Autentisera .NET-appar till Azure-tjänster under lokal utveckling med hjälp av utvecklarkonton

När du skapar molnprogram måste utvecklare felsöka och testa program på sin lokala arbetsstation. När ett program körs på en utvecklares arbetsstation under den lokala utvecklingen måste det fortfarande autentiseras mot alla Azure-tjänster som används av appen. Den här artikeln beskriver hur du använder en utvecklares Azure-autentiseringsuppgifter för att autentisera appen till Azure under den lokala utvecklingen.

För att en app ska kunna autentisera till Azure under lokal utveckling med utvecklarens Azure-autentiseringsuppgifter måste utvecklaren vara inloggad på Azure från VS Code Azure Tools-tillägget, Azure CLI eller Azure PowerShell. Azure SDK för .NET kan identifiera att utvecklaren är inloggad från något av dessa verktyg och sedan hämta nödvändiga autentiseringsuppgifter från cacheminnet för autentiseringsuppgifter för att autentisera appen till Azure som inloggad användare.

Den här metoden är enklast att konfigurera för ett utvecklingsteam eftersom den utnyttjar utvecklarnas befintliga Azure-konton. En utvecklares konto kommer dock sannolikt att ha fler behörigheter än vad som krävs av programmet, vilket överskrider de behörigheter som appen kommer att köras med i produktion. Som ett alternativ kan du skapa huvudnamn för programtjänsten som ska användas under lokal utveckling , vilket kan begränsas till att endast ha den åtkomst som krävs av appen.

1 – Skapa Azure AD-grupp för lokal utveckling

Eftersom det nästan alltid finns flera utvecklare som arbetar med ett program rekommenderar vi att du först skapar en Azure AD-grupp för att kapsla in de roller (behörigheter) som appen behöver i den lokala utvecklingen. Detta ger följande fördelar.

• Varje utvecklare är säker på att ha samma roller tilldelade eftersom roller tilldelas på gruppnivå.
• Om en ny roll behövs för appen behöver den bara läggas till i Azure AD-gruppen för appen.
• Om en ny utvecklare ansluter till teamet måste de helt enkelt läggas till i rätt Azure AD-grupp för att få rätt behörighet att arbeta med appen.

Om du har en befintlig Azure AD-grupp för utvecklingsteamet kan du använda den gruppen. I annat fall utför du följande steg för att skapa en Azure AD-grupp.

Azure-portalen

Instruktioner	Skärmbild
Gå till Azure Active Directory-sidan i Azure-portalen genom att skriva Azure Active Directory i sökrutan överst på sidan och sedan välja Azure Active Directory under tjänster.
På sidan Azure Active Directory väljer du Grupper på den vänstra menyn.
På sidan Alla grupper väljer du Ny grupp.
På sidan Ny grupp : Grupptyp → Säkerhet Gruppnamn → Ett namn för säkerhetsgruppen, som vanligtvis skapas från programnamnet. Det är också bra att inkludera en sträng som local-dev i namnet på gruppen för att ange syftet med gruppen. Gruppbeskrivning → En beskrivning av syftet med gruppen. Välj länken Inga medlemmar har valts under Medlemmar för att lägga till medlemmar i gruppen.
I dialogrutan Lägg till medlemmar: Använd sökrutan för att filtrera listan med användarnamn i listan. Välj användare för lokal utveckling för den här appen. När objekt är markerade flyttas de till listan Markerade objekt längst ned i dialogrutan. När du är klar väljer du knappen Välj .
På sidan Ny grupp väljer du Skapa för att skapa gruppen. Gruppen skapas och du kommer tillbaka till sidan Alla grupper . Det kan ta upp till 30 sekunder innan gruppen visas och du kan behöva uppdatera sidan på grund av cachelagring i Azure-portalen.

Azure CLI

Kommandot az ad group create används för att skapa grupper i Azure Active Directory. Parametrarna --display-name och --main-nickname krävs. Namnet som ges till gruppen ska baseras på namnet på programmet. Det är också användbart att inkludera en fras som "local-dev" i gruppens namn för att ange syftet med gruppen.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description <group-description>

Om du vill lägga till medlemmar i gruppen behöver du objekt-ID:t för Azure-användaren. Använd listan az ad-användare för att lista de tillgängliga tjänstens huvudnamn. Parameterkommandot --filter accepterar OData-formatfilter och kan användas för att filtrera listan på användarens visningsnamn som det visas. Parametern --query begränsar till kolumner till endast de som är intressanta.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

Kommandot az ad group member add kan sedan användas för att lägga till medlemmar i grupper.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

2 – Tilldela roller till Azure AD-gruppen

Därefter måste du bestämma vilka roller (behörigheter) din app behöver på vilka resurser och tilldela dessa roller till din app. I det här exemplet tilldelas rollerna till den Azure Active Directory-grupp som skapades i steg 1. Roller kan tilldelas en roll i ett resurs-, resursgrupps- eller prenumerationsomfång. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång eftersom de flesta program grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure-portalen

