Autentisera .NET-appar till Azure-tjänster under lokal utveckling med hjälp av utvecklarkonton

Utvecklare måste felsöka och testa molnappar på sina lokala arbetsstationer. När en app körs på en utvecklares arbetsstation under den lokala utvecklingen måste den fortfarande autentiseras mot alla Azure-tjänster som används av appen. Den här artikeln beskriver hur du använder en utvecklares Azure-autentiseringsuppgifter för att autentisera appen till Azure under den lokala utvecklingen.

För att en app ska kunna autentisera till Azure under lokal utveckling med utvecklarens Azure-autentiseringsuppgifter måste utvecklaren loggas in på Azure från något av följande utvecklarverktyg:

• Visual Studio
• Azure CLI
• Azure Developer CLI
• Azure PowerShell

Azure Identity-biblioteket kan identifiera att utvecklaren är inloggad från något av dessa verktyg. Biblioteket kan sedan hämta Microsoft Entra-åtkomsttoken via verktyget för att autentisera appen till Azure som den inloggade användaren.

Den här metoden är enklast att konfigurera för ett utvecklingsteam eftersom den utnyttjar utvecklarnas befintliga Azure-konton. Ett utvecklarkonto har dock sannolikt fler behörigheter än vad som krävs av appen, och överskrider därför de behörigheter som appen körs med i produktion. Alternativt kan du skapa huvudnamn för programtjänsten som ska användas under den lokala utvecklingen, vilket kan begränsas till att endast ha den åtkomst som krävs av appen.

1 – Skapa Microsoft Entra-grupp för lokal utveckling

Eftersom det nästan alltid finns flera utvecklare som arbetar med en app rekommenderar vi att en Microsoft Entra-grupp kapslar in de roller (behörigheter) som appen behöver i den lokala utvecklingen. Den här metoden erbjuder följande fördelar:

• Varje utvecklare är säker på att ha samma roller tilldelade eftersom roller tilldelas på gruppnivå.
• Om en ny roll behövs för appen behöver den bara läggas till i gruppen för appen.
• Om en ny utvecklare ansluter till teamet får de de behörigheter som krävs för att arbeta med appen efter att ha lagts till i gruppen.

Om du har en befintlig Microsoft Entra-grupp för ditt utvecklingsteam kan du använda den gruppen. I annat fall utför du följande steg för att skapa en Microsoft Entra-grupp.

Azure-portalen

Instruktioner	Skärmbild
Gå till sidan Microsoft Entra-ID i Azure-portalen genom att skriva Microsoft Entra-ID i sökrutan överst på sidan. Välj Microsoft Entra-ID under avsnittet Tjänster .
På sidan Microsoft Entra-ID väljer du Grupper på den vänstra menyn.
På sidan Alla grupper väljer du Ny grupp.
På sidan Ny grupp : Välj Säkerhet i listrutan Grupptyp . Gruppnamn → Ett namn för säkerhetsgruppen, som vanligtvis skapas från programnamnet. Det är också bra att inkludera en sträng som local-dev i namnet på gruppen för att ange syftet med gruppen. Gruppbeskrivning → En beskrivning av gruppens syfte. Välj länken Inga medlemmar har valts under Medlemmar för att lägga till medlemmar i gruppen.
I dialogrutan Lägg till medlemmar: Använd sökrutan för att filtrera listan med användarnamn i listan. Välj en eller flera användare för lokal utveckling för den här appen. När du väljer ett objekt flyttas objektet till listan Markerade objekt längst ned i dialogrutan. När du är klar väljer du knappen Välj .
På sidan Ny grupp väljer du Skapa för att skapa gruppen. Gruppen skapas och du kommer tillbaka till sidan Alla grupper . Det kan ta upp till 30 sekunder innan gruppen visas och du kan behöva uppdatera sidan på grund av cachelagring i Azure-portalen.

