使用开发人员帐户在本地开发期间向 Azure 服务验证 Python 应用的身份

在本地开发期间，应用程序需要向 Azure 进行身份验证才能使用不同的 Azure 服务。使用以下方法之一在本地进行身份验证：

将开发人员帐户与 Azure 标识库支持的开发人员工具之一配合使用。
使用代理管理凭据。
使用服务主体。

本文介绍如何在 Azure 标识库支持的工具中使用开发人员帐户进行身份验证。在前面的部分中，你将了解：

如何使用 Microsoft Entra 组有效地管理多个开发人员帐户的权限。
如何将角色分配给开发人员帐户以限定权限范围。
如何登录到受支持的本地开发工具。
如何通过应用代码使用开发人员帐户进行身份验证。

支持身份验证的开发人员工具

若要使用开发人员的 Azure 凭据在本地开发期间向 Azure 进行身份验证的应用，开发人员必须从以下开发人员工具之一登录到 Azure：

Azure CLI
Azure Developer CLI
Azure PowerShell
Visual Studio Code

Azure 标识库可以检测开发人员是否从其中一个工具登录。然后，该库可通过工具获取 Microsoft Entra 访问令牌，以将应用作为登录用户向 Azure 进行身份验证。

此方法利用开发人员的现有 Azure 帐户来简化身份验证过程。但是，开发人员帐户拥有的权限可能比应用需要的权限更多，因此超出了应用在生产环境中运行时使用的权限。作为替代方法，可以创建在本地开发期间使用的应用程序服务主体，其权限范围仅限应用所需的访问权限。

创建用于本地开发的Microsoft Entra 组

创建Microsoft Entra 组来封装应用在本地开发中所需的角色（权限），而不是将角色分配给单个服务主体对象。此方法具有以下优势：

每个开发人员在组级别都分配了相同的角色。
如果应用需要新角色，只需将角色添加到应用的组中。
如果新开发人员加入团队，则会为开发人员创建一个新的应用程序服务主体并将其添加到组中，确保开发人员有权处理应用。

Azure 门户
Azure CLI

导航到 Azure 门户中 Microsoft Entra ID 概述页。
从左侧菜单中选择 “所有组 ”。
在 “组 ”页上，选择“ 新建组”。
在 “新建组 ”页上，填写以下表单字段：
- “组类型”：选择“安全性”。
- 组名称：输入包含对应用或环境名称的引用的组的名称。
- 组说明：输入用于解释该组目的的说明。
在“成员”下选择“未选择成员”链接，以将成员添加到组中。
在打开的浮出控件面板中，搜索之前创建的服务主体，并从筛选的结果中选择它。选择面板底部的 “选择 ”按钮以确认你的选择。
选择“新建组”页底部的“创建”以创建组并返回到“所有组”页。如果未看到列出的新组，请稍等片刻并刷新页面。

使用 az ad group create 命令在 Microsoft Entra ID 中创建组。
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
--display-name 和 --mail-nickname 参数是必需的。提供给组的名称应基于应用的名称和环境来指示组的目的。
若要将成员添加到组中，需要获取应用程序服务主体的对象 ID（与应用程序 ID 不同）。使用 az ad sp list 命令列出可用的服务主体：
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
该 --filter 参数接受 OData 样式的筛选器，并可用于按如下所示筛选列表。该 --query 参数仅将输出限制为感兴趣的列。

使用 az ad group member add 命令将成员添加到组：

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

将角色分配给组

接下来，确定您的应用在何种资源上需要哪些角色（权限），并将这些角色分配给您创建的 Microsoft Entra 组。可以在资源、资源组或订阅范围内为组分配角色。此示例演示如何在资源组范围内分配角色，因为大多数应用将其所有 Azure 资源分组到单个资源组中。

Azure 门户
Azure CLI

在 Azure 门户中，导航到包含应用的资源组的 “概述 ”页。
在左侧导航栏中，选择“访问控制(IAM)”。
在 “访问控制”（IAM） 页上，选择“ + 添加 ”，然后从下拉菜单中选择 “添加角色分配 ”。 “添加角色分配”页提供了多个选项卡来配置和分配角色。
在“ 角色 ”选项卡上，使用搜索框查找要分配的角色。选择角色，然后选择“ 下一步”。
在“ 成员 ”选项卡上：
- 对于 “分配对值的访问权限 ”，请选择“ 用户”、“组”或服务主体 。
- 对于 “成员 ”值，选择 “+ 选择成员 ”以打开 “选择成员 ”浮出控件面板。
- 搜索之前创建的Microsoft Entra 组，并从筛选的结果中选择它。选择 “选择” 以选择组并关闭浮动面板。
- 选择“成员”选项卡底部的“审阅 + 分配”。
在“ 审阅 + 分配 ”选项卡上，选择页面底部的 “审阅 + 分配 ”。

使用 az role definition list 命令来获取可以分配给 Microsoft Entra 组或服务主体的角色名称：

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

使用 az role assignment create 命令将角色分配给创建的 Microsoft Entra 组：
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
有关使用 Azure CLI 在资源或订阅级别分配权限的信息，请参阅使用 Azure CLI分配 Azure 角色。

