Şirket içinde barındırılan .NET uygulamalarından Azure kaynaklarında kimlik doğrulaması

Azure dışında barındırılan uygulamalar (örneğin, şirket içinde veya üçüncü taraf veri merkezinde), Azure kaynaklarına erişirken Azure'da kimlik doğrulaması yapmak için bir uygulama hizmet sorumlusu kullanmalıdır. Uygulama hizmeti sorumlusu nesneleri, Azure'da uygulama kayıt işlemi kullanılarak oluşturulur. Uygulama hizmet sorumlusu oluşturulduğunda, uygulamanız için bir istemci kimliği ve istemci gizli dizisi oluşturulur. İstemci kimliği, istemci gizli anahtarı ve kiracı kimliğiniz daha sonra ortam değişkenlerinde depolanır, böylece azure kimlik kitaplığı tarafından uygulamanızın çalışma zamanında Azure'da kimliğini doğrulamak için kullanılabilir.

Uygulamanın barındırılacağı her ortam için farklı bir uygulama kaydı oluşturulmalıdır. Bu, her hizmet sorumlusu için ortama özgü kaynak izinlerinin yapılandırılmasına olanak tanır ve bir ortama dağıtılan bir uygulamanın başka bir ortamın parçası olan Azure kaynaklarıyla konuşmadığından emin olun.

1 - Uygulamayı Azure'a kaydetme

Bir uygulama Azure portalı veya Azure CLI kullanılarak Azure'a kaydedilebilir.

Azure portalı

Azure portalında oturum açın ve şu adımları izleyin.

Yönergeler	Ekran görüntüsü
Azure portalında: Azure portalının üst kısmındaki arama çubuğuna uygulama kayıtlarını girin. Arama çubuğunun altında görüntülenen menünün Hizmetler başlığı altında Uygulama kayıtları etiketli öğeyi seçin.
Uygulama kayıtları sayfasında + Yeni kayıt'ı seçin.
Uygulamayı kaydet sayfasında formu aşağıdaki gibi doldurun: Ad → Azure'da uygulama kaydı için bir ad girin. Bu adın, uygulama kaydının ait olduğu uygulama adını ve ortamı (test, üretim) içermesi önerilir. Desteklenen hesap türleri yalnızca bu kuruluş dizinindeki Hesaplar →. Uygulamanızı kaydetmek ve uygulama hizmet sorumlusunu oluşturmak için Kaydet'i seçin.
Uygulamanızın Uygulama kaydı sayfasında: Uygulama (istemci) kimliği → Bu, uygulamanın yerel geliştirme sırasında Azure'a erişmek için kullanacağı uygulama kimliğidir. Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın; bunun için sonraki bir adımda ihtiyacınız olacaktır. Dizin (kiracı) kimliği → Bu değer, Azure'da kimlik doğrulaması yaparken uygulamanız tarafından da gerekli olacaktır. Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın, gelecekteki bir adımda da gerekli olacaktır. İstemci kimlik bilgileri → Uygulamanızın Azure'da kimlik doğrulaması yapıp Azure hizmetlerini kullanabilmesi için önce uygulamanın istemci kimlik bilgilerini ayarlamanız gerekir. Uygulamanızın kimlik bilgilerini eklemek için Sertifika veya gizli dizi ekle'yi seçin.
Sertifikalar ve gizli diziler sayfasında + Yeni istemci gizli dizisi'ni seçin.
İstemci gizli dizisi ekle iletişim kutusu sayfanın sağ tarafından açılır. Bu iletişim kutusunda: Açıklama → Geçerli değerini girin. Süresi doluyor → 24 aylık bir değer seçin. Gizli diziyi eklemek için Ekle'yi seçin. ÖNEMLİ: Gizli dizinin son kullanma tarihinden önce takviminizde bir anımsatıcı ayarlayın. Bu şekilde, bu gizli dizi sona ermeden önce yeni bir gizli dizi ekleyebilir ve uygulamalarınızı güncelleştirebilir ve uygulamanızda hizmet kesintisini önleyebilirsiniz.
Sertifikalar ve gizli diziler sayfasında, istemci gizli dizisinin değeri gösterilir. Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın; çünkü sonraki bir adımda buna ihtiyacınız olacaktır. ÖNEMLİ: Bu değeri yalnızca bu kez görürsünüz. Bu sayfadan ayrıldıktan veya sayfayı yeniledikten sonra bu değeri bir daha göremezsiniz. Bu istemci gizli dizisini geçersiz kılınmadan başka bir istemci gizli dizisi ekleyebilirsiniz, ancak bu değeri bir daha görmezsiniz.

