Uwierzytelnianie aplikacji platformy .NET w usługach platformy Azure podczas programowania lokalnego przy użyciu kont deweloperów

Podczas tworzenia aplikacji w chmurze deweloperzy muszą debugować i testować aplikacje na lokalnej stacji roboczej. Gdy aplikacja jest uruchamiana na stacji roboczej dewelopera podczas programowania lokalnego, nadal musi uwierzytelniać się w dowolnych usługach platformy Azure używanych przez aplikację. W tym artykule opisano, jak używać poświadczeń platformy Azure dewelopera do uwierzytelniania aplikacji na platformie Azure podczas programowania lokalnego.

Aby aplikacja uwierzytelniła się na platformie Azure podczas programowania lokalnego przy użyciu poświadczeń platformy Azure dewelopera, deweloper musi być zalogowany na platformie Azure z poziomu rozszerzenia narzędzi platformy Azure programu VS Code, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Zestaw Azure SDK dla platformy .NET może wykryć, że deweloper jest zalogowany z jednego z tych narzędzi, a następnie uzyskuje wymagane poświadczenia z pamięci podręcznej poświadczeń w celu uwierzytelnienia aplikacji na platformie Azure jako zalogowanego użytkownika.

To podejście jest najłatwiejsze do skonfigurowania dla zespołu deweloperów, ponieważ korzysta z istniejących kont platformy Azure deweloperów. Jednak konto dewelopera prawdopodobnie będzie mieć więcej uprawnień niż wymagane przez aplikację, dlatego przekroczenie uprawnień, z których aplikacja będzie działać w środowisku produkcyjnym. Alternatywnie można utworzyć jednostki usługi aplikacji do użycia podczas tworzenia lokalnego, które mogą być ograniczone tylko do dostępu wymaganego przez aplikację.

1 — Tworzenie grupy usługi Azure AD na potrzeby programowania lokalnego

Ponieważ prawie zawsze istnieje wielu deweloperów, którzy pracują nad aplikacją, zaleca się najpierw utworzenie grupy usługi Azure AD w celu hermetyzacji ról (uprawnień) wymaganych przez aplikację w lokalnych programach deweloperskich. Oferuje to następujące korzyści.

• Każdy deweloper ma przypisane te same role, ponieważ role są przypisywane na poziomie grupy.
• Jeśli dla aplikacji potrzebna jest nowa rola, należy ją dodać tylko do grupy usługi Azure AD dla aplikacji.
• Jeśli nowy deweloper dołącza do zespołu, po prostu musi zostać dodany do właściwej grupy usługi Azure AD, aby uzyskać odpowiednie uprawnienia do pracy nad aplikacją.

Jeśli masz istniejącą grupę usługi Azure AD dla zespołu deweloperów, możesz użyć tej grupy. W przeciwnym razie wykonaj następujące kroki, aby utworzyć grupę usługi Azure AD.

Witryna Azure Portal

Instrukcje	Zrzut ekranu
Przejdź do strony usługi Azure Active Directory w witrynie Azure Portal, wpisując ciąg Azure Active Directory w polu wyszukiwania w górnej części strony, a następnie wybierając pozycję Azure Active Directory z poziomu usług.
Na stronie Azure Active Directory wybierz pozycję Grupy z menu po lewej stronie.
Na stronie Wszystkie grupy wybierz pozycję Nowa grupa.
Na stronie Nowa grupa: Typ grupy → Zabezpieczenia Nazwa grupy → nazwa grupy zabezpieczeń, zazwyczaj utworzona na podstawie nazwy aplikacji. Warto również uwzględnić ciąg, taki jak local-dev w nazwie grupy, aby wskazać cel grupy. Opis grupy → Opis celu grupy. Wybierz link Brak wybranych członków w obszarze Członkowie, aby dodać członków do grupy.
W oknie dialogowym Dodawanie członków: Użyj pola wyszukiwania, aby filtrować listę nazw użytkowników na liście. Wybierz użytkowników na potrzeby programowania lokalnego dla tej aplikacji. Po wybraniu obiektów zostaną one przeniesione do listy Wybrane elementy w dolnej części okna dialogowego. Po zakończeniu wybierz przycisk Wybierz .
Po powrocie na stronę Nowa grupa wybierz pozycję Utwórz , aby utworzyć grupę. Grupa zostanie utworzona i nastąpi powrót do strony Wszystkie grupy . Wyświetlenie grupy może potrwać do 30 sekund i może być konieczne odświeżenie strony z powodu buforowania w witrynie Azure Portal.

