Autenticarsi alle risorse di Azure dalle app Go ospitate in sede

Le app ospitate al di fuori di Azure (ad esempio in locale o in un data center di terze parti) dovrebbero utilizzare un principal del servizio dell'applicazione per autenticarsi ad Azure quando accedono alle risorse di Azure. Gli oggetti principali del servizio dell'applicazione vengono creati utilizzando il processo di registrazione dell'applicazione in Azure. Quando viene creata un'entità servizio applicativa, verranno generati un ID client e un segreto del client per l'applicazione. L'ID client, il segreto client e l'ID tenant vengono quindi archiviati in variabili di ambiente in modo che possano essere usati da Azure SDK per Go per autenticare l'app in Azure in fase di esecuzione.

È necessario creare una registrazione dell'app diversa per ogni ambiente in cui l'app è ospitata. In questo modo è possibile configurare autorizzazioni di risorse specifiche dell'ambiente per ogni entità servizio e assicurarsi che un'app distribuita in un ambiente non parli con le risorse di Azure che fanno parte di un altro ambiente.

1 - Registrare l'applicazione in Azure

Un'app può essere registrata con Azure usando il portale di Azure o l'interfaccia della riga di comando di Azure.

Azure CLI

az ad sp create-for-rbac --name <app-name>

L'output del comando sarà simile al seguente. Prendere nota di questi valori o mantenere aperta questa finestra perché questi valori saranno necessari nei passaggi successivi e non sarà più possibile visualizzare di nuovo il valore della password (segreto del client).

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Accedere al portale di Azure e seguire questa procedura.

Disposizioni	Screenshot
Nel portale di Azure: Immettere registrazioni delle app nella barra di ricerca della parte superiore del portale di Azure. Selezionare l'elemento con etichetta Registrazioni app sotto l'intestazione Servizi nel menu visualizzato sotto la barra di ricerca.
Nella pagina registrazioni dell'app selezionare + Nuova registrazione.
Nella pagina Registrare un'applicazione compilare il modulo come indicato di seguito. Nome → Immettere un nome per la registrazione dell'app in Azure. È consigliato che questo nome includa il nome dell'app e l'ambiente (es. test, prod) per cui è prevista la registrazione dell'app. Tipi di account supportati → Solo account in questa directory organizzativa. Selezionare Registra per registrare l'app e creare l'entità servizio dell'applicazione.
Nella pagina Registrazione app per l'app: ID applicazione (client) → Questo è l'ID app che verrà usato dall'app per accedere ad Azure durante lo sviluppo locale. Copiare questo valore in una posizione temporanea in un editor di testo perché sarà necessario in un passaggio futuro. ID del tenant → Questo valore sarà necessario anche per l'app quando si autentica su Azure. Copia questo valore in un percorso temporaneo in un editor di testo; verrà necessario anche in un passaggio futuro. Credenziali client → È necessario impostare le credenziali client per l'app prima che l'app possa eseguire l'autenticazione in Azure e usare i servizi di Azure. Selezionare Aggiungi un certificato o un segreto per aggiungere le credenziali per l'app.
Nella pagina Certificati e segreti &, selezionare + Nuovo segreto client.
La finestra di dialogo Aggiungi un segreto del client si aprirà sul lato destro della pagina. In questa finestra di dialogo: Descrizione → Immettere un valore di corrente. Scade → Selezionare un valore pari a 24 mesi. Selezionare Aggiungi per aggiungere il segreto. IMPORTANTE: impostare un promemoria nel calendario prima della data di scadenza del segreto. In questo modo, è possibile aggiungere un nuovo segreto prima e aggiornare le app prima della scadenza di questo segreto ed evitare un'interruzione del servizio nell'app.
Nella pagina certificati & segreti viene visualizzato il valore del segreto del client. Copiare questo valore in una posizione temporanea in un editor di testo perché è necessario in un passaggio futuro. IMPORTANTE: questa è l'unica volta che verrà visualizzato questo valore. Dopo aver lasciato o aggiornato questa pagina, non sarà più possibile visualizzare questo valore. È possibile aggiungere un altro segreto client senza invalidare il segreto client, ma questo valore non verrà visualizzato di nuovo.

2 - Assegnare ruoli al principale del servizio dell'applicazione

Successivamente, è necessario determinare i ruoli (autorizzazioni) necessari per l'app in base alle risorse e assegnare tali ruoli all'app. Ai ruoli può essere assegnato un ruolo in un ambito di risorsa, gruppo di risorse o sottoscrizione. Questo esempio illustra come assegnare ruoli per l'entità servizio nell'ambito del gruppo di risorse perché la maggior parte delle applicazioni raggruppa tutte le risorse di Azure in un singolo gruppo di risorse.

Azure CLI

A un'entità servizio viene assegnata un ruolo in Azure usando il comando az role assignment create.

