從內部部署的 Go 應用程式對 Azure 資源進行驗證

裝載於 Azure 外部的應用程式（例如內部部署或第三方資料中心）應該使用應用程式服務主體在存取 Azure 資源時向 Azure 進行驗證。 應用程式服務主體物件是使用 Azure 中的應用程式註冊程式所建立。 建立應用程式服務主體時，將會為您的應用程式產生用戶端標識碼和客戶端密碼。 接著，用戶端標識碼、用戶端密碼和租使用者標識符會儲存在環境變數中，讓 Azure SDK for Go 在運行時間向 Azure 驗證您的應用程式。

應該為每個裝載應用程式的環境建立不同的應用程式註冊。 這可讓每個服務主體設定環境特定的資源許可權，並確保部署到某個環境的應用程式不會與屬於另一個環境一部分的 Azure 資源交談。

1 - 在 Azure 中註冊應用程式

您可以使用 Azure 入口網站或 Azure CLI 向 Azure 註冊應用程式。

Azure 命令列介面 (CLI)

az ad sp create-for-rbac --name <app-name>

命令的輸出會類似下列內容。 請記下這些值，或讓此視窗保持開啟，因為您在後續步驟中需要這些值，而且無法再次檢視密碼 （客戶端密碼） 值。

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Azure 入口網站

登入 Azure 入口網站 並遵循下列步驟。

操作說明	螢幕快照
在 Azure 入口網站中： 在 Azure 入口網站頂端的搜索欄中，輸入 應用註冊。 選取標籤 應用程式註冊的專案， 出現在搜尋列下方的 [服務] 標題下。
在 [應用程式註冊] 頁面上，選取 [+ 新增註冊]。
在 註冊應用程式 頁面上，填寫表單，如下所示。 名稱 → 輸入 Azure 中應用程式註冊的名稱。 建議此名稱包括應用程式名稱和環境，例如測試環境或生產環境，以便於應用程式的註冊。 此組織目錄中支援的帳戶類型 → 僅限於此組織目錄的帳戶。 選取 註冊，以註冊您的應用程式並建立應用程式服務主體。
在您的應用程式的註冊頁面上： 應用程式（用戶端）標識碼 → 這是您的應用程式在本機開發期間用來存取 Azure 的應用程式識別碼。 將此值複製到文本編輯器中的暫存位置，因為您將在未來的步驟中用到此值。 目錄（租用戶）標識碼 → 您的應用程式向 Azure 驗證時也需要此值。 將此值複製到文本編輯器中的暫存位置，未來步驟中也需要此值。 客戶端認證 → 您必須設定應用程式的客戶端認證，您的應用程式才能向 Azure 進行驗證並使用 Azure 服務。 選取 [[新增憑證或秘密]，以新增應用程式的認證。
在 [憑證 & 秘密] 頁面上，選取 [+ 新增客戶端密碼]。
[新增客戶端密碼] 對話框會從頁面右側彈出。 在此對話框中: 描述 → 輸入 目前的值。 期限 → 選取 24 個月的值。 選取 ，然後添加 以增加秘密。 重要事項：在秘密到期日之前，在您的行事曆中設定提醒。 如此，您可以在此秘密到期前新增新的秘密，並在此秘密到期前更新您的應用程式，並避免應用程式中的服務中斷。
[憑證 & 秘密 頁面] 會顯示用戶端秘密的值。 將此值複製到文本編輯器中的暫存位置，因為您在未來的步驟中需要此值。 重要：這是您唯一會看到此值的時間。 離開或重新整理此頁面之後，您將無法再次看到此值。 您可以新增另一個客戶端密碼，而不會使此客戶端密碼失效，但您不會再次看到此值。

2 - 將角色指派給應用程式服務主體

接下來，您必須判斷您的應用程式需要哪些角色（許可權），以取得哪些資源，並將這些角色指派給您的應用程式。 可以在資源、資源群組或訂用帳戶範圍指派角色。 此範例示範如何在資源群組範圍指派服務主體的角色，因為大部分的應用程式都會將其所有 Azure 資源分組到單一資源群組中。

Azure CLI

服務主體會使用 az role assignment create 命令在 Azure 中分配角色。

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}" 

