Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Azure hizmetleri için Java uygulamaların kimliğini doğrulama

Yerel geliştirme sırasında uygulamaların çeşitli Azure hizmetlerine erişmek için Azure kimlik doğrulamasından geçirmesi gerekir. Aşağıdaki yaklaşımlardan birini kullanarak yerel olarak kimlik doğrulaması yapabilirsiniz:

• Azure Kimlik kitaplığı tarafından desteklenen geliştirici araçlarından biriyle bir geliştirici hesabı kullanın.
• Hizmet sorumlusu kullanın. Daha fazla bilgi için bkz. Yerel geliştirme sırasında hizmet sorumlularını kullanarak Java uygulamalarını Azure hizmetlerine kimlik doğrulama.

Bu makalede, Azure Kimlik kitaplığı tarafından desteklenen araçlarla bir geliştirici hesabı kullanarak kimlik doğrulamasının nasıl yapılacağını açıklanmaktadır. Bu makalede şunları öğreneceksiniz:

• Birden çok geliştirici hesabının izinlerini verimli bir şekilde yönetmek için Microsoft Entra gruplarını kullanma.
• Geliştirici hesaplarına roller atayarak izin kapsamını belirleme.
• Desteklenen yerel geliştirme araçlarında oturum açma.
• Uygulama kodunuzdan bir geliştirici hesabı kullanarak kimlik doğrulama.

Kimlik doğrulaması için desteklenen geliştirici araçları

Yerel geliştirme sırasında bir uygulama, Azure kimlik bilgilerinizi kullanarak Azure kimlik doğrulaması yapabilir. Bu kimlik doğrulamasının çalışması için aşağıdakilerden biri gibi bir geliştirici aracından Azure oturum açmanız gerekir:

• Azure CLI
• Azure Geliştirici CLI'sı
• Azure PowerShell
• Visual Studio Code
• IntelliJ IDEA

Azure Kimlik kitaplığı, geliştiricinin bu araçlardan birinde oturum açtığını algılayabilir. Kitaplık, oturum açmış kullanıcı olarak uygulamayı Azure’a kimlik doğrulaması yapmak üzere araç üzerinden Microsoft Entra erişim belirtecini alabilir.

Bu yaklaşım, kimlik doğrulama sürecini kolaylaştırmak için geliştiricinin mevcut Azure hesaplarından yararlanır. Ancak, bir geliştirici hesabının büyük olasılıkla uygulamanın gerektirdiğinden daha fazla izni vardır ve bu nedenle uygulamanın üretim ortamında çalıştırdığı izinleri aşıyor olabilir. Alternatif olarak, yerel geliştirme sırasında kullanmak üzere uygulama hizmet birimleri oluşturabilirsiniz, bu birimler yalnızca uygulamanın ihtiyaç duyduğu erişime sahip olacak şekilde kapsamlandırılabilir.

Yerel geliştirme için Microsoft Entra grubu oluşturma

Rolleri tek tek hizmet sorumlusu nesnelerine atamak yerine yerel geliştirmede uygulamanın ihtiyaç duyduğu rolleri (izinleri) kapsüllemek için bir Microsoft Entra grubu oluşturun. Bu yaklaşım aşağıdaki avantajları sunar:

• Her geliştirici, grup düzeyinde aynı rollere sahiptir.
• Uygulama için yeni bir rol gerekiyorsa, yalnızca uygulamanın grubuna eklenmesi gerekir.
• Ekibe yeni bir geliştirici katılırsa, geliştirici için yeni bir uygulama hizmet sorumlusu oluşturulur ve gruba eklenir ve geliştiricinin uygulama üzerinde çalışmak için doğru izinlere sahip olduğundan emin olun.

Azure portalı

1. Azure portalında Microsoft Entra ID genel bakış sayfasına gidin.

2. Sol taraftaki menüden Tüm gruplar'ı seçin.

3. Gruplar sayfasında Yeni grup'a tıklayın.

4. Yeni grup sayfasında aşağıdaki form alanlarını doldurun:

   • Grup türü: Güvenlik'i seçin.
   • Grup adı: Uygulama veya ortam adına başvuru içeren grup için bir ad girin.
   • Grup açıklaması: Grubun amacını açıklayan bir açıklama girin.

