Autentisera JavaScript-appar till Azure-tjänster under lokal utveckling med hjälp av tjänstens huvudnamn

Artikel
11/08/2023

När du skapar molnprogram måste utvecklare felsöka och testa program på sin lokala arbetsstation. När ett program körs på en utvecklares arbetsstation under den lokala utvecklingen måste det fortfarande autentiseras mot alla Azure-tjänster som används av appen. Den här artikeln beskriver hur du konfigurerar dedikerade programtjänstobjekt som ska användas under lokal utveckling.

Ett diagram som visar hur en JavaScript-app under lokal utveckling använder utvecklarens autentiseringsuppgifter för att ansluta till Azure genom att hämta dessa autentiseringsuppgifter lokalt installerade utvecklingsverktyg.

Med dedikerade huvudnamn för programtjänsten för lokal utveckling kan du följa principen om lägsta behörighet under apputveckling. Eftersom behörigheter är begränsade till exakt vad som behövs för appen under utvecklingen förhindras appkod från att oavsiktligt komma åt en Azure-resurs som är avsedd att användas av en annan app. Den här metoden förhindrar också att buggar inträffar när appen flyttas till produktion eftersom appen överprivilegierats i utvecklingsmiljön.

Ett huvudnamn för programtjänsten konfigureras för appen när appen är registrerad i Azure. När du registrerar appar för lokal utveckling rekommenderar vi att du:

Skapa separata appregistreringar för varje utvecklare som arbetar med appen. Den här metoden skapar separata huvudnamn för programtjänsten som varje utvecklare kan använda under lokal utveckling och undviker behovet av att utvecklare delar autentiseringsuppgifter för ett enda huvudnamn för programtjänsten.
Skapa separata appregistreringar per app. Detta omfattar endast appens behörigheter till det som behövs av appen.

Under lokal utveckling anges miljövariabler med programtjänstens huvudnamns identitet. Azure SDK för JavaScript läser dessa miljövariabler och använder den här informationen för att autentisera appen till de Azure-resurser den behöver.

1 – Registrera programmet i Azure

Huvudobjekt för programtjänsten skapas med en appregistrering i Azure. Du kan skapa tjänstens huvudnamn med hjälp av antingen Azure-portalen eller Azure CLI.

Azure-portalen
Azure CLI

Logga in på Azure-portalen och följ dessa steg.

Instruktioner	Skärmbild
I Azure-portalen: Ange appregistreringar i sökfältet överst i Azure-portalen. Välj det objekt som är märkt Appregistreringar under rubriken Tjänster på menyn som visas under sökfältet.
På sidan Appregistreringar väljer du + Ny registrering.
På sidan Registrera ett program fyller du i formuläret på följande sätt. Namn → Ange ett namn för appregistreringen i Azure. Det rekommenderas att det här namnet inkluderar appnamnet, den användare som appregistreringen är för och en identifierare som "dev" som anger att den här appregistreringen ska användas i lokal utveckling. Kontotyper som stöds → endast konton i den här organisationskatalogen. Välj Registrera för att registrera din app och skapa programtjänstens huvudnamn.
På sidan Appregistrering för din app: Program-ID → Det här är det app-ID som appen använder för att komma åt Azure under den lokala utvecklingen. Kopiera det här värdet till en tillfällig plats i en textredigerare eftersom du behöver det i ett framtida steg. Katalog-ID → Det här värdet behövs också av din app när den autentiseras till Azure. Kopiera det här värdet till en tillfällig plats i en textredigerare. Det behövs också i ett framtida steg. Klientautentiseringsuppgifter → Du måste ange klientautentiseringsuppgifterna för appen innan appen kan autentisera till Azure och använda Azure-tjänster. Välj Lägg till ett certifikat eller en hemlighet för att lägga till autentiseringsuppgifter för din app.
På sidan Certifikat och hemligheter väljer du + Ny klienthemlighet.
Dialogrutan Lägg till en klienthemlighet visas till höger på sidan. I den här dialogrutan: Beskrivning → Ange värdet Aktuell. Upphör → Välj ett värde på 24 månader. Välj Lägg till för att lägga till hemligheten.
På sidan Certifikat och hemligheter visas värdet för klienthemligheten. Kopiera det här värdet till en tillfällig plats i en textredigerare eftersom du behöver det i ett framtida steg. VIKTIGT! Det här är den enda gången du ser det här värdet. När du lämnar eller uppdaterar den här sidan kan du inte se det här värdet igen. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det här värdet visas inte igen.

