Проверка подлинности приложений Go в службах Azure во время локальной разработки с помощью субъектов-служб

При создании облачных приложений разработчикам необходимо выполнять отладку и тестирование приложений на локальной рабочей станции. Когда приложение выполняется на рабочей станции разработчика во время локальной разработки, оно по-прежнему должно пройти проверку подлинности в любых службах Azure, используемых приложением. В этой статье описывается настройка выделенных главных элементов приложения для использования во время локальной разработки.

Выделенные служебные учетные записи для локальной разработки позволяют следовать принципу наименьших привилегий при разработке приложений. Так как разрешения ограничены именно тем, что необходимо для приложения во время разработки, код приложения не может случайно получить доступ к ресурсу Azure, предназначенному для использования другим приложением. Это также препятствует возникновению ошибок при перемещении приложения в рабочую среду, так как приложение было перегружено в среде разработки.

Субъект-служба приложений настраивается для приложения при регистрации приложения в Azure. При регистрации приложений для локальной разработки рекомендуется:

• Создайте отдельные регистрации приложений для каждого разработчика, работающего над приложением. Это позволит создать отдельные субъекты-службы приложений для каждого разработчика, которые будут использоваться во время локальной разработки и избежать необходимости совместного использования учетных данных для одного субъекта-службы приложений.
• Создание отдельных регистраций приложений для каждого приложения. Это ограничивает разрешения приложения только тем, что требуется приложению.

Во время локальной разработки переменные среды задаются с удостоверением служебного принципала приложения. Пакет SDK Azure для Go считывает эти переменные среды и использует эти сведения для проверки подлинности приложения в необходимых ресурсах Azure.

1. Регистрация приложения в Azure

Объекты служебного принципала приложения создаются с регистрацией приложения в Azure. Это можно сделать с помощью портала Azure или Azure CLI.

Azure интерфейс командной строки

Команды Azure CLI можно выполнять в Azure Cloud Shell или на рабочей станции с установленнымAzure CLI.

Сначала используйте команду az ad sp create-for-rbac, чтобы создать новую учетную запись в службе для приложения. Команда также создает регистрацию приложения для приложения одновременно.

az ad sp create-for-rbac --name <service-principal-name>

Выходные данные этой команды будут выглядеть следующим образом. Запишите эти значения или оставьте это окно открытым, так как вам потребуется эти значения в следующих шагах и не сможете снова просмотреть значение пароля (секрет клиента). Однако при необходимости можно добавить новый пароль, не делая недействительными субъект-службы или существующие пароли.

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "<service-principal-name>",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

портал Azure

Войдите на портал Azure и выполните следующие действия.

Инструкция	Снимок экрана
На портале Azure: Введите регистрации приложений в строку поиска в верхней части портала Azure. Выберите элемент, помеченный регистрация приложений, под заголовком Сервисы в меню, которое появляется под строкой поиска.
На странице регистрации приложений выберите + Создать регистрацию.
На странице Регистрация заявки заполните форму следующим образом. Имя → Укажите имя регистрации приложения в Azure. Рекомендуется, чтобы это имя включало имя приложения, имя пользователя, для которого предназначена регистрация приложения, и идентификатор, например 'dev', чтобы указать, что эта регистрация приложения используется для локальной разработки. Поддерживаемые типы учетных записей → Типы учетных записей в этом каталоге организации. Выберите Регистрация, чтобы зарегистрировать приложение и создать учетную запись службы приложения.
На странице регистрации вашего приложения: идентификатор приложения (клиента) → Это идентификатор приложения, который приложение будет использовать для доступа к Azure во время локальной разработки. Скопируйте это значение во временное расположение в текстовом редакторе, так как оно понадобится вам на следующем этапе. идентификатор каталога (арендатора) → Это значение также потребуется вашему приложению при аутентификации в Azure. Скопируйте это значение во временное расположение в текстовом редакторе; оно также понадобится в одном из следующих шагов. учетные данные клиента → Необходимо задать учетные данные клиента для приложения, прежде чем приложение сможет пройти проверку подлинности в Azure и использовать службы Azure. Выберите Добавить сертификат или секрет, чтобы добавить данные для вашего приложения.
На странице секретов сертификатов & выберите + Новый секрет клиента.
Диалоговое окно Добавление секрета клиента откроется с правой стороны страницы. В этом диалоговом окне: Описание → введите значение Current. Истекает срок действия → Выберите значение 24 месяцев. Выберите Добавить, чтобы добавить секрет.
На странице сертификатов & секретов вы увидите значение клиентского секрета. Скопируйте это значение во временное место в текстовом редакторе, так как оно потребуется на следующем этапе. ВАЖНО. Это единственный раз, когда вы увидите это значение. После выхода или обновления этой страницы вы не сможете снова увидеть это значение. Вы можете добавить дополнительные секреты клиента, не отменив этот секрет клиента, но вы не увидите это значение снова.

