Autenticación en recursos de Azure desde aplicaciones de Go hospedadas localmente

Las aplicaciones hospedadas fuera de Azure (por ejemplo, locales o en un centro de datos de terceros) deben usar una entidad de servicio de aplicación para autenticarse en Azure al acceder a los recursos de Azure. Los objetos principales de servicio de la aplicación se crean mediante el proceso de registro de aplicaciones en Azure. Cuando se crea una entidad de servicio de aplicación, se generará un id. de cliente y un secreto de cliente para la aplicación. A continuación, el identificador de cliente, el secreto de cliente y el identificador de inquilino se almacenan en variables de entorno para que el SDK de Azure para Go pueda autenticar la aplicación en Azure en tiempo de ejecución.

Se debe crear un registro de aplicación diferente para cada entorno en el que se hospeda la aplicación. Esto permite configurar permisos de recursos específicos del entorno para cada entidad de servicio y garantiza que una aplicación implementada en un entorno no hable con los recursos de Azure que forman parte de otro entorno.

1- Registro de la aplicación en Azure

Una aplicación se puede registrar con Azure mediante Azure Portal o la CLI de Azure.

CLI de Azure

az ad sp create-for-rbac --name <app-name>

La salida del comando será similar a la siguiente. Anote estos valores o mantenga abierta esta ventana, ya que necesitará estos valores en los pasos siguientes y no podrá volver a ver el valor de contraseña (secreto de cliente).

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Azure Portal

Inicie sesión en el portal de Azure y siga estos pasos.

Instrucciones	Captura de pantalla
En Azure Portal: Escriba registros de aplicación en la barra de búsqueda de la parte superior de Azure Portal. Seleccione el elemento etiquetado Registros de aplicaciones en el encabezado Servicios en el menú que aparece debajo de la barra de búsqueda.
En la página Registros de aplicaciones, seleccione + Nuevo registro.
En la página Registrar una aplicación, rellene el formulario como se indica a continuación. Nombre → Escriba un nombre para el registro de la aplicación en Azure. Se recomienda que este nombre incluya el nombre de la aplicación y el entorno (prueba, producción) para el que se realiza el registro de la aplicación. Tipos de cuenta admitidos → Solo las cuentas de este directorio organizativo. Seleccione Registrar para registrar la aplicación y crear la entidad de servicio de la aplicación.
En la página de registro para tu aplicación: id. de aplicación (cliente) → Este es el identificador de aplicación que usará la aplicación para acceder a Azure durante el desarrollo local. Copie este valor en una ubicación temporal en un editor de texto, ya que lo necesitará en un paso futuro. id. de directorio (inquilino) → Esta opción también será necesaria para la aplicación cuando se autentique en Azure. Copie este valor en una ubicación temporal en un editor de texto que también lo necesitará en un paso futuro. Credenciales de cliente → Debe establecer las credenciales de cliente para la aplicación antes de que la aplicación pueda autenticarse en Azure y usar los servicios de Azure. Seleccione Agregar un certificado o un secreto para agregar credenciales para la aplicación.
En la página de secretos de Certificados &, seleccione + Nuevo secreto de cliente.
Aparecerá el cuadro de diálogo Agregar un secreto de cliente desde el lado derecho de la página. En este cuadro de diálogo: Descripción → Escriba un valor de Actual. Expira → Seleccione un valor de 24 meses. Seleccione Agregar para agregar el secreto. IMPORTANTE: establezca un recordatorio en el calendario antes de la fecha de expiración del secreto. De este modo, puede agregar un nuevo secreto antes y actualizar las aplicaciones antes de la expiración de este secreto y evitar una interrupción del servicio en la aplicación.
La página Certificados y secretos muestra el valor del secreto de cliente. Copie este valor en una ubicación temporal en un editor de texto porque lo necesita en un paso futuro. IMPORTANTE: esta es la única vez que verá este valor. Una vez que deje o actualice esta página, no podrá volver a ver este valor. Puede agregar otro secreto de cliente sin invalidar este secreto de cliente, pero no volverá a ver este valor.

2: Asignación de roles a la entidad de servicio de la aplicación

A continuación, debe determinar qué roles (permisos) necesita la aplicación en qué recursos y asignar esos roles a la aplicación. Los roles se pueden asignar a un rol en el ámbito de recurso, grupo de recursos o suscripción. En este ejemplo se muestra cómo asignar roles para la entidad de servicio en el ámbito del grupo de recursos, ya que la mayoría de las aplicaciones agrupan todos sus recursos de Azure en un único grupo de recursos.

CLI de Azure

Los roles se asignan a las entidades de servicio mediante el comando az role assignment create.

