从本地托管的 Python 应用向 Azure 资源进行身份验证

项目
03/19/2024

在 Azure 外部（例如本地或第三方数据中心）托管的应用在访问 Azure 资源时应使用应用程序服务主体向 Azure 进行身份验证。应用程序服务主体对象是使用 Azure 中的应用注册过程创建的。创建应用程序服务主体时，将为应用生成客户端 ID 和客户端机密。然后，客户端 ID、客户端密码和租户 ID 存储在环境变量中，以便 Azure SDK for Python 可以使用它们在运行时向 Azure 验证应用。

应为托管应用的每个环境创建不同的应用注册。这允许为每个服务主体配置特定于环境的资源权限，并确保部署到一个环境的应用不会与属于另一环境的 Azure 资源通信。

1 - 在 Azure 中注册应用程序

可以使用 Azure 门户或 Azure CLI 向 Azure 注册应用。

Azure CLI
Azure 门户

az ad sp create-for-rbac --name <app-name>

命令的输出类似于以下内容。记下这些值或使此窗口保持打开状态，因为后续步骤中需要这些值，并且无法再次查看密码（客户端密码）值。

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "33333333-3333-3333-3333-333333333333"
}

登录到 Azure 门户并执行以下步骤。

说明	屏幕快照
在 Azure 门户中：在 Azure 门户顶部的搜索栏中输入“应用注册”。在搜索栏下方显示的菜单中的“服务”标题下，选择标有“应用注册”的项。
在“应用注册”页上，选择“+ 新建注册”。
在“注册应用程序”页上，按如下所示填写窗体。名称 → 输入该应用注册在 Azure 中的名称。建议在此名称中包含应用名称和应用注册所针对的环境（测试、生产）。支持的帐户类型 → 仅限此组织目录中的帐户。选择“注册”以注册应用并创建应用程序服务主体。
在应用的“应用注册”页上：应用程序（客户端）ID → 这是应用在本地开发期间用于访问 Azure 的应用 ID。将此值复制到文本编辑器中的临时位置，因为以后的步骤中需要此值。目录（租户）ID →应用在向 Azure 进行身份验证时也需要此值。将此值复制到文本编辑器中的临时位置，因为在稍后的步骤中也需要用到。客户端凭据 → 必须先为应用设置客户端凭据，然后应用才能向 Azure 进行身份验证并使用 Azure 服务。选择“添加证书或机密”以添加应用的凭据。
在“证书和机密”页上，选择“+ 新建客户端密码”。
页面右侧会弹出“添加客户端机密”对话框。在此对话框中：说明 → 输入值“当前”。过期时间 → 选择值“24 个月”。选择“添加”以添加机密。重要说明：在日历中设置机密过期日期之前发出的提醒。这样，可以在此机密过期之前添加新机密和更新应用，并避免应用中出现服务中断。
“ 证书和机密 ”页显示客户端机密的值。将此值复制到文本编辑器中的临时位置，因为在将来的步骤中需要它。重要说明：这是唯一一次看到此值。离开或刷新此页面后，将无法再次看到此值。可以添加另一个客户端密码而不使此客户端密码失效，但不会再次看到此值。

2 - 将角色分配到应用程序服务主体

接下来，需要确定应用在哪些资源上需要哪些角色（权限），并将这些角色分配到应用。可以在资源、资源组或订阅范围分配角色。此示例演示如何在资源组范围内为服务主体分配角色，因为大多数应用程序将其所有 Azure 资源分组到单个资源组中。

Azure CLI
Azure 门户

使用 az role assignment create 命令为服务主体分配 Azure 中的角色。

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}"

若要获取可为服务主体分配的角色名称，请使用 az role definition list 命令。

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

例如，若要允许具有 appId 00000000-0000-0000-0000-000000000000 的服务主体读取、写入和删除对 msdocs-python-sdk-auth-example 资源组中所有存储帐户中 Azure 存储具有 ID 11111111-1111-1111-1111-111111111111的 blob 容器和数据的访问权限，请使用以下命令将应用程序服务主体分配到 存储 Blob 数据参与者角色。

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 \
    --scope /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/msdocs-python-sdk-auth-example \
    --role "Storage Blob Data Contributor"

有关使用 Azure CLI 在资源或订阅级别分配权限的信息，请参阅使用 Azure CLI 分配 Azure 角色一文。

说明	屏幕快照
使用 Azure 门户顶部的搜索框搜索资源组名称，找到应用程序的资源组。在对话框中的“资源组”标题下选择资源组名称，导航到该资源组。
在资源组的页面上，从左侧菜单中选择“访问控制(IAM)”。
在“访问控制(IAM)”页上：选择“角色分配”选项卡。从顶部菜单中选择“+ 添加”，然后从出现的下拉菜单中选择“添加角色分配”。
“添加角色分配”页列出了可为资源组分配的所有角色。使用搜索框筛选列表，以便以更容易操作的大小显示内容。此示例演示如何筛选存储 Blob 角色。选择要分配的角色。选择“下一步”转到下一屏幕。
在下一个“添加角色分配”页面中，可以指定要将角色分配给哪个用户。在“将访问权限分配给”下选择“用户、组或服务主体”。在“成员”下选择“+ 选择成员” 将在Azure 门户右侧打开一个对话框。
在“选择成员”对话框中： “选择”文本框可用于筛选订阅中的用户和组列表。如果需要，请键入为应用创建的服务主体的前几个字符以筛选列表。选择与应用程序关联的服务主体。在对话框底部选择“选择”以继续。
服务主体在“添加角色分配”屏幕上显示为选中状态。选择“查看 + 分配”转到最后一页，然后再次选择“查看 + 分配”完成该过程。