Azure CLI

az ad sp create-for-rbac --name <app-name>

Komutun çıkışı aşağıdakine benzer olacaktır. Bu değerleri not alın veya sonraki adımda bu değerlere ihtiyacınız olacağı ve parola (istemci gizli anahtarı) değerini yeniden görüntüleyemeyeceğiniz için bu pencereyi açık tutun.

{
  "appId": "00000000-1111-2222-3333-444444444444",
  "displayName": "msdocs-dotnet-sdk-auth-prod",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "00000000-0000-0000-0000-000000000000"
}

2 - Uygulama hizmet sorumlusuna rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirlemeniz ve bu rolleri uygulamanıza atamanız gerekir. Rollere kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında hizmet sorumlusu için rollerin nasıl atandığı gösterilmektedir.

Azure portalı

Yönergeler	Ekran görüntüsü
Azure portalının üst kısmındaki arama kutusunu kullanarak kaynak grubu adını arayarak uygulamanızın kaynak grubunu bulun. İletişim kutusundaki Kaynak Grupları başlığının altındaki kaynak grubu adını seçerek kaynak grubunuza gidin.
Kaynak grubunun sayfasında sol taraftaki menüden Erişim denetimi (IAM) öğesini seçin.
Erişim denetimi (IAM) sayfasında: Rol atamaları sekmesini seçin. Üst menüden + Ekle'yi seçin ve ardından açılan menüden Rol ataması ekle'yi seçin.
Rol ataması ekle sayfasında, kaynak grubu için atanabilecek tüm roller listelenir. Listeyi daha yönetilebilir bir boyuta filtrelemek için arama kutusunu kullanın. Bu örnekte Depolama Blobu rolleri için filtreleme gösterilmektedir. Atamak istediğiniz rolü seçin. Sonraki ekrana gitmek için İleri'yi seçin.
Sonraki Rol ataması ekle sayfası, rolü hangi kullanıcıya atayabileceğinizi belirtmenize olanak tanır. Erişim ata altında Kullanıcı, grup veya hizmet sorumlusu'na tıklayın. Üyeler'in altında + Üyeleri seç'i seçin. Azure portalının sağ tarafında bir iletişim kutusu açılır.
Üye seç iletişim kutusunda: Seç metin kutusu, aboneliğinizdeki kullanıcı ve grupların listesini filtrelemek için kullanılabilir. Gerekirse, uygulamanın listeyi filtrelemesi için oluşturduğunuz hizmet sorumlusunun ilk birkaç karakterini yazın. Uygulamanızla ilişkili hizmet sorumlusunu seçin. Devam etmek için iletişim kutusunun alt kısmındaki Seç'i seçin.
Hizmet sorumlusu artık Rol ataması ekle ekranında seçili olarak gösterilir. Son sayfaya gitmek için Gözden geçir + ata'yı seçin ve ardından işlemi tamamlamak için Gözden geçir + yeniden ata'yı seçin.

Azure CLI

Azure'da az role assignment create komutu kullanılarak hizmet sorumlusuna bir rol atanır:

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Hizmet sorumlusunun atanabileceği rol adlarını almak için az role definition list komutunu kullanın:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Örneğin, msdocs-dotnet-sdk-auth-example kaynak grubundaki tüm depolama hesaplarına Azure Depolama blob kapsayıcılarına ve verilerine okuma, yazma ve silme erişimine 00000000-0000-0000-0000-000000000000 appId izin vermek için aşağıdaki komutu kullanarak uygulama hizmet sorumlusunu Depolama Blob Verileri Katkıda Bulunanı rolüne atayın:

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Azure CLI kullanarak kaynak veya abonelik düzeyinde izin atama hakkında bilgi için bkz . Azure CLI kullanarak Azure rolleri atama.

3 - Uygulama için ortam değişkenlerini yapılandırma

nesnesi çalışma DefaultAzureCredential zamanında bir dizi ortam değişkeninde hizmet sorumlusu kimlik bilgilerini arar. Araçlarınıza ve ortamınıza bağlı olarak .NET ile çalışırken ortam değişkenlerini yapılandırmanın birden çok yolu vardır.

Hangi yaklaşımı seçerseniz seçin, hizmet sorumlusuyla çalışırken aşağıdaki ortam değişkenlerini yapılandırın:

• AZURE_CLIENT_ID Uygulama kimliği değerini →.
• AZURE_TENANT_ID kiracı kimliği değerini →.
• AZURE_CLIENT_SECRET → Uygulama için oluşturulan parola/kimlik bilgisi.

