Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Azure hizmetlerinde Python uygulamalarının kimliğini doğrulama

Yerel geliştirme sırasında uygulamaların farklı Azure hizmetlerini kullanmak için Azure'da kimlik doğrulamasından geçirmesi gerekir. Aşağıdaki yaklaşımlardan birini kullanarak yerel olarak kimlik doğrulaması gerçekleştirin:

• Azure Kimlik kitaplığı tarafından desteklenen geliştirici araçlarından biriyle bir geliştirici hesabı kullanın.
• Kimlik bilgilerini yönetmek için bir aracı kullanın.
• Hizmet sorumlusu kullanın.

Bu makalede, Azure Kimlik kitaplığı tarafından desteklenen araçlarla bir geliştirici hesabı kullanarak kimlik doğrulamasının nasıl yapılacağını açıklanmaktadır. İlerideki bölümlerde şunları öğrenirsiniz:

• Birden çok geliştirici hesabının izinlerini verimli bir şekilde yönetmek için Microsoft Entra gruplarını kullanma.
• Geliştirici hesaplarına roller atayarak izin kapsamını belirleme.
• Desteklenen yerel geliştirme araçlarında oturum açma.
• Uygulama kodunuzdan bir geliştirici hesabı kullanarak kimlik doğrulaması.

Kimlik doğrulaması için desteklenen geliştirici araçları

Bir uygulamanın yerel geliştirme sırasında geliştiricinin Azure kimlik bilgilerini kullanarak Azure'da kimlik doğrulaması yapması için geliştiricinin aşağıdaki geliştirici araçlarından birinden Azure'da oturum açmış olması gerekir:

• Azure Komut Satırı Arayüzü (Azure CLI)
• Azure Geliştirici CLI'sı
• Azure PowerShell
• Visual Studio Code

Azure Kimlik kitaplığı, geliştiricinin bu araçlardan birinden oturum açtığını algılayabilir. Kitaplık, uygulamanın oturum açmış kullanıcı olarak Azure'da kimliğini doğrulaması için Microsoft Entra erişim belirtecini araç aracılığıyla edinebilir.

Bu yaklaşım, kimlik doğrulama sürecini kolaylaştırmak için geliştiricinin mevcut Azure hesaplarından yararlanır. Ancak, bir geliştirici hesabının büyük olasılıkla uygulama için gerekenden daha fazla izni vardır ve bu nedenle uygulamanın üretim ortamında çalıştırdığı izinleri aşmış olur. Alternatif olarak, yerel geliştirme sırasında kullanmak üzere uygulama hizmet birimleri oluşturabilirsiniz, bu birimler yalnızca uygulamanın ihtiyaç duyduğu erişime sahip olacak şekilde kapsamlandırılabilir.

Yerel geliştirme için Microsoft Entra grubu oluşturma

Rolleri tek tek hizmet sorumlusu nesnelerine atamak yerine yerel geliştirmede uygulamanın ihtiyaç duyduğu rolleri (izinleri) kapsüllemek için bir Microsoft Entra grubu oluşturun. Bu yaklaşım aşağıdaki avantajları sunar:

• Her geliştirici, grup düzeyinde aynı rollere sahiptir.
• Uygulama için yeni bir rol gerekiyorsa, yalnızca uygulamanın grubuna eklenmesi gerekir.
• Ekibe yeni bir geliştirici katılırsa, geliştirici için yeni bir uygulama hizmet sorumlusu oluşturulur ve gruba eklenir ve geliştiricinin uygulama üzerinde çalışmak için doğru izinlere sahip olduğundan emin olun.

Azure portalı

1. Azure portalında Microsoft Entra Id genel bakış sayfasına gidin.

2. Sol taraftaki menüden Tüm gruplar'ı seçin.

3. Gruplar sayfasında Yeni grup'a tıklayın.

4. Yeni grup sayfasında aşağıdaki form alanlarını doldurun:

   • Grup türü: güvenlikseçin.
   • Grup adı: Uygulama veya ortam adına başvuru içeren grup için bir ad girin.
   • Grup açıklaması: Grubun amacını açıklayan bir açıklama girin.

   

5. Gruba üye eklemek için Üyeler'in altında Üye seçilmedi bağlantısını seçin.

6. Açılan açılır panelde, daha önce oluşturduğunuz hizmet sorumlusunu arayın ve filtrelenen sonuçlardan seçin. Seçiminizi onaylamak için panelin altındaki Seç düğmesini seçin.

7. Grubu oluşturmak ve Tüm gruplar sayfasına dönmek için Yeni grup sayfasının alt kısmındaki Oluştur'u seçin. Yeni grubu listede görmüyorsanız, bir dakika bekleyin ve sayfayı yenileyin.