Azure CLI-kommandon kan köras i Azure Cloud Shell eller på en arbetsstation med Azure CLI installerat.

Använd först kommandot az ad sp create-for-rbac för att skapa ett nytt huvudnamn för tjänsten för appen. Detta skapar appregistreringen för appen samtidigt.

az ad sp create-for-rbac --name {service-principal-name}

Utdata från det här kommandot ser ut som följande JSON-objekt. Vi rekommenderar att du kopierar utdata till en tillfällig fil i en textredigerare eftersom du behöver dessa värden i ett framtida steg eftersom det här är den enda platsen där du någonsin ser klienthemligheten (lösenordet) för tjänstens huvudnamn. Du kan dock lägga till ett nytt lösenord senare utan att ogiltigförklara tjänstens huvudnamn eller befintliga lösenord om det behövs.

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "{service-principal-name}",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

2 – Skapa en Microsoft Entra-säkerhetsgrupp för lokal utveckling

Eftersom det vanligtvis finns flera utvecklare som arbetar med ett program rekommenderar vi att du skapar en Microsoft Entra-grupp för att kapsla in de roller (behörigheter) som appen behöver i lokal utveckling i stället för att tilldela rollerna till enskilda objekt för tjänstens huvudnamn. Detta ger följande fördelar.

Varje utvecklare är säker på att ha samma roller tilldelade eftersom roller tilldelas på gruppnivå.
Om en ny roll behövs för appen behöver den bara läggas till i Microsoft Entra-gruppen för appen.
Om en ny utvecklare ansluter till teamet skapas ett nytt huvudnamn för programtjänsten för utvecklaren och läggs till i gruppen, vilket säkerställer att utvecklaren har rätt behörighet att arbeta med appen.

Azure-portalen
Azure CLI

Instruktioner	Skärmbild
Gå till Sidan Microsoft Entra-ID i Azure-portalen genom att skriva Microsoft Entra-ID i sökrutan överst på sidan och sedan välja Microsoft Entra-ID under tjänster.
På sidan Microsoft Entra-ID väljer du Grupper på den vänstra menyn.
På sidan Alla grupper väljer du Ny grupp.
På sidan Ny grupp : Grupptyp → Säkerhet Gruppnamn → Ett namn för säkerhetsgruppen, som vanligtvis skapas från programnamnet. Det är också bra att inkludera en sträng som local-dev i namnet på gruppen för att ange syftet med gruppen. Gruppbeskrivning → En beskrivning av syftet med gruppen. Välj länken Inga medlemmar har valts under Medlemmar för att lägga till medlemmar i gruppen.
I dialogrutan Lägg till medlemmar: Använd sökrutan för att filtrera listan med huvudnamn i listan. Välj programtjänstens huvudnamn för lokal utveckling för den här appen. När objekt markeras blir de nedtonade och flyttas till listan Markerade objekt längst ned i dialogrutan. När du är klar väljer du knappen Välj .
På sidan Ny grupp väljer du Skapa för att skapa gruppen. Gruppen skapas och du kommer tillbaka till sidan Alla grupper . Det kan ta upp till 30 sekunder innan gruppen visas och du kan behöva uppdatera sidan på grund av cachelagring i Azure-portalen.

