使用开发人员帐户在本地开发期间向Azure服务Java应用进行身份验证

在本地开发期间，应用程序需要进行身份验证，以便访问各种 Azure 服务。 可以使用以下方法之一在本地进行身份验证：

• 将开发人员帐户与Azure标识库支持的开发人员工具之一配合使用。
• 使用服务主体。 有关详细信息，请参阅 使用服务主体在本地开发期间为 Java 应用认证至 Azure 服务。

本文介绍如何在Azure标识库支持的工具中使用开发人员帐户进行身份验证。 本文内容：

• 如何使用Microsoft Entra组有效地管理多个开发人员帐户的权限。
• 如何将角色分配给开发人员帐户以限定权限范围。
• 如何登录到受支持的本地开发工具。
• 如何使用应用代码中的开发人员帐户进行身份验证。

支持身份验证的开发人员工具

在本地开发期间，应用可以使用Azure凭据对Azure进行身份验证。 若要运行此身份验证，必须从开发人员工具登录Azure，例如以下方法之一：

• Azure CLI
• Azure开发人员命令行界面
• Azure PowerShell
• Visual Studio Code
• IntelliJ 理念

Azure标识库可以检测开发人员是否从其中一个工具登录。 然后，该库可以通过工具获取Microsoft Entra访问令牌，以便对应用进行身份验证，以Azure作为登录用户。

此方法利用开发人员的现有Azure帐户来简化身份验证过程。 但是，开发人员的帐户可能具有比应用所需的权限更多的权限，因此超出了应用在生产环境中运行的权限。 作为替代方法，您可以创建应用程序服务主体以在本地开发期间使用，其权限范围仅限于应用所需的访问权限。

创建用于本地开发的Microsoft Entra组

创建一个Microsoft Entra组来封装应用在本地开发中所需的角色（权限），而不是将角色分配给单个服务主体对象。 此方法具有以下优势：

• 每个开发人员在组级别都分配了相同的角色。
• 如果应用需要新角色，只需将角色添加到应用的组中。
• 如果新开发人员加入团队，则会为开发人员创建一个新的应用程序服务主体并将其添加到组中，确保开发人员有权处理应用。

Azure 门户

1. 导航到 Azure 门户中的 Microsoft Entra ID 概述页。

2. 从左侧菜单中选择 “所有组 ”。

3. 在 “组 ”页上，选择“ 新建组”。

4. 在 “新建组 ”页上，填写以下表单字段：

   • “组类型”：选择“安全性”。
   • 组名称：输入包含对应用或环境名称的引用的组的名称。
   • 组说明：输入用于解释该组目的的说明。

   

5. 在“成员”下选择“未选择成员”链接，以将成员添加到组中。

6. 在打开的浮出控件面板中，搜索之前创建的服务主体，并从筛选的结果中选择它。 选择面板底部的 “选择 ”按钮以确认你的选择。

7. 选择“新建组”页底部的“创建”以创建组并返回到“所有组”页。 如果未看到列出的新组，请稍等片刻并刷新页面。

Azure CLI

1. 使用 az ad group create 命令在 Microsoft Entra ID 中创建组。

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   --display-name 和 --mail-nickname 参数是必需的。 提供给组的名称应基于应用的名称和环境来指示组的目的。

2. 若要将成员添加到组中，需要获取应用程序服务主体的对象 ID（与应用程序 ID 不同）。 使用 az ad sp list 命令列出可用的服务主体：

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   该 --filter 参数接受 OData 样式的筛选器，并可用于按如下所示筛选列表。 该 --query 参数仅将输出限制为感兴趣的列。

3. 使用 az ad group member add 命令将成员添加到组：

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

将角色分配给组

接下来，确定您的应用在哪些资源上需要哪些角色及其对应的权限，并将这些角色分配给您创建的 Microsoft Entra 组。 可以在资源、资源组或订阅范围内为组分配角色。 此示例演示如何在资源组范围内分配角色，因为大多数应用将所有Azure资源分组到单个资源组中。

