Hizmet sorumlularını kullanarak yerel geliştirme sırasında Azure hizmetleri için Java uygulamaların kimliğini doğrulama

Yerel geliştirme sırasında uygulamaların çeşitli Azure hizmetlerine erişmek için Azure kimlik doğrulamasından geçirmesi gerekir. Aşağıdaki yaklaşımlardan birini kullanarak yerel olarak kimlik doğrulaması yapabilirsiniz:

• Azure Kimlik kitaplığı tarafından desteklenen geliştirici araçlarından biriyle bir geliştirici hesabı kullanın. Daha fazla bilgi için bkz. Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Java uygulamalarını Azure hizmetlerine kimlik doğrulaması yapma.
• Hizmet sorumlusu kullanın.

Bu makalede, uygulama hizmet sorumlusu nasıl kullanılacağı açıklanmaktadır. Hizmet sorumluları hakkında daha fazla bilgi için bkz. Microsoft Entra ID içindeki Uygulama ve hizmet sorumlusu nesneleri. Bu makalede şunları öğreneceksiniz:

• Hizmet sorumlusu oluşturmak için bir uygulamayı Microsoft Entra kaydetme.
• İzinleri verimli bir şekilde yönetmek için Microsoft Entra gruplarını kullanma.
• Kapsam izinlerine nasıl rol atanır.
• Uygulama kodunuzdan bir hizmet sorumlusu (service principal) kullanarak kimlik doğrulaması yapma hakkında.

Ayrılmış uygulama hizmet sorumlularını kullanmak, Azure kaynaklara erişirken en az ayrıcalık ilkesini izlemenizi sağlar. Diğer uygulamalara veya hizmetlere yönelik Azure kaynaklara yanlışlıkla erişimi önlemek için geliştirme sırasında izinlerini uygulamanın belirli gereksinimleriyle sınırlayabilirsiniz. Bu yaklaşım, geliştirme ortamında aşırı ayrıcalıklı olmadığından emin olarak uygulamayı üretim ortamına taşıdığınızda sorunlardan kaçınmanıza da yardımcı olur.

Uygulamayı Azure kaydettiğinizde bir uygulama hizmet sorumlusu oluşturulur. Yerel geliştirme için şunları yapmalısınız:

• Her geliştiricinin kendi uygulama hizmet sorumlusuna sahip olması ve kimlik bilgilerini paylaşması gerekmemesi için uygulama üzerinde çalışan her geliştirici için ayrı bir uygulama kaydı oluşturun.
• Uygulamanın izinlerini yalnızca gerekli olanlarla sınırlamak için her uygulama için ayrı bir uygulama kaydı oluşturun.

Yerel geliştirme sırasında, uygulama hizmeti sorumlusunun kimliğiyle ortam değişkenlerini ayarlayın. Azure Kimlik kitaplığı, gerekli Azure kaynaklarında uygulamanın kimliğini doğrulamak için bu ortam değişkenlerini okur.

Uygulamayı Azure'a kaydetme

Azure'da bir uygulama kaydı üzerinden uygulama hizmet sorumlusu nesneleri, Azure portalı veya Azure CLI kullanılarak oluşturulur.

Azure portalı

1. Azure portalında arama çubuğunu kullanarak App registrations sayfasına gidin.

2. App registrations sayfasında + Yeni kayıt'i seçin.

3. Uygulamayı kaydetme sayfasında:

   • Adı alanı için uygulama adını ve hedef ortamı içeren açıklayıcı bir değer girin.
   • Desteklenen hesap türleri için yalnızca bu kuruluş dizinindeki hesaplar (Yalnızca Microsoft Müşteri Liderliğinde - Tek kiracı) veya gereksinimlerinize en uygun seçeneğiseçin.

4. Uygulamanızı kaydetmek ve hizmet sorumlusunu oluşturmak için Kaydet seçin.

   

5. Uygulamanızın Uygulama kaydı sayfasında Uygulama (istemci) kimliği ve Dizin (kiracı) kimliği kopyalayın ve bunları uygulama kodu yapılandırmalarınızda daha sonra kullanmak üzere geçici bir konuma yapıştırın.

6. Uygulamanızın kimlik bilgilerini ayarlamak için Sertifika veya gizli dizi ekle'yi seçin.

7. Sertifikalar ve gizli anahtarlar sayfasında + Yeni istemci gizli anahtar'ı seçin.

8. İstemci sırrı ekle panosunda açılan panelde:

   • Açıklamaiçin Geçerli değerini girin.
   • Süresi Doluyor değeri için varsayılan önerilen 180 gün değerini bırakın.
   • Sırrı eklemek için Ekle'yi seçin.

9. Sertifikalar & gizli anahtarları sayfasında, istemci gizli anahtarının Değer özelliğini gelecekte kullanmak üzere kopyalayın.

   Uyarı

   İstemci gizli anahtarı değeri, uygulama kaydı oluşturulduktan sonra yalnızca bir kez görüntülenir. Bu istemci sırrını geçersiz kılmadan daha fazla istemci sırrı ekleyebilirsiniz; ancak bu değeri yeniden görüntüleyebilmenin bir yolu yoktur.

