Autentisera .NET-appar till Azure-tjänster under lokal utveckling med hjälp av utvecklarkonton

Under den lokala utvecklingen måste program autentiseras till Azure för att få åtkomst till olika Azure-tjänster. Två vanliga metoder för lokal autentisering är att använda ett tjänsthuvudnamn eller använda ett utvecklarkonto. I den här artikeln beskrivs hur du använder ett utvecklarkonto. I de kommande avsnitten lär du dig:

• Använda Microsoft Entra-grupper för att effektivt hantera behörigheter för flera utvecklarkonton
• Så här tilldelar du roller till utvecklarkonton för att definiera behörigheter inom ett omfång
• Så här loggar du in på lokala utvecklingsverktyg som stöds
• Autentisera med ett utvecklarkonto från din appkod

Ett diagram som visar en app som körs i lokal utveckling med hjälp av en utvecklarverktygsidentitet för att ansluta till Azure-resurser.

För att en app ska kunna autentisera till Azure under lokal utveckling med utvecklarens Azure-autentiseringsuppgifter måste utvecklaren vara inloggad i Azure från något av följande utvecklarverktyg:

• Azure CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio

Azure Identity-biblioteket kan identifiera att utvecklaren är inloggad från något av dessa verktyg. Biblioteket kan sedan hämta Microsoft Entra-åtkomsttoken via verktyget för att autentisera appen till Azure som den inloggade användaren.

Den här metoden utnyttjar utvecklarens befintliga Azure-konton för att effektivisera autentiseringsprocessen. Ett utvecklarkonto har dock sannolikt fler behörigheter än vad som krävs av appen, och överskrider därför de behörigheter som appen körs med i produktion. Alternativt kan du skapa huvudnamn för programtjänsten som ska användas under den lokala utvecklingen, vilket kan begränsas till att endast ha den åtkomst som krävs av appen.

Skapa en Microsoft Entra-grupp för lokal utveckling

Skapa en Microsoft Entra-grupp för att kapsla in de roller (behörigheter) som appen behöver under lokal utveckling, istället för att tilldela rollerna till enskilda tjänsthuvudobjekt. Den här metoden erbjuder följande fördelar:

• Varje utvecklare har samma roller tilldelade på gruppnivå.
• Om en ny roll behövs för appen behöver den bara läggas till i gruppen för appen.
• Om en ny utvecklare ansluter till teamet skapas ett nytt huvudnamn för programtjänsten för utvecklaren och läggs till i gruppen, vilket säkerställer att utvecklaren har rätt behörighet att arbeta med appen.

Azure-portalen

1. Gå till översiktssidan för Microsoft Entra ID på Azure-portalen.

2. Välj Alla grupper på den vänstra menyn.

3. På sidan Grupper väljer du Ny grupp.

4. På sidan Ny grupp fyller du i följande formulärfält:

   • Grupptyp: Välj Security.
   • Gruppnamn: Ange ett namn för gruppen som innehåller en referens till appen eller miljönamnet.
   • Gruppbeskrivning: Ange en beskrivning som förklarar syftet med gruppen.

   

5. Välj länken Inga medlemmar har valts under Medlemmar för att lägga till medlemmar i gruppen.

6. I den utfällbara panelen som öppnas söker du efter tjänstens huvudnamn som du skapade tidigare och väljer det från de filtrerade resultaten. Välj knappen Välj längst ned i panelen för att bekräfta ditt val.

7. Välj Skapa längst ned på sidan Ny grupp för att skapa gruppen och återgå till sidan Alla grupper. Om du inte ser den nya gruppen i listan väntar du en stund och uppdaterar sidan.

Azure CLI

1. Använd kommandot az ad group create för att skapa grupper i Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametrarna --display-name och --mail-nickname är obligatoriska. Namnet som ges till gruppen ska baseras på appens namn och miljö för att indikera gruppens syfte.

