Yerel ortamda barındırılan Java uygulamalarından Azure kaynakları için kimlik doğrulaması yapın

Şirket içi veya üçüncü taraf veri merkezi gibi Azure dışında barındırılan uygulamalar, Azure hizmetlerde kimlik doğrulaması yapmak için Microsoft Entra ID aracılığıyla bir uygulama hizmet sorumlusu kullanmalıdır. Aşağıdaki bölümlerde şunları öğrenirsiniz:

• Hizmet sorumlusu oluşturmak için bir uygulamayı Microsoft Entra kaydetme.
• Kapsam izinlerine nasıl rol atanır.
• Uygulama kodunuzdan bir hizmet sorumlusu (service principal) kullanarak kimlik doğrulaması yapma hakkında.

Ayrılmış uygulama hizmet sorumlularını kullanarak, Azure kaynaklara erişirken en az ayrıcalık ilkesini izleyebilirsiniz. Diğer uygulamalara veya hizmetlere yönelik Azure kaynaklara yanlışlıkla erişimi önlemek için geliştirme sırasında uygulamanın belirli gereksinimleriyle izinleri sınırlayın. Bu yaklaşım, uygulamanın geliştirme ortamında aşırı ayrıcalıklı olmadığından emin olarak uygulamayı üretime taşırken karşılaşılan sorunları önlemenize de yardımcı olur.

Uygulamayı barındırdığınız her ortam için farklı bir uygulama kaydı oluşturun. Her hizmet sorumlusu için ortama özgü kaynak izinlerini yapılandırabilir ve bir ortama dağıtılan bir uygulamanın başka bir ortamdaki Azure kaynaklara erişmediğinden emin olabilirsiniz.

Uygulamayı Azure'a kaydetme

Azure'da bir uygulama kaydı üzerinden uygulama hizmet sorumlusu nesneleri, Azure portalı veya Azure CLI kullanılarak oluşturulur.

Azure portalı

1. Azure portalında arama çubuğunu kullanarak App registrations sayfasına gidin.

2. App registrations sayfasında + Yeni kayıt'i seçin.

3. Uygulamayı kaydetme sayfasında:

   • Adı alanı için uygulama adını ve hedef ortamı içeren açıklayıcı bir değer girin.
   • Desteklenen hesap türleri için yalnızca bu kuruluş dizinindeki hesaplar (Yalnızca Microsoft Müşteri Liderliğinde - Tek kiracı) veya gereksinimlerinize en uygun seçeneğiseçin.

4. Uygulamanızı kaydetmek ve hizmet sorumlusunu oluşturmak için Kaydet seçin.

   

5. Uygulamanızın Uygulama kaydı sayfasında Uygulama (istemci) kimliği ve Dizin (kiracı) kimliği kopyalayın ve bunları uygulama kodu yapılandırmalarınızda daha sonra kullanmak üzere geçici bir konuma yapıştırın.

6. Uygulamanızın kimlik bilgilerini ayarlamak için Sertifika veya gizli dizi ekle'yi seçin.

7. Sertifikalar ve gizli anahtarlar sayfasında + Yeni istemci gizli anahtar'ı seçin.

8. İstemci sırrı ekle panosunda açılan panelde:

   • Açıklama için değerini Currentgirin.
   • Süre sonu değeri için varsayılan önerilen değerini 180 daysbırakın.
   • Sırrı eklemek için Ekle'yi seçin.

9. Sertifikalar & gizli anahtarları sayfasında, istemci gizli anahtarının Değer özelliğini gelecekte kullanmak üzere kopyalayın.

   Uyarı

   İstemci gizli anahtarı değeri, uygulama kaydı oluşturulduktan sonra yalnızca bir kez görüntülenir. Bu istemci sırrını geçersiz kılmadan daha fazla istemci sırrı ekleyebilirsiniz; ancak bu değeri yeniden görüntüleyebilmenin bir yolu yoktur.

Azure CLI

Azure CLI komutları Azure Cloud Shell içinde veya Azure CLI yüklü yüklü bir iş istasyonunda çalıştırılabilir.

1. Uygulama için yeni bir uygulama kaydı ve hizmet sorumlusu oluşturmak için az ad sp create-for-rbac komutunu kullanın.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Bu komutun çıktısı aşağıdaki JSON'a benzer:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Bu değerlere gelecekteki bir adımda ihtiyaç duyacağınız için bu çıkışı metin düzenleyicisindeki geçici bir dosyaya kopyalayın.

   Uyarı

   İstemci gizli anahtarı değeri, uygulama kaydı oluşturulduktan sonra yalnızca bir kez görüntülenir. Bu istemci sırrını geçersiz kılmadan daha fazla istemci sırrı ekleyebilirsiniz; ancak bu değeri yeniden görüntüleyebilmenin bir yolu yoktur.

Uygulama hizmet sorumlusuna rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri oluşturduğunuz hizmet sorumlusuna atayın. Roller kaynak, kaynak grubu veya abonelik kapsamında atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı

1. Azure portalında, uygulamanızı içeren kaynak grubunun Overview sayfasına gidin.

2. Sol gezinti bölmesinden Erişim denetimi (IAM) seçin.

3. Erişim denetimi (IAM) sayfasında + Ekle'yi ve ardından açılan menüden Rol ataması ekle'yi seçin. Rol ataması ekle sayfasında rolleri yapılandırmak ve atamak için birkaç sekme bulunur.

