобы это имя включало в себя имя приложения, имя пользователя, для которого предназначена регистрация приложения, а также идентификатор, например, «dev», чтобы указать, что эта регистрация приложения используется в локальной разработке. Поддерживаемые типы учетных записей → учетные записи только в этом каталоге организации. Выберите Зарегистрировать, чтобы зарегистрировать ваше приложение и создать основной объект службы приложения.
На странице регистрации для вашего приложения: Идентификатор приложения (клиента) → Это идентификатор приложения, который приложение будет использовать для доступа к Azure во время локальной разработки. Скопируйте это значение во временное расположение в текстовом редакторе, так как он понадобится в следующем шаге. Идентификатор каталога (клиента) → Это значение также потребуется приложению при проверке подлинности в Azure. Скопируйте это значение во временное расположение в текстовом редакторе, оно также потребуется на следующем шаге. Учетные данные клиента → Необходимо задать учетные данные клиента для приложения, прежде чем приложение сможет пройти проверку подлинности в Azure и использовать службы Azure. Выберите " Добавить сертификат или секрет ", чтобы добавить учетные данные для приложения.
На странице "Сертификаты и секреты" выберите +Создать секрет клиента.
Диалоговое окно "Добавление секрета клиента" появится в правой части страницы. В этом диалоговом окне: Описание → Введите значение Current. Истекает срок действия → Выберите значение 24 месяцев. Нажмите кнопку "Добавить ", чтобы добавить секрет.
На странице "Сертификаты и секреты" отобразится значение секрета клиента. Скопируйте это значение во временное расположение в текстовом редакторе, так как он понадобится в следующем шаге. ВАЖНО. Это единственный раз, когда вы увидите это значение. После выхода или обновления этой страницы вы не сможете снова увидеть это значение. Вы можете добавить дополнительные секреты клиента, не отменив этот секрет клиента, но вы не увидите это значение снова.

2. Создание группы безопасности Microsoft Entra для локальной разработки

Так как обычно существует несколько разработчиков, работающих над приложением, рекомендуется создать группу безопасности Microsoft Entra, чтобы инкапсулировать роли (разрешения), необходимые приложению в локальной разработке, а не назначать роли отдельным объектам субъекта-службы. Это дает следующие преимущества:

Каждому разработчику гарантировано назначение одних и тех же ролей, поскольку они распределяются на уровне группы.
Если для приложения требуется новая роль, ее необходимо добавить только в группу Microsoft Entra для приложения.
Если новый разработчик присоединяется к команде, для него создается новый служебный принципал приложения, который добавляется в группу, обеспечивая разработчику правильные разрешения для работы с приложением.

Azure CLI
Портал Azure

Команда az ad group create используется для создания групп безопасности в идентификаторе Microsoft Entra ID. Параметры --display-name и --main-nickname являются обязательными. Имя, заданное группе, должно быть основано на имени приложения. Также полезно включить фразу, например local-dev, в имя группы, чтобы указать назначение группы.

GROUP_DISPLAY_NAME="<group-name>"
GROUP_MAIL_NICKNAME="<group-mail-nickname>"
GROUP_DESCRIPTION="<group-description>"
az ad group create \
  --display-name $GROUP_DISPLAY_NAME \
  --mail-nickname $GROUP_MAIL_NICKNAME \
  --description $GROUP_DESCRIPTION

Чтобы добавить участников в группу, требуется идентификатор объекта субъекта-службы приложения, который отличается от идентификатора приложения. Используйте команду az ad sp list для отображения доступных сервисных принципалов. Команда --filter параметра принимает фильтры стилей OData и может использоваться для фильтрации списка, как показано ниже. Параметр --query ограничивает столбцы только теми, которые представляют интерес.

