Geliştirici hesaplarını kullanarak yerel geliştirme sırasında azure hizmetlerinde Node.js uygulamaların kimliğini doğrulama

Yerel geliştirme sırasında uygulamaların çeşitli Azure hizmetlerine erişmek için Azure'da kimlik doğrulaması yapmaları gerekir. Yerel kimlik doğrulaması için iki yaygın yaklaşım , hizmet sorumlusu kullanmak veya geliştirici hesabı kullanmaktır. Bu makalede geliştirici hesabının nasıl kullanılacağı açıklanmaktadır. İlerideki bölümlerde şunları öğrenirsiniz:

• Birden çok geliştirici hesabının izinlerini verimli bir şekilde yönetmek için Microsoft Entra gruplarını kullanma
• Kapsam izinleri için geliştirici hesaplarına rol atama
• Desteklenen yerel geliştirme araçlarında oturum açma
• Uygulama kodunuzdan geliştirici hesabı kullanarak kimlik doğrulaması

Bir uygulamanın yerel geliştirme sırasında geliştiricinin Azure kimlik bilgilerini kullanarak Azure'da kimlik doğrulaması yapması için geliştiricinin aşağıdaki geliştirici araçlarından birinden Azure'da oturum açmış olması gerekir:

• Azure Komut Satırı Arayüzü (Azure CLI)
• Azure Geliştirici CLI'sı
• Azure PowerShell
• Visual Studio Code

Azure Kimlik kitaplığı, geliştiricinin bu araçlardan birinden oturum açtığını algılayabilir. Kitaplık daha sonra Microsoft Entra erişim belirtecini araç aracılığıyla edinerek uygulamanın oturum açmış kullanıcı olarak Azure'da kimliğini doğrulayabilir.

Bu yaklaşım, kimlik doğrulama sürecini kolaylaştırmak için geliştiricinin mevcut Azure hesaplarından yararlanır. Ancak, bir geliştirici hesabının büyük olasılıkla uygulama için gerekenden daha fazla izni vardır ve bu nedenle uygulamanın üretim ortamında çalıştırdığı izinleri aşmış olur. Alternatif olarak, yerel geliştirme sırasında kullanmak üzere uygulama hizmet sorumluları oluşturabilirsiniz. Bu sorumluların kapsamı yalnızca uygulamanın ihtiyaç duyduğu erişime sahip olacak şekilde ayarlanabilir.

Yerel geliştirme için Microsoft Entra grubu oluşturma

Rolleri tek tek hizmet sorumlusu nesnelerine atamak yerine yerel geliştirmede uygulamanın ihtiyaç duyduğu rolleri (izinleri) kapsüllemek için bir Microsoft Entra grubu oluşturun. Bu yaklaşım aşağıdaki avantajları sunar:

• Her geliştirici, grup düzeyinde aynı rollere sahiptir.
• Uygulama için yeni bir rol gerekiyorsa, yalnızca uygulamanın grubuna eklenmesi gerekir.
• Ekibe yeni bir geliştirici katılırsa, geliştirici için yeni bir uygulama hizmet sorumlusu oluşturulur ve gruba eklenir ve geliştiricinin uygulama üzerinde çalışmak için doğru izinlere sahip olduğundan emin olun.

Azure portalı

1. Azure portalında Microsoft Entra Id genel bakış sayfasına gidin.

2. Sol taraftaki menüden Tüm gruplar'ı seçin.

3. Gruplar sayfasında Yeni grup'a tıklayın.

4. Yeni grup sayfasında aşağıdaki form alanlarını doldurun:

   • Grup türü: Güvenlik'i seçin.
   • Grup adı: Uygulama veya ortam adına başvuru içeren grup için bir ad girin.
   • Grup açıklaması: Grubun amacını açıklayan bir açıklama girin.

   

5. Gruba üye eklemek için Üyeler'in altında Üye seçilmedi bağlantısını seçin.

6. Açılan açılır panelde, daha önce oluşturduğunuz hizmet sorumlusunu arayın ve filtrelenen sonuçlardan seçin. Seçiminizi onaylamak için panelin altındaki Seç düğmesini seçin.

7. Grubu oluşturmak ve Tüm gruplar sayfasına dönmek için Yeni grup sayfasının alt kısmındaki Oluştur'u seçin. Yeni grubu listede görmüyorsanız, bir dakika bekleyin ve sayfayı yenileyin.

Azure CLI

1. Microsoft Entra ID'de grup oluşturmak için az ad group create komutunu kullanın.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   --display-name ve --mail-nickname parametreleri zorunludur. Gruba verilen ad, grubun amacını belirtmek için uygulamanın adına ve ortamına dayalı olmalıdır.