Azure CLI

Kommandot az ad group create används för att skapa grupper i Microsoft Entra-ID. Parametrarna --display-name och --mail-nickname krävs. Namnet som ges till gruppen ska baseras på appens namn. Det är också användbart att inkludera en fras som "local-dev" i gruppnamnet för att ange gruppens syfte.

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay \
    --description <group-description>

Kopiera värdet för id egenskapen i kommandots utdata. Den här id egenskapen representerar gruppens objekt-ID. Du behöver det i senare steg. Du kan också använda kommandot az ad group show för att hämta den här egenskapen.

Om du vill lägga till medlemmar i gruppen behöver du objekt-ID:t för Azure-användaren. Använd kommandot az ad user list för att lista de tillgängliga tjänstens huvudnamn. Parameterkommandot --filter accepterar filter i OData-format och kan användas för att filtrera listan på användarens visningsnamn som det visas. Parametern --query begränsar utdata till kolumner av intresse.

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:id, displayName:displayName}" \
    --output table

Kommandot az ad group member add kan sedan användas för att lägga till medlemmar i en grupp:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Kommentar

Som standard är skapandet av Microsoft Entra-grupper begränsat till vissa privilegierade roller i en katalog. Om du inte kan skapa en grupp kontaktar du en administratör för din katalog. Om du inte kan lägga till medlemmar i en befintlig grupp kontaktar du gruppägaren eller en katalogadministratör. Mer information finns i Hantera Microsoft Entra-grupper och gruppmedlemskap.

2 – Tilldela roller till Microsoft Entra-gruppen

Bestäm sedan vilka roller (behörigheter) din app behöver på vilka resurser och tilldela dessa roller till din app. I det här exemplet tilldelas rollerna till den Microsoft Entra-grupp som skapades i steg 1. Grupper kan tilldelas en roll i ett resurs-, resursgrupps- eller prenumerationsomfång. Det här exemplet visar hur du tilldelar roller i resursgruppen, omfång eftersom de flesta appar grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure-portalen

Instruktioner	Skärmbild
Leta upp resursgruppen för din app genom att söka efter resursgruppens namn med hjälp av sökrutan överst i Azure-portalen. Gå till resursgruppen genom att välja resursgruppens namn under rubriken Resursgrupper i dialogrutan.
På sidan för resursgruppen väljer du Åtkomstkontroll (IAM) på den vänstra menyn.
På sidan Åtkomstkontroll (IAM): Välj fliken Rolltilldelningar. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.
På sidan Lägg till rolltilldelning visas alla roller som kan tilldelas för resursgruppen. Använd sökrutan för att filtrera listan till en mer hanterbar storlek. Det här exemplet visar hur du filtrerar efter Storage Blob-roller. Välj den roll du vill tilldela. Välj Nästa för att gå till nästa skärm.
På nästa sida För att lägga till rolltilldelning kan du ange vilken användare som ska tilldela rollen till. Välj Användare, grupp eller tjänstens huvudnamn under Tilldela åtkomst till. Välj + Välj medlemmar under Medlemmar. En dialogruta öppnas till höger i Azure-portalen.
I dialogrutan Välj medlemmar: Textrutan Välj kan användas för att filtrera listan över användare och grupper i din prenumeration. Om det behövs skriver du de första tecknen i microsoft entra-gruppen för lokal utveckling som du skapade för appen. Välj den microsoft entra-grupp för lokal utveckling som är associerad med ditt program. Välj Välj längst ned i dialogrutan för att fortsätta.
Microsoft Entra-gruppen visas som markerad på skärmen Lägg till rolltilldelning . Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.

Azure CLI

Ett huvudnamn för programtjänsten tilldelas en roll i Azure med kommandot az role assignment create :

az role assignment create \
    --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

Om du vill hämta de rollnamn som ett huvudnamn för tjänsten kan tilldelas använder du kommandot az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Om du till exempel vill tillåta programtjänstens huvudnamn med appId för läs-, skriv- och borttagningsåtkomst 00000000-0000-0000-0000-000000000000 till Azure Storage-blobcontainrar och data till alla lagringskonton i resursgruppen msdocs-dotnet-sdk-auth-example , skulle du tilldela programtjänstens huvudnamn till rollen Storage Blob Data Contributor med hjälp av följande kommando:

az role assignment create \
    --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i Tilldela Azure-roller med hjälp av Azure CLI.

