Uwierzytelniaj się w zasobach Azure z aplikacji .NET hostowanych na miejscu

Aplikacje hostowane poza platformą Azure, takie jak lokalne lub w centrum danych innej firmy, powinny używać jednostki usługi aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft do uwierzytelniania w usługach platformy Azure. W poniższych sekcjach nauczysz się:

• Jak zarejestrować aplikację w usłudze Microsoft Entra w celu utworzenia głównej usługi
• Jak przypisać role do uprawnień zakresu
• Jak uwierzytelniać się przy użyciu jednostki usługi z poziomu kodu aplikacji

Użycie dedykowanych jednostek usługi aplikacji umożliwia przestrzeganie zasady najniższych uprawnień podczas uzyskiwania dostępu do zasobów platformy Azure. Uprawnienia są ograniczone do określonych wymagań aplikacji podczas programowania, uniemożliwiając przypadkowy dostęp do zasobów platformy Azure przeznaczonych dla innych aplikacji lub usług. Takie podejście pomaga również uniknąć problemów, gdy aplikacja zostanie przeniesiona do środowiska produkcyjnego, zapewniając, że nie jest ona nadmiernie uprzywilejowana w środowisku deweloperskim.

Dla każdego środowiska hostowanego w aplikacji należy utworzyć inną rejestrację aplikacji. Umożliwia to skonfigurowanie uprawnień określonych zasobów środowiska dla każdej jednostki usługi i upewnienie się, że aplikacja wdrożona w jednym środowisku nie rozmawia z zasobami platformy Azure, które są częścią innego środowiska.

Rejestrowanie aplikacji na platformie Azure

Obiekty zasadniczych usług aplikacji są tworzone za pośrednictwem rejestracji aplikacji na platformie Azure przy użyciu Portalu Azure lub interfejsu wiersza polecenia Azure.

Portal Azure

1. Użyj paska wyszukiwania w portalu Azure, aby nawigować do strony Rejestracje aplikacji.

2. Na stronie Rejestracje aplikacji wybierz opcję + Nowa rejestracja.

3. Na stronie Rejestrowanie aplikacji:

   • W polu Nazwa wprowadź opisową wartość zawierającą nazwę aplikacji i środowisko docelowe.
   • Dla obsługiwanych typów kont wybierz Konta tylko w tym katalogu organizacyjnym (tylko klient Microsoft — pojedyncza dzierżawa)lub dowolną opcję najlepiej dopasowaną do Państwa wymagań.

4. Wybierz pozycję Zarejestruj, aby zarejestrować aplikację i utworzyć jednostkę usługi.

   

5. Na stronie rejestracji aplikacji dla Twojej aplikacji, skopiuj identyfikator aplikacji (klienta) oraz identyfikator katalogu (dzierżawy) i wklej je w tymczasowym miejscu przechowywania, aby później użyć ich w konfiguracjach kodu aplikacji.

6. Wybierz pozycję Dodaj certyfikat lub klucz tajny, aby skonfigurować poświadczenia dla aplikacji.

7. Na stronie Certyfikaty i sekrety wybierz opcję + Nowy sekret klienta.

8. W Dodaj wpis tajny klienta panelu wysuwanym, który zostanie otwarty:

   • W polu Opis wprowadź wartość Current.
   • Dla wartości Wygasa pozostaw domyślną zalecaną wartość 180 dni.
   • Wybierz Dodaj, aby dodać tajemnicę.

9. Na stronie certyfikatów & certyfikatów skopiuj właściwość Value klucza tajnego klienta do użycia w przyszłym kroku.

   Notatka

   Tajny klucz klienta jest wyświetlany tylko raz po zarejestrowaniu aplikacji. Możesz dodać więcej sekretów klienta bez unieważniając tego sekretu klienta, ale nie ma możliwości ponownego wyświetlenia tej wartości.

Azure CLI

Polecenia interfejsu wiersza polecenia platformy Azure można uruchamiać w usłudze Azure Cloud Shell lub na stacji roboczej z zainstalowanym interfejsem wiersza polecenia platformy Azure .

1. Użyj polecenia az ad sp create-for-rbac, aby utworzyć nową rejestrację aplikacji i jednostkę usługi dla aplikacji.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Dane wyjściowe tego polecenia przypominają następujący kod JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Skopiuj te dane wyjściowe do pliku tymczasowego w edytorze tekstów, ponieważ będą one potrzebne w przyszłym kroku.

   Notatka

   Wartość tajemnicy klienta jest pokazywana tylko raz po utworzeniu rejestracji aplikacji. Możesz dodać więcej tajemnic klienta bez unieważniania tej tajemnicy klienta, ale nie ma możliwości wyświetlenia tej wartości ponownie.

Przypisywanie ról do jednostki usługi aplikacji

Następnie określ, jakich ról (uprawnień) potrzebuje twoja aplikacja na temat zasobów i przypisz te role do utworzonej jednostki usługi. Role można przypisywać w zakresie zasobu, grupy zasobów lub subskrypcji. W tym przykładzie pokazano, jak przypisywać role w zakresie grupy zasobów, ponieważ większość aplikacji grupuje wszystkie zasoby platformy Azure w jedną grupę zasobów.

Portal Azure

1. W portalu Azure przejdź do strony Przegląd grupy zasobów zawierającej twoją aplikację.

2. Wybierz pozycję Kontrola dostępu (IAM) z lewego panelu nawigacyjnego.

3. Na stronie kontroli dostępu (IAM) wybierz pozycję + Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli z menu rozwijanego. Strona Przypisanie ról zawiera kilka zakładek do konfigurowania i przydzielania ról.

4. Na karcie Rola użyj pola wyszukiwania, aby zlokalizować rolę, którą chcesz przypisać. Wybierz rolę, a następnie wybierz pozycję Dalej.

