Autenticación de aplicaciones .NET en servicios de Azure durante el desarrollo local mediante cuentas de desarrollador

Al crear aplicaciones en la nube, los desarrolladores necesitan depurar y probar aplicaciones en su estación de trabajo local. Cuando se ejecuta una aplicación en la estación de trabajo de un desarrollador durante el desarrollo local, esta debe autenticarse en los servicios de Azure que usa. En este artículo se explica cómo usar las credenciales de Azure de un desarrollador para autenticar la aplicación en Azure durante el desarrollo local.

Para que una aplicación se autentique en Azure durante el desarrollo local mediante las credenciales de Azure del desarrollador, el desarrollador debe iniciar sesión en Azure desde la extensión VS Code Azure Tools, la CLI de Azure o Azure PowerShell. El SDK de Azure para .NET puede detectar que el desarrollador inició sesión desde una de estas herramientas y, a continuación, obtener las credenciales necesarias de la memoria caché de credenciales para autenticar la aplicación en Azure como usuario que inició sesión.

Este enfoque es más fácil de configurar para un equipo de desarrollo, ya que aprovecha las cuentas de Azure existentes de los desarrolladores. Sin embargo, es probable que la cuenta de un desarrollador tenga más permisos que los que requiere la aplicación, lo que supone superar los permisos con los que se ejecutará la aplicación en producción. Como alternativa, puede crear entidades de servicio de aplicación para usarlas durante el desarrollo local que se pueden limitar para tener solo el acceso necesario para la aplicación.

1: Creación de un grupo de Azure AD para el desarrollo local

Puesto que casi siempre hay varios desarrolladores que trabajan en una aplicación, se recomienda crear primero un grupo de Azure AD para encapsular los roles (permisos) que la aplicación necesita en el desarrollo local. Esto ofrece las ventajas que se indican a continuación.

• Todos los desarrolladores están seguros de tener asignados los mismos roles, ya que los roles se asignan en el nivel de grupo.
• Si se necesita un nuevo rol para la aplicación, solo debe agregarse al grupo de Azure AD para la aplicación.
• Si un nuevo desarrollador se une al equipo, simplemente debe agregarse al grupo correcto de Azure AD para obtener los permisos correctos para poder trabajar en la aplicación.

Si tiene un grupo de Azure AD existente para el equipo de desarrollo, puede usar ese grupo. De lo contrario, complete los pasos que se describen a continuación para crear un grupo de Azure AD.

Azure Portal

Instrucciones	Instantánea
Vaya a la página de Azure Active Directory en Azure Portal. Para ello, escriba Azure Active Directory en el cuadro de búsqueda de la parte superior de la página y, a continuación, seleccione Azure Active Directory en los servicios.
En la página Azure Active Directory, seleccione Grupos en el menú de la izquierda.
En la página Todos los grupos, seleccione Nuevo grupo.
En la página Nuevo grupo: Tipo de grupo: Seguridad Nombre de grupo → Nombre del grupo de seguridad, que normalmente se crea a partir del nombre de la aplicación. También resulta útil incluir una cadena como local-dev en el nombre del grupo para indicar el propósito del grupo. Descripción del grupo → Descripción del propósito del grupo. Seleccione el vínculo Sin miembros seleccionados en Miembros para agregar miembros al grupo.
En el cuadro de diálogo Agregar miembros: Use el cuadro de búsqueda para filtrar la lista de nombres de usuario en la lista. Seleccione los usuarios para el desarrollo local de esta aplicación. A medida que se seleccionan los objetos, se moverán a la lista Elementos seleccionados de la parte inferior del cuadro de diálogo. Cuando haya terminado, pulse el botón Seleccionar.
De nuevo en la página Nuevo grupo, seleccione Crear para crear el grupo. El grupo se creará y volverá a la página Todos los grupos. El grupo puede tardar hasta 30 segundos en aparecer y es posible que tenga que actualizar la página debido al almacenamiento en caché en Azure Portal.