3 - 为应用程序配置环境变量

必须为运行 Python 应用的进程设置 AZURE_CLIENT_ID环境变量 AZURE_TENANT_ID， AZURE_CLIENT_SECRET 以使应用程序服务主体凭据在运行时可供应用使用。该 DefaultAzureCredential 对象在这些环境变量中查找服务主体信息。

使用 Gunicorn 在 UNIX 服务器环境中运行 Python Web 应用时，可以使用文件中的gunicorn.server指令指定EnvironmentFile应用的环境变量，如下所示。

[Unit]
Description=gunicorn daemon
After=network.target  
  
[Service]  
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/gunicorn --config config.py wsgi:app
            
[Install]  
WantedBy=multi-user.target

指令中指定的 EnvironmentFile 文件应包含具有其值的环境变量列表，如下所示。

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4 - 在应用程序中实现 DefaultAzureCredential

若要向 Azure 验证 Azure SDK 客户端对象，应用程序应使用 DefaultAzureCredential 包中的 azure.identity 类。

首先将 azure.identity 包添加到应用程序。

pip install azure-identity

接下来，对于在应用中创建 Azure SDK 客户端对象的任何 Python 代码，需要：

DefaultAzureCredential从azure.identity模块导入类。
创建 DefaultAzureCredential 对象。
将 DefaultAzureCredential 对象传递给 Azure SDK 客户端对象构造函数。

以下代码片段中显示了此操作的示例。

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)

当上述代码实例化 DefaultAzureCredential 对象时， DefaultAzureCredential 读取环境变量 AZURE_TENANT_ID， AZURE_CLIENT_ID以及 AZURE_CLIENT_SECRET 用于连接到 Azure 的应用程序服务主体信息。

说明	屏幕快照
在 Azure 门户中：在 Azure 门户顶部的搜索栏中输入“应用注册”。在搜索栏下方显示的菜单中的“服务”标题下，选择标有“应用注册”的项。
在“应用注册”页上，选择“+ 新建注册”。
在“注册应用程序”页上，按如下所示填写窗体。名称 → 输入该应用注册在 Azure 中的名称。建议在此名称中包含应用名称和应用注册所针对的环境（测试、生产）。支持的帐户类型 → 仅限此组织目录中的帐户。选择“注册”以注册应用并创建应用程序服务主体。
在应用的“应用注册”页上：应用程序（客户端）ID → 这是应用在本地开发期间用于访问 Azure 的应用 ID。将此值复制到文本编辑器中的临时位置，因为以后的步骤中需要此值。目录（租户）ID →应用在向 Azure 进行身份验证时也需要此值。将此值复制到文本编辑器中的临时位置，因为在稍后的步骤中也需要用到。客户端凭据 → 必须先为应用设置客户端凭据，然后应用才能向 Azure 进行身份验证并使用 Azure 服务。选择“添加证书或机密”以添加应用的凭据。
在“证书和机密”页上，选择“+ 新建客户端密码”。
页面右侧会弹出“添加客户端机密”对话框。在此对话框中：说明 → 输入值“当前”。过期时间 → 选择值“24 个月”。选择“添加”以添加机密。重要说明：在日历中设置机密过期日期之前发出的提醒。这样，可以在此机密过期之前添加新机密和更新应用，并避免应用中出现服务中断。
“ 证书和机密 ”页显示客户端机密的值。将此值复制到文本编辑器中的临时位置，因为在将来的步骤中需要它。重要说明：这是唯一一次看到此值。离开或刷新此页面后，将无法再次看到此值。可以添加另一个客户端密码而不使此客户端密码失效，但不会再次看到此值。

说明	屏幕快照
使用 Azure 门户顶部的搜索框搜索资源组名称，找到应用程序的资源组。在对话框中的“资源组”标题下选择资源组名称，导航到该资源组。
在资源组的页面上，从左侧菜单中选择“访问控制(IAM)”。
在“访问控制(IAM)”页上：选择“角色分配”选项卡。从顶部菜单中选择“+ 添加”，然后从出现的下拉菜单中选择“添加角色分配”。
“添加角色分配”页列出了可为资源组分配的所有角色。使用搜索框筛选列表，以便以更容易操作的大小显示内容。此示例演示如何筛选存储 Blob 角色。选择要分配的角色。选择“下一步”转到下一屏幕。
在下一个“添加角色分配”页面中，可以指定要将角色分配给哪个用户。在“将访问权限分配给”下选择“用户、组或服务主体”。在“成员”下选择“+ 选择成员” 将在Azure 门户右侧打开一个对话框。
在“选择成员”对话框中： “选择”文本框可用于筛选订阅中的用户和组列表。如果需要，请键入为应用创建的服务主体的前几个字符以筛选列表。选择与应用程序关联的服务主体。在对话框底部选择“选择”以继续。
服务主体在“添加角色分配”屏幕上显示为选中状态。选择“查看 + 分配”转到最后一页，然后再次选择“查看 + 分配”完成该过程。

从本地托管的 Python 应用向 Azure 资源进行身份验证

1 - 在 Azure 中注册应用程序

2 - 将角色分配到应用程序服务主体

3 - 为应用程序配置环境变量

4 - 在应用程序中实现 DefaultAzureCredential

反馈

反馈

其他资源