Ověřování aplikací .NET ve službách Azure během místního vývoje pomocí instančních objektů

Vývojáři potřebují ladit a testovat cloudové aplikace na místní pracovní stanici. Když aplikace běží na pracovní stanici vývojáře během místního vývoje, musí se stále ověřovat u všech služeb Azure, které aplikace používá. Tento článek popisuje, jak nastavit vyhrazené objekty instančního objektu aplikace, které se mají používat při místním vývoji.

Diagram znázorňující, jak místní aplikace .NET používá přihlašovací údaje vývojáře k připojení k Azure pomocí místně nainstalovaných vývojových nástrojů

Vyhrazené instanční objekty aplikací pro místní vývoj umožňují dodržovat princip nejnižších oprávnění během vývoje aplikací. Vzhledem k tomu, že oprávnění jsou vymezená přesně na to, co je potřeba pro aplikaci během vývoje, brání kód aplikace v náhodném přístupu k prostředku Azure určenému pro použití jinou aplikací. Tím také zabráníte tomu, aby při přesunu aplikace do produkčního prostředí došlo k chybám, protože aplikace byla v vývojovém prostředí příliš privilegovaná.

Instanční objekt aplikace se nastaví pro aplikaci, když je aplikace zaregistrovaná v Azure. Při registraci aplikace pro místní vývoj se doporučuje:

  • Vytvořte samostatnou registraci aplikace pro každého vývojáře, který na aplikaci pracuje. Tím se vytvoří samostatné instanční objekty aplikací pro každého vývojáře, které budou používat při místním vývoji, a zabrání vývojářům sdílet přihlašovací údaje pro jeden instanční objekt aplikace.
  • Vytvořte samostatnou registraci aplikace pro každou aplikaci. Tím se vymenou oprávnění aplikace jenom na to, co aplikace potřebuje.

Během místního vývoje se proměnné prostředí nastaví s identitou instančního objektu aplikace. Knihovna Identit Azure čte tyto proměnné prostředí a používá tyto informace k ověření aplikace v prostředcích Azure, které potřebuje.

1. Registrace aplikace v Azure

Objekty instančního objektu aplikace se vytvářejí s registrací aplikace v Azure. Můžete to provést pomocí webu Azure Portal nebo Azure CLI.

Přihlaste se k webu Azure Portal a postupujte podle těchto kroků.

Pokyny Snímek obrazovky
Na webu Azure Portal:
  1. Na panelu hledání v horní části webu Azure Portal zadejte registrace aplikací.
  2. Vyberte položku označenou Registrace aplikací pod nadpisem Služby v nabídce, která se zobrazí pod panelem hledání.
Snímek obrazovky znázorňující, jak pomocí horního panelu hledání na webu Azure Portal najít a přejít na Registrace aplikací stránku
Na stránce Registrace aplikací vyberte + Nová registrace. Snímek obrazovky znázorňující umístění tlačítka Nová registrace na stránce Registrace aplikací
Na stránce Zaregistrovat aplikaci vyplňte formulář následujícím způsobem.
  1. Název → Zadejte název registrace aplikace v Azure. Tento název se doporučuje zahrnout název aplikace, uživatel, pro který je registrace aplikace, a identifikátor, jako je "dev", který označuje, že registrace aplikace se používá v místním vývoji.
  2. Podporované typy účtů → Účty pouze v tomto organizačním adresáři.
Vyberte Zaregistrovat a zaregistrujte aplikaci a vytvořte instanční objekt aplikace.
Snímek obrazovky znázorňující, jak vyplnit stránku Registrace aplikace tak, že aplikaci pojmenujete a zadáte podporované typy účtů jako účty pouze v tomto organizačním adresáři.
Na stránce Registrace aplikace pro vaši aplikaci:
  1. ID aplikace (klienta) → Toto je ID aplikace, které bude aplikace používat pro přístup k Azure během místního vývoje. Tuto hodnotu zkopírujte do dočasného umístění v textovém editoru, protože ji budete potřebovat v dalším kroku.
  2. ID adresáře (tenanta) → Tuto hodnotu bude vaše aplikace potřebovat také při ověřování v Azure. Zkopírujte tuto hodnotu do dočasného umístění v textovém editoru, protože ji budete potřebovat i v dalším kroku.
  3. Přihlašovací údaje klienta → Před ověřením aplikace v Azure a používáním služeb Azure musíte pro aplikaci nastavit přihlašovací údaje klienta. Vyberte Přidat certifikát nebo tajný klíč a přidejte přihlašovací údaje pro vaši aplikaci.
Snímek obrazovky se stránkou registrace aplikace po dokončení registrace aplikace Tento snímek obrazovky ukazuje umístění ID aplikace a ID tenanta, které bude potřeba v dalším kroku. Zobrazuje také umístění odkazu, které se má použít k přidání tajného kódu aplikace pro aplikaci.
Na stránce Certifikáty a tajné kódy vyberte + Nový tajný klíč klienta. Snímek obrazovky znázorňující umístění odkazu, které se má použít k vytvoření nového tajného klíče klienta na stránce certifikátů a tajných kódů
Dialogové okno Pro přidání tajného klíče klienta se zobrazí na pravé straně stránky. V tomto dialogovém okně:
  1. Popis → Zadejte hodnotu Current.
  2. Vyprší → Vyberte hodnotu 24 měsíců.
Chcete-li přidat tajný kód, vyberte Přidat .
Snímek obrazovky zobrazující stránku, na které se přidá nový tajný klíč klienta pro instanční objekt aplikace vytvořený procesem registrace aplikace
Na stránce Certifikáty a tajné kódy se zobrazí hodnota tajného klíče klienta.