4. Rol sekmesinde, atamak istediğiniz rolü bulmak için arama kutusunu kullanın. Rolü seçin ve ardından İleri'yi seçin.

5. Üyeler sekmesinde:

   • Değere erişim ata için Kullanıcı, grup veya hizmet sorumlusu öğesini seçin.
   • Üyeler değeri için + Üyeleri seç'i seçerek Üyeleri seçin açılır penceresini açın.
   • Daha önce oluşturduğunuz hizmet sorumlusunu arayın ve filtrelenen sonuçlardan seçin. Grubu seçmek ve açılır menü panelini kapatmak için Seç'i seçin.
   • Gözden Geçir ve Ata'yı, Üyeler sekmesinin alt kısmında seçin.

   

6. Gözden geçir ve ata sekmesinde, sayfanın alt kısmında Gözden geçir ve ata seçeneğini seçin.

Azure CLI

1. Bir hizmet sorumlusunun atanabileceği rollerin adlarını almak için az role definition list komutunu kullanın:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Bir uygulama hizmet sorumlusuna rol atamak için az role assignment create komutunu kullanın:

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI kullanarak kaynak veya abonelik düzeyinde izin atama hakkında bilgi için, "Azure CLI kullanarak Azure rolleri atama" kısmına bakın.

Uygulama ortamı değişkenlerini ayarlama

Çalışma zamanında, Azure Identity kitaplığı'ndan bazı kimlik bilgileri, örneğin DefaultAzureCredential, EnvironmentCredential ve ClientSecretCredential, ortam değişkenlerinde hizmet sorumlusu bilgilerini kurala göre arar. Java ile çalışırken, araçlarınıza ve ortamınıza bağlı olarak ortam değişkenlerini birden çok şekilde yapılandırabilirsiniz.

Seçtiğiniz yaklaşımdan bağımsız olarak, hizmet sorumlusu için aşağıdaki ortam değişkenlerini yapılandırın:

• AZURE_CLIENT_ID: Azure'da kayıtlı uygulamayı tanımlamak için kullanılır.
• AZURE_TENANT_ID: Microsoft Entra kiracısının ID'si.
• AZURE_CLIENT_SECRET: Uygulama için oluşturulan gizli kimlik bilgisi.

Bash

Aşağıdaki ortam değişkenlerini ayarlayın. Yer tutucu değerlerini uygulama kaydınızdaki gerçek değerlerle değiştirin:

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Üretim sunucusunda sistemli hizmet olarak çalışan bir Java uygulaması için, bir dosyada ortam değişkenlerini tanımlayın ve hizmet birimi dosyasındaki EnvironmentFile yönergesiyle buna başvurun:

[Unit]
Description=Java application service
After=network.target

[Service]
User=app-user
WorkingDirectory=/path/to/java-app
EnvironmentFile=/path/to/java-app/app-environment-variables
ExecStart=/usr/bin/java -jar app.jar

[Install]
WantedBy=multi-user.target

Ortam dosyası, ortam değişkenlerinin değerlerini içeren bir liste içermelidir:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Visual Studio Code

Visual Studio Code'da, projenizin .vscode/launch.json dosyasında ortam değişkenlerini ayarlayın. Uygulama başlatıldığında bu değerleri otomatik olarak kullanır. Ancak bu yapılandırmalar dağıtım sırasında uygulamanızla birlikte hareket etmediğinden, hedef barındırma ortamınızda ortam değişkenleri ayarlamanız gerekir.

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Çalıştırma yapılandırmasında ortam değişkenlerini yapılandırın:

1. Yapılandırmaları Düzenle'yi çalıştır>... öğesini seçin.

2. Uygulama yapılandırmanızı seçin.

3. Ortam değişkenleri alanına değişkenlerinizi ekleyin:

   AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>
   

4. Uygula'yı seçin, ardından ve Tamam'ı, sonratıklayın.

Windows

Windows için ortam değişkenlerini komut satırından ayarlayabilirsiniz. Ancak, bu işletim sisteminde çalışan tüm uygulamalar değerlere erişebilir ve bu da çakışmalara neden olabilir. Bu yaklaşımda dikkatli olun. Ortam değişkenlerini kullanıcı veya sistem düzeyinde ayarlayabilirsiniz.

# Set user environment variables
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

Ortam değişkenlerini kullanıcı veya sistem düzeyinde ayarlamak için PowerShell'i de kullanabilirsiniz:

# Set user environment variables
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Uygulamanızdan Azure hizmetleri için kimlik doğrulaması

Azure Identity kitaplığı farklı senaryoları ve Microsoft Entra kimlik doğrulama akışlarını destekleyen çeşitli credentials - TokenCredential uygulamaları sağlar. Aşağıdaki adımlarda, hizmet sorumlularıyla yerel olarak ve üretimde çalışırken ClientSecretCredential'ın nasıl kullanılacağı gösterilmektedir.

Kodu uygulama

azure-identity Dosyanıza pom.xml bağımlılığı ekleyin:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Çeşitli Azure SDK istemci kitaplıklarından özelleştirilmiş istemci sınıflarını kullanarak Azure hizmetlere erişirsiniz. Uygulamanızda bir Azure SDK istemci nesnesi oluşturan tüm Java kodlar için şu adımları izleyin:

1. com.azure.identity paketinden ClientSecretCredentialBuilder sınıfını içeri aktarın.
2. ClientSecretCredential, ClientSecretCredentialBuilder, tenantId ve clientId kullanarak bir clientSecret nesne oluşturun.
3. ClientSecretCredential örneğini Azure SDK istemci nesnesi oluşturucusunun credential yöntemine geçirin.

Bu yaklaşımın bir örneği aşağıdaki kod kesiminde gösterilmiştir:

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();