在本地开发期间使用开发人员帐户对访问 Azure 服务的 .NET 应用进行身份验证

开发人员需要在其本地工作站上调试和测试云应用。 在本地开发期间，当应用在开发人员的工作站上运行时，它仍然必须向应用使用的任何 Azure 服务进行身份验证。 本文介绍如何在本地开发期间使用开发人员的 Azure 凭据对访问 Azure 的应用进行身份验证。

要使应用能够在本地开发期间使用开发人员的 Azure 凭据向 Azure 进行身份验证，必须通过下述开发人员工具之一将开发人员登录到 Azure：

• Visual Studio
• Azure CLI
• Azure 开发人员 CLI
• Azure PowerShell

Azure 标识库可以检测到开发人员已从其中一个工具登录。 然后，该库可通过工具获取 Microsoft Entra 访问令牌，以将应用作为登录用户向 Azure 进行身份验证。

这种方法对于开发团队而言最容易设置，因为它利用开发人员的现有 Azure 帐户。 但是，开发人员帐户拥有的权限可能比应用需要的权限更多，因此超出了应用在生产环境中运行时使用的权限。 作为替代方法，可以创建在本地开发期间使用的应用程序服务主体，其权限范围仅限应用所需的访问权限。

1 - 为本地开发创建 Microsoft Entra 组

由于基本上始终有多个开发人员在开发一个应用，因此推荐一个 Microsoft Entra 组来封装应用在本地开发中所需的角色（权限）。 此方法提供以下优势：

• 由于角色是在组级别分配的，因此可以确保为每个开发人员分配相同的角色。
• 如果应用需要新角色，只需将此角色添加到应用的组即可。
• 如果有新的开发人员加入团队，他们将获得在添加到组后处理应用所需的权限。

如果开发团队已有一个 Microsoft Entra 组，则你可以使用该组。 否则，请完成以下步骤来创建 Microsoft Entra 组。

Azure 门户

说明	屏幕快照
通过在页面顶部的搜索框中键入 Microsoft Entra ID，导航到 Azure 门户中的 Microsoft Entra ID 页。 在“服务”部分下选择“Microsoft Entra ID”。
在“Microsoft Entra ID”页上，从左侧菜单中选择“组”。
在“所有组”页上，选择“新建组”。
在“新建组”页上： 从“组类型”下拉列表中选择“安全性”。 组名称 → 安全组的名称，通常是基于应用程序名称创建的。 在组的名称中包含类似于 local-dev 的字符串来指示组的用途也很有帮助。 组说明 → 组的用途说明。 在“成员”下选择“未选择成员”链接，以将成员添加到组中。
在“添加成员”对话框中： 使用搜索框筛选列表中的用户名。 选择一个或多个应用对此应用进行本地开发。 选择对象时，该对象将移动到对话框底部的“选定项”列表。 完成后，选中“选择”按钮。
返回“新建组”页，选择“创建”来创建组。将创建组，你将返回到“所有组”页面。 最长可能需要在 30 秒后才会显示该组，由于 Azure 门户中会进行缓存，你可能需要刷新页面。

Azure CLI

az ad group create 命令用于在 Microsoft Entra ID 中创建组。 --display-name 和 --mail-nickname 参数是必需的。 为组指定的名称应基于应用的名称。 在组名包含类似于“local-dev”的短语来指示组的用途也很有用。

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay \
    --description <group-description>

复制命令输出中 id 属性的值。 此 id 属性表示组的对象 ID。 后面的步骤需要用到它。 还可以使用 az ad group show 命令来检索此属性。

要将成员添加到组中，需要获取 Azure 用户的对象 ID。 使用 az ad user list 命令列出可用的服务主体。 --filter 参数命令接受 OData 样式筛选器，可用于按用户显示名称筛选列表，如图所示。 --query 参数将输出限制为相关的列。

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:id, displayName:displayName}" \
    --output table

然后可以使用 az ad group member add 命令将成员添加到组中：

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

注意

默认情况下，只有目录中的某些特权角色能够创建 Microsoft Entra 组。 如果无法创建组，请联系目录的管理员。 如果无法将成员添加到现有组，请联系组所有者或目录管理员。 若要了解详细信息，请参阅管理 Microsoft Entra 组和组成员身份。

2 - 将角色分配给 Microsoft Entra 组

接下来，请确定应用在哪些资源上需要哪些角色（权限），并将这些角色分配到应用。 在此示例中，角色将分配给在步骤 1 中创建的 Microsoft Entra 组。 可以在资源、资源组或订阅范围分配组。 此示例演示如何在资源组范围分配角色，因为大多数应用将其所有 Azure 资源分组到单个资源组中。