Azure CLI

Azure CLI komutları Azure Cloud Shell içinde veya Azure CLI yüklü yüklü bir iş istasyonunda çalıştırılabilir.

1. Uygulama için yeni bir uygulama kaydı ve hizmet sorumlusu oluşturmak için az ad sp create-for-rbac komutunu kullanın.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Bu komutun çıktısı aşağıdaki JSON'a benzer:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Bu değerlere gelecekteki bir adımda ihtiyaç duyacağınız için bu çıkışı metin düzenleyicisindeki geçici bir dosyaya kopyalayın.

   Uyarı

   İstemci gizli anahtarı değeri, uygulama kaydı oluşturulduktan sonra yalnızca bir kez görüntülenir. Bu istemci sırrını geçersiz kılmadan daha fazla istemci sırrı ekleyebilirsiniz; ancak bu değeri yeniden görüntüleyebilmenin bir yolu yoktur.

Yerel geliştirme için Microsoft Entra grubu oluşturma

Rolleri tek tek hizmet sorumlusu nesnelerine atamak yerine yerel geliştirmede uygulamanın ihtiyaç duyduğu rolleri (izinleri) kapsüllemek için bir Microsoft Entra grubu oluşturun. Bu yaklaşım aşağıdaki avantajları sunar:

• Her geliştirici, grup düzeyinde aynı rollere sahiptir.
• Uygulama için yeni bir rol gerekiyorsa, yalnızca uygulamanın grubuna eklenmesi gerekir.
• Ekibe yeni bir geliştirici katılırsa, geliştirici için yeni bir uygulama hizmet sorumlusu oluşturulur ve gruba eklenir ve geliştiricinin uygulama üzerinde çalışmak için doğru izinlere sahip olduğundan emin olun.

Azure portalı

1. Azure portalında Microsoft Entra ID genel bakış sayfasına gidin.

2. Sol taraftaki menüden Tüm gruplar'ı seçin.

3. Gruplar sayfasında Yeni grup'a tıklayın.

4. Yeni grup sayfasında aşağıdaki form alanlarını doldurun:

   • Grup türü: Güvenlik'i seçin.
   • Grup adı: Uygulama veya ortam adına başvuru içeren grup için bir ad girin.
   • Grup açıklaması: Grubun amacını açıklayan bir açıklama girin.

   

5. Gruba üye eklemek için Üyeler'in altında Hiçbir üye seçilmedi bağlantısını seçin.

6. Açılan açılır panelde, daha önce oluşturduğunuz hizmet sorumlusunu arayın ve filtrelenen sonuçlardan seçin. Seçiminizi onaylamak için panelin altındaki Seç düğmesini seçin.

7. Grubu oluşturmak ve Tüm gruplar sayfasına dönmek için Yeni grup sayfasının alt kısmındaki Oluştur'u seçin. Yeni grubu listede görmüyorsanız, bir dakika bekleyin ve sayfayı yenileyin.

Azure CLI

1. Microsoft Entra ID grupları oluşturmak için az ad group create komutunu kullanın.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   --display-name ve --mail-nickname parametreleri zorunludur. Gruba verilen ad, grubun amacını belirtmek için uygulamanın adına ve ortamına dayalı olmalıdır.

2. Gruba üye eklemek için, uygulama hizmet sorumlusunun uygulama kimliğinden farklı olan nesne kimliğine ihtiyacınız vardır. Kullanılabilir hizmet sorumlularını listelemek için az ad sp list komutunu kullanın:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   --filter parametresi OData stili filtreleri kabul eder ve gösterildiği gibi listeyi filtrelemek için kullanılabilir. --query parametresi, çıkışı yalnızca ilgilendiğiniz sütunlara sınırlar.

3. az ad group member add komutunu kullanarak gruba üye ekleyin.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Gruba rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri oluşturduğunuz Microsoft Entra grubuna atayın. Gruplara kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı

1. Azure portalında, uygulamanızı içeren kaynak grubunun Overview sayfasına gidin.

2. Sol gezinti bölmesinden Erişim denetimi (IAM) seçin.

3. Erişim denetimi (IAM) sayfasında + Ekle'yi ve ardından açılan menüden Rol ataması ekle'yi seçin. Rol ataması ekle sayfasında rolleri yapılandırmak ve atamak için birkaç sekme bulunur.

4. Rol sekmesinde, atamak istediğiniz rolü bulmak için arama kutusunu kullanın. Rolü seçin ve ardından İleri'yi seçin.

5. Üyeler sekmesinde:

   • Değere erişim ata için Kullanıcı, grup veya hizmet sorumlusu öğesini seçin.
   • Üyeler değeri için + Üyeleri seç'i seçerek Üyeleri seçin açılır penceresini açın.
   • Daha önce oluşturduğunuz Microsoft Entra grubunu arayın ve filtrelenen sonuçlardan seçin. Grubu seçmek ve açılır menü panelini kapatmak için Seç'i seçin.
   • Gözden Geçir ve Ata'yı, Üyeler sekmesinin alt kısmında seçin.