5. Na karcie Członkowie:

   • Dla Przypisania dostępu do wartości wybierz Użytkownik, grupa lub jednostka usługi.
   • Dla wartości członkowie wybierz pozycję + Wybierz członków, aby otworzyć panel wysuwany Wybierz członków.
   • Wyszukaj utworzoną wcześniej jednostkę usługi i wybierz ją z filtrowanych wyników. Wybierz pozycję i naciśnij, aby wybrać grupę i zamknąć panel wysuwany.
   • Wybierz pozycję Przejrzyj i przypisz w dolnej części karty członków.

   

6. Na karcie Przegląd + przypisz wybierz pozycję Przegląd + przypisz w dolnej części strony.

Azure CLI

1. Użyj polecenia az role definition list, aby uzyskać nazwy ról, które można przypisać głównemu obiektowi usługi:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Użyj polecenia az role assignment create, aby przypisać rolę do głównego obiektu zabezpieczeń aplikacji:

   az role assignment create \
       --assignee "<app-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Aby uzyskać informacje na temat przypisywania uprawnień na poziomie zasobu lub subskrypcji przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia.

Ustawianie zmiennych środowiskowych aplikacji

W czasie wykonywania niektóre poświadczenia z biblioteki Azure Identity, takie jak DefaultAzureCredential, EnvironmentCredentiali ClientSecretCredential, wyszukują podstawowe informacje o jednostce usługi zgodnie z konwencją w zmiennych środowiskowych. Istnieje wiele sposobów konfigurowania zmiennych środowiskowych podczas pracy z platformą .NET, w zależności od narzędzi i środowiska.

Niezależnie od wybranego podejścia skonfiguruj następujące zmienne środowiskowe dla jednostki usługi:

• AZURE_CLIENT_ID: służy do identyfikowania zarejestrowanej aplikacji na platformie Azure.
• AZURE_TENANT_ID: Identyfikator dzierżawcy Microsoft Entra.
• AZURE_CLIENT_SECRET: Tajne poświadczenie wygenerowane dla aplikacji.

W programie Visual Studio zmienne środowiskowe można ustawić w pliku launchsettings.json w folderze Properties projektu. Te wartości są pobierane automatycznie po uruchomieniu aplikacji. Jednak te konfiguracje nie są przesyłane z aplikacją podczas wdrażania, dlatego należy skonfigurować zmienne środowiskowe w docelowym środowisku hostingu.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    }
  }

W programie Visual Studio Code zmienne środowiskowe można ustawić w pliku launch.json projektu. Te wartości są pobierane automatycznie po uruchomieniu aplikacji. Jednak te konfiguracje nie są przesyłane z aplikacją podczas wdrażania, dlatego należy skonfigurować zmienne środowiskowe w docelowym środowisku hostingu.

"configurations": [
{
    "env": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Zmienne środowiskowe systemu Windows można ustawić z poziomu wiersza polecenia. Jednak wartości są dostępne dla wszystkich aplikacji działających w tym systemie operacyjnym i mogą powodować konflikty, dlatego należy zachować ostrożność w przypadku tego podejścia. Zmienne środowiskowe można ustawić na poziomie użytkownika lub systemu.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

Program PowerShell może również służyć do ustawiania zmiennych środowiskowych na poziomie użytkownika lub systemu:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Uwierzytelnianie w usługach platformy Azure z aplikacji

Biblioteka Azure Identity udostępnia różne poświadczenia— wdrożenia TokenCredential dostosowane do obsługi różnych scenariuszy i przepływów uwierzytelniania Microsoft Entra. W krokach z wyprzedzeniem pokazano, jak używać ClientSecretCredential podczas pracy z jednostkami usługi lokalnie i w środowisku produkcyjnym.

Implementowanie kodu

Dodaj pakiet Azure.Identity. W projekcie ASP.NET Core zainstaluj również pakiet Microsoft.Extensions.Azure:

Wiersz polecenia

W wybranym terminalu przejdź do katalogu projektu aplikacji i uruchom następujące polecenia:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Menedżer pakietów NuGet

Kliknij prawym przyciskiem myszy projekt w oknie eksploratora rozwiązań programu Visual Studio i wybierz pozycję Zarządzaj pakietami NuGet. Wyszukaj Azure.Identity i zainstaluj pasujący pakiet. Powtórz proces dla Microsoft.Extensions.Azure pakietu.

Zainstaluj pakiet przy użyciu menedżera pakietów.

Dostęp do usług platformy Azure jest uzyskiwany przy użyciu wyspecjalizowanych klas klientów z różnych bibliotek klienckich zestawu Azure SDK. Te klasy i własne usługi niestandardowe powinny być zarejestrowane do wstrzykiwania zależności, aby mogły być używane w całej aplikacji. W Program.cswykonaj następujące kroki, aby skonfigurować klasę klienta na potrzeby wstrzykiwania zależności i uwierzytelniania opartego na tokenach:

1. Uwzględnij Azure.Identity i Microsoft.Extensions.Azure przestrzenie nazw za pomocą using dyrektyw.
2. Zarejestruj klienta usługi Azure przy użyciu rozszerzającej metody z prefiksem Add.
3. Skonfiguruj ClientSecretCredential przy użyciu tenantId, clientIdi clientSecret.
4. Przekaż wystąpienie ClientSecretCredential do metody UseCredential.

builder.Services.AddAzureClients(clientBuilder =>
{
    var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
    var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
    var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new ClientSecretCredential(tenantId, clientId, clientSecret));
});

Alternatywą dla metody UseCredential jest bezpośrednie podanie poświadczenia klientowi usługi.

var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new ClientSecretCredential(tenantId, clientId, clientSecret)));