Interfejs wiersza polecenia platformy Azure

Polecenie az ad group create służy do tworzenia grup w usłudze Azure Active Directory. Parametry --display-name i --main-nickname są wymagane. Nazwa nadana grupie powinna być oparta na nazwie aplikacji. Warto również uwzględnić frazę taką jak "local-dev" w nazwie grupy, aby wskazać cel grupy.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description <group-description>

Aby dodać członków do grupy, potrzebny będzie identyfikator obiektu użytkownika platformy Azure. Użyj listy az ad user list, aby wyświetlić listę dostępnych jednostek usługi. Polecenie --filter parametru akceptuje filtry stylu OData i może służyć do filtrowania listy w nazwie wyświetlanej użytkownika, jak pokazano. Parametr --query ogranicza kolumny tylko do tych, które cię interesują.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

Polecenie az ad group member add można następnie użyć do dodawania członków do grup.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

2 — Przypisywanie ról do grupy usługi Azure AD

Następnie należy określić, jakich ról (uprawnień) potrzebuje twoja aplikacja na temat zasobów i przypisać te role do aplikacji. W tym przykładzie role zostaną przypisane do grupy usługi Azure Active Directory utworzonej w kroku 1. Role mogą być przypisywane do roli w zakresie zasobu, grupy zasobów lub subskrypcji. W tym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ większość aplikacji grupuje wszystkie zasoby platformy Azure w jedną grupę zasobów.

Witryna Azure Portal

Instrukcje	Zrzut ekranu
Znajdź grupę zasobów dla aplikacji, wyszukując nazwę grupy zasobów przy użyciu pola wyszukiwania w górnej części witryny Azure Portal. Przejdź do grupy zasobów, wybierając nazwę grupy zasobów pod nagłówkiem Grupy zasobów w oknie dialogowym.
Na stronie grupy zasobów wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z menu po lewej stronie.
Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami): Wybierz kartę Przypisania roli. Wybierz pozycję + Dodaj z górnego menu, a następnie pozycję Dodaj przypisanie roli z wyświetlonego menu rozwijanego.
Strona Dodawanie przypisania roli zawiera listę wszystkich ról, które można przypisać dla grupy zasobów. Użyj pola wyszukiwania, aby przefiltrować listę do bardziej możliwego do zarządzania rozmiaru. W tym przykładzie pokazano, jak filtrować role obiektów blob usługi Storage. Wybierz rolę, którą chcesz przypisać. Wybierz przycisk Dalej , aby przejść do następnego ekranu.
Następna strona Dodawanie przypisania roli umożliwia określenie, do którego użytkownika ma zostać przypisana rola. Wybierz pozycję Użytkownik, grupa lub jednostka usługi w obszarze Przypisz dostęp do. Wybierz pozycję + Wybierz członków w obszarze Członkowie Zostanie otwarte okno dialogowe po prawej stronie witryny Azure Portal.
W oknie dialogowym Wybieranie członków: Pole tekstowe Wybierz może służyć do filtrowania listy użytkowników i grup w ramach subskrypcji. W razie potrzeby wpisz kilka pierwszych znaków lokalnej grupy deweloperów usługi Azure AD utworzonej dla aplikacji. Wybierz lokalną grupę deweloperów usługi Azure AD skojarzona z aplikacją. Wybierz pozycję Wybierz w dolnej części okna dialogowego, aby kontynuować.
Grupa usługi Azure AD będzie teraz wyświetlana jako wybrana na ekranie Dodawanie przypisania roli. Wybierz pozycję Przejrzyj i przypisz , aby przejść do ostatniej strony, a następnie ponownie przejrzyj i przypisz, aby ukończyć proces.

Interfejs wiersza polecenia platformy Azure

Jednostka usługi aplikacji ma przypisaną rolę na platformie Azure przy użyciu polecenia az role assignment create .

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Aby uzyskać nazwy ról, do których można przypisać jednostkę usługi, użyj polecenia az role definition list .

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

Aby na przykład zezwolić jednostce usługi aplikacji z identyfikatorem appId 00000000-0000-0000-0000-000000000000 odczytu, zapisu i usuwania dostępu do kontenerów obiektów blob usługi Azure Storage i danych do wszystkich kont magazynu w grupie zasobów msdocs-dotnet-sdk-auth-example , należy przypisać jednostkę usługi aplikacji do roli Współautor danych obiektu blob usługi Storage przy użyciu następującego polecenia.

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz artykuł Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

3 — Logowanie się do platformy Azure przy użyciu narzędzi platformy .NET

Następnie musisz zalogować się do platformy Azure przy użyciu jednej z kilku opcji narzędzi platformy .NET. Konto, do którego się logujesz, powinno również istnieć w utworzonej i skonfigurowanej wcześniej grupie usługi Azure Active Directory.