2. Создание группы безопасности Microsoft Entra для локальной разработки

Так как обычно существует несколько разработчиков, работающих над приложением, рекомендуется создать группу безопасности Microsoft Entra, чтобы инкапсулировать роли (разрешения), необходимые приложению в локальной разработке, а не назначать роли отдельным объектам субъекта-службы. Это дает следующие преимущества:

• Каждому разработчику гарантируется назначение одних и тех же ролей, поскольку они назначаются на уровне группы.
• Если для приложения требуется новая роль, ее нужно просто добавить в группу Microsoft Entra для этого приложения.
• Если новый разработчик присоединяется к команде, для него создается новый принципал приложения и добавляется в группу, обеспечивая разработчику правильные разрешения для работы с приложением.

Azure CLI

Команда az ad group create используется для создания групп безопасности в Microsoft Entra ID. Требуются параметры --display-name и --main-nickname. Имя, заданное группе, должно быть основано на имени приложения. Также полезно включить фразу, например local-dev, в имя группы, чтобы указать назначение группы.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description "<group-description>"

Скопируйте значение свойства id в выходных данных команды. Это идентификатор объекта для группы. Вам потребуется это в последующих шагах. Вы также можете использовать команду az ad group show для получения этого свойства.

Чтобы добавить участников в группу, требуется идентификатор объекта субъекта-службы приложения, который отличается от идентификатора приложения. Используйте az ad sp list для перечисления доступных субъектов-служб. Команда параметра --filter принимает фильтры стилей OData и может использоваться для фильтрации списка, как показано ниже. Параметр --query ограничивает столбцы только интересующими.

az ad sp list \
    --filter "startswith(displayName, 'msdocs')" \
    --query "[].{objectId:id, displayName:displayName}" \
    --output table

Затем команду az ad group member add можно использовать для добавления участников в группы.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

на портале Azure

Инструкции	Снимок экрана
Перейдите на страницу идентификатора Microsoft Entra на портале Azure, введя идентификатор Microsoft Entra ID в поле поиска в верхней части страницы, а затем выберите идентификатор Microsoft Entra ID из служб.
На странице Microsoft Entra ID выберите Группы в меню слева.
На странице Все группы выберите Новая группа.
На странице новая группа: Тип группы → Безопасность имя группы → имя группы безопасности, обычно созданное из имени приложения. Также полезно включить строку, например local-dev в имя группы, чтобы указать назначение группы. описание группы → Описание цели группы. Выберите ссылку "Нет участников" в разделе "Члены", чтобы добавить участников в группу.
В диалоговом окне Добавление участников: Используйте поле поиска для фильтрации списка имен субъектов в списке. Выберите основные компоненты службы приложения для локальной разработки этого приложения. При выборе объектов они будут серыми и перемещены в список Выбранные элементы в нижней части диалогового окна. По завершении нажмите кнопку "Выбрать".
Вернитесь на страницу новой группы , затем выберите Создать, чтобы создать группу. Группа будет создана, и вы вернеесь на страницу Все группы. Для отображения группы может потребоваться до 30 секунд, и может потребоваться обновить страницу из-за кэширования на портале Azure.

Заметка

По умолчанию создание групп безопасности Microsoft Entra ограничено определенными привилегированными ролями в каталоге. Если вы не можете создать группу, обратитесь к администратору каталога. Если вы не можете добавить участников в существующую группу, обратитесь к владельцу группы или администратору каталога. Дополнительные сведения см. в статье Управление группами Microsoft Entra и членством в группах.

3. Назначение ролей приложению

Затем необходимо определить, какие роли (разрешения) приложения требуются для ресурсов и назначить эти роли приложению. В этом примере роли назначаются группе Microsoft Entra, созданной на шаге 2. Роли можно назначать в ресурсе, группе ресурсов или области подписки. В этом примере показано, как назначать роли в пределах группы ресурсов, поскольку большинство приложений группируют все ресурсы Azure в один набор ресурсов.

Azure CLI

Пользователю, группе или сервисному принципалу приложения назначена роль в Azure с помощью команды az role assignment create. Группу можно указать с идентификатором объекта. Субъект-службу приложения можно указать с помощью идентификатора приложения.

az role assignment create --assignee <appId or objectId> \
    --scope /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName> \
    --role "<roleName>" 

Чтобы получить имена ролей, которые можно назначить, используйте команду az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Например, чтобы разрешить субъекту-службе приложения с помощью appId чтения, записи и удаления доступа к контейнерам BLOB-объектов службы хранилища Azure и данным во всех учетных записях хранения в msdocs-go-sdk-example группы ресурсов в подписке с идентификатором , вы назначите субъекту-службе приложений роль участника хранилища BLOB-объектов с помощью следующей команды.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-go-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье Назначение ролей Azure с помощьюAzure CLI.

