Aracılığıyla paylaş

Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Azure hizmetlerinde .NET uygulamalarının kimliğini doğrulama

  • Makale

Geliştiricilerin yerel iş istasyonlarında bulut uygulamalarının hatalarını ayıklaması ve test etmeleri gerekir. Bir uygulama yerel geliştirme sırasında bir geliştiricinin iş istasyonunda çalıştığında, uygulama tarafından kullanılan tüm Azure hizmetlerinde kimlik doğrulaması yapmaya devam etmelidir. Bu makalede, yerel geliştirme sırasında uygulamanın Kimliğini Azure'da doğrulamak için bir geliştiricinin Azure kimlik bilgilerinin nasıl kullanılacağı ele alınır.

Azure kaynaklarına bağlanmak için geliştirici aracı kimliği kullanarak yerel geliştirmede çalışan bir uygulamayı gösteren diyagram.

Bir uygulamanın yerel geliştirme sırasında geliştiricinin Azure kimlik bilgilerini kullanarak Azure'da kimlik doğrulaması yapması için geliştiricinin aşağıdaki geliştirici araçlarından birinden Azure'da oturum açması gerekir:

  • Visual Studio
  • Azure CLI
  • Azure Geliştirici CLI
  • Azure PowerShell

Azure Kimlik kitaplığı, geliştiricinin bu araçlardan birinden oturum açtığını algılayabilir. Kitaplık daha sonra Microsoft Entra erişim belirtecini araç aracılığıyla edinerek uygulamanın oturum açmış kullanıcı olarak Azure'da kimliğini doğrulayabilir.

Geliştiricilerin mevcut Azure hesaplarından yararlandığından, geliştirme ekibi için bu yaklaşımı ayarlamak en kolay yöntemdir. Ancak, bir geliştirici hesabının büyük olasılıkla uygulama için gerekenden daha fazla izni vardır ve bu nedenle uygulamanın üretim ortamında çalıştırdığı izinleri aşmış olur. Alternatif olarak, yerel geliştirme sırasında kullanmak üzere uygulama hizmet sorumluları oluşturabilirsiniz. Bu sorumluların kapsamı yalnızca uygulamanın ihtiyaç duyduğu erişime sahip olacak şekilde ayarlanabilir.

1 - Yerel geliştirme için Microsoft Entra grubu oluşturma

Bir uygulama üzerinde çalışan neredeyse her zaman birden çok geliştirici olduğundan, yerel geliştirmede uygulamanın ihtiyaç duyduğu rolleri (izinleri) kapsüllemek için bir Microsoft Entra grubu önerilir. Bu yaklaşım aşağıdaki avantajları sunar:

  • Roller grup düzeyinde atandığından her geliştiricinin aynı rollere atandığından emin olur.
  • Uygulama için yeni bir rol gerekiyorsa, yalnızca uygulamanın grubuna eklenmesi gerekir.
  • Ekibe yeni bir geliştirici katılırsa, gruba eklendikten sonra uygulama üzerinde çalışmak için gerekli izinleri alır.

Geliştirme ekibiniz için mevcut bir Microsoft Entra grubunuz varsa bu grubu kullanabilirsiniz. Aksi takdirde, bir Microsoft Entra grubu oluşturmak için aşağıdaki adımları tamamlayın.

Yönergeler Ekran görüntüsü
Sayfanın üst kısmındaki arama kutusuna Microsoft Entra Id yazarak Azure portalında Microsoft Entra Id sayfasına gidin. Hizmetler bölümünün altında Microsoft Entra Id'yi seçin. Microsoft Entra Id sayfasını aramak ve sayfaya gitmek için Azure portalındaki üst arama çubuğunun nasıl kullanılacağını gösteren ekran görüntüsü.
Microsoft Entra Id sayfasında sol taraftaki menüden Gruplar'ı seçin. Microsoft Entra Id Default Directory sayfasının sol tarafındaki menüde Gruplar menü öğesinin konumunu gösteren ekran görüntüsü.
Tüm gruplar sayfasında Yeni grup'a tıklayın. Tüm gruplar sayfasındaki Yeni Grup düğmesinin konumunu gösteren ekran görüntüsü.
Yeni Grup sayfasında:
  1. Grup türü açılan listesinden Güvenlik'i seçin.
  2. Grup adı → Genellikle uygulama adından oluşturulan güvenlik grubu için bir addır. Grubun amacını belirtmek için grubun adına local-dev gibi bir dize eklemek de yararlıdır.
  3. Grup açıklaması → Grubun amacının açıklaması.
  4. Gruba üye eklemek için Üyeler'in altında Üye seçilmedi bağlantısını seçin.
 Yeni bir Microsoft Entra grubu oluşturmayı gösteren ekran görüntüsü. Bu gruba üye eklemek için seçilen bağlantının konumu vurgulanır.
Üye ekle iletişim kutusunda:
  1. Listedeki kullanıcı adları listesini filtrelemek için arama kutusunu kullanın.
  2. Bu uygulama için yerel geliştirme için bir veya daha fazla kullanıcı seçin. Siz bir nesne seçtiğinizde, nesne iletişim kutusunun altındaki Seçili öğeler listesine taşınır.
  3. İşiniz bittiğinde Seç düğmesini seçin.
 Gruba dahil edilecek geliştirici hesaplarını seçmeyi gösteren Üye ekle iletişim kutusunun ekran görüntüsü.
Yeni grup sayfasına dönüp Oluştur'u seçerek grubu oluşturun. Grup oluşturulur ve Tüm gruplar sayfasına geri dönersiniz. Grubun görünmesi 30 saniye kadar sürebilir ve Azure portalında önbelleğe alma nedeniyle sayfayı yenilemeniz gerekebilir. Oluştur düğmesini seçerek işlemin nasıl tamamlanmasını gösteren Yeni Grup sayfasının ekran görüntüsü.