Azure 门户

说明	屏幕快照
使用 Azure 门户顶部的搜索框搜索资源组名称，找到应用的资源组。 在对话框中的“资源组”标题下选择资源组名称，导航到该资源组。
在资源组的页面上，从左侧菜单中选择“访问控制(IAM)”。
在“访问控制(IAM)”页上： 选择“角色分配”选项卡。 从顶部菜单中选择“+ 添加”，然后从出现的下拉菜单中选择“添加角色分配”。
“添加角色分配”页列出了可为资源组分配的所有角色。 使用搜索框筛选列表，以便以更容易操作的大小显示内容。 此示例演示如何筛选存储 Blob 角色。 选择要分配的角色。 选择“下一步”转到下一屏幕。
在下一个“添加角色分配”页面中，可以指定要将角色分配给哪个用户。 在“将访问权限分配给”下选择“用户、组或服务主体”。 在“成员”下选择“+ 选择成员”。 Azure 门户的右侧会打开一个对话框。
在“选择成员”对话框中： “选择”文本框可用于筛选订阅中的用户和组列表。 如果需要，请键入为应用创建的本地开发 Microsoft Entra 组的前几个字符。 选择与应用程序关联的本地开发 Microsoft Entra 组。 在对话框底部选择“选择”以继续。
现在，该 Microsoft Entra 组将在“添加角色分配”屏幕上显示为选中状态。 选择“查看 + 分配”转到最后一页，然后再次选择“查看 + 分配”完成该过程。

Azure CLI

使用 az role assignment create 命令为应用程序服务主体分配 Azure 中的角色：

az role assignment create \
    --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

若要获取可为服务主体分配的角色名称，请使用 az role definition list 命令：

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

例如，若要允许 appId 为 00000000-0000-0000-0000-000000000000 的应用程序服务主体对 Azure 存储 Blob 容器，以及对 msdocs-dotnet-sdk-auth-example 资源组中所有存储帐户的数据进行读取、写入和删除访问，可使用以下命令将应用程序服务主体分配到“存储 Blob 数据参与者”角色：

az role assignment create \
    --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

若要了解如何使用 Azure CLI 在资源或订阅级别分配权限，请参阅使用 Azure CLI 分配 Azure 角色。

3 - 使用开发人员工具登录到 Azure

接下来，使用多个开发人员工具之一登录到 Azure。 进行身份验证的帐户也应该存在于前面创建并配置的 Microsoft Entra 组中。

Visual Studio

1. 导航到“工具”>“选项”，打开“选项”对话框。

2. 在顶部的“搜索选项”框中，键入“Azure”来筛选可用选项。

3. 在“Azure 服务身份验证”下，选择“帐户选择”。

4. 选择“选择帐户”下的下拉菜单，然后选择添加 Microsoft 帐户。 此时会打开一个窗口，提示你选取一个帐户。 输入所需 Azure 帐户的凭据，然后选择“确认”。

   

5. 选择“确定”来关闭“选项”对话框。

Azure CLI

在开发人员工作站上打开终端，然后从 Azure CLI 登录到 Azure：

az login

Azure 开发人员 CLI

在开发人员工作站上打开终端，然后从 Azure Developer CLI 登录到 Azure：

azd auth login

Azure PowerShell

在开发人员工作站上打开终端，然后从 Azure PowerShell 登录到 Azure：

Connect-AzAccount

4 - 在应用程序中实现 DefaultAzureCredential

DefaultAzureCredential 是一个带个人观点的有序机制序列，用于向 Microsoft Entra 进行身份验证。 每个身份验证机制都是一个派生自 TokenCredential 类的类，称为“凭据”。 在运行时，DefaultAzureCredential 尝试使用第一个凭据进行身份验证。 如果该凭据无法获取访问令牌，则会尝试序列中的下一个凭据，以此类推，直到成功获取访问令牌。 这样，应用就可在不同的环境中使用不同的凭据，而无需编写特定于环境的代码。

DefaultAzureCredential 按哪种顺序和在哪个位置查找凭据见于 DefaultAzureCredential。

若要使用 DefaultAzureCredential，请将 Azure.Identity 和 Microsoft.Extensions.Azure 包添加到应用程序：

命令行

在所选终端中，导航到应用程序项目目录并运行以下命令：

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet 程序包管理器

在 Visual Studio 的“解决方案资源管理器”窗口中右键单击项目，然后选择“管理 NuGet 包”。 搜索“Azure.Identity”，然后安装匹配的包。 对“Microsoft.Extensions.Azure”包重复此过程。

使用各种 Azure SDK 客户端库中的专用客户端类访问 Azure 服务。 应注册这些类和你自己的自定义服务，以便可以在整个应用中通过依赖项注入来访问它们。 在 Program.cs 中，完成以下步骤以注册客户端类和 DefaultAzureCredential：

1. 通过 using 指令包含 Azure.Identity 和 Microsoft.Extensions.Azure 命名空间。
2. 使用相应的 Add 前缀扩展方法注册 Azure 服务客户端。
3. 将 DefaultAzureCredential 的实例传递给 UseCredential 方法。

例如：

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

UseCredential 的替代方法是直接实例化 DefaultAzureCredential：

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

上述代码在本地开发工作站上运行时，它会在应用程序服务主体的环境变量或本地安装的开发人员工具（如 Visual Studio）中查找一组开发人员凭据。 在本地开发期间，两种方法都可用于对访问 Azure 资源的应用进行身份验证。

部署到 Azure 时，此代码也可以对访问 Azure 资源的应用进行身份验证。 DefaultAzureCredential 可以检索环境设置和托管标识配置，以自动向其他服务进行身份验证。