SP_OBJECT_ID=$(az ad sp list \
  --filter "startswith(displayName,'$GROUP_DISPLAY_NAME')" \
  --query "[0].id" \
  --output tsv)

Затем команду az ad group member add можно использовать для добавления участников в группы.

az ad group member add \
    --group $GROUP_DISPLAY_NAME \
    --member-id $SP_OBJECT_ID

Инструкции	Снимок экрана
Перейдите на страницу Microsoft Entra ID в портале Azure, введя Microsoft Entra ID в поле поиска в верхней части страницы, а затем выберите Microsoft Entra ID в разделе служб.
На странице Microsoft Entra ID выберите Группы в меню слева.
На странице "Все группы" выберите "Создать группу".
На странице "Новая группа": Тип группы → Безопасность Имя группы → Имя группы безопасности, которое обычно создается из имени приложения. Также полезно включить строку, например local-dev в имя группы, чтобы указать назначение группы. Описание группы → Описание цели группы. Выберите ссылку "Нет участников", выбранную в разделе "Участники", чтобы добавить участников в группу.
В диалоговом окне "Добавление элементов": Используйте поле поиска для фильтрации списка имен субъектов в списке. Выберите субъекты-службы приложений для локальной разработки для этого приложения. При выборе объектов они будут серыми и перемещены в список выбранных элементов в нижней части диалогового окна. По завершении нажмите кнопку "Выбрать ".
Вернитесь на страницу "Создать группу ", выберите "Создать ", чтобы создать группу. Группа будет создана, и вы вернеесь на страницу "Все группы ". Для отображения группы может потребоваться до 30 секунд, и может потребоваться обновить страницу из-за кэширования в портал Azure.

Примечание.

По умолчанию создание групп безопасности Microsoft Entra ограничено определенными привилегированными ролями в каталоге. Если вы не можете создать группу, обратитесь к администратору каталога. Если вы не можете добавить участников в существующую группу, обратитесь к владельцу группы или администратору каталога. Дополнительные сведения см. в статье "Управление группами Microsoft Entra" и членством в группах.

3. Назначение ролей приложению

Затем необходимо определить, какие роли (разрешения) приложения требуются для ресурсов и назначить эти роли приложению. В этом примере роли назначаются группе Microsoft Entra, созданной на шаге 2. Роли можно назначать в ресурсе, группе ресурсов или области подписки. В этом примере показано, как назначать роли в области группы ресурсов, так как большинство приложений группировать все ресурсы Azure в одну группу ресурсов.

Azure CLI
Портал Azure

Пользователю, группе или субъекту-службе приложений назначается роль в Azure с помощью команды az role assignment create . Группу можно указать с идентификатором объекта. Субъект-службу приложения можно указать с помощью идентификатора приложения.

RESOURCE_GROUP_NAME=<resource-group-name>
SUBSCRIPTION_ID=$(az account show --query id --output tsv)
ROLE_NAME=<role-name>
az role assignment create \
  --assignee "$APP_ID" \
  --scope "./subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP_NAME" \
  --role "$ROLE_NAME"

![!ПРИМЕЧАНИЕ] Чтобы предотвратить рассмотрение /subscriptions/... как путь к файлу, ставьте ./ перед строкой, используемой в параметре scope, и используйте двойные кавычки вокруг всей строки.

Чтобы получить имена ролей, которые можно назначить, используйте команду az role definition list .

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Например, чтобы разрешить субъекту-службе приложения с идентификатором 00001111-aaaa-2222-bbbb-3333cccc4444 ресурсов read, write и delete access to служба хранилища Azure контейнеры BLOB-объектов и данные во всех учетных записях хранения в группе ресурсов msdocs-python-sdk-sdk-auth-example в подписке с идентификаторомaaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, вы назначите субъекту-службе приложения роль участника данных BLOB-объектов хранилища, используя следующую команду.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope "./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-python-sdk-auth-example" \
    --role "Storage Blob Data Contributor"

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье "Назначение ролей Azure с помощью Azure CLI".