Instruktioner	Skärmbild
Leta upp resursgruppen för ditt program genom att söka efter resursgruppens namn med hjälp av sökrutan överst i Azure-portalen. Gå till resursgruppen genom att välja resursgruppens namn under rubriken Resursgrupper i dialogrutan.
På sidan för resursgruppen väljer du Åtkomstkontroll (IAM) på den vänstra menyn.
På sidan Åtkomstkontroll (IAM): Välj fliken Rolltilldelningar. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.
På sidan Lägg till rolltilldelning visas alla roller som kan tilldelas för resursgruppen. Använd sökrutan för att filtrera listan till en mer hanterbar storlek. Det här exemplet visar hur du filtrerar efter Storage Blob-roller. Välj den roll du vill tilldela. Välj Nästa för att gå till nästa skärm.
På nästa sida För att lägga till rolltilldelning kan du ange vilken användare som ska tilldela rollen till. Välj Användare, grupp eller tjänstens huvudnamn under Tilldela åtkomst till. Välj + Välj medlemmar under Medlemmar En dialogruta öppnas till höger i Azure-portalen.
I dialogrutan Välj medlemmar: Textrutan Välj kan användas för att filtrera listan över användare och grupper i din prenumeration. Om det behövs skriver du de första tecknen i azure AD-gruppen för lokal utveckling som du skapade för appen. Välj den Azure AD-grupp för lokal utveckling som är associerad med ditt program. Välj Välj längst ned i dialogrutan för att fortsätta.
Azure AD-gruppen visas nu som markerad på skärmen Lägg till rolltilldelning . Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.

Azure CLI

Ett huvudnamn för programtjänsten tilldelas en roll i Azure med kommandot az role assignment create .

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Använd kommandot az role definition list för att hämta rollnamnen som ett huvudnamn för tjänsten kan tilldelas till.

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

Om du till exempel vill tillåta programtjänstens huvudnamn med appId för läs-, skriv- och borttagningsåtkomst 00000000-0000-0000-0000-000000000000 till Azure Storage-blobcontainrar och data till alla lagringskonton i resursgruppen msdocs-dotnet-sdk-auth-example , skulle du tilldela programtjänstens huvudnamn till rollen Storage Blob Data Contributor med hjälp av följande kommando.

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i artikeln Tilldela Azure-roller med Hjälp av Azure CLI.

3 – Logga in på Azure med hjälp av .NET Tooling

Därefter måste du logga in på Azure med något av flera .NET-verktygsalternativ. Det konto som du loggar in på bör också finnas i den Azure Active Directory-grupp som du skapade och konfigurerade tidigare.

Visual Studio

På den översta menyn i Visual Studio går du till Verktygsalternativ> för att öppna alternativdialogrutan. I sökfältet i det övre vänstra hörnet skriver du Azure för att filtrera alternativen. Under Azure Service Authentication väljer du Kontoval.

Välj den nedrullningsbara menyn under Välj ett konto och välj att lägga till ett Microsoft-konto. Ett fönster öppnas där du uppmanas att välja ett konto. Ange autentiseringsuppgifterna för ditt önskade Azure-konto och välj sedan bekräftelsen.

VS Code Azure Tools-tillägget

För att en app ska kunna använda utvecklarautentiseringsuppgifterna från VS Code måste TILLÄGGET VS Code Azure Tools installeras i VS Code.

Installera Azure Tools-tilläggen för VS Code

På den vänstra panelen visas en Azure-ikon. Välj den här ikonen så visas en kontrollpanel för Azure-tjänster. Välj Logga in på Azure... under valfri tjänst för att slutföra autentiseringsprocessen för Azure-verktygen i Visual Studio Code.

Azure CLI

Öppna en terminal på utvecklararbetsstationen och logga in på Azure från Azure CLI.

az login

Azure PowerShell

Öppna en terminal på utvecklararbetsstationen och logga in på Azure från Azure PowerShell.

Connect-AzAccount

4 – Implementera DefaultAzureCredential i ditt program

DefaultAzureCredential stöder flera autentiseringsmetoder och avgör vilken autentiseringsmetod som används vid körning. På så sätt kan din app använda olika autentiseringsmetoder i olika miljöer utan att implementera miljöspecifik kod.

Ordningen och platserna där DefaultAzureCredential du söker efter autentiseringsuppgifter finns i StandardAzureCredential.

Om du vill implementera DefaultAzureCredentiallägger du först till Azure.Identity och eventuellt paketen i Microsoft.Extensions.Azure ditt program. Du kan göra detta med antingen kommandoraden eller NuGet-Upravljač za pakete.

Kommandoraden

Öppna valfri terminalmiljö i programprojektkatalogen och ange kommandot nedan.

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet-pakethanteraren

Högerklicka på projektnoden i Visual Studio och välj Hantera NuGet-paket. Sök efter Azure.Identity i sökfältet och installera matchande paket. Upprepa även den här processen för Microsoft.Extensions.Azure-paketet .

Azure-tjänster används vanligtvis med motsvarande klientklasser från SDK:et. Dessa klasser och dina egna anpassade tjänster bör registreras i Program.cs filen så att de kan nås via beroendeinmatning i hela appen. Program.csI följer du stegen nedan för att konfigurera tjänsten och DefaultAzureCredential.

1. Azure.Identity Inkludera namnrymderna och Microsoft.Extensions.Azure med ett using direktiv.
2. Registrera Azure-tjänsten med relevanta hjälpmetoder.
3. Skicka en instans av DefaultAzureCredential objektet till UseCredential -metoden.

Ett exempel på detta visas i följande kodsegment.

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

Du kan också använda DefaultAzureCredential dina tjänster mer direkt utan hjälp av ytterligare Azure-registreringsmetoder, enligt nedan.

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

När koden ovan körs på din lokala arbetsstation under den lokala utvecklingen kommer den att titta i miljövariablerna efter ett huvudnamn för programtjänsten eller i Visual Studio, VS Code, Azure CLI eller Azure PowerShell för en uppsättning autentiseringsuppgifter för utvecklare, som kan användas för att autentisera appen till Azure-resurser under lokal utveckling.

När den här koden distribueras till Azure kan den även autentisera din app till andra Azure-resurser. DefaultAzureCredential kan hämta miljöinställningar och hanterade identitetskonfigurationer för att autentisera till andra tjänster automatiskt.