Azure 门户

1. 在 Azure 门户中，导航到包含应用的资源组的 Overview 页。

2. 在左侧导航栏中，选择“访问控制(IAM)”。

3. 在 “访问控制”（IAM） 页上，选择“ + 添加 ”，然后从下拉菜单中选择 “添加角色分配 ”。 “添加角色分配”页提供了多个选项卡来配置和分配角色。

4. 在“ 角色 ”选项卡上，使用搜索框查找要分配的角色。 选择角色，然后选择“ 下一步”。

5. 在“ 成员 ”选项卡上：

   • 对于 “分配对值的访问权限 ”，请选择“ 用户”、“组”或服务主体 。
   • 对于 “成员 ”值，选择 “+ 选择成员 ”以打开 “选择成员 ”浮出控件面板。
   • 搜索之前创建的Microsoft Entra组，并从筛选的结果中选择它。 选择 “选择” 以选择组并关闭浮动面板。
   • 选择“成员”选项卡底部的“审阅 + 分配”。

   

6. 在“ 审阅 + 分配 ”选项卡上，选择页面底部的 “审阅 + 分配 ”。

Azure CLI

1. 使用 az 角色定义列表命令获取可以分配给 Microsoft Entra 组或服务主体的角色名称：

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. 使用 az role assignment create 命令为您创建的 Microsoft Entra 组分配角色：

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   有关使用 Azure CLI 在资源或订阅级别分配权限的信息，请参阅使用 Azure CLI 分配Azure角色。

使用开发人员工具登录到Azure

接下来，使用可用于在开发环境中执行身份验证的开发人员工具之一登录到Azure。 你进行身份验证的帐户还应存在于前面创建的Microsoft Entra组中。

Visual Studio Code

使用 Visual Studio Code 的开发人员可以直接通过中介通过编辑器通过其开发人员帐户进行身份验证。 使用 DefaultAzureCredential 或 VisualStudioCodeCredential 的应用程序可以利用此帐户，通过无缝的单一登录体验来对应用请求进行身份验证。

1. 在Visual Studio Code中，转到 Extensions 面板并安装 Azure Resources 扩展。 此扩展允许直接从Visual Studio Code查看和管理Azure资源。 它还使用内置Visual Studio Code Microsoft身份验证提供程序对Azure进行身份验证。

   

2. 在 Visual Studio Code 中打开命令面板，然后搜索并选择 Azure：登录。

   

   小窍门

   使用 Windows/Linux 上的 Ctrl+Shift+P 或 macOS 上的 Cmd+Shift+P 打开命令面板。

IntelliJ IDEA

使用 IntelliJ 的开发人员可以使用用于 IntelliJ 插件的 Azure 工具包进行身份验证。 按照以下步骤来登录：

1. 在 IntelliJ 窗口中，打开 “文件 > 设置 > 插件”。
2. 在市场中搜索“Azure Toolkit for IntelliJ”。 安装并重启 IDE。
3. 查找新菜单项 Tools > Azure > Azure登录。
4. 设备登录 可帮助以用户帐户身份登录。 按照说明使用设备代码登录 login.microsoftonline.com 网站。 IntelliJ 会提示你选择订阅。 选择包含要访问的资源的订阅。

Azure CLI

开发人员可以使用 Azure CLI 进行身份验证。 应用使用DefaultAzureCredential或AzureCLICredential后，可以利用此帐户对应用请求进行身份验证。

若要使用Azure CLI进行身份验证，请运行 az login 命令。 在具有默认 Web 浏览器的系统上，Azure CLI启动浏览器以对用户进行身份验证。

az login

对于没有默认 Web 浏览器的系统，az login 命令使用设备代码身份验证流。 还可以强制Azure CLI使用设备代码流，而不是通过指定 --use-device-code 参数来启动浏览器。

az login --use-device-code

Azure 开发人员 CLI

开发人员可以使用 Azure Developer CLI对 Microsoft Entra ID 进行身份验证。 应用使用 DefaultAzureCredential 或 AzureDeveloperCliCredential 随后可以使用此帐户在本地运行时对应用请求进行身份验证。