   

6. Gözden geçir ve ata sekmesinde, sayfanın alt kısmında Gözden geçir ve ata seçeneğini seçin.

Azure CLI

1. Microsoft Entra grubu veya hizmet sorumlusunun atanabileceği rollerin adlarını almak için az role definition list komutunu kullanın:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Oluşturduğunuz Microsoft Entra grubuna rol atamak için az role assignment create komutunu kullanın:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI kullanarak kaynak veya abonelik düzeyinde izin atama hakkında bilgi için, "Azure CLI kullanarak Azure rolleri atama" kısmına bakın.

Uygulama ortamı değişkenlerini ayarlama

Çalışma zamanında, Azure Identity kitaplığı'ndan bazı kimlik bilgileri, örneğin DefaultAzureCredential, EnvironmentCredential ve ClientSecretCredential, ortam değişkenlerinde hizmet sorumlusu bilgilerini kurala göre arar. Java ile çalışırken, araçlarınıza ve ortamınıza bağlı olarak ortam değişkenlerini farklı şekillerde yapılandırabilirsiniz.

Seçtiğiniz yaklaşımdan bağımsız olarak, hizmet sorumlusu için aşağıdaki ortam değişkenlerini yapılandırın:

• AZURE_CLIENT_ID: Azure'da kayıtlı uygulamayı tanımlamak için kullanılır.
• AZURE_TENANT_ID: Microsoft Entra kiracısının ID'si.
• AZURE_CLIENT_SECRET: Uygulama için oluşturulan gizli kimlik bilgisi.

Bash

Veya ~/.bashrc dosyanıza ~/.zshrc aşağıdaki satırları ekleyin. Yer tutucu değerlerini uygulama kaydınızdaki gerçek değerlerle değiştirin:

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Dosyayı düzenledikten sonra, değişiklikleri geçerli oturumunuza uygulamak için source ~/.bashrc veya source ~/.zshrc komutunu çalıştırın.

Visual Studio Code

ortamında .vscode/launch.jsonortam değişkenlerini yapılandırma:

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Çalıştırma yapılandırmasında ortam değişkenlerini yapılandırın:

1. Yapılandırmaları Düzenle'yi çalıştır>... öğesini seçin.

2. Uygulama yapılandırmanızı seçin.

3. Ortam değişkenleri alanına değişkenlerinizi ekleyin:

   AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>
   

4. Uygula'yı seçin, ardından ve Tamam'ı, sonratıklayın.

Uygulamanızdan Azure hizmetleri için kimlik doğrulaması

Azure Identity kitaplığı farklı senaryoları ve Microsoft Entra kimlik doğrulama akışlarını destekleyen çeşitli credentials - TokenCredential uygulamaları sağlar. Aşağıdaki adımlarda, hizmet sorumlularıyla yerel olarak ve üretimde çalışırken ClientSecretCredential'ın nasıl kullanılacağı gösterilmektedir.

Kodu uygulama

azure-identity Dosyanıza pom.xml bağımlılığı ekleyin:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Çeşitli Azure SDK istemci kitaplıklarından özelleştirilmiş istemci sınıflarını kullanarak Azure hizmetlere erişirsiniz. Uygulamanızda bir Azure SDK istemci nesnesi oluşturan tüm Java kodlar için şu adımları izleyin:

1. com.azure.identity paketinden ClientSecretCredentialBuilder sınıfını içeri aktarın.
2. ClientSecretCredential, ClientSecretCredentialBuilder, tenantId ve clientId kullanarak bir clientSecret nesne oluşturun.
3. ClientSecretCredential örneğini Azure SDK istemci nesnesi oluşturucusunun credential yöntemine geçirin.

Bu yaklaşımın bir örneği aşağıdaki kod kesiminde gösterilmiştir:

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();

Sonraki Adımlar

Bu makalede hizmet sorumlusu aracılığıyla kimlik doğrulaması ele alınmıştır. Bu kimlik doğrulama biçimi, Java için Azure SDK kimlik doğrulaması yapabileceğiniz birçok yöntemden biridir. Aşağıdaki makalelerde kimlik doğrulamasının diğer yolları açıklanmaktadır:

• > Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Java uygulamalarını Azure hizmetlere doğrulayın
• Azure'da barındırılan Java uygulamalarını, sistem tarafından atanan yönetilen kimlik kullanarak Azure kaynaklarına kimlik doğrulaması yapın
• Kullanıcı tarafından atanan yönetilen kimliği kullanarak Azure barındırılan Java uygulamalarını Azure kaynaklara doğrula

Hizmet sorumlusu kimlik doğrulamasıyla ilgili sorunlarla karşılaşırsanız bkz . Hizmet sorumlusu kimlik doğrulaması sorunlarını giderme.

Kimlik doğrulamayı öğrendikten sonra, Azure SDK ile Java için Günlük Kaydını Yapılandırma bölümüne bakarak SDK tarafından sağlanan günlük kaydı işlevselliği hakkında bilgi edinin.