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}" 

Per ottenere i nomi di ruolo a cui è possibile assegnare un'entità servizio, usare il comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Ad esempio, per consentire all'entità servizio con il valore appId di 00001111-aaaa-2222-bbbb-3333cccc4444 di leggere, scrivere ed eliminare contenitori BLOB e dati di Archiviazione di Azure in tutti gli account di archiviazione nel gruppo di risorse msdocs-go-sdk-auth-example nella sottoscrizione con ID aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, si deve assegnare l'entità servizio dell'applicazione al ruolo di Collaboratore ai dati blob di archiviazione utilizzando il comando seguente.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-go-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Per informazioni sull'assegnazione di autorizzazioni a livello di risorsa o sottoscrizione tramite l'interfaccia della riga di comando di Azure, vedere l'articolo Assegnare ruoli di Azure usando l'interfaccia della riga di comando di Azure.

Portale di Azure

Disposizioni	Screenshot
Individuare il gruppo di risorse per l'applicazione cercando il nome del gruppo di risorse usando la casella di ricerca nella parte superiore del portale di Azure. Accedi al gruppo di risorse selezionando il nome del gruppo sotto l'intestazione Gruppi di risorse nella finestra di dialogo.
Nella pagina del gruppo di risorse, selezionare Controllo accessi (IAM) dal menu a sinistra.
Nella pagina controllo di accesso (IAM): Selezionare la scheda Assegnazioni di ruolo. Selezionare + Aggiungi dal menu in alto e quindi Aggiungi assegnazione di ruolo dal menu a discesa risultante.
Nella pagina Aggiungi assegnazione di ruolo sono elencati tutti i ruoli che è possibile assegnare per il gruppo di risorse. Usare la casella di ricerca per filtrare l'elenco in base a dimensioni più gestibili. Questo esempio mostra come filtrare i ruoli blob di archiviazione. Selezionare il ruolo da assegnare. Selezionare Avanti per passare alla schermata successiva.
La pagina successiva Aggiungi assegnazione di ruolo consente di specificare l'utente a cui assegnare il ruolo. Selezionare utente, gruppo o entità servizio sotto Assegnare accesso a. Seleziona + Seleziona membri sotto Membri Viene visualizzata una finestra di dialogo sul lato destro del portale di Azure.
Nella finestra di dialogo Seleziona membri: La casella di testo Seleziona può essere usata per filtrare l'elenco di utenti e gruppi nella sottoscrizione. Se necessario, digitare i primi caratteri dell'entità servizio creata per l'app per filtrare l'elenco. Seleziona l'entità servizio associata all'applicazione. Selezionare Selezionare nella parte inferiore della finestra di dialogo per continuare.
L'entità servizio viene visualizzata come selezionata nella schermata Aggiungi assegnazione di ruolo . Seleziona Rivedi e assegna per passare alla pagina finale e poi seleziona di nuovo Rivedi e assegna per completare il processo.

3 - Configurare le variabili di ambiente per l'applicazione

È necessario impostare le variabili di ambiente AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_CLIENT_SECRET per il processo che esegue l'app Go per rendere le credenziali dell'entità servizio dell'applicazione disponibili per l'app in fase di esecuzione. L'oggetto DefaultAzureCredential cerca le informazioni sull'entità servizio in queste variabili di ambiente.

Nome variabile	Valore
AZURE_CLIENT_ID	ID applicazione di un principale del servizio di Azure
AZURE_TENANT_ID	ID del tenant Microsoft Entra dell'applicazione
AZURE_CLIENT_SECRET	Password del principale del servizio di Azure

Bash

export AZURE_TENANT_ID="<active_directory_tenant_id>"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_SECRET="<service_principal_password>"

PowerShell

$env:AZURE_TENANT_ID="<active_directory_tenant_id>"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_SECRET="<service_principal_password>"

4 - Implementare DefaultAzureCredential nell'applicazione

Per autenticare gli oggetti client di Azure SDK su Azure, l'applicazione deve usare il tipo DefaultAzureCredential del pacchetto azidentity.

Per iniziare, aggiungere il pacchetto azidentity all'applicazione.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Successivamente, per tutto il codice Go che istanzia un client Azure SDK nella tua app, dovrai:

1. Importare il pacchetto azidentity.
2. Creare un'istanza di tipo DefaultAzureCredential.
3. Passare l'istanza di tipo DefaultAzureCredential al costruttore del client Azure SDK.

Un esempio è illustrato nel segmento di codice seguente.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Quando il codice precedente crea un'istanza di DefaultAzureCredential, DefaultAzureCredential legge le variabili di ambiente AZURE_TENANT_ID, AZURE_CLIENT_IDe AZURE_CLIENT_SECRET per ottenere le informazioni sul principal del servizio applicativo necessarie per connettersi ad Azure.