Tuto hodnotu zkopírujte do dočasného umístění v textovém editoru, protože ji budete potřebovat v dalším kroku.

DŮLEŽITÉ: Toto je jediný čas, kdy uvidíte tuto hodnotu. Po opuštění nebo aktualizaci této stránky už tuto hodnotu neuvidíte. Můžete přidat další tajný klíč klienta bez zneplatnění tohoto tajného klíče klienta, ale tuto hodnotu znovu neuvidíte.
Snímek obrazovky zobrazující stránku s vygenerovaným tajným kódem klienta

2. Vytvoření skupiny Microsoft Entra pro místní vývoj

Vzhledem k tomu, že v aplikaci pracuje obvykle více vývojářů, doporučujeme vytvořit skupinu Microsoft Entra, která zapouzdří role (oprávnění), které aplikace potřebuje v místním vývoji, a ne přiřazovat role jednotlivým objektům instančního objektu. Tento přístup nabízí následující výhody:

  • Každý vývojář má jistotu, že má přiřazené stejné role, protože role jsou přiřazené na úrovni skupiny.
  • Pokud je pro aplikaci potřeba nová role, stačí ji přidat jenom do skupiny aplikace.
  • Pokud se nový vývojář připojí k týmu, vytvoří se nový instanční objekt aplikace pro vývojáře a přidá se do skupiny, aby vývojář získal správná oprávnění pro práci s aplikací.
Pokyny Snímek obrazovky
Na webu Azure Portal přejděte na stránku Microsoft Entra ID zadáním ID Microsoft Entra do vyhledávacího pole v horní části stránky. V části Služby vyberte ID Microsoft Entra. Snímek obrazovky znázorňující, jak pomocí horního panelu hledání na webu Azure Portal vyhledat a přejít na stránku MICROSOFT Entra ID
Na stránce Microsoft Entra ID vyberte skupiny z levé nabídky. Snímek obrazovky znázorňující umístění položky nabídky Skupiny v nabídce vlevo na stránce Výchozí adresář Microsoft Entra
Na stránce Všechny skupiny vyberte Možnost Nová skupina. Snímek obrazovky znázorňující umístění tlačítka Nová skupina na stránce Všechny skupiny
Na stránce Nová skupina:
  1. Typ skupiny → Zabezpečení
  2. Název skupiny → název skupiny zabezpečení, obvykle vytvořený z názvu aplikace. Je také užitečné do názvu skupiny zahrnout řetězec, jako je local-dev , který označuje účel skupiny.
  3. Popis skupiny → Popis účelu skupiny.
  4. Vyberte odkaz Žádné členy vybrané v části Členové a přidejte do skupiny členy.
Snímek obrazovky znázorňující, jak vyplnit formulář pro vytvoření nové skupiny Microsoft Entra pro aplikaci Tento snímek obrazovky také ukazuje umístění odkazu, které chcete vybrat pro přidání členů do této skupiny.
V dialogovém okně Přidat členy :
  1. Pomocí vyhledávacího pole vyfiltrujte seznam hlavních názvů v seznamu.
  2. Vyberte instanční objekty aplikace pro místní vývoj pro tuto aplikaci. Při výběru objektů se zobrazí šedě a přesunou se do seznamu Vybraných položek v dolní části dialogového okna.
  3. Po dokončení vyberte tlačítko Vybrat .
Snímek obrazovky s dialogovým oknem Přidat členy znázorňující, jak vybrat instanční objekty aplikace, které se mají zahrnout do skupiny
Zpět na stránce Nová skupina vyberte Vytvořit a vytvořte skupinu.

