Autentisera Python-appar till Azure-tjänster under lokal utveckling med hjälp av tjänstens huvudnamn

Utvecklare behöver ofta köra och testa sina appar lokalt när de skapar molnprogram. Även under den lokala utvecklingen måste programmet autentiseras mot alla Azure-tjänster som det interagerar med. Den här artikeln beskriver hur du konfigurerar dedikerade identiteter för tjänstens huvudnamn specifikt för användning under lokal utveckling.

Dedikerade programtjänsthuvudnamn för lokal utveckling följer principen om lägsta behörighet. De beviljar endast åtkomst till de Azure-resurser som appen behöver under utvecklingen. Den här begränsade åtkomsten minskar risken för att oavsiktligt nå andra resurser. Det hjälper också till att förhindra behörighetsrelaterade buggar när du flyttar till produktion, där bredare behörigheter kan orsaka problem.

När du registrerar program för lokal utveckling i Azure:

• Skapa separata appregistreringar för varje utvecklare: Den här metoden ger varje utvecklare ett eget huvudnamn för tjänsten, vilket undviker behovet av att dela autentiseringsuppgifter och aktivera mer detaljerad åtkomstkontroll.
• Skapa separata appregistreringar för varje program: Den här metoden säkerställer att varje app bara har de behörigheter den behöver, vilket minskar den potentiella attackytan.

Om du vill aktivera autentisering under lokal utveckling anger du miljövariabler med autentiseringsuppgifterna för programtjänstens huvudnamn. Azure SDK för Python identifierar dessa variabler och använder dem för att autentisera begäranden till Azure-tjänster.

Registrera programmet i Azure

Huvudobjekt för programtjänsten skapas när du registrerar en app i Azure. Den här registreringen kan utföras med antingen Azure-portalen eller Azure CLI. Registreringsprocessen skapar en appregistrering i Microsoft Entra-ID och genererar ett tjänsthuvudnamn-objekt för appen. Tjänsthuvudobjektet används för att autentisera appen mot Azure-tjänster. Appregistreringsprocessen genererar också en klienthemlighet (lösenord) för appen. Den här hemligheten används för att autentisera appen till Azure-tjänster. Klienthemligheten lagras aldrig i källkontrollen, utan i stället i en .env fil i programkatalogen. Vid körning läser programmet filen .env och ställer in miljövariabler som Azure SDK för Python använder för att autentisera programmet.

Följande steg visar hur du registrerar en app i Azure och skapar ett huvudnamn för tjänsten för appen. Stegen visas för både Azure CLI och Azure-portalen.

Azure CLI

Azure CLI-kommandon kan köras i Azure Cloud Shell eller på en arbetsstation med Azure CLI installerat.

Använd först kommandot az ad sp create-for-rbac för att skapa ett nytt huvudnamn för tjänsten för appen. Kommandot skapar även appregistreringen för appen samtidigt.

SERVICE_PRINCIPAL_NAME=<service-principal-name>
az ad sp create-for-rbac --name $SERVICE_PRINCIPAL_NAME

Utdata från det här kommandot liknar följande. Anteckna dessa värden eller håll det här fönstret öppet eftersom du behöver dessa värden i nästa steg och inte kan visa lösenordet (klienthemligheten) igen. Du kan dock lägga till ett nytt lösenord senare utan att ogiltigförklara tjänstens huvudnamn eller befintliga lösenord om det behövs.

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "<service-principal-name>",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Därefter måste du hämta appID värdet och lagra det i en variabel. Det här värdet används för att ange miljövariabler i din lokala utvecklingsmiljö så att Azure SDK för Python kan autentisera till Azure med tjänstens huvudnamn.

APP_ID=$(az ad sp list \
  --all \
  --query "[?displayName=='$SERVICE_PRINCIPAL_NAME'].appId | [0]" \
  --output tsv)

Azure-portalen

Logga in på Azure Portal och följ dessa steg.