若要使用 Azure 开发人员 CLI 进行身份验证，请运行 azd auth login 命令。 在具有默认 Web 浏览器的系统上，Azure开发人员 CLI 启动浏览器以对用户进行身份验证。

azd auth login

对于没有默认 Web 浏览器的系统，使用 azd auth login --use-device-code 设备代码身份验证流。 用户还可以强制Azure开发人员 CLI 使用设备代码流，而不是通过指定 --use-device-code 参数来启动浏览器。

azd auth login --use-device-code

Azure PowerShell

开发人员可以使用 Azure PowerShell 对Microsoft Entra ID进行身份验证。 应用使用 DefaultAzureCredential 或 AzurePowerShellCredential 随后可以使用此帐户在本地运行时对应用请求进行身份验证。

若要使用 Azure PowerShell 进行身份验证，请运行命令 Connect-AzAccount。 在具有默认 Web 浏览器和 5.0.0 或更高版本Azure PowerShell的系统上，它会启动浏览器以对用户进行身份验证。

Connect-AzAccount

对于没有默认 Web 浏览器的系统，Connect-AzAccount 命令使用设备代码身份验证流。 用户还可以强制Azure PowerShell使用设备代码流，而不是通过指定 UseDeviceAuthentication 参数来启动浏览器。

Connect-AzAccount -UseDeviceAuthentication

通过应用向Azure服务进行身份验证

Azure标识库提供支持各种方案和Microsoft Entra身份验证流的 TokenCredential实现。 以下步骤演示如何在本地使用用户帐户时使用 DefaultAzureCredential 或特定的开发工具凭据。

实现代码

1. 将 azure-identity 依赖项添加到 pom.xml 文件：

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
   </dependency>
   

2. 请根据具体情况选择合适的凭据实现。

   • 使用特定于开发工具的凭据：此选项最适合用于单人或单工具的场景。
   • 使用可用于任何开发工具的凭据：此选项最适合开源项目和各种工具团队。

使用特定于开发工具的凭据

将对应于特定开发工具的 TokenCredential 实例传递给Azure服务客户端构造函数，例如 AzureCliCredential。

import com.azure.identity.AzureCliCredential;
import com.azure.identity.AzureCliCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

AzureCliCredential credential = new AzureCliCredentialBuilder().build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

每个工具凭据都遵循相同的模式。 根据需要替换凭据类型及其相应的生成器：

• AzureCliCredential / AzureCliCredentialBuilder
• AzureDeveloperCliCredential / AzureDeveloperCliCredentialBuilder
• AzurePowerShellCredential / AzurePowerShellCredentialBuilder
• IntelliJCredential / IntelliJCredentialBuilder
• VisualStudioCodeCredential / VisualStudioCodeCredentialBuilder

使用可用于任何开发工具的凭据

使用优化用于所有本地开发工具的DefaultAzureCredential实例。 此示例要求将环境变量 AZURE_TOKEN_CREDENTIALS 设置为 dev. 有关详细信息，请参阅 “排除凭据类型类别”。

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .requireEnvVars(AzureIdentityEnvVars.AZURE_TOKEN_CREDENTIALS)
    .build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

后续步骤

本文介绍了在开发过程中使用计算机上可用的凭据进行身份验证。 这种形式的身份验证是可在Java的Azure SDK中进行身份验证的多种方式之一。 以下文章介绍了其他方法：

• 使用服务主体在本地开发期间对Java应用进行Azure服务的身份验证
• 使用系统分配的托管标识对Azure托管的Java应用进行身份验证，以访问Azure资源
• 使用用户分配的托管身份验证Azure托管的Java应用程序以访问Azure资源

如果遇到与开发环境身份验证相关的问题，请参阅 开发环境身份验证疑难解答。

在掌握身份验证后，请参阅 在 Azure SDK for Java 中配置日志记录 以获取有关 SDK 提供的日志功能的信息。