Program Visual Studio

W górnym menu programu Visual Studio przejdź do pozycji Opcje narzędzi>, aby otworzyć okno dialogowe opcji. Na pasku wyszukiwania w lewym górnym rogu wpisz Azure , aby filtrować opcje. W obszarze Uwierzytelnianie usługi platformy Azure wybierz pozycję Wybór konta.

Wybierz menu rozwijane w obszarze Wybierz konto i wybierz opcję dodania konta Microsoft. Zostanie otwarte okno z monitem o wybranie konta. Wprowadź poświadczenia żądanego konta platformy Azure, a następnie wybierz potwierdzenie.

Rozszerzenie narzędzi platformy Azure programu VS Code

Aby aplikacja korzystała z poświadczeń dewelopera z programu VS Code, w programie VS Code należy zainstalować rozszerzenie narzędzia platformy Azure programu VS Code.

Instalowanie rozszerzeń narzędzi platformy Azure dla programu VS Code

Na panelu po lewej stronie zobaczysz ikonę platformy Azure. Wybierz tę ikonę, a zostanie wyświetlony panel sterowania dla usług platformy Azure. Wybierz pozycję Zaloguj się do platformy Azure... w dowolnej usłudze, aby ukończyć proces uwierzytelniania dla narzędzi platformy Azure w programie Visual Studio Code.

Interfejs wiersza polecenia platformy Azure

Otwórz terminal na stacji roboczej dewelopera i zaloguj się do platformy Azure z poziomu interfejsu wiersza polecenia platformy Azure.

az login

Azure PowerShell

Otwórz terminal na stacji roboczej dewelopera i zaloguj się do platformy Azure z poziomu programu Azure PowerShell.

Connect-AzAccount

4 — Implementowanie wartości domyślnejAzureCredential w aplikacji

DefaultAzureCredential obsługuje wiele metod uwierzytelniania i określa metodę uwierzytelniania używaną w czasie wykonywania. W ten sposób aplikacja może używać różnych metod uwierzytelniania w różnych środowiskach bez implementowania kodu specyficznego dla środowiska.

Kolejność i lokalizacje, w których DefaultAzureCredential wyszukiwanie poświadczeń znajduje się w obszarze DefaultAzureCredential.

Aby zaimplementować element DefaultAzureCredential, najpierw dodaj Azure.Identity pakiety i opcjonalnie Microsoft.Extensions.Azure do aplikacji. Można to zrobić przy użyciu wiersza polecenia lub Menedżer pakietów NuGet.

Wiersz polecenia

Otwórz wybrane środowisko terminalowe w katalogu projektu aplikacji i wprowadź poniższe polecenie.

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Menedżer pakietów NuGet

Kliknij prawym przyciskiem myszy węzeł projektu w programie Visual Studio i wybierz polecenie Zarządzaj pakietami NuGet. Wyszukaj ciąg Azure.Identity w polu wyszukiwania i zainstaluj pasujący pakiet. Powtórz ten proces również dla pakietu Microsoft.Extensions.Azure .

Dostęp do usług platformy Azure jest zwykle uzyskiwany przy użyciu odpowiednich klas klientów z zestawu SDK. Te klasy i własne usługi niestandardowe powinny być zarejestrowane w Program.cs pliku, aby można było uzyskać do nich dostęp za pośrednictwem wstrzykiwania zależności w całej aplikacji. W pliku Program.cswykonaj poniższe kroki, aby poprawnie skonfigurować usługę i DefaultAzureCredential.

1. Uwzględnij Azure.Identity przestrzenie nazw i Microsoft.Extensions.Azure z instrukcją using.
2. Zarejestruj usługę platformy Azure przy użyciu odpowiednich metod pomocnika.
3. Przekaż wystąpienie DefaultAzureCredential obiektu do UseCredential metody .

Przykład jest pokazany w następującym segmencie kodu.

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

Alternatywnie możesz również korzystać DefaultAzureCredential z usług bardziej bezpośrednio bez pomocy dodatkowych metod rejestracji platformy Azure, jak pokazano poniżej.

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Gdy powyższy kod jest uruchamiany na lokalnej stacji roboczej podczas programowania lokalnego, będzie on wyglądał w zmiennych środowiskowych dla jednostki usługi aplikacji lub w programie Visual Studio, VS Code, interfejsie wiersza polecenia platformy Azure lub programie Azure PowerShell dla zestawu poświadczeń dewelopera, których można użyć do uwierzytelniania aplikacji w zasobach platformy Azure podczas programowania lokalnego.

Po wdrożeniu na platformie Azure ten sam kod może również uwierzytelniać aplikację w innych zasobach platformy Azure. DefaultAzureCredential program może automatycznie pobierać ustawienia środowiska i konfiguracje tożsamości zarządzanej w celu automatycznego uwierzytelniania w innych usługach.