Azure CLI

1. Microsoft Entra ID'de grup oluşturmak için az ad group create komutunu kullanın.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   --display-name ve --mail-nickname parametreleri zorunludur. Gruba verilen ad, grubun amacını belirtmek için uygulamanın adına ve ortamına dayalı olmalıdır.

2. Gruba üye eklemek için, uygulama hizmet sorumlusunun uygulama kimliğinden farklı olan nesne kimliğine ihtiyacınız vardır. Kullanılabilir hizmet sorumlularını listelemek için az ad sp list komutunu kullanın:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   --filter parametresi OData stili filtreleri kabul eder ve gösterildiği gibi listeyi filtrelemek için kullanılabilir. --query parametresi, çıkışı yalnızca ilgilendiğiniz sütunlara sınırlar.

3. az ad group member add komutunu kullanarak gruba üye ekleyin.

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Gruba rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri oluşturduğunuz Microsoft Entra grubuna atayın. Gruplara kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı

1. Azure portalında, uygulamanızı içeren kaynak grubunun Genel Bakış sayfasına gidin.

2. Sol gezinti bölmesinden Erişim denetimi (IAM) seçin.

3. Erişim denetimi (IAM) sayfasında + Ekle'yi ve ardından açılan menüden Rol ataması ekle'yi seçin. Rol ataması ekle sayfasında rolleri yapılandırmak ve atamak için birkaç sekme bulunur.

4. Rol sekmesinde, atamak istediğiniz rolü bulmak için arama kutusunu kullanın. Rolü seçin ve ardından İleri'yi seçin.

5. Üyeler sekmesinde:

   • Değere erişim ata için Kullanıcı, grup veya hizmet sorumlusu öğesini seçin.
   • Üyeler değeri için + Üyeleri seç'i seçerek Üyeleri seçin açılır penceresini açın.
   • Daha önce oluşturduğunuz Microsoft Entra grubunu arayın ve filtrelenen sonuçlardan seçin. Grubu seçmek ve açılır menü panelini kapatmak için Seç'i seçin.
   • Gözden Geçir ve Ata'yı, Üyeler sekmesinin alt kısmında seçin.

   

6. Gözden geçir ve ata sekmesinde, sayfanın alt kısmında Gözden geçir ve ata seçeneğini seçin.

Azure CLI

1. Bir Microsoft Entra grubu veya hizmet sorumlusuna atanabilecek rollerin adlarını almak için az role definition list komutunu kullanın.

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Oluşturduğunuz Microsoft Entra grubuna rol atamak için az role assignment create komutunu kullanın:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI kullanarak kaynak veya abonelik düzeyinde izin atama hakkında bilgi için bkz. Azure CLI kullanarak Azure rolleri atama.

Geliştirici araçlarını kullanarak Azure'da oturum açma

Azure hesabınızla kimlik doğrulaması yapmak için aşağıdaki yöntemlerden birini seçin:

Visual Studio Code

Visual Studio Code kullanan geliştiriciler, aracılık hizmeti aracılığıyla geliştirici hesaplarıyla doğrudan kimlik doğrulaması yapabilir. DefaultAzureCredential veya VisualStudioCodeCredential kullanan uygulamalar, sorunsuz bir çoklu oturum açma deneyimi aracılığıyla uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

1. Visual Studio Code'da Uzantılar paneline gidin ve Azure Kaynakları uzantısını yükleyin. Bu uzantı, Azure kaynaklarını doğrudan Visual Studio Code'dan görüntülemenizi ve yönetmenizi sağlar. Ayrıca Azure ile kimlik doğrulaması yapmak için yerleşik Visual Studio Code Microsoft kimlik doğrulama sağlayıcısını kullanır.

   

2. Visual Studio Code'da Komut Paleti'ni açın, ardından Azure: Oturum aç'ı arayın ve seçin.

   

   Tip

   Windows/Linux veya Ctrl+Shift+P macOS üzerinde kullanarak Cmd+Shift+P Komut Paleti'ni açın.