若要使用 Azure 帐户进行身份验证，请选择以下方法之一：

使用 Visual Studio Code 的开发人员可以直接通过中转站通过编辑器通过其开发人员帐户进行身份验证。使用 DefaultAzureCredential 或 VisualStudioCodeCredential 的应用随后可以使用此帐户通过无缝单一登录体验对应用请求进行身份验证。

在 Visual Studio Code 中，转到 “扩展 ”面板并安装 Azure 资源扩展。此扩展允许直接从 Visual Studio Code 查看和管理 Azure 资源。它还使用内置的 Visual Studio Code Microsoft身份验证提供程序向 Azure 进行身份验证。
在 Visual Studio Code 中打开命令面板，然后搜索并选择 Azure：登录。

小窍门

使用 Ctrl+Shift+P Windows/Linux 或 Cmd+Shift+P macOS 打开命令面板。
将 azure-identity-broker Python 包添加到应用：
```
pip install azure-identity-broker
```

开发人员可以使用 Azure CLI 进行身份验证以Microsoft Entra ID。应用使用 DefaultAzureCredential 或 AzureCliCredential 随后可以使用此帐户在本地运行时对应用请求进行身份验证。

若要使用 Azure CLI 进行身份验证，请 az login 运行以下命令。在具有默认 Web 浏览器的系统上，Azure CLI 启动浏览器以对用户进行身份验证。

az login

对于没有默认 Web 浏览器的系统，az login 命令使用设备代码身份验证流。用户还可以强制 Azure CLI 使用设备代码流，而不是通过指定 --use-device-code 参数来启动浏览器。

az login --use-device-code

开发人员可以使用 Azure Developer CLI 对 Microsoft Entra ID 进行身份验证。应用使用 DefaultAzureCredential 或 AzureDeveloperCliCredential 随后可以使用此帐户在本地运行时对应用请求进行身份验证。

若要使用 Azure 开发人员 CLI 进行身份验证，请 azd auth login 运行以下命令。在具有默认 Web 浏览器的系统上，Azure 开发人员 CLI 启动浏览器以对用户进行身份验证。

azd auth login

对于没有默认 Web 浏览器的系统，使用 azd auth login --use-device-code 设备代码身份验证流。用户还可以强制 Azure 开发人员 CLI 使用设备代码流，而不是通过指定 --use-device-code 参数来启动浏览器。

azd auth login --use-device-code

开发人员可以使用 Azure PowerShell 进行身份验证以Microsoft Entra ID。应用使用 DefaultAzureCredential 或 AzurePowerShellCredential 随后可以使用此帐户在本地运行时对应用请求进行身份验证。

若要使用 Azure PowerShell 进行身份验证，请运行命令 Connect-AzAccount。在具有默认 Web 浏览器和版本 5.0.0 或更高版本的 Azure PowerShell 的系统上，它会启动浏览器以对用户进行身份验证。

Connect-AzAccount

对于没有默认 Web 浏览器的系统，Connect-AzAccount 命令使用设备代码身份验证流。用户还可以强制 Azure PowerShell 使用设备代码流，而不是通过指定 UseDeviceAuthentication 参数来启动浏览器。

Connect-AzAccount -UseDeviceAuthentication

从应用向 Azure 服务进行身份验证

Azure 标识库提供 TokenCredential 的实现，这些实现支持各种方案和Microsoft Entra 身份验证流。前面的步骤演示如何在本地使用用户帐户时使用 DefaultAzureCredential 或特定的开发工具凭据。

实现代码

将 azure 标识包添加到应用程序：
```
pip install azure-identity
```
注意

使用 VisualStudioCodeCredential时，还必须安装 azure-identity-broker 包：
```
pip install azure-identity-broker
```
为您的应用程序所需的 azure.identity 模块和 Azure 服务客户端模块添加必要的 import 语句。
请根据具体情况选择合适的凭据实现。
- 使用特定于开发工具的凭据：此选项最适合用于单人或单工具的场景。
- 使用可用于任何开发工具的凭据：此选项最适合开源项目和各种工具团队。

使用特定于开发工具的凭据

将 TokenCredential 对应于特定开发工具的实例传递给 Azure 服务客户端构造函数，例如 AzureCliCredential。

from azure.identity import AzureCliCredential
from azure.storage.blob import BlobServiceClient

credential = AzureCliCredential()

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

使用可用于任何开发工具的凭据

使用优化用于所有本地开发工具的DefaultAzureCredential实例。此示例要求将环境变量 AZURE_TOKEN_CREDENTIALS 设置为 dev. 有关详细信息，请参阅 “排除凭据类型类别”。

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

credential = DefaultAzureCredential(require_envvar=True)

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

小窍门

当团队使用多个开发工具通过 Azure 进行身份验证时，优先使用 DefaultAzureCredential 而不是工具特定的凭据。

反馈

此页面是否有帮助？

Last updated on 2026-01-30