.NET-apps verifiëren bij Azure-services tijdens lokale ontwikkeling met behulp van ontwikkelaarsaccounts

Tijdens lokale ontwikkeling moeten toepassingen worden geverifieerd bij Azure om toegang te krijgen tot verschillende Azure-services. Twee veelvoorkomende methoden voor lokale verificatie zijn het gebruik te maken van een service-principal of om een ontwikkelaarsaccount te gebruiken. In dit artikel wordt uitgelegd hoe u een ontwikkelaarsaccount gebruikt. In de volgende secties leert u het volgende:

• Microsoft Entra-groepen gebruiken om machtigingen voor meerdere ontwikkelaarsaccounts efficiënt te beheren
• Rollen toewijzen aan ontwikkelaarsaccounts om de reikwijdte van toestemmingen te bepalen
• Aanmelden bij ondersteunde lokale ontwikkelhulpprogramma's
• Verifiëren met behulp van een ontwikkelaarsaccount vanuit uw app-code

Een diagram dat een app toont die lokaal wordt uitgevoerd met een ontwikkelaarstoolidentiteit voor verbinding met Azure-resources.

Voor een app die tijdens lokale ontwikkeling bij Azure kan worden geverifieerd met behulp van de Azure-referenties van de ontwikkelaar, moet de ontwikkelaar zijn aangemeld bij Azure vanuit een van de volgende ontwikkelhulpprogramma's:

• Azure-CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio

De Azure Identity-bibliotheek kan detecteren dat de ontwikkelaar is aangemeld vanuit een van deze hulpprogramma's. De bibliotheek kan vervolgens het Microsoft Entra-toegangstoken verkrijgen via het hulpprogramma om de app te verifiëren bij Azure als de aangemelde gebruiker.

Deze benadering maakt gebruik van de bestaande Azure-accounts van de ontwikkelaar om het verificatieproces te stroomlijnen. Het account van een ontwikkelaar heeft echter waarschijnlijk meer machtigingen dan vereist is voor de app, waardoor de machtigingen van de app in productie worden overschreden. Als alternatief kunt u service-principals voor toepassingen maken voor gebruik tijdens de lokale ontwikkeling, waarbij u deze zo kunt instellen dat ze alleen de toegang hebben die nodig is voor de app.

Een Microsoft Entra-groep maken voor lokale ontwikkeling

Maak een Microsoft Entra-groep om de rollen (machtigingen) die de app nodig heeft in lokale ontwikkeling in te kapselen in plaats van de rollen toe te wijzen aan afzonderlijke service-principal-objecten. Deze aanpak biedt de volgende voordelen:

• Elke ontwikkelaar heeft dezelfde rollen toegewezen op groepsniveau.
• Als er een nieuwe rol nodig is voor de app, hoeft deze alleen aan de groep voor de app te worden toegevoegd.
• Als een nieuwe ontwikkelaar lid wordt van het team, wordt er een nieuwe toepassingsservice-principal gemaakt voor de ontwikkelaar en toegevoegd aan de groep, zodat de ontwikkelaar over de juiste machtigingen beschikt om aan de app te werken.

Azure portal

1. Navigeer naar de Microsoft Entra ID overzichtspagina in Azure Portal.

2. Selecteer Alle groepen in het menu aan de linkerkant.

3. Op de pagina Groepen, selecteer Nieuwe groep.

4. Vul op de pagina Nieuwe groep de volgende formuliervelden in:

   • groepstype: selecteer Security.
   • groepsnaam: voer een naam in voor de groep die een verwijzing naar de naam van de app of omgeving bevat.
   • beschrijving van de groep: voer een beschrijving in waarmee het doel van de groep wordt uitgelegd.

   

5. Selecteer de koppeling Geen leden geselecteerd onder Leden om leden toe te voegen aan de groep.

6. Zoek in het uitklapvenster dat wordt geopend naar de serviceprincipal die u eerder hebt gemaakt en selecteer deze uit de gefilterde resultaten. Kies de Select knop onderaan het deelvenster om uw selectie te bevestigen.

7. Selecteer Maak aan onder aan de Nieuwe groep pagina om de groep te maken en terug te keren naar de Alle groepen pagina. Als de nieuwe groep niet wordt weergegeven, wacht u even en vernieuwt u de pagina.

Azure CLI

1. Gebruik de opdracht az ad group create om groepen te maken in Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   De parameters --display-name en --mail-nickname zijn vereist. De naam die aan de groep wordt gegeven, moet zijn gebaseerd op de naam en omgeving van de app om het doel van de groep aan te geven.

