Autentisera .NET-appar till Azure-tjänster under lokal utveckling med hjälp av tjänstens huvudnamn

Under den lokala utvecklingen måste program autentiseras till Azure för att få åtkomst till olika Azure-tjänster. Två vanliga metoder för lokal autentisering är att använda ett utvecklarkonto eller ett huvudnamn för tjänsten. Den här artikeln beskriver hur du använder ett huvudnamn för programtjänsten. I de kommande avsnitten lär du dig:

• Så registrerar du en applikation i Microsoft Entra för att skapa ett tjänstehuvudnamn
• Så här använder du Microsoft Entra-grupper för att effektivt hantera behörigheter
• Hur man tilldelar roller för att begränsa behörigheter
• Autentisera med tjänstens huvudnamn från din appkod

Med dedikerade huvudnamn för programtjänsten kan du följa principen om lägsta behörighet när du får åtkomst till Azure-resurser. Behörigheter är begränsade till de specifika kraven för appen under utvecklingen, vilket förhindrar oavsiktlig åtkomst till Azure-resurser som är avsedda för andra appar eller tjänster. Den här metoden hjälper också till att undvika problem när appen flyttas till produktion genom att se till att den inte är överprivilegierad i utvecklingsmiljön.

Ett diagram som visar hur en lokal .NET-app använder utvecklarens autentiseringsuppgifter för att ansluta till Azure med hjälp av lokalt installerade utvecklingsverktyg.

När appen är registrerad i Azure skapas ett huvudnamn för programtjänsten. För lokal utveckling:

• Skapa en separat appregistrering för varje utvecklare som arbetar med appen för att säkerställa att varje utvecklare har sitt eget huvudnamn för programtjänsten, vilket undviker behovet av att dela autentiseringsuppgifter.
• Skapa en separat appregistrering för varje app för att begränsa appens behörigheter till endast det som är nödvändigt.

Under lokal utveckling anges miljövariabler med programtjänstens huvudnamns identitet. Azure Identity-biblioteket läser dessa miljövariabler för att autentisera appen till nödvändiga Azure-resurser.

Registrera appen i Azure

Huvudobjekt för programtjänsten skapas via en appregistrering i Azure med hjälp av antingen Azure-portalen eller Azure CLI.

Azure-Portalen

1. I Azure-portalen använder du sökfältet för att navigera till sidan Appregistreringar.

2. På sidan Appregistreringar väljer du + Ny registrering.

3. På sidan Registrera en applikation:

   • För fältet Namn anger du ett beskrivande värde som innehåller appnamnet och målmiljön.
   • För kontotyper som stödsväljer du endast Konton i den här organisationskatalogen (endast Microsoft Customer Led – Enskild klientorganisation)eller vilket alternativ som passar bäst för dina behov.

4. Välj Registrera för att registrera din app och skapa tjänstens huvudnamn.

   

5. På sidan Appregistrering för din app kopierar du Program-ID (klient) och Katalog-ID (hyresgäst), som du sedan klistrar in på en tillfällig plats för senare användning i appkodkonfigurationerna.

6. Välj Lägg till ett certifikat eller en hemlig för att konfigurera autentiseringsuppgifter för din app.

7. På sidan Certifikat och hemligheter väljer du + Ny klienthemlighet.

8. I Lägg till en klienthemlighet flyout-panelen som öppnas:

   • För Beskrivninganger du värdet Aktuell.
   • För värdet Upphör att gälla lämnar du det rekommenderade standardvärdet på 180 dagar.
   • Välj Lägg till för att lägga till den hemliga.

9. På sidan certifikat & hemligheter kopierar du egenskapen Value för klienthemligheten för användning i ett framtida steg.

   Not

   Värdet för klienthemlighet visas bara en gång efter att appregistreringen har skapats. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det går inte att visa det här värdet igen.

Azure CLI

Azure CLI-kommandon kan köras i Azure Cloud Shell eller på en arbetsstation där Azure CLI är installerade.

1. Använd kommandot az ad sp create-for-rbac för att skapa en ny app-registrering och ett tjänsthuvudnamn för appen.

   az ad sp create-for-rbac --name <service-principal-name>
   

   Utdata från det här kommandot liknar följande JSON:

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Kopiera utdata till en tillfällig fil i en textredigerare eftersom du behöver dessa värden i ett framtida steg.