3 – Logga in på Azure med hjälp av utvecklarverktyg

Logga sedan in på Azure med något av flera utvecklarverktyg. Det konto som du autentiserar bör också finnas i den Microsoft Entra-grupp som du skapade och konfigurerade tidigare.

Visual Studio

1. Gå till Verktygsalternativ> för att öppna alternativdialogrutan.

2. I rutan Sökalternativ överst skriver du Azure för att filtrera de tillgängliga alternativen.

3. Under Azure Service Authentication väljer du Kontoval.

4. Välj den nedrullningsbara menyn under Välj ett konto och välj att lägga till ett Microsoft-konto. Ett fönster öppnas där du uppmanas att välja ett konto. Ange autentiseringsuppgifterna för ditt önskade Azure-konto och välj sedan bekräftelsen.

   

5. Välj OK för att stänga alternativdialogrutan.

Azure CLI

Öppna en terminal på utvecklararbetsstationen och logga in på Azure från Azure CLI:

az login

Azure Developer CLI

Öppna en terminal på utvecklararbetsstationen och logga in på Azure från Azure Developer CLI:

azd auth login

Azure PowerShell

Öppna en terminal på utvecklararbetsstationen och logga in på Azure från Azure PowerShell:

Connect-AzAccount

4 – Implementera DefaultAzureCredential i ditt program

DefaultAzureCredential är en åsiktsbaserad, ordnad sekvens med mekanismer för autentisering till Microsoft Entra. Varje autentiseringsmekanism är en klass som härleds från klassen TokenCredential och kallas för en autentiseringsuppgift. Vid körning DefaultAzureCredential försöker autentisera med hjälp av den första autentiseringsuppgiften. Om det inte går att hämta en åtkomsttoken görs nästa autentiseringsuppgifter i sekvensen och så vidare tills en åtkomsttoken har hämtats. På så sätt kan din app använda olika autentiseringsuppgifter i olika miljöer utan att skriva miljöspecifik kod.

Ordningen och platserna där DefaultAzureCredential du söker efter autentiseringsuppgifter finns i StandardAzureCredential.

Om du vill använda DefaultAzureCredentiallägger du till Azure.Identity och eventuellt Microsoft.Extensions.Azure-paketen i ditt program:

Kommandoraden

I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet-pakethanteraren

Högerklicka på projektet i Visual Studios Istraživač rešenja-fönster och välj Hantera NuGet-paket. Sök efter Azure.Identity och installera matchande paket. Upprepa den här processen för Microsoft.Extensions.Azure-paketet .

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. Dessa klasser och dina egna anpassade tjänster bör registreras så att de kan nås via beroendeinmatning i hela appen. I Program.csutför du följande steg för att registrera en klientklass och DefaultAzureCredential:

1. Azure.Identity Inkludera namnrymderna och Microsoft.Extensions.Azure via using direktiv.
2. Registrera Azure-tjänstklienten med hjälp av motsvarande Add-prefixed extension-metod.
3. Skicka en instans av DefaultAzureCredential till UseCredential -metoden.

Till exempel:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Ett alternativ till UseCredential är att instansiera DefaultAzureCredential direkt:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

När föregående kod körs på din lokala utvecklingsarbetsstation letar den i miljövariablerna efter ett huvudnamn för programtjänsten eller lokalt installerade utvecklarverktyg, till exempel Visual Studio, för en uppsättning autentiseringsuppgifter för utvecklare. Endera metoden kan användas för att autentisera appen till Azure-resurser under lokal utveckling.

När den distribueras till Azure kan samma kod även autentisera din app till andra Azure-resurser. DefaultAzureCredential kan hämta miljöinställningar och hanterade identitetskonfigurationer för att autentisera till andra tjänster automatiskt.