Kommandot az ad group create används för att skapa grupper i Microsoft Entra-ID. Parametrarna --display-name och --main-nickname krävs. Namnet som ges till gruppen ska baseras på namnet på programmet. Det är också användbart att inkludera en fras som "local-dev" i gruppens namn för att ange syftet med gruppen.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description \<group-description>

Om du vill lägga till medlemmar i gruppen behöver du objekt-ID:t för programtjänstens huvudnamn, vilket skiljer sig från program-ID:t. Använd listan az ad sp för att lista de tillgängliga tjänstens huvudnamn. Parameterkommandot --filter accepterar OData-formatfilter och kan användas för att filtrera listan som visas. Parametern --query begränsar till kolumner till endast de som är intressanta.

az ad sp list \
    --filter "startswith(displayName, 'msdocs')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

Kommandot az ad group member add kan sedan användas för att lägga till medlemmar i grupper.

az ad group member add \
    --group \<group-name> \
    --member-id \<object-id>  \

3 – Tilldela roller till programmet

Därefter måste du bestämma vilka roller (behörigheter) din app behöver på vilka resurser och tilldela dessa roller till din app. I det här exemplet tilldelas rollerna till den Microsoft Entra-grupp som skapades i steg 2. Roller kan tilldelas en roll i ett resurs-, resursgrupps- eller prenumerationsomfång. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång eftersom de flesta program grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure-portalen
Azure CLI

Instruktioner	Skärmbild
Leta upp resursgruppen för ditt program genom att söka efter resursgruppens namn med hjälp av sökrutan överst i Azure-portalen. Gå till resursgruppen genom att välja resursgruppens namn under rubriken Resursgrupper i dialogrutan.
På sidan för resursgruppen väljer du Åtkomstkontroll (IAM) på den vänstra menyn.
På sidan Åtkomstkontroll (IAM): Välj fliken Rolltilldelningar. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.
På sidan Lägg till rolltilldelning visas alla roller som kan tilldelas för resursgruppen. Använd sökrutan för att filtrera listan till en mer hanterbar storlek. Det här exemplet visar hur du filtrerar efter Storage Blob-roller. Välj den roll du vill tilldela. Välj Nästa för att gå till nästa skärm.
På nästa sida För att lägga till rolltilldelning kan du ange vilken användare som ska tilldela rollen till. Välj Användare, grupp eller tjänstens huvudnamn under Tilldela åtkomst till. Välj + Välj medlemmar under Medlemmar En dialogruta öppnas till höger i Azure-portalen.
I dialogrutan Välj medlemmar: Textrutan Välj kan användas för att filtrera listan över användare och grupper i din prenumeration. Om det behövs skriver du de första tecknen i microsoft entra-gruppen för lokal utveckling som du skapade för appen. Välj den microsoft entra-grupp för lokal utveckling som är associerad med ditt program. Välj Välj längst ned i dialogrutan för att fortsätta.
Microsoft Entra-gruppen visas som markerad på skärmen Lägg till rolltilldelning . Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.

Ett huvudnamn för programtjänsten tilldelas en roll i Azure med kommandot az role assignment create .

az role assignment create --assignee "{appId}" \
    --scope /subscriptions/"{subscriptionName}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Använd kommandot az role definition list för att hämta rollnamnen som ett huvudnamn för tjänsten kan tilldelas till.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Om du till exempel vill tillåta programtjänstens huvudnamn med appId för läs-, skriv- och borttagningsåtkomst 00000000-0000-0000-0000-000000000000 till Azure Storage-blobcontainrar och data till alla lagringskonton i resursgruppen msdocs-sdk-auth-example , skulle du tilldela programtjänstens huvudnamn till rollen Storage Blob Data Contributor med hjälp av följande kommando.

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --scope /subscriptions/"Storage Blob Data Subscriber" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-sdk-auth-example"

Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i artikeln Tilldela Azure-roller med Hjälp av Azure CLI.