   Not

   Värdet för klienthemlighet visas bara en gång efter att appregistreringen har skapats. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det går inte att visa det här värdet igen.

Skapa en Microsoft Entra-grupp för lokal utveckling

Skapa en Microsoft Entra-grupp för att kapsla in de roller (behörigheter) som appen behöver under lokal utveckling, istället för att tilldela rollerna till enskilda tjänsthuvudobjekt. Den här metoden erbjuder följande fördelar:

• Varje utvecklare har samma roller tilldelade på gruppnivå.
• Om en ny roll behövs för appen behöver den bara läggas till i gruppen för appen.
• Om en ny utvecklare ansluter till teamet skapas ett nytt huvudnamn för programtjänsten för utvecklaren och läggs till i gruppen, vilket säkerställer att utvecklaren har rätt behörighet att arbeta med appen.

Azure-Portalen

1. Gå till översiktssidan för Microsoft Entra ID på Azure-portalen.

2. Välj Alla grupper på den vänstra menyn.

3. På sidan Grupper väljer du Ny grupp.

4. På sidan Ny grupp fyller du i följande formulärfält:

   • Grupptyp: Välj Security.
   • Gruppnamn: Ange ett namn för gruppen som innehåller en referens till appen eller miljönamnet.
   • Gruppbeskrivning: Ange en beskrivning som förklarar syftet med gruppen.

   

5. Välj länken Inga medlemmar har valts under Medlemmar för att lägga till medlemmar i gruppen.

6. I den utfällbara panelen som öppnas söker du efter tjänstens huvudnamn som du skapade tidigare och väljer det från de filtrerade resultaten. Välj knappen Välj längst ned i panelen för att bekräfta ditt val.

7. Välj Skapa längst ned på sidan Ny grupp för att skapa gruppen och återgå till sidan Alla grupper. Om du inte ser den nya gruppen i listan väntar du en stund och uppdaterar sidan.

Azure CLI

1. Använd kommandot az ad group create för att skapa grupper i Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Parametrarna --display-name och --mail-nickname krävs. Namnet som ges till gruppen ska baseras på appens namn och miljö för att indikera gruppens syfte.

2. Om du vill lägga till medlemmar i gruppen behöver du objekt-ID:t för programtjänstens huvudnamn, som skiljer sig från program-ID:t. Använd kommandot az ad sp för att visa en lista över tillgängliga tjänsthuvudnamn:

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Parametern --filter accepterar OData-filter och kan användas för att filtrera listan som visas. Parametern --query begränsar utdata till enbart kolumner av intresse.

3. Använd kommandot az ad group member add för att lägga till medlemmar i gruppen:

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Tilldela roller till gruppen

Bestäm sedan vilka roller (behörigheter) din app behöver för vilka resurser och tilldela dessa roller till den Microsoft Entra-grupp som du skapade. Grupper kan tilldelas en roll på resurs-, resursgrupps- eller prenumerationsnivå. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång, eftersom de flesta appar grupperar alla sina Azure-resurser i en enda resursgrupp.

Azure-Portalen

1. I Azure-portalen går du till sidan Översikt i resursgruppen som innehåller din app.

2. Välj åtkomstkontroll (IAM) i navigeringsmenyn till vänster.

3. På sidan Åtkomstkontroll (IAM) väljer du + Lägg till och väljer sedan Lägg till rolltilldelning på den nedrullningsbara menyn. Sidan Lägg till rolltilldelning innehåller flera flikar för att konfigurera och tilldela roller.

4. På fliken Roll använder du sökrutan för att hitta den roll som du vill tilldela. Välj rollen och välj sedan Nästa.

5. På fliken Medlemmar:

   • För värdet Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn .
   • För värdet Medlemmar väljer du + Välj medlemmar för att öppna Välj medlemmar utfällbara panelen.
   • Sök efter den Microsoft Entra-grupp som du skapade tidigare och välj den från de filtrerade resultaten. Välj Välj för att välja gruppen och stänga den utfällbara panelen.
   • Välj Granska + tilldela längst ned på fliken Medlemmar.