2. Om du vill lägga till medlemmar i gruppen behöver du objekt-ID:t för programtjänstens huvudnamn, som skiljer sig från program-ID:t. Använd kommandot az ad sp för att visa en lista över tillgängliga tjänsthuvudnamn:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametern --filter accepterar OData-filter och kan användas för att filtrera listan som visas. Parametern --query begränsar utdata till enbart kolumner av intresse.

3. Använd kommandot az ad group member add för att lägga till medlemmar i gruppen:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Tilldela roller till gruppen

Bestäm sedan vilka roller (behörigheter) din app behöver för vilka resurser och tilldela dessa roller till den Microsoft Entra-grupp som du skapade. Grupper kan tilldelas en roll på resurs-, resursgrupps- eller prenumerationsnivå. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång, eftersom de flesta appar grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure-portalen

1. I Azure-portalen går du till sidan Översikt i resursgruppen som innehåller din app.

2. Välj åtkomstkontroll (IAM) på det vänstra navigeringsfältet.

3. På sidan Åtkomstkontroll (IAM) väljer du + Lägg till och väljer sedan Lägg till rolltilldelning på den nedrullningsbara menyn. Sidan Lägg till rolltilldelning innehåller flera flikar för att konfigurera och tilldela roller.

4. På fliken Roll använder du sökrutan för att hitta den roll som du vill tilldela. Välj rollen och välj sedan Nästa.

5. På fliken Medlemmar:

   • För värdet Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn .
   • För värdet Medlemmar väljer du + Välj medlemmar för att öppna Välj medlemmar utfällbara panelen.
   • Sök efter den Microsoft Entra-grupp som du skapade tidigare och välj den från de filtrerade resultaten. Välj Välj för att välja gruppen och stänga den utfällbara panelen.
   • Välj Granska och tilldela längst ned på fliken Medlemmar.

   

6. På fliken Granska + tilldela väljer du Granska + tilldela längst ned på sidan.

Azure CLI

1. Använd kommandot az role definition list för att hämta namnen på de roller som en Microsoft Entra-grupp eller tjänstens huvudprincipal kan tilldelas:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Använd kommandot az role assignment create för att tilldela en roll till den Microsoft Entra-grupp som du skapade:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i Tilldela Azure-roller med hjälp av Azure CLI.

Logga in på Azure med hjälp av utvecklarverktyg

Logga sedan in på Azure med något av flera utvecklarverktyg som kan användas för att utföra autentisering i utvecklingsmiljön. Det konto som du autentiserar bör också finnas i den Microsoft Entra-grupp som du skapade och konfigurerade tidigare.

Utvecklare som använder Visual Studio 2017 eller senare kan autentisera med sitt utvecklarkonto via IDE. Appar som använder DefaultAzureCredential eller VisualStudioCredential kan identifiera och använda det här kontot för att autentisera appbegäranden när de körs lokalt. Det här kontot används också när du publicerar appar direkt från Visual Studio till Azure.

Viktigt!

Du måste installera Azure-utveckling arbetsbelastning för att aktivera Visual Studio-verktyg för Azure-autentisering, utveckling och distribution.

1. I Visual Studio går du till Verktyg>Alternativ för att öppna alternativdialogrutan.

2. I rutan Sökalternativ överst skriver du Azure för att filtrera de tillgängliga alternativen.

3. Under Azure Service Authentication väljer du Kontoval.

4. Välj den nedrullningsbara menyn under Välj ett konto och välj att lägga till ett Microsoft-konto.

5. I fönstret som öppnas anger du autentiseringsuppgifterna för ditt önskade Azure-konto och bekräftar sedan dina indata.

   

6. Välj OK för att stänga alternativdialogrutan.

Utvecklare som kodar utanför en IDE kan också använda Azure CLI- för att autentisera. Appar som använder DefaultAzureCredential eller AzureCliCredential kan sedan använda det här kontot för att autentisera appbegäranden när de körs lokalt.