4 – Ange miljövariabler för lokal utveckling

Objektet DefaultAzureCredential söker efter informationen om tjänstens huvudnamn i en uppsättning miljövariabler vid körning. Eftersom de flesta utvecklare arbetar med flera program rekommenderar vi att du använder ett paket som dotenv för att komma åt miljön från en .env fil som lagras i programmets katalog under utvecklingen. Detta omfattar de miljövariabler som används för att autentisera programmet till Azure så att de bara kan användas av det här programmet.

Filen .env checkas aldrig in i källkontrollen eftersom den innehåller programhemlighetsnyckeln för Azure. Standardfilen .gitignore för JavaScript undantar .env automatiskt filen från incheckningen.

Om du vill använda dotenv paketet installerar du först paketet i ditt program.

npm install dotenv

Skapa sedan en .env fil i programmets rotkatalog. Ange miljövariabelvärdena med värden som hämtats från appregistreringsprocessen enligt följande:

AZURE_CLIENT_ID → App-ID-värdet.
AZURE_TENANT_ID → Klientorganisations-ID-värdet.
AZURE_CLIENT_SECRET → Lösenordet/autentiseringsuppgifterna som genereras för appen.

AZURE_CLIENT_ID=00000000-0000-0000-0000-000000000000
AZURE_TENANT_ID=11111111-1111-1111-1111-111111111111
AZURE_CLIENT_SECRET=abcdefghijklmnopqrstuvwxyz

I startkoden för ditt program använder dotenv du slutligen biblioteket för att läsa miljövariablerna från filen vid .env start.

import 'dotenv/config'

5 – Implementera DefaultAzureCredential i ditt program

Om du vill autentisera DefaultAzureCredential Azure SDK-klientobjekt till Azure bör ditt program använda klassen från @azure/identity paketet. I det här scenariot DefaultAzureCredential identifierar miljövariablerna AZURE_CLIENT_ID, AZURE_TENANT_IDoch AZURE_CLIENT_SECRET anges och läser dessa variabler för att hämta programtjänstens huvudnamnsinformation för att ansluta till Azure med.

Börja med att lägga till @azure/identitetspaketet i ditt program.

npm install @azure/identity

För alla JavaScript-kod som skapar ett Azure SDK-klientobjekt i din app vill du sedan:

DefaultAzureCredential Importera klassen från modulen@azure/identity.
Skapa ett DefaultAzureCredential objekt.
Skicka objektet DefaultAzureCredential till Azure SDK-klientobjektkonstruktorn.

Ett exempel på detta visas i följande kodsegment.

// Azure authentication dependency
import { DefaultAzureCredential } from '@azure/identity';

// Azure resource management dependency
import { SubscriptionClient } from "@azure/arm-subscriptions";

// Acquire credential
const tokenCredential = new DefaultAzureCredential();

async function listSubscriptions() {
  try {

    // use credential to authenticate with Azure SDKs
    const client = new SubscriptionClient(tokenCredential);

    // get details of each subscription
    for await (const item of client.subscriptions.list()) {
      const subscriptionDetails = await client.subscriptions.get(
        item.subscriptionId
      );
      /* 
        Each item looks like:
      
        {
          id: '/subscriptions/123456',
          subscriptionId: '123456',
          displayName: 'YOUR-SUBSCRIPTION-NAME',
          state: 'Enabled',
          subscriptionPolicies: {
            locationPlacementId: 'Internal_2014-09-01',
            quotaId: 'Internal_2014-09-01',
            spendingLimit: 'Off'
          },
          authorizationSource: 'RoleBased'
        },
    */
      console.log(subscriptionDetails);
    }
  } catch (err) {
    console.error(JSON.stringify(err));
  }
}

listSubscriptions()
  .then(() => {
    console.log("done");
  })
  .catch((ex) => {
    console.log(ex);
  });

DefaultAzureCredential identifierar automatiskt den autentiseringsmekanism som konfigurerats för appen och hämtar nödvändiga token för att autentisera appen till Azure. Om ett program använder mer än en SDK-klient kan samma autentiseringsobjekt användas med varje SDK-klientobjekt.