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}" 

Para obtener los nombres de roles a los que se puede asignar una entidad de servicio, use el comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por ejemplo, para permitir que la entidad de servicio con el appId de 00001111-aaaa-2222-bbbb-3333cccc4444 lea, escriba y elimine el acceso a los contenedores y datos de blobs de Azure Storage para todas las cuentas de almacenamiento del grupo de recursos msdocs-go-sdk-auth-example en la suscripción con ID aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, asignaría el rol de Colaborador de datos de blobs de almacenamiento a la entidad de servicio de la aplicación mediante el siguiente comando.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-go-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Para obtener información sobre cómo asignar permisos en el nivel de recurso o suscripción mediante la CLI de Azure, consulte el artículo Asignación de roles de Azure mediante la CLI de Azure.

Portal de Azure

Instrucciones	Captura de pantalla
Busque el grupo de recursos de la aplicación; para ello, busque el nombre del grupo de recursos mediante el cuadro de búsqueda situado en la parte superior de Azure Portal. Vaya a su grupo de recursos seleccionando el nombre del grupo de recursos bajo el encabezado Resource Groups en el cuadro de diálogo.
En la página del grupo de recursos, seleccione Control de acceso (IAM) en el menú izquierdo.
En la página Control de acceso (IAM): Seleccione la pestaña Asignaciones de roles. Seleccione + Agregar en el menú superior y, a continuación, Agregar asignación de roles en el menú desplegable resultante.
La página Agregar asignación de roles muestra todos los roles que se pueden asignar para el grupo de recursos. Use el cuadro de búsqueda para filtrar la lista a un tamaño más fácil de administrar. En este ejemplo se muestra cómo aplicar filtros a los roles de blob de almacenamiento. Seleccione el rol que desea asignar. Seleccione Siguiente para ir a la pantalla siguiente.
La siguiente página Agregar asignación de rol le permite indicar a qué usuario asignar el rol. Seleccione Usuario, grupo o entidad de servicio en Asignar acceso a. Seleccione + Seleccionar miembros en Miembros. Se abre un cuadro de diálogo en el lado derecho de Azure Portal.
En el cuadro de diálogo Seleccionar miembros: El cuadro de texto Seleccionar se puede usar para filtrar la lista de usuarios y grupos de la suscripción. Si es necesario, escriba los primeros caracteres de la entidad de servicio que creó para que la aplicación filtre la lista. Seleccione la entidad de servicio asociada a la aplicación. Seleccione Seleccione en la parte inferior del cuadro de diálogo para continuar.
La entidad de servicio se muestra como seleccionada en la pantalla Agregar asignación de roles. Seleccione Revisar y asignar para ir a la página final y, a continuación, Revisar y asignar de nuevo para completar el proceso.

3- Configuración de variables de entorno para la aplicación

Debe establecer las variables de entorno AZURE_CLIENT_ID, AZURE_TENANT_ID y AZURE_CLIENT_SECRET para el proceso que ejecuta la aplicación de Go para que las credenciales de la entidad de servicio de la aplicación estén disponibles para la aplicación en tiempo de ejecución. El objeto DefaultAzureCredential busca la información de la entidad de servicio en estas variables de entorno.

Nombre de variable	Valor
AZURE_CLIENT_ID	Identificador de aplicación de una entidad de servicio de Azure
AZURE_TENANT_ID	ID del inquilino de Microsoft Entra de la aplicación
AZURE_CLIENT_SECRET	Contraseña de la entidad de servicio de Azure

Bash

export AZURE_TENANT_ID="<active_directory_tenant_id>"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_SECRET="<service_principal_password>"

PowerShell

$env:AZURE_TENANT_ID="<active_directory_tenant_id>"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_SECRET="<service_principal_password>"

4- Implementar DefaultAzureCredential en la aplicación

Para autenticar objetos de cliente del SDK de Azure en Azure, la aplicación debe usar el tipo DefaultAzureCredential del paquete de azidentity.

Empiece agregando el paquete de azidentity a la aplicación.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

A continuación, para cualquier código de Go que instancie un cliente de Azure SDK en tu aplicación, querrás:

1. Importe el paquete de azidentity.
2. Cree una instancia de tipo DefaultAzureCredential.
3. Pase la instancia de tipo DefaultAzureCredential al constructor del cliente del SDK de Azure.

Un ejemplo de esto se muestra en el siguiente segmento de código.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Cuando el código anterior crea una instancia del objeto DefaultAzureCredential, DefaultAzureCredential lee las variables de entorno AZURE_TENANT_ID, AZURE_CLIENT_ID y AZURE_CLIENT_SECRET para que la información de la entidad de servicio de la aplicación se conecte a Azure.