   

5. Gruba üye eklemek için Üyeler'in altında Hiçbir üye seçilmedi bağlantısını seçin.

6. Açılan açılır panelde, daha önce oluşturduğunuz hizmet sorumlusunu arayın ve filtrelenen sonuçlardan seçin. Seçiminizi onaylamak için panelin altındaki Seç düğmesini seçin.

7. Grubu oluşturmak ve Tüm gruplar sayfasına dönmek için Yeni grup sayfasının alt kısmındaki Oluştur'u seçin. Yeni grubu listede görmüyorsanız, bir dakika bekleyin ve sayfayı yenileyin.

Azure CLI

1. Microsoft Entra ID grupları oluşturmak için az ad group create komutunu kullanın.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   --display-name ve --mail-nickname parametreleri zorunludur. Gruba verilen ad, grubun amacını belirtmek için uygulamanın adına ve ortamına dayalı olmalıdır.

2. Gruba üye eklemek için, uygulama hizmet sorumlusunun uygulama kimliğinden farklı olan nesne kimliğine ihtiyacınız vardır. Kullanılabilir hizmet sorumlularını listelemek için az ad sp list komutunu kullanın:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   --filter parametresi OData stili filtreleri kabul eder ve gösterildiği gibi listeyi filtrelemek için kullanılabilir. --query parametresi, çıkışı yalnızca ilgilendiğiniz sütunlara sınırlar.

3. az ad group member add komutunu kullanarak gruba üye ekleyin.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Gruba rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri oluşturduğunuz Microsoft Entra grubuna atayın. Gruplara kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı

1. Azure portalında, uygulamanızı içeren kaynak grubunun Overview sayfasına gidin.

2. Sol gezinti bölmesinden Erişim denetimi (IAM) seçin.

3. Erişim denetimi (IAM) sayfasında + Ekle'yi ve ardından açılan menüden Rol ataması ekle'yi seçin. Rol ataması ekle sayfasında rolleri yapılandırmak ve atamak için birkaç sekme bulunur.

4. Rol sekmesinde, atamak istediğiniz rolü bulmak için arama kutusunu kullanın. Rolü seçin ve ardından İleri'yi seçin.

5. Üyeler sekmesinde:

   • Değere erişim ata için Kullanıcı, grup veya hizmet sorumlusu öğesini seçin.
   • Üyeler değeri için + Üyeleri seç'i seçerek Üyeleri seçin açılır penceresini açın.
   • Daha önce oluşturduğunuz Microsoft Entra grubunu arayın ve filtrelenen sonuçlardan seçin. Grubu seçmek ve açılır menü panelini kapatmak için Seç'i seçin.
   • Gözden Geçir ve Ata'yı, Üyeler sekmesinin alt kısmında seçin.

   

6. Gözden geçir ve ata sekmesinde, sayfanın alt kısmında Gözden geçir ve ata seçeneğini seçin.

Azure CLI

1. Microsoft Entra grubu veya hizmet sorumlusunun atanabileceği rollerin adlarını almak için az role definition list komutunu kullanın:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Oluşturduğunuz Microsoft Entra grubuna rol atamak için az role assignment create komutunu kullanın:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI kullanarak kaynak veya abonelik düzeyinde izin atama hakkında bilgi için, "Azure CLI kullanarak Azure rolleri atama" kısmına bakın.

Geliştirici araçlarını kullanarak Azure oturum açma

Ardından, geliştirme ortamınızda kimlik doğrulaması gerçekleştirmek için kullanabileceğiniz geliştirici araçlarından birini kullanarak Azure oturum açın. Kimlik doğrulaması yaptığınız hesap, daha önce oluşturup yapılandırdığınız Microsoft Entra grubunda da bulunmalıdır.

Visual Studio Code

Visual Studio Code’u kullanan geliştiriciler, düzenleyici üzerinden kendi geliştirici hesaplarıyla doğrudan kimlik doğrulayabilir. Tekli oturum açma deneyimi aracılığıyla uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanan DefaultAzureCredential veya VisualStudioCodeCredential kullanan uygulamalar.

