Authentifier des applications .NET auprès des services Azure pendant le développement local à l’aide de comptes de développeur

Les développeurs doivent déboguer et tester des applications cloud sur leurs stations de travail locale. Lorsqu’une application s’exécute sur la station de travail d’un développeur pendant le développement local, elle doit toujours s’authentifier auprès des services Azure utilisés par l’application. Cet article explique comment utiliser les informations d’identification Azure d’un développeur pour authentifier l’application auprès d’Azure pendant le développement local.

Pour qu’une application s’authentifie auprès d’Azure pendant le développement local à l’aide des informations d’identification Azure du développeur, le développeur doit être connecté à Azure à partir de l’un des outils de développement suivants :

• Visual Studio
• Azure CLI
• Azure Developer CLI
• Azure PowerShell

La bibliothèque Azure Identity peut détecter que le développeur est connecté à partir de l’un de ces outils. La bibliothèque peut ensuite obtenir le jeton d’accès Microsoft Entra via l’outil pour authentifier l’application auprès d’Azure en tant qu’utilisateur(-trice) connecté(e).

Cette approche est plus simple à configurer pour une équipe de développement, car elle tire parti des comptes Azure existants des développeurs. Toutefois, le compte d’un développeur a probablement plus d’autorisations que celles requises par l’application, dépassant les autorisations que l’application exécute en production. En guise d’alternative, vous pouvez créer des principaux de service d’application à utiliser pendant le développement local, qui peuvent être limités aux seuls besoins de l’application.

1 – Créer un groupe Microsoft Entra pour le développement local

Comme il y a presque toujours plusieurs développeurs qui travaillent sur une application, il est recommandé de créer un groupe Microsoft Entra pour encapsuler les rôles (autorisations) dont l’application a besoin dans le développement local. Cette approche offre les avantages suivants :

• Chaque développeur est assuré d’avoir les mêmes rôles attribués, car les rôles sont attribués au niveau du groupe.
• Si un nouveau rôle est nécessaire pour l’application, il doit uniquement être ajouté au groupe pour l’application.
• Si un nouveau développeur rejoint l’équipe, il bénéficie des autorisations nécessaires pour travailler sur l’application après avoir été ajouté au groupe.

Si vous disposez d’un groupe Microsoft Entra existant pour votre équipe de développement, vous pouvez utiliser ce groupe. Sinon, suivez les étapes suivantes pour créer un groupe Microsoft Entra.

Azure portal

Instructions	Capture d'écran
Accédez à la page Microsoft Entra ID du Portail Azure en tapant Microsoft Entra ID dans la zone de recherche en haut de la page. Sélectionnez Microsoft Entra ID sous la section Services.
Dans la page Microsoft Entra ID, sélectionnez Groupes dans le menu de gauche.
Dans la page Tous les groupes, sélectionnez Nouveau groupe.
Dans la page Nouveau groupe : Sélectionnez Sécurité dans la liste déroulante Type de groupe. Nom du groupe → Nom du groupe de sécurité, généralement créé à partir du nom de l’application. Il est également utile d’inclure une chaîne telle que local-dev dans le nom du groupe pour indiquer l’objectif du groupe. Description du groupe → Une description de l’objectif du groupe. Sélectionnez le lien Aucun membre sélectionné sous Membres pour ajouter des membres au groupe.
Dans la boîte de dialogue Ajouter des membres : Utilisez la zone de recherche pour filtrer la liste des noms d’utilisateurs dans la liste. Choisissez un ou plusieurs utilisateurs pour le développement local de cette application. Lorsque vous choisissez un objet, l’objet passe à la liste des éléments sélectionnés en bas de la boîte de dialogue. Lorsque vous avez terminé, choisissez le bouton Sélectionner.
De retour sur la page Nouveau groupe, sélectionnez Créer pour créer le groupe. Le groupe est créé et vous revenez à la page Tous les groupes. L’affichage du groupe peut prendre jusqu’à 30 secondes et vous devrez peut-être actualiser la page en raison de la mise en cache dans le portail Azure.

Azure CLI

La commande az ad group create permet de créer des groupes dans Microsoft Entra ID. Les paramètres --display-name et --mail-nickname sont obligatoires. Le nom donné au groupe doit être basé sur le nom de l’application. Il est également utile d’inclure une expression telle que « local-dev » dans le nom du groupe pour indiquer l’objectif du groupe.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay \
    --description <group-description>

Copiez la valeur de la propriété id dans la sortie de la commande. Cette propriété id représente l’ID d’objet du groupe. Vous en avez besoin dans les étapes ultérieures. Vous pouvez également utiliser la commande az ad group show pour récupérer cette propriété.

