在本地开发期间使用开发人员帐户对访问 Azure 服务的 .NET 应用进行身份验证
在创建云应用程序时,开发人员需要在其本地工作站上调试和测试应用程序。 在本地开发期间,当应用程序在开发人员的工作站上运行时,它仍然必须向应用使用的任何 Azure 服务进行身份验证。 本文介绍如何在本地开发期间使用开发人员的 Azure 凭据对访问 Azure 的应用进行身份验证。
要使应用能够在本地开发期间使用开发人员的 Azure 凭据向 Azure 进行身份验证,开发人员必须从 VS Code Azure Tools 扩展、Azure CLI 或 Azure PowerShell 登录到 Azure。 Azure SDK for .NET 能够检测开发人员是否已通过这些工具之一登录,然后从凭据缓存中获取必要的凭据,以便对访问 Azure 的应用作为已登录用户进行身份验证。
这种方法对于开发团队而言最容易设置,因为它利用开发人员的现有 Azure 帐户。 但是,开发人员帐户拥有的权限可能比应用程序所需的权限更多,因此超出了应用在生产环境中运行时使用的权限。 作为替代方法,可以创建在本地开发期间使用的应用程序服务主体,其权限范围仅限应用所需的访问权限。
1 - 为本地开发创建 Azure AD 组
由于基本上始终有多个开发人员在开发一个应用程序,因此建议首先创建一个 Azure AD 组来封装应用在本地开发中所需的角色(权限)。 这种做法的优势如下。
- 由于角色是在组级别分配的,因此可以确保为每个开发人员分配相同的角色。
- 如果应用需要新角色,只需将此角色添加到应用的 Azure AD 组即可。
- 如果有新开发人员加入团队,只需将他们添加到正确的 Azure AD 组,这样他们就可以获得正确的权限来开发应用。
如果开发团队已有一个 Azure AD 组,则你可以使用该组。 否则,请完成以下步骤来创建 Azure AD 组。
2 - 将角色分配到 Azure AD 组
接下来,需要确定应用在哪些资源上需要哪些角色(权限),并将这些角色分配到应用。 此示例将角色分配到在步骤 1 中创建的 Azure Active Directory 组。 可以在资源、资源组或订阅范围分配角色。 此示例演示如何在资源组范围分配角色,因为大多数应用程序将其所有 Azure 资源分组到单个资源组中。
3 - 使用 .NET 工具登录到 Azure
接下来,需要使用多个 .NET 工具选项之一登录到 Azure。 登录到的帐户也应该存在于前面创建并配置的 Azure Active Directory 组中。
在 Visual Studio 的顶部菜单中,导航到“工具”>“选项”打开选项对话框。 在左上角的搜索栏中,键入“Azure”以筛选选项。 在“Azure 服务身份验证”下,选择“帐户选择”。
选择“选择帐户”下的下拉菜单,然后选择添加 Microsoft 帐户。 此时会打开一个窗口,提示你选取一个帐户。 输入所需 Azure 帐户的凭据,然后选择“确认”。
4 - 在应用程序中实现 DefaultAzureCredential
DefaultAzureCredential
支持多种身份验证方法,并确定在运行时使用的身份验证方法。 这样,应用便可以在不同的环境中使用不同的身份验证方法,而无需实现特定于环境的代码。
DefaultAzureCredential
按哪种顺序和在哪个位置查找凭据见于 DefaultAzureCredential。
若要实现 DefaultAzureCredential
,首先请将 Azure.Identity
和可选的 Microsoft.Extensions.Azure
包添加到应用程序。 可以使用命令行或 NuGet 包管理器来执行此操作。
在应用程序项目目录中打开所选的终端环境,然后输入以下命令。
dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure
通常会使用 SDK 中的相应客户端类来访问 Azure 服务。 应在 Program.cs
文件中注册这些类和你自己的自定义服务,以便可以在整个应用中通过依赖项注入来访问它们。 在 Program.cs
中,按照以下步骤正确设置服务和 DefaultAzureCredential
。
- 使用 using 语句包含
Azure.Identity
和Microsoft.Extensions.Azure
命名空间。 - 使用相关的帮助器方法注册 Azure 服务。
- 将
DefaultAzureCredential
对象的实例传递给UseCredential
方法。
以下代码片段中显示了此操作的示例。
using Microsoft.Extensions.Azure;
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
x.UseCredential(new DefaultAzureCredential());
});
或者,也可以在服务中更直接地使用 DefaultAzureCredential
,而无需借助其他 Azure 注册方法,如下所示。
using Azure.Identity;
// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x =>
new BlobServiceClient(
new Uri("https://<account-name>.blob.core.windows.net"),
new DefaultAzureCredential()));
在本地开发期间,当上述代码在本地工作站上运行时,它将在环境变量中查找应用程序服务主体,或者在 Visual Studio、VS Code、Azure CLI 或 Azure PowerShell 中查找一组开发人员凭据,在本地开发期间,可以使用该服务主体或这些凭据对访问 Azure 资源的应用进行身份验证。
部署到 Azure 时,此代码也可以对访问 Azure 资源的应用进行身份验证。 DefaultAzureCredential
可以检索环境设置和托管标识配置,以自动向其他服务进行身份验证。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