Инструкции	Снимок экрана
Найдите группу ресурсов для приложения, найдите имя группы ресурсов с помощью поля поиска в верхней части портал Azure. Перейдите к группе ресурсов, выбрав имя группы ресурсов в заголовке "Группы ресурсов" в диалоговом окне.
На странице группы ресурсов выберите элемент управления доступом (IAM) в меню слева.
На странице управления доступом (IAM): Выберите вкладку Назначения ролей. Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.
На странице "Добавление назначения ролей" перечислены все роли, которые можно назначить для группы ресурсов. Используйте поле поиска, чтобы отфильтровать список до более управляемого размера. В этом примере показано, как фильтровать роли BLOB-объектов хранилища. Выберите роль, которую вы хотите назначить. Нажмите кнопку "Далее ", чтобы перейти к следующему экрану.
На следующей странице "Добавление назначения ролей" можно указать, какой пользователь назначит роль. Выберите "Пользователь", "Группа" или "Субъект-служба" в разделе "Назначение доступа". Выбор и выбор элементов в разделе "Элементы" Откроется диалоговое окно справа в портале Azure.
В диалоговом окне выбора элементов: Текстовое поле Select можно использовать для фильтрации списка пользователей и групп в подписке. При необходимости введите первые несколько символов локальной группы Microsoft Entra, созданной для приложения. Выберите локальную группу Microsoft Entra, связанную с приложением. Нажмите Выбрать в нижней части диалогового окна, чтобы продолжить.
Группа Microsoft Entra отображается как выбранная на экране добавления назначения ролей. Выберите Рецензирование + назначение, чтобы перейти на окончательную страницу, а затем Рецензирование + назначение еще раз, чтобы завершить процесс.

4. Задание переменных локальной среды разработки

Объект DefaultAzureCredential будет искать сведения субъекта-службы в наборе переменных среды во время выполнения. Так как большинство разработчиков работают над несколькими приложениями, рекомендуется использовать пакет, например python-dotenv , для доступа к среде из .env файла, хранящегося в каталоге приложения во время разработки. Это определяет переменные среды, используемые для проверки подлинности приложения в Azure, таким образом, что они могут использоваться только этим приложением.

Файл .env никогда не проверяется в системе управления версиями, так как он содержит секретный ключ приложения для Azure. Стандартный файл gitignore для Python автоматически исключает .env файл из регистрации.

Чтобы использовать пакет python-dotenv, сначала установите пакет в приложении.

pip install python-dotenv

Затем создайте файл в корневом .env каталоге приложения. Задайте значения переменной среды со значениями, полученными из процесса регистрации приложения следующим образом:

AZURE_CLIENT_ID → значение идентификатора приложения.
AZURE_TENANT_ID → Значение идентификатора клиента.
AZURE_CLIENT_SECRET → пароль или учетные данные, созданные для приложения.

AZURE_CLIENT_ID=00001111-aaaa-2222-bbbb-3333cccc4444
AZURE_TENANT_ID=aaaabbbb-0000-cccc-1111-dddd2222eeee
AZURE_CLIENT_SECRET=Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6

Наконец, в коде запуска приложения используйте python-dotenv библиотеку для чтения переменных среды из .env файла при запуске.

from dotenv import load_dotenv

if ( os.environ['ENVIRONMENT'] == 'development'):
    print("Loading environment variables from .env file")
    load_dotenv(".env")

5. Реализация DefaultAzureCredential в приложении

Для проверки подлинности клиентских объектов Пакета SDK Azure в Azure приложение должно использовать DefaultAzureCredential класс из azure.identity пакета. В этом сценарии DefaultAzureCredential определит переменные среды и AZURE_CLIENT_ID считывает эти переменныеAZURE_TENANT_IDAZURE_CLIENT_SECRET, чтобы получить сведения о субъекте-службе приложения для подключения к Azure.

Начните с добавления пакета azure.identity в приложение.

pip install azure-identity

Затем для любого кода Python, создающего клиентский объект Azure SDK в приложении, вам потребуется:

DefaultAzureCredential Импортируйте класс из azure.identity модуля.
Создание объекта DefaultAzureCredential.
Передайте объект конструктору DefaultAzureCredential клиентского объекта пакета SDK Azure.

Пример этого показан в следующем сегменте кода.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)