Instruktioner	Skärmbild
I Azure-portalen: Ange appregistreringar i sökfältet överst i Azure Portal. Välj det objekt som är märkt Appregistreringar under rubriken Tjänster på menyn som visas under sökfältet.
På sidan Appregistreringar väljer du + Ny registrering.
På sidan Registrera ett program fyller du i formuläret på följande sätt. Namn → Ange ett namn för appregistreringen i Azure. Det rekommenderas att det här namnet inkluderar appnamnet, den användare som appregistreringen är för och en identifierare som "dev" som anger att den här appregistreringen ska användas i lokal utveckling. Kontotyper som stöds → endast konton i den här organisationskatalogen. Välj Registrera för att registrera din app och skapa programtjänstens huvudnamn.
På sidan Appregistrering för din app: Program-ID → Det här är det app-ID som appen använder för att komma åt Azure under den lokala utvecklingen. Kopiera det här värdet till en tillfällig plats i en textredigerare eftersom du behöver det i ett framtida steg. Katalog-ID → Det här värdet behövs också av din app när den autentiseras till Azure. Kopiera det här värdet till en tillfällig plats i en textredigerare. Det behövs också i ett framtida steg. Klientautentiseringsuppgifter → Du måste ange klientautentiseringsuppgifterna för appen innan appen kan autentisera till Azure och använda Azure-tjänster. Välj Lägg till ett certifikat eller en hemlighet för att lägga till autentiseringsuppgifter för din app.
På sidan Certifikat och hemligheter väljer du + Ny klienthemlighet.
Dialogrutan Lägg till en klienthemlighet visas till höger på sidan. I den här dialogrutan: Beskrivning → Ange värdet Aktuell. Upphör → Välj ett värde på 24 månader. Välj Lägg till för att lägga till hemligheten.
På sidan Certifikat och hemligheter visas värdet för klienthemligheten. Kopiera det här värdet till en tillfällig plats i en textredigerare eftersom du behöver det i ett framtida steg. VIKTIGT! Det här är den enda gången du ser det här värdet. När du lämnar eller uppdaterar den här sidan kan du inte se det här värdet igen. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det här värdet visas inte igen.

Skapa en Microsoft Entra-säkerhetsgrupp för lokal utveckling

Eftersom flera utvecklare vanligtvis arbetar med samma program är det bättre att hantera behörigheter via en Microsoft Entra-säkerhetsgrupp. Skapa en säkerhetsgrupp som innehåller de roller som appen behöver för lokal utveckling, i stället för att tilldela roller till varje utvecklares tjänstens huvudprincip individuellt. Att använda en säkerhetsgrupp ger följande fördelar:

• Varje utvecklare är säker på att ha samma roller tilldelade eftersom roller tilldelas på gruppnivå.
• Om en ny roll behövs för appen behöver den bara läggas till i Microsoft Entra-gruppen för appen.
• Om en ny utvecklare ansluter till teamet skapas ett nytt huvudnamn för programtjänsten för utvecklaren och läggs till i gruppen, vilket säkerställer att utvecklaren har rätt behörighet att arbeta med appen.

Azure CLI

Kommandot az ad group create används för att skapa säkerhetsgrupper i Microsoft Entra-ID. Parametrarna --display-name och --main-nickname krävs. Namnet som ges till gruppen ska baseras på namnet på programmet. Det är också användbart att inkludera en fras som "local-dev" i gruppens namn för att ange syftet med gruppen.

GROUP_DISPLAY_NAME="<group-name>"
GROUP_MAIL_NICKNAME="<group-mail-nickname>"
GROUP_DESCRIPTION="<group-description>"
az ad group create \
  --display-name $GROUP_DISPLAY_NAME \
  --mail-nickname $GROUP_MAIL_NICKNAME \
  --description $GROUP_DESCRIPTION

Om du vill lägga till medlemmar i gruppen behöver du objekt-ID:t för programtjänstens huvudnamn, som skiljer sig från program-ID:t. Använd az ad sp list för att lista de tillgängliga tjänsteprincipalerna. Parameterkommandot --filter accepterar OData-formatfilter och kan användas för att filtrera listan som visas. Parametern --query begränsar kolumnerna till endast de som du är intresserad av.