IIS

Uygulamanız IIS'de barındırılıyorsa, uygulamalar arasındaki ayarları yalıtmak için uygulama havuzu başına ortam değişkenleri ayarlamanız önerilir.

appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='ASPNETCORE_ENVIRONMENT',value='Production']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_ID',value='00000000-0000-0000-0000-000000000000']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_TENANT_ID',value='11111111-1111-1111-1111-111111111111']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_SECRET',value='=abcdefghijklmnopqrstuvwxyz']" /commit:apphost

Bu ayarları doğrudan dosyanın içindeki applicationHost.config öğesini kullanarak applicationPools da yapılandırabilirsiniz:

<applicationPools>
   <add name="CorePool" managedRuntimeVersion="v4.0" managedPipelineMode="Classic">
      <environmentVariables>
         <add name="ASPNETCORE_ENVIRONMENT" value="Development" />
         <add name="AZURE_CLIENT_ID" value="00000000-0000-0000-0000-000000000000" />
         <add name="AZURE_TENANT_ID" value="11111111-1111-1111-1111-111111111111" />
         <add name="AZURE_CLIENT_SECRET" value="=abcdefghijklmnopqrstuvwxyz" />
      </environmentVariables>
   </add>
</applicationPools>

Windows

Windows için ortam değişkenlerini komut satırından ayarlayabilirsiniz. Ancak, bu yaklaşımı kullanırken değerler o işletim sisteminde çalışan tüm uygulamalar tarafından erişilebilir ve dikkatli değilseniz çakışmalara neden olabilir. Ortam değişkenleri kullanıcı veya sistem düzeyinde ayarlanabilir.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000"
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111"
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000" /m
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111" /m
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz" /m

Ortam değişkenlerini kullanıcı veya makine düzeyinde ayarlamak için PowerShell'i de kullanabilirsiniz:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "Machine")

4 - Uygulamanızda DefaultAzureCredential uygulama

DefaultAzureCredential , Microsoft Entra'da kimlik doğrulaması yapmak için düşünceli, sıralı bir mekanizma dizisidir. Her kimlik doğrulama mekanizması TokenCredential sınıfından türetilen bir sınıftır ve kimlik bilgisi olarak bilinir. Çalışma zamanında, DefaultAzureCredential ilk kimlik bilgilerini kullanarak kimlik doğrulamayı dener. Bu kimlik bilgisi bir erişim belirteci alamazsa, bir erişim belirteci başarıyla alınana kadar dizideki bir sonraki kimlik bilgisi denenir ve bu şekilde devam edilir. Bu şekilde, uygulamanız ortama özgü kod yazmadan farklı ortamlarda farklı kimlik bilgilerini kullanabilir.

Kimlik bilgilerinin arandığı DefaultAzureCredential sıra ve konumlar DefaultAzureCredential konumunda bulunur.

kullanmak DefaultAzureCredentialiçin Azure.Identity ve isteğe bağlı olarak Microsoft.Extensions.Azure paketlerini uygulamanıza ekleyin:

Komut Satırı

Seçtiğiniz bir terminalde uygulama projesi dizinine gidin ve aşağıdaki komutları çalıştırın:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet Paket Yöneticisi

Visual Studio'nun Çözüm Gezgini penceresinde projenize sağ tıklayın ve NuGet Paketlerini Yönet'i seçin. Azure.Identity'yi arayın ve eşleşen paketi yükleyin. Microsoft.Extensions.Azure paketi için bu işlemi yineleyin.

Azure hizmetlerine çeşitli Azure SDK istemci kitaplıklarından özel istemci sınıfları kullanılarak erişilir. Bu sınıflar ve kendi özel hizmetleriniz, uygulamanıza bağımlılık ekleme yoluyla erişilebilmeleri için kaydedilmelidir. içinde Program.cs, bir istemci sınıfını ve DefaultAzureCredentialkaydetmek için aşağıdaki adımları tamamlayın:

1. Azure.Identity yönergeleri aracılığıyla using ve Microsoft.Extensions.Azure ad alanlarını ekleyin.
2. İlgili Addön ekli uzantı yöntemini kullanarak Azure hizmet istemcisini kaydedin.
3. yönteminin DefaultAzureCredential bir örneğini UseCredential geçirin.

Örneğin:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Bunun bir alternatifi UseCredential de doğrudan örnekleme DefaultAzureCredential yapmaktır:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Yukarıdaki kod yerel geliştirme iş istasyonunuzda çalıştırıldığında, bir uygulama hizmet sorumlusunun ortam değişkenlerinde veya bir dizi geliştirici kimlik bilgisi için Visual Studio gibi yerel olarak yüklenen geliştirici araçlarında arar. Her iki yaklaşım da yerel geliştirme sırasında azure kaynaklarında uygulamanın kimliğini doğrulamak için kullanılabilir.

Azure'a dağıtıldığında, aynı kod uygulamanızın kimliğini diğer Azure kaynaklarda da doğrulayabilir. DefaultAzureCredential diğer hizmetlerde otomatik olarak kimlik doğrulaması yapmak için ortam ayarlarını ve yönetilen kimlik yapılandırmalarını alabilir.