   

6. På fliken Granska + tilldela väljer du Granska + tilldela längst ned på sidan.

Azure CLI

1. Använd kommandot az role definition list för att hämta namnen på de roller som en Microsoft Entra-grupp eller tjänstens huvudprincipal kan tilldelas:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Använd kommandot az role assignment create för att tilldela en roll till den Microsoft Entra-grupp som du skapade:

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i Tilldela Azure-roller med hjälp av Azure CLI.

Ange appmiljövariablerna

Vid körning söker vissa behörighetsuppgifter från Azure Identity-biblioteket, till exempel DefaultAzureCredential, EnvironmentCredentialoch ClientSecretCredential, efter information om tjänstens huvudmän enligt konvention i miljövariablerna. Det finns flera sätt att konfigurera miljövariabler när du arbetar med .NET, beroende på verktyg och miljö.

Oavsett vilken metod du väljer konfigurerar du följande miljövariabler för tjänstens huvudnamn:

• AZURE_CLIENT_ID: Används för att identifiera den registrerade appen i Azure.
• AZURE_TENANT_ID: ID för Microsoft Entra-klienten.
• AZURE_CLIENT_SECRET: Den hemliga autentiseringsuppgift som genererades för appen.

I Visual Studio kan miljövariabler anges i filen launchsettings.json i mappen Properties i projektet. Dessa värden hämtas automatiskt när appen startar. De här konfigurationerna följer dock inte med din app under distributionen, så du måste konfigurera miljövariabler i målvärdmiljön.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    }
  }

I Visual Studio Code kan miljövariabler anges i launch.json filen i projektet. Dessa värden hämtas automatiskt när appen startar. De här konfigurationerna följer dock inte med din app under distributionen, så du måste konfigurera miljövariabler i målvärdmiljön.

"configurations": [
{
    "env": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Du kan ange miljövariabler för Windows från kommandoraden. Värdena är dock tillgängliga för alla appar som körs på operativsystemet och kan orsaka konflikter, så var försiktig med den här metoden. Miljövariabler kan anges på användar- eller systemnivå.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell kan också användas för att ange miljövariabler på användar- eller systemnivå:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Autentisera till Azure-tjänster från din app

Azure Identity-biblioteket innehåller olika autentiseringsuppgifter– implementeringar av TokenCredential anpassade för att stödja olika scenarier och Microsoft Entra-autentiseringsflöden. Följande steg visar hur du använder ClientSecretCredential när du arbetar med serviceprincipaler lokalt och i produktionen.

Implementera koden

Lägg till paketet Azure.Identity. I ett ASP.NET Core-projekt installerar du även paketet Microsoft.Extensions.Azure:

Kommandoraden

I valfri terminal går du till programprojektkatalogen och kör följande kommandon:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet-pakethanteraren

Högerklicka på projektet i fönstret Visual Studio Solution Explorer och välj Hantera NuGet-paket. Sök efter Azure.Identity och installera det matchande paketet. Upprepa den här processen för Microsoft.Extensions.Azure-paketet .

Installera ett paket med hjälp av pakethanteraren.

Azure-tjänster används med hjälp av specialiserade klientklasser från de olika Azure SDK-klientbiblioteken. Dessa klasser och dina egna anpassade tjänster bör registreras för beroendeinmatning så att de kan användas i hela appen. I Program.csutför du följande steg för att konfigurera en klientklass för beroendeinmatning och tokenbaserad autentisering:

1. Inkludera Azure.Identity och Microsoft.Extensions.Azure namnrymderna via using direktiv.
2. Registrera Azure-tjänstklienten genom att använda motsvarande Add-försedd utökningmetod.
3. Konfigurera ClientSecretCredential med tenantId, clientIdoch clientSecret.
4. Skicka ClientSecretCredential-instansen till metoden UseCredential.

builder.Services.AddAzureClients(clientBuilder =>
{
    var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
    var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
    var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new ClientSecretCredential(tenantId, clientId, clientSecret));
});

Ett alternativ till metoden UseCredential är att tillhandahålla autentiseringsuppgifterna direkt till tjänstklienten:

var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new ClientSecretCredential(tenantId, clientId, clientSecret)));