SP_OBJECT_ID=$(az ad sp list \
  --filter "startswith(displayName,'$GROUP_DISPLAY_NAME')" \
  --query "[0].id" \
  --output tsv)

Kommandot az ad group member add kan sedan användas för att lägga till medlemmar i grupper.

az ad group member add \
    --group $GROUP_DISPLAY_NAME \
    --member-id $SP_OBJECT_ID

Azure-portalen

Instruktioner	Skärmbild
Gå till sidan Microsoft Entra-ID i Azure Portal genom att skriva Microsoft Entra-ID i sökrutan överst på sidan och sedan välja Microsoft Entra-ID under tjänster.
På sidan Microsoft Entra-ID väljer du Grupper på den vänstra menyn.
På sidan Alla grupper väljer du Ny grupp.
På sidan Ny grupp : Grupptyp → Säkerhet Gruppnamn → Ett namn för säkerhetsgruppen, som vanligtvis skapas från programnamnet. Det är också bra att inkludera en sträng som local-dev i namnet på gruppen för att ange syftet med gruppen. Gruppbeskrivning → En beskrivning av syftet med gruppen. Välj länken Inga medlemmar har valts under Medlemmar för att lägga till medlemmar i gruppen.
I dialogrutan Lägg till medlemmar: Använd sökrutan för att filtrera listan med huvudnamn i listan. Välj programtjänstens huvudnamn för lokal utveckling för den här appen. När objekt markeras blir de nedtonade och flyttas till listan Markerade objekt längst ned i dialogrutan. När du är klar väljer du knappen Välj .
På sidan Ny grupp väljer du Skapa för att skapa gruppen. Gruppen skapas och du kommer tillbaka till sidan Alla grupper . Det kan ta upp till 30 sekunder innan gruppen visas och du kan behöva uppdatera sidan på grund av cachelagring i Azure Portal.

Kommentar

Som standard är skapandet av Microsoft Entra-säkerhetsgrupper begränsat till vissa privilegierade roller i en katalog. Om du inte kan skapa en grupp kontaktar du en administratör för din katalog. Om du inte kan lägga till medlemmar i en befintlig grupp kontaktar du gruppägaren eller en katalogadministratör. Mer information finns i Hantera Microsoft Entra-grupper och gruppmedlemskap.

Tilldela roller till programmet

Därefter måste du bestämma vilka roller (behörigheter) din app behöver på vilka resurser och tilldela dessa roller till din app. I det här exemplet tilldelas rollerna till den Microsoft Entra-grupp som skapades i steg 2. Roller kan tilldelas i ett resurs-, resursgrupps- eller prenumerationsomfång. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång eftersom de flesta program grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure CLI

az role assignment create Använd kommandot för att tilldela en roll till en användare, grupp eller programtjänstens huvudnamn. Du kan ange en grupp med dess objekt-ID. Du kan ange ett huvudnamn för programtjänsten med dess appId.

RESOURCE_GROUP_NAME=<resource-group-name>
SUBSCRIPTION_ID=$(az account show --query id --output tsv)
ROLE_NAME=<role-name>
az role assignment create \
  --assignee "$APP_ID" \
  --scope "./subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP_NAME" \
  --role "$ROLE_NAME"

![!OBS] För att förhindra att Git Bash behandlar /subscriptions/... som en filsökväg, lägg till i början ./ till strängen för parametern scope och använd dubbla citattecken runt hela strängen.

Om du vill hämta de rollnamn som kan tilldelas använder du kommandot az role definition list .

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Om du till exempel vill tillåta programtjänstens huvudnamn med appId för läs-, skriv- och borttagningsåtkomst 00001111-aaaa-2222-bbbb-3333cccc4444 till Azure Storage-blobcontainrar och data i alla lagringskonton i resursgruppen msdocs-python-sdk-auth-example i prenumerationen med ID aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, tilldelar du programtjänstens huvudnamn till rollen Storage Blob Data Contributor med hjälp av följande kommando.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope "./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-python-sdk-auth-example" \
    --role "Storage Blob Data Contributor"

Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i artikeln Tilldela Azure-roller med Hjälp av Azure CLI.