CLI de Azure

El comando az ad group create se usa para crear grupos en Azure Active Directory. Los parámetros --display-name y --main-nickname son obligatorios. El nombre proporcionado al grupo debe basarse en el nombre de la aplicación. También resulta útil incluir una cadena como “local-dev” en el nombre del grupo para indicar el propósito del grupo.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description <group-description>

Para agregar miembros al grupo, necesitará el id. de objeto del usuario de Azure. Use az ad user list para enumerar las entidades de servicio disponibles. El comando del parámetro --filter acepta filtros de estilo OData y se puede usar para filtrar la lista por el nombre para mostrar del usuario, tal y como se muestra. El parámetro --query limita las columnas solo a aquellas de interés.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

El comando az ad group member add se puede usar para agregar miembros a grupos.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

2: Asignación de roles al grupo de Azure AD

A continuación, debe determinar qué roles (permisos) necesita la aplicación y en qué recursos para, a continuación, asignar dichos roles a la aplicación. En este ejemplo, los roles se asignarán al grupo de Azure Active Directory que se creó en el paso 1. Los roles se pueden asignar a un rol en el ámbito de recurso, grupo de recursos o suscripción. En este ejemplo se muestra cómo asignar roles en el ámbito del grupo de recursos, ya que la mayoría de las aplicaciones agrupan todos sus recursos de Azure en un único grupo de recursos.

Azure Portal

Instrucciones	Instantánea
Busque el grupo de recursos de la aplicación; para ello, busque el nombre del grupo de recursos mediante el cuadro de búsqueda situado en la parte superior de Azure Portal. Vaya al grupo de recursos. Para ello, seleccione el nombre del grupo de recursos en el encabezado Grupos de recursos del cuadro de diálogo.
En la página del grupo de recursos, seleccione Control de acceso (IAM) en el menú izquierdo.
En la página Control de acceso (IAM): Seleccione la pestaña Asignaciones de roles. Seleccione + Agregar en el menú superior y, a continuación, Agregar asignación de roles en el menú desplegable resultante.
La página Agregar asignación de roles muestra todos los roles que se pueden asignar para el grupo de recursos. Use el cuadro de búsqueda para filtrar la lista a un tamaño más fácil de administrar. En este ejemplo se muestra cómo filtrar los roles de Storage Blob. Seleccione el rol que quiere asignar. Seleccione Siguiente para ir a la pantalla siguiente.
La siguiente página Agregar asignación de roles permite especificar a qué usuario se debe asignar el rol. Seleccione Usuario, grupo o entidad de servicio en Asignar acceso a. Seleccione + Seleccionar miembros en Miembros. Se abrirá un cuadro de diálogo en el lado derecho de Azure Portal.
En el cuadro de diálogo Seleccionar miembros: El cuadro de texto Seleccionar se puede usar para filtrar la lista de usuarios y grupos de la suscripción. Si es necesario, escriba los primeros caracteres del grupo de desarrollo local de Azure AD que creó para la aplicación. Seleccione el grupo de desarrollo local de Azure AD asociado a la aplicación. Pulse Seleccionar en la parte inferior del cuadro de diálogo para continuar.
El grupo de Azure AD se mostrará ahora como seleccionado en la pantalla Agregar asignación de roles. Seleccione Revisar y asignar para ir a la página final y, a continuación, Revisar y asignar de nuevo para completar el proceso.

CLI de Azure

Se asignará un rol a la entidad de servicio de la aplicación en Azure mediante el comando az role assignment create.

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Para obtener los nombres de roles a los que se puede asignar una entidad de servicio, use el comando az role definition list.

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

Por ejemplo, para permitir que la entidad de servicio de la aplicación con el appId de 00000000-0000-0000-0000-000000000000 tenga acceso de lectura, escritura y eliminación en datos y contenedores de blobs de Azure Storage en todas las cuentas de almacenamiento del grupo de recursos msdocs-dotnet-sdk-auth-example, debe asignar la entidad de servicio de la aplicación al rol Colaborador de datos de Storage Blob mediante el comando siguiente.

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Para obtener información sobre cómo asignar permisos en el nivel de recurso o suscripción mediante la CLI de Azure, consulte el artículo Asignación de roles de Azure mediante la CLI de Azure.

3: Inicio de sesión en Azure mediante herramientas de .NET

A continuación, debe iniciar sesión en Azure mediante una de varias opciones de herramientas de .NET. La cuenta en la que inicie sesión también debe existir en el grupo de Azure Active Directory que creó y configuró anteriormente.