1. Visual Studio Code Extensions paneline gidin ve Azure Resources uzantısını yükleyin. Bu uzantı, Azure kaynaklarını doğrudan Visual Studio Code görüntülemenize ve yönetmenize olanak tanır. Ayrıca, Azure ile kimlik doğrulaması yapmak için yerleşik Visual Studio Code Microsoft kimlik doğrulama sağlayıcısını kullanır.

   

2. Visual Studio Code'da Komut Paleti'ni açın, ardından Azure: Oturum aç öğesini arayın ve seçin.

   

   Tip

   Windows/Linux üzerinde Ctrl+Shift+P veya macOS üzerinde Cmd+Shift+P kullanarak Komut Paleti'ni açın.

IntelliJ kullanan geliştirici, Azure Toolkit for IntelliJ eklentisini kullanarak kimlik doğrulaması yapabilir. Oturum açmak için aşağıdaki adımları kullanın:

1. IntelliJ pencerenizde Dosya > Ayarları > Eklentileri'yi açın.
2. Markette "Azure Toolkit for IntelliJ" araması yapın. IDE'yi yükleyin ve yeniden başlatın.
3. yeni menü öğesini bulun Tools > Azure > Azure Oturum Aç.
4. Cihaz Oturum Açma, kullanıcı hesabı olarak oturum açmanıza yardımcı olur. Cihaz kodunu kullanarak web sitesinde login.microsoftonline.com oturum açmak için yönergeleri izleyin. IntelliJ sizden aboneliklerinizi seçmenizi ister. Erişmek istediğiniz kaynakları içeren aboneliği seçin.

Azure CLI

Geliştiriciler kimlik doğrulaması için Azure CLI kullanabilir. DefaultAzureCredential veya AzureCLICredential kullanabilen uygulamalar, uygulama isteklerini kimlik doğrulamak için bu hesabı kullanabilir.

Azure CLI kimlik doğrulaması yapmak için az login komutunu çalıştırın. Varsayılan web tarayıcısı olan bir sistemde, Azure CLI kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

az login

Varsayılan web tarayıcısı olmayan sistemler için az login komutu cihaz kodu kimlik doğrulama akışını kullanır. Ayrıca --use-device-code bağımsız değişkenini belirterek Azure CLI'yi tarayıcıyı başlatmak yerine cihaz kodu akışını kullanmaya zorlayabilirsiniz.

az login --use-device-code

Azure Geliştirici CLI

Geliştiriciler Microsoft Entra ID kimlik doğrulaması yapmak için Azure Developer CLI kullanabilir. veya DefaultAzureCredential kullanan AzureDeveloperCliCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure Geliştirici CLI'sı ile kimlik doğrulaması yapmak için azd auth login komutunu çalıştırın. Varsayılan web tarayıcısına sahip bir sistemde, Azure Geliştirici CLI'sı kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

azd auth login

azd auth login --use-device-code, varsayılan web tarayıcısı olmayan sistemler için cihaz kodu kimlik doğrulama akışını kullanır. Kullanıcı ayrıca --use-device-code bağımsız değişkenini belirterek tarayıcı başlatmak yerine Azure Geliştirici CLI'sini cihaz kodu akışını kullanmaya zorlayabilir.

azd auth login --use-device-code

Azure PowerShell

Geliştiriciler Microsoft Entra ID kimlik doğrulaması yapmak için Azure PowerShell kullanabilir. veya DefaultAzureCredential kullanan AzurePowerShellCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure PowerShell kimlik doğrulaması yapmak için Connect-AzAccount komutunu çalıştırın. Varsayılan web tarayıcısına ve Azure PowerShell 5.0.0 veya sonraki bir sürümüne sahip bir sistemde, kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

Connect-AzAccount

Varsayılan web tarayıcısı olmayan sistemler için Connect-AzAccount komutu cihaz kodu kimlik doğrulama akışını kullanır. Kullanıcı ayrıca UseDeviceAuthentication bağımsız değişkenini belirterek tarayıcıyı başlatmak yerine Azure PowerShell'i cihaz kodu akışını kullanmaya zorlayabilir.