2. Als u leden aan de groep wilt toevoegen, hebt u de object-id van de service-principal van de toepassing nodig. Dit verschilt van de toepassings-id. Gebruik de opdracht az ad sp list om de beschikbare service-principals weer te geven:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   De parameter --filter accepteert OData-stijlfilters en kan worden gebruikt om de lijst te filteren zoals wordt weergegeven. De parameter --query beperkt de uitvoer tot alleen de interessekolommen.

3. Gebruik de opdracht az ad group member add om leden toe te voegen aan de groep:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Rollen toewijzen aan de groep

Bepaal vervolgens welke rollen (machtigingen) uw app nodig heeft voor welke resources en wijs deze rollen toe aan de Microsoft Entra-groep die u hebt gemaakt. Aan groepen kan een rol worden toegewezen op het niveau van de bron, bron-groep of abonnement. In dit voorbeeld ziet u hoe u rollen toewijst binnen het bereik van de resourcegroep, omdat de meeste apps al hun Azure-resources groeperen in één resourcegroep.

Azure portal

1. Navigeer in Azure Portal naar de pagina Overzicht van de resourcegroep die uw app bevat.

2. Selecteer Toegangsbeheer (IAM) in de linker navigatie.

3. Selecteer op de Toegangsbeheer (IAM) pagina, de optie + Toevoegen en kies vervolgens Roltoewijzing toevoegen uit de vervolgkeuzelijst. De pagina Roltoewijzing toevoegen bevat verschillende tabbladen voor het configureren en toewijzen van rollen.

4. Gebruik op het tabblad Rol het zoekvak om de rol te vinden die u wilt toewijzen. Selecteer de rol en kies vervolgens Volgende.

5. Op het tabblad Leden:

   • Voor de Toegang tot waarde toewijzen, selecteert u gebruiker, groep of service-principal.
   • Voor de leden waarde, kies + Selecteer leden om het deelvenster Selecteer leden te openen.
   • Zoek naar de Microsoft Entra-groep die u eerder hebt gemaakt en selecteer deze in de gefilterde resultaten. Selecteer Selecteer om de groep te selecteren en het flyoutpaneel te sluiten.
   • Selecteer Beoordelen en wijs onder aan het Leden tabblad toe.

   

6. Op het tabblad Review + assign, selecteer onderaan de pagina Review + assign.

Azure CLI

1. Gebruik de opdracht az role definition list om de namen op te halen van de rollen waaraan een Microsoft Entra-groep of service principal kan worden toegewezen:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Gebruik de opdracht az role assignment create om een rol toe te wijzen aan de Microsoft Entra-groep die u hebt gemaakt:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Voor informatie over het toewijzen van machtigingen op resource- of abonnementsniveau met behulp van de Azure CLI, zie Azure-rollen toewijzen met de Azure CLI.

Aanmelden bij Azure met behulp van hulpprogramma's voor ontwikkelaars

Meld u vervolgens aan bij Azure met behulp van een van de verschillende ontwikkelhulpprogramma's die kunnen worden gebruikt om verificatie uit te voeren in uw ontwikkelomgeving. Het account dat u verifieert, moet ook aanwezig zijn in de Microsoft Entra-groep die u eerder hebt gemaakt en geconfigureerd.

Ontwikkelaars die Visual Studio 2017 of hoger gebruiken, kunnen zich verifiëren met hun ontwikkelaarsaccount via de IDE. Apps die gebruikmaken van DefaultAzureCredential of VisualStudioCredential kunnen dit account detecteren en gebruiken om app-aanvragen te verifiëren wanneer ze lokaal worden uitgevoerd. Dit account wordt ook gebruikt wanneer u apps rechtstreeks vanuit Visual Studio naar Azure publiceert.

Belangrijk

U moet de Azure-ontwikkeling workload installeren om Visual Studio-hulpprogramma's in te schakelen voor Azure-verificatie, -ontwikkeling en -implementatie.

1. Navigeer in Visual Studio naar Tools>Options om het dialoogvenster Opties te openen.

2. Typ in het Zoekopties vak bovenaan Azure om de beschikbare opties te filteren.

3. Kies accountselectie onder Azure-serviceverificatie.

4. Selecteer de vervolgkeuzelijst onder Kies een account en kies ervoor om een Microsoft-account toe te voegen.

5. Voer in het venster dat wordt geopend de referenties voor uw gewenste Azure-account in en bevestig uw invoer.

   

6. Klik OK om het dialoogvenster Opties te sluiten.

Ontwikkelaars die buiten een IDE coderen, kunnen ook de Azure CLI- gebruiken om te verifiëren. Apps die gebruikmaken van DefaultAzureCredential of AzureCliCredential kunnen dit account vervolgens gebruiken om app-aanvragen te verifiëren wanneer ze lokaal worden uitgevoerd.