Skupina se vytvoří a vrátíte se na stránku Všechny skupiny . Zobrazení skupiny může trvat až 30 sekund. Možná budete muset stránku aktualizovat kvůli ukládání do mezipaměti na webu Azure Portal.
Snímek obrazovky se stránkou Nová skupina znázorňující, jak proces dokončit výběrem tlačítka Vytvořit

3. Přiřazení rolí k aplikaci

Dále určete, jaké role (oprávnění) vaše aplikace potřebuje k jakým prostředkům, a přiřaďte tyto role k aplikaci. V tomto příkladu se role přiřadí skupině Microsoft Entra vytvořené v kroku 2. Skupiny je možné přiřadit roli v oboru prostředku, skupiny prostředků nebo předplatného. Tento příklad ukazuje, jak přiřadit role v oboru skupiny prostředků, protože většina aplikací seskupuje všechny prostředky Azure do jedné skupiny prostředků.

Pokyny Snímek obrazovky
Vyhledejte skupinu prostředků vaší aplikace vyhledáním názvu skupiny prostředků pomocí vyhledávacího pole v horní části webu Azure Portal. Přejděte do skupiny prostředků tak, že v dialogovém okně vyberete název skupiny prostředků pod nadpisem Skupiny prostředků. Snímek obrazovky znázorňující, jak pomocí horního vyhledávacího pole na webu Azure Portal vyhledat a přejít do skupiny prostředků, ke které chcete přiřadit role (oprávnění).
Na stránce skupiny prostředků v nabídce vlevo vyberte Řízení přístupu (IAM ). Snímek obrazovky se stránkou skupiny prostředků zobrazující umístění položky nabídky Řízení přístupu (IAM).
Na stránce Řízení přístupu (IAM):
  1. Vyberte kartu Přiřazení rolí.
  2. V horní nabídce vyberte + Přidat a potom přidejte přiřazení role z výsledné rozevírací nabídky.
Snímek obrazovky znázorňující, jak přejít na kartu Přiřazení rolí a umístění tlačítka použitého k přidání přiřazení rolí do skupiny prostředků
Na stránce Přidat přiřazení role jsou uvedeny všechny role, které je možné přiřadit skupině prostředků.
  1. Pomocí vyhledávacího pole vyfiltrujte seznam na lépe spravovatelnou velikost. Tento příklad ukazuje, jak filtrovat role objektů blob služby Storage.
  2. Vyberte roli, kterou chcete přiřadit.
Výběrem možnosti Další přejdete na další obrazovku.
Snímek obrazovky znázorňující, jak filtrovat a vybrat přiřazení rolí, která se mají přidat do skupiny prostředků
Další stránka Přidat přiřazení role umožňuje určit, k jakému uživateli se má role přiřadit.
  1. V části Přiřadit přístup vyberte Uživatele, skupinu nebo instanční objekt.
  2. Vyberte a vyberte členy v části Členové.
Otevře se dialogové okno na pravé straně webu Azure Portal.
Snímek obrazovky znázorňující přepínač pro výběr přiřazení role ke skupině Microsoft Entra a odkaz použitý k výběru skupiny pro přiřazení role
V dialogovém okně Vybrat členy :
  1. Textové pole Vybrat lze použít k filtrování seznamu uživatelů a skupin ve vašem předplatném. V případě potřeby zadejte několik prvních znaků místní vývojové skupiny Microsoft Entra, kterou jste pro aplikaci vytvořili.
  2. Vyberte místní skupinu Microsoft Entra pro vývoj přidruženou k vaší aplikaci.
Pokračujte výběrem možnosti Vybrat v dolní části dialogového okna.
Snímek obrazovky znázorňující, jak filtrovat a vybrat skupinu Microsoft Entra pro aplikaci v dialogovém okně Vybrat členy
Skupina Microsoft Entra se zobrazí jako vybraná na obrazovce Přidat přiřazení role. Výběrem možnosti Zkontrolovat a přiřadit přejděte na poslední stránku a pak proces dokončete opětovnou kontrolou a přiřazením . Snímek obrazovky zobrazující dokončenou stránku Přidat přiřazení role a umístění tlačítka Zkontrolovat a přiřadit použité k dokončení procesu

