Uwierzytelnianie w zasobach platformy Azure z poziomu aplikacji języka Go hostowanych lokalnie

Aplikacje hostowane poza platformą Azure (na przykład lokalnie lub w centrum danych innej firmy) powinny używać jednostki usługi aplikacji do uwierzytelniania na platformie Azure podczas uzyskiwania dostępu do zasobów platformy Azure. Obiekty główne serwisu aplikacji są tworzone za pomocą rejestracji w usłudze Azure. Po utworzeniu elementu usługi aplikacji dla Twojej aplikacji zostanie wygenerowany identyfikator klienta oraz klucz tajny klienta. Identyfikator klienta, klucz tajny klienta i identyfikator dzierżawy są następnie przechowywane w zmiennych środowiskowych, dzięki czemu mogą być używane przez zestaw Azure SDK dla języka Go do uwierzytelniania aplikacji na platformie Azure w czasie wykonywania.

Dla każdego środowiska hostowanego w aplikacji należy utworzyć inną rejestrację aplikacji. Umożliwia to skonfigurowanie uprawnień określonych zasobów środowiska dla każdej jednostki usługi i gwarantuje, że aplikacja wdrożona w jednym środowisku nie rozmawia z zasobami platformy Azure, które są częścią innego środowiska.

1 — Rejestrowanie aplikacji na platformie Azure

Aplikację można zarejestrować na platformie Azure przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Azure CLI

az ad sp create-for-rbac --name <app-name>

Dane wyjściowe polecenia będą podobne do poniższych. Zanotuj te wartości lub pozostaw to okno otwarte, ponieważ te wartości będą potrzebne w następnych krokach i nie będą mogły ponownie wyświetlić wartości hasła (klucza tajnego klienta).

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

witryny Azure Portal

Zaloguj się do witryny Azure Portal i wykonaj następujące kroki.

Instrukcje	Zrzut ekranu
W witrynie Azure Portal: Wprowadź rejestracje aplikacji na pasku wyszukiwania w górnej części witryny Azure Portal. Wybierz element z etykietą Rejestracje aplikacji w obszarze Services pod nagłówkiem w menu, które pojawi się poniżej paska wyszukiwania.
Na stronie Rejestracje aplikacji wybierz pozycję + Nowa rejestracja.
Na stronie Rejestracja aplikacji wypełnij formularz w sposób podany poniżej. Nazwa → Wprowadź nazwę rejestracji aplikacji na platformie Azure. Zaleca się, aby nazwa ta zawierała nazwę aplikacji i środowisko (test, prod), dla którego jest przeprowadzana rejestracja aplikacji. Obsługiwane typy kont → Konta w tym katalogu organizacyjnym tylko. Wybierz pozycję Zarejestruj, aby zarejestrować aplikację i utworzyć jednostkę usługi aplikacji.
Na stronie Rejestracji aplikacji dla twojej aplikacji: identyfikator aplikacji (klienta) → Jest to identyfikator aplikacji, którego aplikacja będzie używać do uzyskiwania dostępu do platformy Azure podczas programowania lokalnego. Skopiuj tę wartość do lokalizacji tymczasowej w edytorze tekstów, ponieważ będzie ona potrzebna w przyszłym kroku. Identyfikator katalogu (dzierżawy) → Ta wartość będzie również potrzebna aplikacji podczas uwierzytelniania w Azure. Skopiuj tę wartość do lokalizacji tymczasowej w edytorze tekstów, która będzie również potrzebna w przyszłym kroku. poświadczenia klienta → Musisz ustawić poświadczenia klienta dla aplikacji, zanim aplikacja będzie mogła uwierzytelniać się na platformie Azure i korzystać z usług platformy Azure. Wybierz pozycję Dodaj certyfikat lub klucz tajny, aby dodać poświadczenia dla aplikacji.
Na stronie Sekrety & wybierz opcję + Nowy klucz tajny klienta.
Okno dialogowe Dodaj tajny klucz klienta wysunie się z prawej strony strony. W tym oknie dialogowym: Description → Wprowadź wartość Current. Wygasa → Wybierz wartość 24 miesięcy. Wybierz Dodaj, aby dodać tajemnicę. WAŻNE: ustaw przypomnienie w kalendarzu przed datą wygaśnięcia wpisu tajnego. W ten sposób możesz dodać nowy wpis tajny przed wygaśnięciem tego wpisu tajnego i zaktualizować aplikacje przed jego wygaśnięciem i uniknąć przerw w działaniu usługi w aplikacji.
Na stronie Certificates & secrets jest wyświetlana wartość klucza tajnego klienta. Skopiuj tę wartość do lokalizacji tymczasowej w edytorze tekstów, ponieważ będzie ona potrzebna w przyszłym kroku. WAŻNE: jest to jedyna godzina wyświetlenia tej wartości. Po opuszczeniu lub odświeżeniu tej strony nie będzie można ponownie wyświetlić tej wartości. Możesz dodać kolejny klucz tajny klienta bez unieważnienia tego klucza tajnego, ale ta wartość nie zostanie ponownie wyświetlona.

2 — Przypisywanie ról do głównej jednostki usługi aplikacji

Następnie należy określić, jakich ról (uprawnień) potrzebuje twoja aplikacja na temat zasobów i przypisać te role do aplikacji. Rola może być przypisana do zasobu, grupy zasobów lub subskrypcji. W tym przykładzie pokazano, jak przypisać role dla jednostki usługi w zakresie grupy zasobów, ponieważ większość aplikacji grupuje wszystkie zasoby platformy Azure w jedną grupę zasobów.