Voer de opdracht az login uit om te verifiëren met de Azure CLI. Op een systeem met een standaardwebbrowser start de Azure CLI de browser om de gebruiker te verifiëren.

az login

Voor systemen zonder een standaardwebbrowser gebruikt de opdracht az login de verificatiestroom voor apparaatcode. De gebruiker kan de Azure CLI ook dwingen om de apparaatcodestroom te gebruiken in plaats van een browser te starten door het argument --use-device-code op te geven.

az login --use-device-code

Ontwikkelaars die buiten een IDE coderen, kunnen ook de Azure Developer CLI- gebruiken om te verifiëren. Apps die gebruikmaken van DefaultAzureCredential of AzureDeveloperCliCredential kunnen dit account vervolgens gebruiken om app-aanvragen te verifiëren wanneer ze lokaal worden uitgevoerd.

Voer de opdracht azd auth login uit om te verifiëren met de Azure Developer CLI. Op een systeem met een standaardwebbrowser start de Azure Developer CLI de browser om de gebruiker te verifiëren.

azd auth login

Voor systemen zonder een standaardwebbrowser gebruikt de azd auth login --use-device-code de verificatiestroom voor apparaatcode. De gebruiker kan ook afdwingen dat de Azure Developer CLI de apparaatcodestroom gebruikt in plaats van een browser te starten door het argument --use-device-code op te geven.

azd auth login --use-device-code

Ontwikkelaars die buiten een IDE coderen, kunnen ook Azure PowerShell- gebruiken om te verifiëren. Apps die gebruikmaken van DefaultAzureCredential of AzurePowerShellCredential kunnen dit account vervolgens gebruiken om app-aanvragen te verifiëren wanneer ze lokaal worden uitgevoerd.

Voer de opdracht Connect-AzAccountuit om te verifiëren met Azure PowerShell. Op een systeem met een standaardwebbrowser en versie 5.0.0 of hoger van Azure PowerShell wordt de browser gestart om de gebruiker te verifiëren.

Connect-AzAccount

Voor systemen zonder een standaardwebbrowser gebruikt de opdracht Connect-AzAccount de verificatiestroom voor apparaatcode. De gebruiker kan ook afdwingen dat Azure PowerShell de apparaatcodestroom gebruikt in plaats van een browser te starten door het argument UseDeviceAuthentication op te geven.

Connect-AzAccount -UseDeviceAuthentication

Verifiëren bij Azure-services vanuit uw app

De Azure Identity-bibliotheek biedt verschillende referenties: implementaties van TokenCredential die zijn aangepast voor de ondersteuning van diverse scenario's en Microsoft Entra-authenticatiestromen. In de volgende stappen ziet u hoe u DefaultAzureCredential gebruikt wanneer u lokaal met gebruikersaccounts werkt.

De code implementeren

DefaultAzureCredential- is een bewust gekozen en geordende reeks van mechanismen voor authenticatie bij Microsoft Entra ID. Elk verificatiemechanisme is een klasse die is afgeleid van de TokenCredential-klasse en wordt een authenticatiegegevens genoemd. Tijdens de uitvoertijd probeert DefaultAzureCredential te authenticeren met behulp van de eerste referentie. Als deze referentie geen toegangstoken kan verkrijgen, wordt de volgende referentie in de reeks geprobeerd, enzovoort, totdat een toegangstoken is verkregen. Op deze manier kan uw app verschillende referenties in verschillende omgevingen gebruiken zonder omgevingsspecifieke code te schrijven.

Om DefaultAzureCredential te gebruiken, voegt u de Azure.Identity en eventueel de Microsoft.Extensions.Azure pakketten toe aan uw toepassing:

Opdrachtregel

Navigeer in een terminal van uw keuze naar de projectmap van de toepassing en voer de volgende opdrachten uit:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet Package Manager

Klik met de rechtermuisknop op uw project in het Venster Solution Explorer van Visual Studio en selecteer NuGet-pakketten beheren. Zoek naar Azure.Identity en installeer het overeenkomende pakket. Herhaal dit proces voor het pakket Microsoft.Extensions.Azure.

Installeer een pakket met de pakketbeheerder.

Azure-services worden geopend met behulp van gespecialiseerde clientklassen uit de verschillende Azure SDK-clientbibliotheken. Deze klassen en uw eigen aangepaste services moeten worden geregistreerd, zodat ze kunnen worden geopend via afhankelijkheidsinjectie in uw app. Voer in Program.cs de volgende stappen uit om een clientklasse te registreren en DefaultAzureCredential:

1. Neem de Azure.Identity en Microsoft.Extensions.Azure naamruimten op via using instructies.
2. Registreer de Azure-serviceclient met behulp van de bijbehorende Add-voorvoegselextensiemethode.
3. Geef een exemplaar van DefaultAzureCredential door aan de UseCredential methode.

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Een alternatief voor de UseCredential methode is om de referentie rechtstreeks aan de serviceclient te verstrekken.

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));