3. azure-identity-broker Uygulamanıza Python paketini ekleyin:

   pip install azure-identity-broker
   

Azure CLI

Geliştiriciler, Microsoft Entra Id'de kimlik doğrulaması yapmak için Azure CLI kullanabilir. veya DefaultAzureCredential kullanan AzureCliCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure CLI ile kimlik doğrulaması yapmak için az login komutunu çalıştırın. Varsayılan web tarayıcısına sahip bir sistemde Azure CLI, kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

az login

Varsayılan web tarayıcısı olmayan sistemler için az login komutu cihaz kodu kimlik doğrulama akışını kullanır. Kullanıcı ayrıca --use-device-code bağımsız değişkenini belirterek, Azure CLI'yi bir tarayıcı başlatmak yerine cihaz kodu akışını kullanmaya zorlayabilir.

az login --use-device-code

Azure Geliştirici CLI'sı

Geliştiriciler, Microsoft Entra Id kimlik doğrulaması yapmak için Azure Geliştirici CLI'sini kullanabilir. veya DefaultAzureCredential kullanan AzureDeveloperCliCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure Geliştirici CLI'sı ile kimlik doğrulaması yapmak için azd auth login komutunu çalıştırın. Varsayılan web tarayıcısına sahip bir sistemde, Azure Geliştirici CLI'sı kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

azd auth login

azd auth login --use-device-code, varsayılan web tarayıcısı olmayan sistemler için cihaz kodu kimlik doğrulama akışını kullanır. Kullanıcı, --use-device-code bağımsız değişkenini belirterek Azure Geliştirici CLI'sini bir tarayıcı başlatmak yerine cihaz kodu akışı kullanmaya zorlayabilir.

azd auth login --use-device-code

Azure PowerShell

Geliştiriciler, Microsoft Entra Id'de kimlik doğrulaması yapmak için Azure PowerShell'i kullanabilir. veya DefaultAzureCredential kullanan AzurePowerShellCredential uygulamalar, yerel olarak çalıştırılırken uygulama isteklerinin kimliğini doğrulamak için bu hesabı kullanabilir.

Azure PowerShell ile kimlik doğrulaması yapmak için Connect-AzAccountkomutunu çalıştırın. Varsayılan web tarayıcısı ve Azure PowerShell'in 5.0.0 veya sonraki bir sürümüne sahip bir sistemde, kullanıcının kimliğini doğrulamak için tarayıcıyı başlatır.

Connect-AzAccount

Varsayılan web tarayıcısı olmayan sistemler için Connect-AzAccount komutu cihaz kodu kimlik doğrulama akışını kullanır. Kullanıcı, UseDeviceAuthentication bağımsız değişkenini belirterek Azure PowerShell'i bir tarayıcı başlatmak yerine cihaz kodu akışını kullanmaya zorlayabilir.

Connect-AzAccount -UseDeviceAuthentication

Uygulamanızdan Azure hizmetlerinde kimlik doğrulaması

Azure Kimlik kitaplığı, çeşitli senaryoları ve Microsoft Entra kimlik doğrulama akışlarını destekleyen TokenCredential uygulamalarını sağlar. İlerideki adımlarda, kullanıcı hesaplarıyla yerel olarak çalışırken DefaultAzureCredential veya belirli bir geliştirme aracı kimlik bilgilerinin nasıl kullanılacağı gösterilmektedir.

Kodu uygulama

1. Azure-identity paketini uygulamanıza ekleyin:

   pip install azure-identity
   

   Not

   VisualStudioCodeCredential kullanırken azure-identity-broker paketini de yüklemeniz gerekir.

   pip install azure-identity-broker
   

   Uygulamanızın gerektirdiği azure.identity modülü ve Azure hizmet istemcisi modülü için gerekli import deyimlerini ekleyin.

2. Senaryonuza göre kimlik bilgisi uygulamalarından birini seçin.

   • Geliştirme aracınıza özgü bir kimlik bilgisi kullanın: Bu seçenek tek kişi veya tek araç senaryoları için en iyisidir.
   • Herhangi bir geliştirme aracında kullanılabilen bir kimlik bilgisi kullanın: Bu seçenek açık kaynak projeler ve çeşitli araç ekipleri için en iyisidir.

Geliştirme aracınıza özgü bir kimlik bilgisi kullanma

Belirli bir geliştirme aracına karşılık gelen bir TokenCredential örneğini Azure hizmet istemcisi oluşturucusuna, örneğin AzureCliCredential, geçirin.

from azure.identity import AzureCliCredential
from azure.storage.blob import BlobServiceClient

credential = AzureCliCredential()

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Herhangi bir geliştirme aracında kullanılabilen bir kimlik bilgisi kullanın

Tüm yerel geliştirme araçları için iyileştirilmiş bir DefaultAzureCredential örnek kullanın. Bu örnek, ortam değişkeninin AZURE_TOKEN_CREDENTIALS olarak ayarlanmasını devgerektirir. Daha fazla bilgi için bkz . Kimlik bilgisi türü kategorisini dışlama.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

credential = DefaultAzureCredential(require_envvar=True)

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

Tip

Ekibiniz Azure'da kimlik doğrulaması yapmak için birden çok geliştirme aracı kullandığında, araca özgü kimlik bilgileri yerine tercih edin DefaultAzureCredential .