Visual Studio

En el menú superior de Visual Studio, vaya a Herramientas>Opciones para abrir el cuadro de diálogo de opciones. En la barra de búsqueda de la parte superior izquierda, escriba Azure para filtrar las opciones. En Autenticación de servicio de Azure, elija Selección de cuenta.

Seleccione el menú desplegable en Elegir una cuenta y elija agregar una cuenta Microsoft. Se abrirá una ventana que le pedirá que elija una cuenta. Escriba las credenciales de la cuenta de Azure deseada y, a continuación, seleccione la confirmación.

Extensión de Azure Tools de VS Code

Para que una aplicación use las credenciales de desarrollador de VS Code, la extensión Azure Tools de VS Code debe estar instalada en VS Code.

Instalación de las extensiones de Azure Tools para VS Code

En el panel izquierdo, verá un icono de Azure. Seleccione este icono y aparecerá un panel de control de los servicios de Azure. Elija Iniciar sesión en Azure... en cualquier servicio para completar el proceso de autenticación de Azure Tools en Visual Studio Code.

CLI de Azure

Abra un terminal en la estación de trabajo del desarrollador e inicie sesión en Azure desde la CLI de Azure.

az login

Azure PowerShell

Abra un terminal en la estación de trabajo del desarrollador e inicie sesión en Azure desde Azure PowerShell.

Connect-AzAccount

4: Implementación de DefaultAzureCredential en la aplicación

DefaultAzureCredential admite varios métodos de autenticación y determina el método de autenticación que se usa en tiempo de ejecución. De esta manera, la aplicación puede usar diferentes métodos de autenticación en distintos entornos sin implementar código específico del entorno.

El orden y las ubicaciones en las que DefaultAzureCredential busca las credenciales se encuentran en DefaultAzureCredential.

Para implementar DefaultAzureCredential, agrega primero Azure.Identity y, opcionalmente, los paquetes Microsoft.Extensions.Azure a la aplicación. Puedes realizar esta acción mediante la línea de comandos o el Administrador de paquetes de NuGet.

Línea de comandos

Abre el entorno de terminal que prefieras en el directorio del proyecto de aplicación y escribe el comando siguiente.

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Administrador de paquetes de NuGet

Haz clic con el botón derecho en el nodo del proyecto en Visual Studio y selecciona Administrar paquetes NuGet. Busca Azure.Identity en el campo de búsqueda e instale el paquete coincidente. Repite este proceso también para el paquete Microsoft.Extensions.Azure.

Por lo general, se accede a los servicios de Azure mediante las clases de cliente correspondientes desde el SDK. Estas clases y sus propios servicios personalizados deben registrarse en el archivo Program.cs para que se pueda acceder a ellas a través de la inserción de dependencias en toda la aplicación. Dentro de Program.cs, sigue los pasos que se indican a continuación para configurar correctamente el servicio y DefaultAzureCredential.

1. Incluye los espacio de nombres Azure.Identity y Microsoft.Extensions.Azure con una instrucción using.
2. Registra el servicio de Azure mediante los métodos auxiliares pertinentes.
3. Pasa una instancia del objeto DefaultAzureCredential al método UseCredential.

En el segmento de código siguiente se muestra un ejemplo de esto.

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

Como alternativa, también puede usar DefaultAzureCredential en los servicios de manera más directa sin la ayuda de los métodos de registro de Azure adicionales, tal como se muestra a continuación.

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Cuando el código anterior se ejecuta en tu estación de trabajo local durante el desarrollo local, buscará una entidad de servicio de aplicación en las variables de entorno o en Visual Studio, VS Code, la CLI de Azure o Azure PowerShell para un conjunto de credenciales de desarrollador. Cualquiera de estas pueden usarse para autenticar la aplicación en los recursos de Azure durante el desarrollo local.

Cuando se implementa en Azure, este mismo código también puede autenticar tu aplicación en otros recursos de Azure. DefaultAzureCredential puede recuperar la configuración del entorno y las configuraciones de identidad administrada para autenticarse en otros servicios automáticamente.