Autenticare le app .NET nei servizi di Azure durante lo sviluppo locale usando le entità servizio

  • Articolo

Gli sviluppatori devono eseguire il debug e testare le app cloud nella workstation locale. Quando un'app viene eseguita nella workstation di uno sviluppatore durante lo sviluppo locale, deve comunque eseguire l'autenticazione a tutti i servizi di Azure usati dall'app. Questo articolo illustra come configurare oggetti entità servizio dell'applicazione dedicati da usare durante lo sviluppo locale.

Diagramma che mostra come un'app .NET locale usa le credenziali dello sviluppatore per connettersi ad Azure usando strumenti di sviluppo installati localmente.

Le entità servizio dell'applicazione dedicate per lo sviluppo locale consentono di seguire il principio dei privilegi minimi durante lo sviluppo di app. Poiché l'ambito delle autorizzazioni è esattamente quello necessario per l'app durante lo sviluppo, il codice dell'app non può accedere accidentalmente a una risorsa di Azure destinata all'uso da parte di un'app diversa. Ciò impedisce anche che si verifichino bug quando l'app viene spostata nell'ambiente di produzione perché l'app è stata privilegiata nell'ambiente di sviluppo.

Un'entità servizio dell'applicazione viene configurata per l'app quando l'app viene registrata in Azure. Quando si registra un’app per lo sviluppo locale, è consigliabile:

  • Creare una registrazione app separate per ogni sviluppatore che lavora sull'app. In questo modo verranno create entità servizio dell'applicazione separate per ogni sviluppatore da usare durante lo sviluppo locale ed evitare la necessità per gli sviluppatori di condividere le credenziali per una singola entità servizio dell'applicazione.
  • Creare una registrazione dell’app separata per ogni app. Questo definisce l'ambito delle autorizzazioni dell'app solo a ciò che è necessario per l'app.

Durante lo sviluppo locale, le variabili di ambiente vengono impostate con l'identità dell'entità servizio dell'applicazione. La libreria di identità di Azure legge queste variabili di ambiente e usa queste informazioni per autenticare l'app nelle risorse di Azure necessarie.

1 - Registrare l'applicazione in Azure

Gli oggetti entità servizio dell'applicazione vengono creati con una registrazione dell'app in Azure. Questa operazione può essere effettuata tramite il portale di Azure o l'interfaccia della riga di comando di Azure.

Accedere al portale di Azure e seguire la procedura seguente.

Istruzioni Schermata
Nel portale di Azure:
  1. Immettere registrazioni app nella barra di ricerca nella parte superiore del portale di Azure.
  2. Selezionare l'elemento etichettato Registrazioni app sotto l'intestazione Servizi del menu visualizzato sotto la barra di ricerca.
 Screenshot che mostra come usare la barra di ricerca superiore nel portale di Azure per trovare e passare alla pagina Registrazioni app.
Nella pagina registrazioni app, selezionare + Nuova registrazione. Screenshot che mostra il percorso del pulsante Nuova registrazione nella pagina Registrazioni app.
Nella pagina Registrare un'applicazione, compilare il modulo come segue.
  1. Nome → Immettere un nome per la registrazione app in Azure. È consigliabile che questo nome includa il nome dell'app, l'utente per la registrazione dell'app e un identificatore come "dev" per indicare che la registrazione dell'app è da usare nello sviluppo locale.
  2. Tipi di account supportatiAccount solo in questa directory organizzativa.
Selezionare Registra per registrare l'app e creare l'entità servizio dell'applicazione.		 Screenshot che mostra come compilare la pagina Registra un'applicazione assegnando all'app un nome e specificando i tipi di account supportati come account solo in questa directory organizzativa.
Nella pagina Registrazione app per l'app:
  1. ID applicazione (client) → Questo è l'ID app che l'app userà per accedere ad Azure durante lo sviluppo locale. Copiare questo valore in una posizione temporanea in un editor di testo perché sarà necessario in un passaggio futuro.
  2. ID directory (tenant) → Questo valore sarà necessario anche per l'app quando esegue l'autenticazione in Azure. Copiare questo valore in una posizione temporanea in un editor di testo, in quanto sarà necessario in un passaggio futuro.
  3. Credenziali client → È necessario impostare le credenziali client per l'app prima che l'app possa eseguire l'autenticazione in Azure e usare i servizi di Azure. Selezionare Aggiungi un certificato o un segreto per aggiungere le credenziali per l'app.
 Screenshot della pagina Registrazione app dopo il completamento della registrazione dell'app. Questo screenshot mostra il percorso dell'ID applicazione e dell'ID tenant, che sarà necessario in un passaggio futuro. Mostra anche il percorso del collegamento da usare per aggiungere un segreto dell'applicazione per l'app.
Nella pagina Certificati e segreti selezionare + Nuovo segreto client. Screenshot che mostra il percorso del collegamento da usare per creare un nuovo segreto client nella pagina certificati e segreti.
La finestra di dialogo Aggiungi un segreto client verrà visualizzata dal lato destro della pagina. In questa finestra di dialogo:
  1. Descrizione → Immettere un valore Corrente.
  2. Scade → Selezionare un valore di 24 mesi.
Selezionare Aggiungere per aggiungere il segreto.		 Screenshot che mostra la pagina in cui viene aggiunto un nuovo segreto client per l'entità servizio dell'applicazione creata dal processo di registrazione dell'app.
Nella pagina Certificati e segreti verrà visualizzato il valore del segreto client.