Pour ajouter des membres au groupe, vous avez besoin de l’ID objet de l’utilisateur(-trice) Azure. Utilisez la commande az ad user list pour lister les principaux de service disponibles. La --filter commande de paramètre accepte les filtres de style OData et peut être utilisée pour filtrer la liste sur le nom d’affichage de l’utilisateur(-trice), comme indiqué. Ce paramètre --query limite la sortie aux colonnes d’intérêt.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:id, displayName:displayName}" \
    --output table

La commande az ad group member add peut ensuite être utilisée pour ajouter des membres à un groupe :

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Remarque

Par défaut, la création de groupes Microsoft Entra est limitée à certains rôles privilégiés dans un répertoire. Si vous ne parvenez pas à créer un groupe, contactez un(e) administrateur(-trice) pour votre annuaire. Si vous ne parvenez pas à ajouter des membres à un groupe existant, contactez le propriétaire du groupe ou un(e) administrateur(-trice) d’annuaire. Pour plus d’informations, consultez Gérer les groupes Microsoft Entra et l’appartenance à un groupe.

2 – Attribuer des rôles au groupe Microsoft Entra

Ensuite, déterminez les rôles (autorisations) dont votre application a besoin sur les ressources et attribuez ces rôles à votre application. Dans cet exemple, les rôles sont attribués au groupe Microsoft Entra créé à l’étape 1. Les groupes peuvent se voir attribuer un rôle au niveau d’une ressource, d’un groupe de ressources ou d’un abonnement. Cet exemple montre comment attribuer des rôles à l’étendue du groupe de ressources, car la plupart des applications regroupent toutes leurs ressources Azure dans un seul groupe de ressources.

Azure portal

Instructions	Capture d'écran
Recherchez le groupe de ressources pour votre application en recherchant le nom du groupe de ressources en utilisant la zone de recherche en haut du Portail Azure. Accédez à votre groupe de ressources en sélectionnant le nom du groupe de ressources sous le titre Groupes de ressources dans la boîte de dialogue.
Dans la page du groupe de ressources, sélectionnez Contrôle d’accès (IAM) dans le menu de gauche.
Dans la page Contrôle d’accès (IAM) : Sélectionnez l’onglet Attributions de rôles. Sélectionnez + Ajouter dans le menu supérieur, puis Ajouter une attribution de rôle dans le menu déroulant résultant.
La page Ajouter une attribution de rôle répertorie tous les rôles qui peuvent être attribués pour le groupe de ressources. Utilisez la zone de recherche pour filtrer la liste afin de la rendre plus facile à gérer. Cet exemple montre comment filtrer les rôles d’objets blob de stockage. Sélectionnez le rôle que vous voulez attribuer. Sélectionnez Suivant pour accéder à l’écran suivant.
La page de rôle suivante Ajouter une attribution vous permet de spécifier l’utilisateur auquel attribuer le rôle. Sélectionnez Utilisateur, groupe ou principal de service sous Attribuer l’accès à. Sélectionnez + Sélectionner des membres sous Membres. Une boîte de dialogue s’ouvre sur le côté droit du Portail Azure.
Dans la boîte de dialogue Sélectionner des membres : La zone de texte Sélectionner peut être utilisée pour filtrer la liste des utilisateurs et des groupes de votre abonnement. Si nécessaire, tapez les premiers caractères du groupe Microsoft Entra de développement local que vous avez créé pour l’application. Sélectionnez le groupe Microsoft Entra de développement local associé à votre application. Sélectionnez Sélectionner en bas de la boîte de dialogue pour continuer.
Le groupe Microsoft Entra apparaît désormais comme sélectionné dans l’écran Ajouter une attribution de rôle. Sélectionnez Vérifier + affecter pour accéder à la page finale, puis Vérifier + attribuer à nouveau pour terminer le processus.

Azure CLI

Pour attribuer un rôle à un principal de service d’application dans Azure, utilisez la commande az role assignment create :

az role assignment create \
    --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Pour obtenir les noms de rôle auxquels un principal de service peut être attribué, utilisez la commande az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Par exemple, pour autoriser le principal du service d’application avec l’appId de 00000000-0000-0000-0000-000000000000 lecture, d’écriture et de suppression de l’accès aux conteneurs d’objets blob Stockage Microsoft Azure et aux données à tous les comptes de stockage du groupe de ressources msdocs-dotnet-sdk-auth-example, vous devez affecter le principal du service d’application au rôle Contributeur aux données blob de stockage à l’aide de la commande suivante :

az role assignment create \
    --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Pour plus d’informations sur l’attribution d’autorisations au niveau de la ressource ou de l’abonnement avec Azure CLI, consultez Attribuer des rôles Azure à l’aide d’Azure CLI.