Connect-AzAccount -UseDeviceAuthentication

Uygulamanızdan Azure hizmetleri için kimlik doğrulaması

Azure Identity kitaplığı çeşitli senaryoları ve Microsoft Entra kimlik doğrulama akışlarını destekleyen TokenCredential uygulamalarını sağlar. Aşağıdaki adımlarda, kullanıcı hesaplarıyla yerel olarak çalışırken DefaultAzureCredential veya belirli bir geliştirme aracı kimlik bilgilerinin nasıl kullanılacağı gösterilmektedir.

Kodu uygulama

1. azure-identity Dosyanıza pom.xml bağımlılığı ekleyin:

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
   </dependency>
   

2. Senaryonuza göre kimlik bilgisi uygulamalarından birini seçin.

   • Geliştirme aracınıza özgü bir kimlik bilgisi kullanın: Bu seçenek tek kişi veya tek araç senaryoları için en iyisidir.
   • Herhangi bir geliştirme aracında kullanılabilen bir kimlik bilgisi kullanın: Bu seçenek açık kaynak projeler ve çeşitli araç ekipleri için en iyisidir.

Geliştirme aracınıza özgü bir kimlik bilgisi kullanma

belirli bir geliştirme aracına karşılık gelen bir TokenCredential örneğini AzureCliCredential gibi Azure hizmet istemcisi oluşturucusna geçirin.

import com.azure.identity.AzureCliCredential;
import com.azure.identity.AzureCliCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

AzureCliCredential credential = new AzureCliCredentialBuilder().build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Her araç kimlik bilgisi aynı kalıbı takip eder. Kimlik bilgisi türünü ve ilgili oluşturucusunu gerektiği gibi değiştirin:

• AzureCliCredential / AzureCliCredentialBuilder
• AzureDeveloperCliCredential / AzureDeveloperCliCredentialBuilder
• AzurePowerShellCredential / AzurePowerShellCredentialBuilder
• IntelliJCredential / IntelliJCredentialBuilder
• VisualStudioCodeCredential / VisualStudioCodeCredentialBuilder

Herhangi bir geliştirme aracında kullanılabilen bir kimlik bilgisi kullanın

Tüm yerel geliştirme araçları için iyileştirilmiş bir DefaultAzureCredential örnek kullanın. Bu örnek, ortam değişkeninin AZURE_TOKEN_CREDENTIALS olarak ayarlanmasını devgerektirir. Daha fazla bilgi için bkz . Kimlik bilgisi türü kategorisini dışlama.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .requireEnvVars(AzureIdentityEnvVars.AZURE_TOKEN_CREDENTIALS)
    .build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Sonraki Adımlar

Bu makalede, bilgisayarınızda bulunan kimlik bilgilerini kullanarak geliştirme sırasında kimlik doğrulaması ele alınmıştır. Bu kimlik doğrulama biçimi, Java için Azure SDK kimlik doğrulaması yapabileceğiniz birden çok yöntemden biridir. Aşağıdaki makalelerde diğer yollar açıklanmaktadır:

• Hizmet sorumlularını kullanarak Java uygulamalarını yerel geliştirme sırasında Azure hizmetlere doğrulayın
• Azure'da barındırılan Java uygulamalarını, sistem tarafından atanan yönetilen kimlik kullanarak Azure kaynaklarına kimlik doğrulaması yapın
• Kullanıcı tarafından atanan yönetilen kimliği kullanarak Azure barındırılan Java uygulamalarını Azure kaynaklara doğrula

Geliştirme ortamı kimlik doğrulamasıyla ilgili sorunlarla karşılaşırsanız bkz. Geliştirme ortamı kimlik doğrulaması sorunlarını giderme.

Kimlik doğrulamayı öğrendikten sonra, Azure SDK ile Java için Günlük Kaydını Yapılandırma bölümüne bakarak SDK tarafından sağlanan günlük kaydı işlevselliği hakkında bilgi edinin.