4. Nastavení proměnných prostředí aplikace

Za běhu DefaultAzureCredential vyhledá informace instančního objektu v kolekci proměnných prostředí. Při práci s .NET existují různé způsoby konfigurace proměnných prostředí v závislosti na nástrojích a prostředí.

Bez ohledu na zvolený přístup nakonfigurujte při práci s instančním objektem následující proměnné prostředí:

  • AZURE_CLIENT_ID → hodnota ID aplikace.
  • AZURE_TENANT_ID → hodnota ID tenanta.
  • AZURE_CLIENT_SECRET → heslo nebo přihlašovací údaje vygenerované pro aplikaci.

Při práci místně se sadou Visual Studio je možné proměnné prostředí nastavit v launchsettings.json souboru ve Properties složce projektu. Při spuštění aplikace se tyto hodnoty načte automaticky. Mějte na paměti, že tyto konfigurace se s vaší aplikací při nasazení necestují, takže potřebujete nastavit proměnné prostředí v cílovém hostitelském prostředí.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID":"11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID": "11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    }
  }

5. Implementace defaultAzureCredential ve vaší aplikaci

DefaultAzureCredential je názorná a uspořádaná posloupnost mechanismů pro ověřování v Microsoft Entra. Každý mechanismus ověřování je třída odvozená z TokenCredential třídy a je známá jako přihlašovací údaje. Za běhu DefaultAzureCredential se pokusí ověřit pomocí prvních přihlašovacích údajů. Pokud se tento přihlašovací údaj nepodaří získat přístupový token, pokusí se další přihlašovací údaje v této sekvenci atd., dokud se přístupový token úspěšně nezíská. Aplikace tak může používat různé přihlašovací údaje v různých prostředích bez psaní kódu specifického pro prostředí.

Pořadí a umístění, ve kterých DefaultAzureCredential se hledají přihlašovací údaje, najdete na adrese DefaultAzureCredential.

Pokud chcete použít DefaultAzureCredential, přidejte do své aplikace balíčky Azure.Identity a volitelně balíčky Microsoft.Extensions.Azure :

V terminálu podle vašeho výběru přejděte do adresáře projektu aplikace a spusťte následující příkazy:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Ke službám Azure se přistupuje pomocí specializovaných klientských tříd z různých klientských knihoven Azure SDK. Tyto třídy a vlastní služby by se měly zaregistrovat, aby k nim bylo možné přistupovat prostřednictvím injektáže závislostí v celé aplikaci. V Program.csnásledujícím postupu zaregistrujte třídu klienta a DefaultAzureCredential:

  1. Zahrňte direktivy Azure.Identity a Microsoft.Extensions.Azure obory názvů prostřednictvím using direktiv.
  2. Zaregistrujte klienta služby Azure pomocí odpovídající Addmetody rozšíření s předponou.
  3. Předejte instanci DefaultAzureCredential metody UseCredential .

Příklad:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Alternativou UseCredential je vytvoření instance DefaultAzureCredential přímo:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Když předchozí kód běží na místní vývojové pracovní stanici, hledá v proměnných prostředí instanční objekt aplikace nebo v místně nainstalovaných vývojářských nástrojích, jako je Visual Studio, pro sadu přihlašovacích údajů vývojáře. K ověření aplikace v prostředcích Azure se dá použít některý z přístupů během místního vývoje.

Při nasazení do Azure může stejný kód také ověřit vaši aplikaci v jiných prostředcích Azure. DefaultAzureCredential může načíst nastavení prostředí a konfigurace spravovaných identit pro automatické ověřování v jiných službách.