Azure-portalen

Instruktioner	Skärmbild
Leta upp resursgruppen för ditt program genom att söka efter resursgruppens namn med hjälp av sökrutan överst i Azure Portal. Gå till resursgruppen genom att välja resursgruppens namn under rubriken Resursgrupper i dialogrutan.
På sidan för resursgruppen väljer du Åtkomstkontroll (IAM) på den vänstra menyn.
På sidan Åtkomstkontroll (IAM): Välj fliken Rolltilldelningar. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.
På sidan Lägg till rolltilldelning visas alla roller som kan tilldelas för resursgruppen. Använd sökrutan för att filtrera listan till en mer hanterbar storlek. Det här exemplet visar hur du filtrerar efter Storage Blob-roller. Välj den roll du vill tilldela. Välj Nästa för att gå till nästa skärm.
På nästa sida För att lägga till rolltilldelning kan du ange vilken användare som ska tilldela rollen till. Välj Användare, grupp eller tjänstens huvudnamn under Tilldela åtkomst till. Välj + Välj medlemmar under Medlemmar En dialogruta öppnas till höger om Azure Portal.
I dialogrutan Välj medlemmar: Textrutan Välj kan användas för att filtrera listan över användare och grupper i din prenumeration. Om det behövs, skriv de första tecknen i Microsoft Entra-gruppen för lokal utveckling som du har skapat för appen. Välj den microsoft entra-grupp för lokal utveckling som är associerad med ditt program. Välj Välj längst ned i dialogrutan för att fortsätta.
Microsoft Entra-gruppen visas som markerad på skärmen Lägg till rolltilldelning . Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.

Ange miljövariabler för lokal utveckling

Objektet DefaultAzureCredential söker efter informationen om tjänstens huvudnamn i en uppsättning miljövariabler vid körning. Eftersom de flesta utvecklare arbetar med flera applikationer bör du använda ett verktyg som python-dotenv för att komma åt miljödata från en .env fil lagrad i applikationens katalog under utveckling. Den här konfigurationen omfattar miljövariablerna så att endast det här programmet kan använda dem för att autentisera till Azure.

Filen .env checkas aldrig in i källkontrollen eftersom den innehåller programhemlighetsnyckeln för Azure. Standardfilen .gitignore för Python undantar .env automatiskt filen från incheckningen.

Om du vill använda python-dotenv-paketet installerar du först paketet i ditt program.

pip install python-dotenv

Skapa sedan en .env fil i programmets rotkatalog. Ange miljövariabelvärdena med värden som hämtats från appregistreringsprocessen enligt följande:

• AZURE_CLIENT_ID → App-ID-värdet.
• AZURE_TENANT_ID → Hyresgäst-ID-värdet.
• AZURE_CLIENT_SECRET → Lösenordet/autentiseringsuppgifterna som genereras för appen.

AZURE_CLIENT_ID=00001111-aaaa-2222-bbbb-3333cccc4444
AZURE_TENANT_ID=aaaabbbb-0000-cccc-1111-dddd2222eeee
AZURE_CLIENT_SECRET=Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6

Slutligen, använd python-dotenv-biblioteket för att läsa miljövariablerna från .env-filen i startkoden för ditt program.

from dotenv import load_dotenv

if ( os.environ['ENVIRONMENT'] == 'development'):
    print("Loading environment variables from .env file")
    load_dotenv(".env")

Implementera DefaultAzureCredential i ditt program

Om du vill autentisera DefaultAzureCredential Azure SDK-klientobjekt till Azure bör ditt program använda klassen från azure.identity paketet. I det här scenariot DefaultAzureCredential identifierar miljövariablerna AZURE_CLIENT_ID, AZURE_TENANT_IDoch AZURE_CLIENT_SECRET anges och läser dessa variabler för att hämta programtjänstens huvudnamnsinformation för att ansluta till Azure med.

Börja med att lägga till paketet azure.identity i ditt program.

pip install azure-identity

För alla Python-kod som skapar ett Azure SDK-klientobjekt i din app:

1. DefaultAzureCredential Importera klassen från modulenazure.identity.
2. Skapa ett DefaultAzureCredential objekt.
3. Skicka objektet DefaultAzureCredential till Azure SDK-klientobjektkonstruktorn.

Ett exempel på detta visas i följande kodsegment.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)