Not

Varsayılan olarak, Microsoft Entra gruplarının oluşturulması bir dizindeki belirli ayrıcalıklı rollerle sınırlıdır. Grup oluşturamıyorsanız dizininizin yöneticisine başvurun. Mevcut bir gruba üye ekleyemiyorsanız, grup sahibine veya dizin yöneticisine başvurun. Daha fazla bilgi edinmek için bkz . Microsoft Entra gruplarını ve grup üyeliğini yönetme.

2 - Microsoft Entra grubuna rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri uygulamanıza atayın. Bu örnekte roller, 1. adımda oluşturulan Microsoft Entra grubuna atanır. Gruplara kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu, kapsam rollerinin nasıl atandığı gösterilmektedir.

Yönergeler Ekran görüntüsü
Azure portalının üst kısmındaki arama kutusunu kullanarak kaynak grubu adını arayarak uygulamanızın kaynak grubunu bulun. İletişim kutusundaki Kaynak Grupları başlığının altındaki kaynak grubu adını seçerek kaynak grubunuza gidin. Rol (izinler) atamak istediğiniz kaynak grubunu bulmak ve bu gruba gitmek için Azure portalındaki en üstteki arama kutusunun nasıl kullanılacağını gösteren ekran görüntüsü.
Kaynak grubunun sayfasında sol taraftaki menüden Erişim denetimi (IAM) öğesini seçin. Erişim denetimi (IAM) menü öğesinin konumunu gösteren kaynak grubu sayfasının ekran görüntüsü.
Erişim denetimi (IAM) sayfasında:
  1. Rol atamaları sekmesini seçin.
  2. Üst menüden + Ekle'yi seçin ve ardından açılan menüden Rol ataması ekle'yi seçin.
 Rol atamaları sekmesine ve bir kaynak grubuna rol atamaları eklemek için kullanılan düğmenin konumunu gösteren ekran görüntüsü.
Rol ataması ekle sayfasında, kaynak grubu için atanabilecek tüm roller listelenir.
  1. Listeyi daha yönetilebilir bir boyuta filtrelemek için arama kutusunu kullanın. Bu örnekte Depolama Blobu rolleri için filtreleme gösterilmektedir.
  2. Atamak istediğiniz rolü seçin.
Sonraki ekrana gitmek için İleri'yi seçin.		 Kaynak grubuna eklenecek rol atamalarını filtrelemeyi ve seçmeyi gösteren ekran görüntüsü.
Sonraki Rol ataması ekle sayfası, rolü hangi kullanıcıya atayabileceğinizi belirtmenize olanak tanır.
  1. Erişim ata altında Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.
  2. Üyeler'in altında + Üyeleri seç'i seçin.
Azure portalının sağ tarafında bir iletişim kutusu açılır.		 Bir Microsoft Entra grubuna rol atamak için seçecek radyo düğmesini ve rolün atanacak grubu seçmek için kullanılan bağlantıyı gösteren ekran görüntüsü.
Üye seç iletişim kutusunda:
  1. Seç metin kutusu, aboneliğinizdeki kullanıcı ve grupların listesini filtrelemek için kullanılabilir. Gerekirse, uygulama için oluşturduğunuz yerel geliştirme Microsoft Entra grubunun ilk birkaç karakterini yazın.
  2. Uygulamanızla ilişkili yerel geliştirme Microsoft Entra grubunu seçin.
Devam etmek için iletişim kutusunun alt kısmındaki Seç'i seçin.		 Üye seç iletişim kutusunda uygulamanın Microsoft Entra grubunu filtrelemeyi ve seçmeyi gösteren ekran görüntüsü.
Microsoft Entra grubu Rol ataması ekle ekranında seçili olarak gösterilir. Son sayfaya gitmek için Gözden geçir + ata'yı seçin ve ardından işlemi tamamlamak için Gözden geçir + yeniden ata'yı seçin. Tamamlanan Rol ataması ekle sayfasını ve işlemi tamamlamak için kullanılan Gözden Geçir ve ata düğmesinin konumunu gösteren ekran görüntüsü.