Om du vill autentisera med Azure CLI kör du kommandot az login. I ett system med en standardwebbläsare startar Azure CLI webbläsaren för att autentisera användaren.

az login

För system utan en standardwebbläsare använder kommandot az login autentiseringsflödet för enhetskod. Användaren kan också tvinga Azure CLI att använda enhetskodflödet i stället för att starta en webbläsare genom att ange argumentet --use-device-code.

az login --use-device-code

Utvecklare som kodar utanför en IDE kan också använda Azure Developer CLI- för att autentisera. Appar som använder DefaultAzureCredential eller AzureDeveloperCliCredential kan sedan använda det här kontot för att autentisera appbegäranden när de körs lokalt.

Om du vill autentisera med Azure Developer CLI kör du kommandot azd auth login. I ett system med en standardwebbläsare startar Azure Developer CLI webbläsaren för att autentisera användaren.

azd auth login

För system utan en standardwebbläsare använder azd auth login --use-device-code flödet för enhetskodautentisering. Användaren kan också tvinga Azure Developer CLI att använda enhetskodflödet i stället för att starta en webbläsare genom att ange argumentet --use-device-code.

azd auth login --use-device-code

Utvecklare som kodar utanför en IDE kan också använda Azure PowerShell- för att autentisera. Appar som använder DefaultAzureCredential eller AzurePowerShellCredential kan sedan använda det här kontot för att autentisera appbegäranden när de körs lokalt.

Om du vill autentisera med Azure PowerShell kör du kommandot Connect-AzAccount. I ett system med en standardwebbläsare och version 5.0.0 eller senare av Azure PowerShell startas webbläsaren för att autentisera användaren.

Connect-AzAccount

För system utan en standardwebbläsare använder kommandot Connect-AzAccount autentiseringsflödet för enhetskod. Användaren kan också tvinga Azure PowerShell att använda enhetskodflödet i stället för att starta en webbläsare genom att ange argumentet UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Autentisera till Azure-tjänster från din app

Azure Identity-biblioteket innehåller olika autentiseringsuppgifter– implementeringar av TokenCredential anpassade för att stödja olika scenarier och Microsoft Entra-autentiseringsflöden. Stegen framåt visar hur du använder DefaultAzureCredential när du arbetar med användarkonton lokalt.

Implementera koden

DefaultAzureCredential är en åsiktsbaserad, ordnad sekvens med mekanismer för autentisering till Microsoft Entra-ID. Varje autentiseringsmekanism är en klass som härleds från klassen TokenCredential och kallas för en autentisering. Vid körning försöker DefaultAzureCredential att autentisera med hjälp av den första autentiseringsuppgiften. Om det misslyckas att erhålla en åtkomsttoken prövas nästa referens i sekvensen och så vidare, tills en åtkomsttoken framgångsrikt har erhållits. På så sätt kan din app använda olika autentiseringsuppgifter i olika miljöer utan att skriva miljöspecifik kod.

Om du vill använda lägger du till Azure.Identity och eventuellt Microsoft.Extensions.Azure-paketet i ditt program.

Kommandoraden

I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet-pakethanteraren

Högerklicka på projektet i Visual Studios Istraživač rešenja-fönster och välj Hantera NuGet-paket. Sök efter Azure.Identity och installera det matchande paketet. Upprepa den här processen för Microsoft.Extensions.Azure-paketet .

Installera ett paket med hjälp av pakethanteraren.

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. Dessa klasser och dina egna anpassade tjänster bör registreras så att de kan nås via beroendeinmatning i hela appen. I Program.cs fullföljer du följande steg för att registrera en klientklass och DefaultAzureCredential:

1. Inkludera Azure.Identity och Microsoft.Extensions.Azure namnrymderna via using-direktiv.
2. Registrera Azure-tjänstklienten med hjälp av motsvarande Add-prefixad extensionsmetod.
3. Skicka en instans av DefaultAzureCredential till UseCredential -metoden.

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Ett alternativ till metoden UseCredential är att tillhandahålla autentiseringsuppgifterna direkt till tjänstklienten:

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));