2. Gruba üye eklemek için, uygulama hizmet sorumlusunun uygulama kimliğinden farklı olan nesne kimliğine ihtiyacınız vardır. Kullanılabilir hizmet sorumlularını listelemek için az ad sp list komutunu kullanın:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   --filter parametresi OData stili filtreleri kabul eder ve gösterildiği gibi listeyi filtrelemek için kullanılabilir. --query parametresi, çıkışı yalnızca ilgilendiğiniz sütunlarda sınırlar.

3. Komutu az ad group member add gruba üye eklemek için kullanın:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Gruba rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri oluşturduğunuz Microsoft Entra grubuna atayın. Gruplara kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı

1. Azure portalında, uygulamanızı içeren kaynak grubunun Genel Bakış sayfasına gidin.

2. Sol gezinti bölmesinden Erişim denetimi (IAM) seçin.

3. Erişim denetimi (IAM) sayfasında + Ekle'yi ve ardından açılan menüden Rol ataması ekle'yi seçin. Rol ataması ekle sayfasında rolleri yapılandırmak ve atamak için birkaç sekme bulunur.

4. Rol sekmesinde, atamak istediğiniz rolü bulmak için arama kutusunu kullanın. Rolü seçin ve ardından İleri'yi seçin.

5. Üyeler sekmesinde:

   • Değere erişim ata için Kullanıcı, grup veya hizmet sorumlusu öğesini seçin.
   • Üyeler değeri için + Üyeleri seç'i seçerek Üyeleri seçin açılır penceresini açın.
   • Daha önce oluşturduğunuz Microsoft Entra grubunu arayın ve filtrelenen sonuçlardan seçin. Grubu seçmek ve açılır menü panelini kapatmak için Seç'i seçin.
   • Gözden Geçir ve Ata'yı, Üyeler sekmesinin alt kısmında seçin.

   

6. Gözden geçir ve ata sekmesinde, sayfanın alt kısmında Gözden geçir ve ata seçeneğini seçin.

Azure CLI

1. Microsoft Entra grubu veya hizmet sorumlusunun atanabileceği rollerin adlarını almak için az role definition list komutunu kullanın:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Oluşturduğunuz Microsoft Entra grubuna rol atamak için az role assignment create komutunu kullanın:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI kullanarak kaynak veya abonelik düzeyinde izin atama hakkında bilgi için bkz. Azure CLI kullanarak Azure rolleri atama.

Geliştirici araçlarını kullanarak Azure'da oturum açma

Ardından, geliştirme ortamınızda kimlik doğrulaması gerçekleştirmek için kullanılabilecek çeşitli geliştirici araçlarından birini kullanarak Azure'da oturum açın. Kimlik doğrulaması yaptığınız hesap, daha önce oluşturup yapılandırdığınız Microsoft Entra grubunda da bulunmalıdır.

Azure CLI

Geliştiriciler, Microsoft Entra Id'de kimlik doğrulaması yapmak için Azure CLI kullanabilir. veya DefaultAzureCredential kullanan AzureCliCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure CLI ile kimlik doğrulaması yapmak için komutunu çalıştırın az login . Varsayılan web tarayıcısına sahip bir sistemde Azure CLI, kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

az login

Varsayılan web tarayıcısı olmayan sistemler için az login komutu cihaz kodu kimlik doğrulama akışını kullanır. Kullanıcı ayrıca --use-device-code bağımsız değişkenini belirterek bir tarayıcı başlatmak yerine Azure CLI'yi cihaz kodu akışını kullanmaya zorlayabilir.

az login --use-device-code

Azure Geliştirici CLI'sı

Geliştiriciler, Microsoft Entra Id kimlik doğrulaması yapmak için Azure Geliştirici CLI'sini kullanabilir. veya DefaultAzureCredential kullanan AzureDeveloperCliCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure Geliştirici CLI'sı ile kimlik doğrulaması yapmak için komutunu çalıştırın azd auth login . Varsayılan web tarayıcısına sahip bir sistemde, Azure Geliştirici CLI'sı kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

azd auth login

Varsayılan web tarayıcısı olmayan sistemler için cihaz azd auth login --use-device-code kodu kimlik doğrulama akışını kullanır. Kullanıcı, --use-device-code bağımsız değişkenini belirterek Azure Geliştirici CLI'sini bir tarayıcı başlatmak yerine cihaz kodu akışı kullanmaya zorlayabilir.

azd auth login --use-device-code

Azure PowerShell

Geliştiriciler, Microsoft Entra Id'de kimlik doğrulaması yapmak için Azure PowerShell'i kullanabilir. veya DefaultAzureCredential kullanan AzurePowerShellCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure PowerShell ile kimlik doğrulaması yapmak için komutunu Connect-AzAccountçalıştırın. Varsayılan web tarayıcısı ve Azure PowerShell'in 5.0.0 veya sonraki bir sürümüne sahip bir sistemde, kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

Connect-AzAccount

Varsayılan web tarayıcısı olmayan sistemler için Connect-AzAccount komutu cihaz kodu kimlik doğrulama akışını kullanır. Kullanıcı, Azure PowerShell'i bir tarayıcı başlatmak yerine cihaz kodu akışını kullanmaya zorlamak için UseDeviceAuthentication bağımsız değişkenini belirtilebilir.