若要取得服務主體可指派的角色名稱，請使用 az role definition list 命令。

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

例如，若要允許具有 00001111-aaaa-2222-bbbb-3333cccc4444 讀取、寫入和刪除 azure 記憶體 Blob 容器和數據之 appId 的服務主體，以及 msdocs-go-sdk-auth-example 訂用帳戶中標識符為 aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e的資源群組，您可以使用下列命令，將應用程式服務主體指派給 儲存器 Blob 數據參與者 角色。

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-go-sdk-auth-example \
    --role "Storage Blob Data Contributor"

如需使用 Azure CLI 在資源或訂用帳戶層級指派許可權的相關信息，請參閱 使用 Azure CLI指派 Azure 角色一文。

Azure 入口網站

說明	螢幕快照
使用 Azure 入口網站頂端的搜尋方塊來搜尋資源組名，以找出應用程式的資源群組。 在對話框中，選取 [資源群組] 標題下的資源群組名稱，以便前往您的資源群組。
在資源群組的頁面上，從左側功能表中選取 [存取控制 (IAM)]。
在 存取控制（IAM） 頁面上： 選取 [角色指派] 索引標籤。 從頂端功能表中選取 [+ 新增]，然後從產生的下拉功能表選取 [新增角色指派]。
[新增角色指派] 頁面會列出可以為資源群組指派的所有角色。 使用搜尋方塊將清單篩選為更容易管理的大小。 此範例示範如何篩選記憶體 Blob 角色。 選取您要指派的角色。 選取 [[下一步] 以移至下一個畫面。
下一個 新增角色指派 頁面可讓您指定要指派角色的使用者。 選取 使用者、群組或服務主體 ，在 將存取權指派給底下。 選取 ，然後在 成員 中選擇成員 對話框隨即在 Azure 入口網站的右側開啟。
在 [選取成員] 對話框中： [選取] 文字框可用來篩選訂用帳戶中的使用者和群組清單。 如有需要，請輸入您為應用程式建立的服務主體的前幾個字元來篩選清單。 選取與您的應用程式相關聯的服務主體。 在對話框底部，選取 [] 和 [] 以繼續。
服務主體會顯示為已選取，位於 [新增角色指派] 畫面上。 選取 檢閱 + 指派，前往最後一頁，然後再次選取 檢閱 + 指派 以完成此過程。

3 - 設定應用程式的環境變數

您必須為執行 Go 應用程式的程式設定 AZURE_CLIENT_ID、AZURE_TENANT_ID和 AZURE_CLIENT_SECRET 環境變數，讓應用程式服務主體認證可在運行時間使用。 DefaultAzureCredential 對象會尋找這些環境變數中的服務主體資訊。

變數名稱	價值
AZURE_CLIENT_ID	Azure 服務主體的應用程式標識碼
AZURE_TENANT_ID	應用程式 Microsoft Entra 租用戶的 ID
AZURE_CLIENT_SECRET	Azure 服務主體的密碼

Bash

export AZURE_TENANT_ID="<active_directory_tenant_id>"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_SECRET="<service_principal_password>"

PowerShell

$env:AZURE_TENANT_ID="<active_directory_tenant_id>"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_SECRET="<service_principal_password>"

4 - 在應用程式中實作 DefaultAzureCredential

若要向 Azure 驗證 Azure SDK 用戶端物件，您的應用程式應該使用來自 azidentity 套件的 DefaultAzureCredential 類型。

首先，將 azidentity 套件新增至您的應用程式。

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

接下來，針對在應用程式中具現化 Azure SDK 用戶端的任何 Go 程式代碼，您會想要：

1. 匯入 azidentity 套件。
2. 建立 DefaultAzureCredential 類型的實例。
3. 將 DefaultAzureCredential 類型的實例傳遞至 Azure SDK 用戶端建構函式。

下列程式代碼區段會顯示此範例。

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

當上述程式代碼具現化 DefaultAzureCredential時，DefaultAzureCredential 讀取環境變數 AZURE_TENANT_ID、AZURE_CLIENT_ID和 AZURE_CLIENT_SECRET，讓應用程式服務主體資訊連線到 Azure。