Azure CLI

Jednostka usługi ma przypisaną rolę na platformie Azure przy użyciu polecenia az role assignment create.

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}" 

Aby uzyskać nazwy ról, do których można przypisać jednostkę usługi, użyj polecenia az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Aby na przykład zezwolić jednostce usługi z identyfikatorem appId 00001111-aaaa-2222-bbbb-3333cccc4444 na odczyt, zapis i usuwanie danych w kontenerach obiektów blob usługi Azure Storage we wszystkich kontach magazynowych w grupie zasobów msdocs-go-sdk-auth-example w subskrypcji o identyfikatorze aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, należy przypisać jednostkę usługi aplikacji do roli Kontrybutora Danych Blob Storage przy użyciu następującego polecenia.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-go-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz artykuł Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Azure Portal

Instrukcje	Zrzut ekranu
Znajdź grupę zasobów dla aplikacji, wyszukując nazwę grupy zasobów przy użyciu pola wyszukiwania w górnej części witryny Azure Portal. Przejdź do grupy zasobów, wybierając nazwę grupy zasobów pod nagłówkiem Grupy zasobów w oknie dialogowym.
Na stronie grupy zasobów wybierz Kontrola dostępu (IAM) z menu po lewej stronie.
Na stronie kontroli dostępu (IAM): Wybierz kartę z Przypisaniami ról. Wybierz + Dodaj z górnego menu, a następnie Dodaj przypisanie roli z wyświetlonego menu rozwijanego.
Na stronie Dodawanie przypisania roli znajduje się spis wszystkich ról, które można przypisać w grupie zasobów. Użyj pola wyszukiwania, aby przefiltrować listę do bardziej możliwego do zarządzania rozmiaru. W tym przykładzie pokazano, jak filtrować role Blob Storage. Wybierz rolę, którą chcesz przypisać. Wybierz pozycję Dalej, aby przejść do następnego ekranu.
Na następnej stronie dodania przypisania roli można określić, do którego użytkownika ma zostać przypisana rola. Wybierz Użytkownik, grupa lub podmiot usługi pod Przypisz dostęp do. Wybierz , a następnie wybierz członków pod Członkowie Zostanie otwarte okno dialogowe po prawej stronie witryny Azure Portal.
W oknie dialogowym Wybierz członków: Pole tekstowe Wybierz może służyć do filtrowania listy użytkowników i grup w ramach subskrypcji. W razie potrzeby wpisz pierwsze kilka znaków service principal, którą utworzyłeś dla aplikacji, aby przefiltrować listę. Wybierz jednostkę usługi skojarzoną z aplikacją. Wybierz pozycję Wybierz w dolnej części okna dialogowego, aby kontynuować.
Jednostka usługi jest wyświetlana jako wybrana na ekranie Dodaj przypisanie roli. Wybierz pozycję Przejrzyj i przypisz, aby przejść do ostatniej strony, a następnie ponownie wybierz Przejrzyj i przypisz, aby ukończyć proces.

3 — Konfigurowanie zmiennych środowiskowych dla aplikacji

Należy ustawić zmienne środowiskowe AZURE_CLIENT_ID, AZURE_TENANT_IDi AZURE_CLIENT_SECRET dla procesu uruchamiającego aplikację Go, aby poświadczenia jednostki usługi były dostępne dla aplikacji w czasie jej działania. Obiekt DefaultAzureCredential szuka informacji o głównej usłudze w tych zmiennych środowiskowych.

Nazwa zmiennej	Wartość
AZURE_CLIENT_ID	Identyfikator aplikacji jednostki usługi platformy Azure
AZURE_TENANT_ID	Identyfikator dzierżawy aplikacji Microsoft Entra
AZURE_CLIENT_SECRET	Hasło głównej usługi platformy Azure

powłoki Bash

export AZURE_TENANT_ID="<active_directory_tenant_id>"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_SECRET="<service_principal_password>"

PowerShell

$env:AZURE_TENANT_ID="<active_directory_tenant_id>"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_SECRET="<service_principal_password>"

4 — Implementacja DefaultAzureCredential w aplikacji

Aby uwierzytelnić obiekty klienta zestawu Azure SDK na platformie Azure, aplikacja powinna używać typu DefaultAzureCredential z pakietu azidentity.

Zacznij od dodania pakietu azidentity do aplikacji.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Następnie, dla każdego kodu w języku Go, który tworzy klienta Azure SDK w twojej aplikacji, należy wykonać następujące kroki:

1. Zaimportuj pakiet azidentity.
2. Utwórz wystąpienie typu DefaultAzureCredential.
3. Przekaż wystąpienie typu DefaultAzureCredential do konstruktora klienta zestawu Azure SDK.

Przykład jest pokazany w następującym segmencie kodu.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Gdy powyższy kod tworzy wystąpienie DefaultAzureCredential, wtedy DefaultAzureCredential odczytuje zmienne środowiskowe AZURE_TENANT_ID, AZURE_CLIENT_IDi AZURE_CLIENT_SECRET zawierające informacje o głównym użytkowniku usługi aplikacji, aby połączyć się z platformą Azure.