Connect-AzAccount -UseDeviceAuthentication

Visual Studio Code

Visual Studio Code kullanan geliştiriciler, aracılık hizmeti aracılığıyla geliştirici hesaplarıyla doğrudan kimlik doğrulaması yapabilir. DefaultAzureCredential veya VisualStudioCodeCredential kullanan uygulamalar, sorunsuz bir çoklu oturum açma deneyimi aracılığıyla uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

1. Visual Studio Code'da Uzantılar paneline gidin ve Azure Kaynakları uzantısını yükleyin. Bu uzantı, Azure kaynaklarını doğrudan Visual Studio Code'dan görüntülemenizi ve yönetmenizi sağlar. Ayrıca Azure ile kimlik doğrulaması yapmak için yerleşik Visual Studio Code Microsoft kimlik doğrulama sağlayıcısını kullanır.

   

2. Visual Studio Code'da Komut Paleti'ni açın, ardından Azure: Oturum aç'ı arayın ve seçin.

   

   Tavsiye

   Windows/Linux veya Ctrl+Shift+P macOS üzerinde kullanarak Cmd+Shift+P Komut Paleti'ni açın.

Uygulamanızdan Azure hizmetlerinde kimlik doğrulaması

Azure Kimlik kitaplığı, çeşitli senaryoları ve Microsoft Entra kimlik doğrulama akışlarını destekleyen TokenCredential uygulamalarını sağlar. Aşağıdaki adımlar, kullanıcı hesaplarıyla yerel olarak çalışırken DefaultAzureCredential veya belirli bir geliştirme aracı kimlik bilgilerinin nasıl kullanılacağını gösterir.

Tavsiye

Ekibiniz Azure'da kimlik doğrulaması yapmak için birden çok geliştirme aracı kullandığında, araca özgü kimlik bilgileri yerine yerel geliştirme için iyileştirilmiş bir örneğini DefaultAzureCredential tercih edin.

Kodu uygulama

1. uygulamanıza @azure/kimlik paketini ekleyin.

   npm install @azure/identity
   

   Uyarı

   VisualStudioCodeCredential kullanmak istiyorsanız @azure/identity-vscode eklenti paketini de yüklemeniz gerekir. Ardından kimlik bilgilerini açıkça yükleyin. Bir örnek için bkz. @azure/identity-vscode README.

2. Senaryonuza göre kimlik bilgisi uygulamalarından birini seçin.

• Geliştirme aracınıza özgü bir kimlik bilgisi kullanın: Bu seçenek tek kişi veya tek araç senaryoları için en iyisidir.
• Herhangi bir geliştirme aracında kullanılabilen bir kimlik bilgisi kullanın: Bu seçenek açık kaynak projeler ve çeşitli araç ekipleri için en iyisidir.

Geliştirme aracınıza özgü bir kimlik bilgisi kullanma

Belirli bir geliştirme aracına karşılık gelen bir TokenCredential örneğini Azure hizmet istemcisi oluşturucusuna, örneğin AzureCliCredential, geçirin.

import { AzureCliCredential } from "@azure/identity";
import { BlobServiceClient } from "@azure/storage-blob";

const credential = new AzureCliCredential();

const client = new BlobServiceClient(
    "https://<storage-account-name>.blob.core.windows.net",
    credential
);

Herhangi bir geliştirme aracında kullanılabilen bir kimlik bilgisi kullanın

Tüm yerel geliştirme araçları için iyileştirilmiş bir DefaultAzureCredential örnek kullanın. Bu örnek, ortam değişkeninin AZURE_TOKEN_CREDENTIALS olarak ayarlanmasını devgerektirir. Daha fazla bilgi için bkz . Kimlik bilgisi türü kategorisini dışlama.

import { DefaultAzureCredential } from "@azure/identity";
import { BlobServiceClient } from "@azure/storage-blob";

// Set environment variable AZURE_TOKEN_CREDENTIALS to "dev"
const credential = new DefaultAzureCredential({
    requiredEnvVars: ["AZURE_TOKEN_CREDENTIALS"]
});

const client = new BlobServiceClient(
    "https://<storage-account-name>.blob.core.windows.net",
    credential
);