портал Azure

Инструкции	Снимок экрана
Найдите группу ресурсов для приложения, найдите имя группы ресурсов с помощью поля поиска в верхней части портала Azure. Перейдите к группе ресурсов, выбрав имя группы ресурсов под заголовком Группы ресурсов в диалоговом окне.
На странице группы ресурсов выберите Управление доступом (IAM) из меню слева.
На странице управления доступом (IAM): Выберите вкладку назначения ролей. Выберите + Добавить в верхнем меню, затем Добавить назначение роли из результирующего раскрывающегося меню.
На странице Добавление назначения ролей перечислены все роли, которые могут быть назначены группе ресурсов. Используйте поле поиска, чтобы отфильтровать список до более управляемого размера. В этом примере показано, как фильтровать роли BLOB-объектов хранилища. Выберите роль, которую вы хотите назначить. Нажмите кнопку Далее, чтобы перейти к следующему экрану.
На следующей странице Добавление назначения ролей вы можете указать, какому пользователю назначить роль. Выберите Пользователь, группа или субъект-служба в разделе Назначить доступ. Выберите + Выберите участников в разделе "Члены" Откроется диалоговое окно справа на портале Azure.
В диалоговом окне Выбор участников: Текстовое поле Select можно использовать для фильтрации списка пользователей и групп в подписке. При необходимости введите первые несколько символов локальной группы Microsoft Entra, созданной для приложения. Выберите локальную группу Microsoft Entra, связанную с приложением. Выберите Выбрать в нижней части диалогового окна, чтобы продолжить.
Группа Microsoft Entra отображается как выбранная группа на экране Добавление назначения ролей. Выберите Проверить + Назначить, чтобы перейти на окончательную страницу, а затем Проверить + Назначить еще раз, чтобы завершить процесс.

4. Задание переменных среды локального окружения разработки

Объект DefaultAzureCredential будет искать сведения субъекта-службы в наборе переменных среды во время выполнения. Так как большинство разработчиков работают над несколькими приложениями, рекомендуется использовать пакет, например godotenv для доступа к среде из файла .env, хранящегося в каталоге приложения во время разработки. Это определяет переменные среды, используемые для проверки подлинности приложения в Azure, таким образом, что они могут использоваться только этим приложением.

Файл .env никогда не проверяется в системе управления версиями, так как он содержит секретный ключ приложения для Azure. Стандартный файл .gitignore для Go автоматически исключает файл .env из регистрации.

Чтобы использовать пакет godotenv, сначала установите пакет в приложении.

go get github.com/joho/godotenv

Затем создайте файл .env в корневом каталоге приложения. Задайте значения переменной среды со значениями, полученными из процесса регистрации приложения следующим образом:

• AZURE_CLIENT_ID → значение идентификатора приложения.
• AZURE_TENANT_ID → Значение идентификатора клиента.
• AZURE_CLIENT_SECRET → пароль или учетные данные, созданные для приложения.

AZURE_CLIENT_ID=00001111-aaaa-2222-bbbb-3333cccc4444
AZURE_TENANT_ID=aaaabbbb-0000-cccc-1111-dddd2222eeee
AZURE_CLIENT_SECRET=Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6

Наконец, в коде запуска приложения используйте библиотеку godotenv для чтения переменных среды из файла .env при запуске.

// Imports of fmt, log, and os omitted for brevity 
import "github.com/joho/godotenv"

environment := os.Getenv("ENVIRONMENT")

if environment == "development" {
    fmt.Println("Loading environment variables from .env file")
    
    // Load the .env file
    err := godotenv.Load(".env")
    if err != nil {
        log.Fatalf("Error loading .env file: %v", err)
    }
}

5. Реализация DefaultAzureCredential в приложении

Для проверки подлинности клиентских объектов Пакета SDK Azure в Azure приложение должно использовать класс DefaultAzureCredential из пакета azidentity. В этом сценарии DefaultAzureCredential обнаружит, что переменные среды AZURE_CLIENT_ID, AZURE_TENANT_IDи AZURE_CLIENT_SECRET заданы, и считает эти переменные, чтобы получить учетные данные для подключения к Azure.

Сначала добавьте пакет azidentity в приложение.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Затем для любого кода Go, создающего клиентский объект Azure SDK в приложении, необходимо выполнить следующие действия.

1. Импортируйте пакет azidentity.
2. Создайте экземпляр типа DefaultAzureCredential.
3. Передайте экземпляр типа DefaultAzureCredential конструктору клиента Azure SDK.

Пример этого показан в следующем сегменте кода.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}