3 – Se connecter à Azure à l’aide d’outils de développement

Ensuite, connectez-vous à Azure à l’aide de l’un de plusieurs outils de développement. Le compte que vous authentifiez doit également exister dans le groupe Microsoft Entra que vous avez créé et configuré précédemment.

Visual Studio

1. Parcourez Outils>Options pour ouvrir la boîte de dialogue des options.

2. Dans la zone Options de recherche en haut, tapez Azure pour filtrer les options disponibles.

3. Sous Authentification du service Azure, choisissez Sélection du compte.

4. Sélectionnez le menu déroulant sous Choisir un compte et choisissez d’ajouter un compte Microsoft. Une fenêtre s’ouvre pour vous inviter à choisir un compte. Entrez les informations d’identification de votre compte Azure souhaité, puis sélectionnez la confirmation.

   

5. Sélectionnez OK pour fermer la boîte de dialogue des options.

Azure CLI

Ouvrez un terminal sur votre station de travail de développeur et connectez-vous à Azure à partir d’Azure CLI :

az login

Azure Developer CLI

Ouvrez un terminal sur votre station de travail de développeur et connectez-vous à Azure à partir d’Azure Developer CLI :

azd auth login

Azure PowerShell

Ouvrez un terminal sur votre station de travail de développeur et connectez-vous à Azure à partir d’Azure PowerShell :

Connect-AzAccount

4 - Implémenter DefaultAzureCredential dans votre application

DefaultAzureCredential est une séquence bien arrêtée et ordonnée de mécanismes d’authentification auprès de Microsoft Entra. Chaque mécanisme d’authentification est une classe dérivée de la classe TokenCredential appelée informations d’identification. Au moment de l’exécution, DefaultAzureCredential tente de s’authentifier en utilisant les premières informations d’identification. Si ces informations d’identification ne parviennent pas à acquérir un jeton d’accès, les informations d’identification suivantes de la séquence sont utilisées, et ainsi de suite jusqu’à l’obtention d’un jeton d’accès. De cette façon, votre application peut utiliser différentes informations d’identification dans différents environnements sans qu’il soit nécessaire d’écrire du code propre à l’environnement.

L’ordre et les emplacements dans lesquels DefaultAzureCredential recherchent les informations d’identification se trouvent dans DefaultAzureCredential.

Pour utiliser DefaultAzureCredential, ajoutez les packages Azure.Identity et éventuellement Microsoft.Extensions.Azure à votre application :

Ligne de commande

Dans un terminal de votre choix, accédez au répertoire du projet d’application et exécutez les commandes suivantes :

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Gestionnaire de package NuGet

Cliquez avec le bouton droit sur votre projet dans la fenêtre Explorateur de solutions de Visual Studio, puis sélectionnez Gérer les packages NuGet. Recherchez Azure.Identity, puis installez le package correspondant. Répétez ce processus pour le package Microsoft.Extensions.Azure.

Les services Azure sont accessibles à l’aide de classes clientes spécialisées à partir des différentes bibliothèques de client du Kit de développement logiciel (SDK) Azure. Ces classes et vos propres services personnalisés doivent être inscrits afin qu’ils soient accessibles par le biais de l’injection de dépendances dans votre application. Dans Program.cs, effectuez les étapes suivantes pour inscrire une classe cliente et DefaultAzureCredential :

1. Incluez les espaces de noms Azure.Identity et Microsoft.Extensions.Azure via les directives using.
2. Inscrivez le client du service Azure à l’aide de la méthode d’extension correspondante préfixée avec Add.
3. Passez une instance de DefaultAzureCredential à la méthode UseCredential.

Par exemple :

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Une alternative à UseCredential consiste à instancier directement DefaultAzureCredential :

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Lorsque le code précédent s’exécute sur votre poste de travail de développement local, il recherche dans les variables d’environnement un principal de service d’application ou, dans les outils de développement installés localement comme Visual Studio, un ensemble d’informations d’identification de développeur. Vous pouvez utiliser l’une ou l’autre de ces approches pour authentifier l’application auprès des ressources Azure pendant le développement local.

Quand vous le déployez sur Azure, ce même code peut également authentifier votre application auprès d’autres ressources Azure. DefaultAzureCredential peut récupérer les paramètres d’environnement et les configurations d’identité managée pour s’authentifier automatiquement auprès d’autres services.