3 - Geliştirici araçlarını kullanarak Azure'da oturum açma

Ardından, çeşitli geliştirici araçlarından birini kullanarak Azure'da oturum açın. Kimlik doğrulaması yaptığınız hesap, daha önce oluşturup yapılandırdığınız Microsoft Entra grubunda da bulunmalıdır.

  1. Seçenekler iletişim kutusunu açmak için Araçlar>Seçenekleri'ne gidin.

  2. En üstteki Arama Seçenekleri kutusuna, kullanılabilir seçenekleri filtrelemek için Azure yazın.

  3. Azure Hizmet Kimlik Doğrulaması'nın altında Hesap Seçimi'ni seçin.

  4. Hesap seçin altındaki açılan menüyü seçin ve bir Microsoft Hesabı eklemeyi seçin. Bir hesap seçmenizi isteyen bir pencere açılır. İstediğiniz Azure hesabınızın kimlik bilgilerini girin ve ardından onayı seçin.

    Visual Studio kullanarak Azure'da oturum açmayı gösteren ekran görüntüsü.

  5. Seçenekler iletişim kutusunu kapatmak için Tamam'ı seçin.

4 - Uygulamanızda DefaultAzureCredential uygulama

DefaultAzureCredential , Microsoft Entra'da kimlik doğrulaması yapmak için düşünceli, sıralı bir mekanizma dizisidir. Her kimlik doğrulama mekanizması TokenCredential sınıfından türetilen bir sınıftır ve kimlik bilgisi olarak bilinir. Çalışma zamanında, DefaultAzureCredential ilk kimlik bilgilerini kullanarak kimlik doğrulamayı dener. Bu kimlik bilgisi bir erişim belirteci alamazsa, bir erişim belirteci başarıyla alınana kadar dizideki bir sonraki kimlik bilgisi denenir ve bu şekilde devam edilir. Bu şekilde, uygulamanız ortama özgü kod yazmadan farklı ortamlarda farklı kimlik bilgilerini kullanabilir.

Kimlik bilgilerinin arandığı DefaultAzureCredential sıra ve konumlar DefaultAzureCredential konumunda bulunur.

kullanmak DefaultAzureCredentialiçin Azure.Identity ve isteğe bağlı olarak Microsoft.Extensions.Azure paketlerini uygulamanıza ekleyin:

Seçtiğiniz bir terminalde uygulama projesi dizinine gidin ve aşağıdaki komutları çalıştırın:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure hizmetlerine çeşitli Azure SDK istemci kitaplıklarından özel istemci sınıfları kullanılarak erişilir. Bu sınıflar ve kendi özel hizmetleriniz, uygulamanıza bağımlılık ekleme yoluyla erişilebilmeleri için kaydedilmelidir. içinde Program.cs, bir istemci sınıfını ve DefaultAzureCredentialkaydetmek için aşağıdaki adımları tamamlayın:

  1. Azure.Identity yönergeleri aracılığıyla using ve Microsoft.Extensions.Azure ad alanlarını ekleyin.
  2. İlgili Addön ekli uzantı yöntemini kullanarak Azure hizmet istemcisini kaydedin.
  3. yönteminin DefaultAzureCredential bir örneğini UseCredential geçirin.

Örneğin:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Bunun bir alternatifi UseCredential de doğrudan örnekleme DefaultAzureCredential yapmaktır:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Yukarıdaki kod yerel geliştirme iş istasyonunuzda çalıştırıldığında, bir uygulama hizmet sorumlusunun ortam değişkenlerinde veya bir dizi geliştirici kimlik bilgisi için Visual Studio gibi yerel olarak yüklenen geliştirici araçlarında arar. Her iki yaklaşım da yerel geliştirme sırasında azure kaynaklarında uygulamanın kimliğini doğrulamak için kullanılabilir.

Azure'a dağıtıldığında, aynı kod uygulamanızın kimliğini diğer Azure kaynaklarda da doğrulayabilir. DefaultAzureCredential diğer hizmetlerde otomatik olarak kimlik doğrulaması yapmak için ortam ayarlarını ve yönetilen kimlik yapılandırmalarını alabilir.