Copiare questo valore in una posizione temporanea in un editor di testo perché sarà necessario in un passaggio futuro.

IMPORTANTE: questo è l'unico caso in cui si visualizzerà questo valore. Una volta lasciata o aggiornata la pagina, non sarà più possibile visualizzare questo valore. È possibile aggiungere un segreto client aggiuntivo senza invalidare questo segreto client, ma questo valore non verrà visualizzato di nuovo.		 Screenshot che mostra la pagina con il segreto client generato.

2 - Creare un gruppo Microsoft Entra per lo sviluppo locale

Poiché in genere sono presenti più sviluppatori che lavorano in un'app, è consigliabile creare un gruppo di Microsoft Entra per incapsulare i ruoli (autorizzazioni) necessari per l'app nello sviluppo locale anziché assegnare i ruoli ai singoli oggetti entità servizio. Questo approccio offre i vantaggi seguenti:

  • Ogni sviluppatore ha la certezza di avere gli stessi ruoli assegnati perché i ruoli vengono assegnati a livello di gruppo.
  • Se è necessario un nuovo ruolo per l'app, deve essere aggiunto solo al gruppo per l'app.
  • Se un nuovo sviluppatore si aggiunge al team, viene creata una nuova entità servizio dell'applicazione per lo sviluppatore e aggiunta al gruppo, assicurando che lo sviluppatore disponga delle autorizzazioni appropriate per lavorare sull'app.
Istruzioni Schermata
Passare alla pagina Microsoft Entra ID nel portale di Azure digitando Microsoft Entra ID nella casella di ricerca nella parte superiore della pagina. Selezionare Microsoft Entra ID nella sezione Servizi. Screenshot che mostra come usare la barra di ricerca superiore nel portale di Azure per cercare e passare alla pagina Microsoft Entra ID.
Nella pagina Microsoft Entra ID, selezionare Gruppi dal menu a sinistra. Screenshot che mostra la posizione della voce di menu Gruppi nel menu a sinistra della pagina Directory predefinita di Microsoft Entra.
Nella pagina Tutti i gruppi, selezionare Nuovo gruppo. Screenshot che mostra la posizione del pulsante Nuovo gruppo nella pagina Tutti i gruppi.
Nella pagina Nuovo gruppo:
  1. Tipo di gruppo: → Sicurezza
  2. Nome gruppo → Un nome per il gruppo di sicurezza, in genere creato dal nome dell'applicazione. È anche utile includere una stringa come local-dev nel nome del gruppo per indicare lo scopo del gruppo.
  3. Descrizione del gruppo → Una descrizione dello scopo del gruppo.
  4. Selezionare il collegamento Nessun membro selezionato in Membri per aggiungere membri al gruppo.
 Screenshot che mostra come compilare il modulo per creare un nuovo gruppo di Microsoft Entra per l'applicazione. Questo screenshot mostra anche il percorso del collegamento da selezionare per aggiungere membri a questo gruppo.
Nella finestra di dialogo Aggiungi membri:
  1. Usare la casella di ricerca per filtrare l'elenco di nomi principali nell'elenco.
  2. Selezionare le entità servizio dell'applicazione per lo sviluppo locale per questa app. Quando vengono selezionati gli oggetti, verranno disabilitati e spostati nell'elenco Elementi selezionati nella parte inferiore della finestra di dialogo.
  3. Al termine, selezionare il pulsante Seleziona.
 Screenshot della finestra di dialogo Aggiungi membri che mostra come selezionare le entità servizio dell'applicazione da includere nel gruppo.
Nella pagina Nuovo gruppo, selezionare Crea per creare il gruppo.

Il gruppo verrà creato e si tornerà alla pagina Tutti i gruppi. La visualizzazione del gruppo può richiedere fino a 30 secondi. Potrebbe essere necessario aggiornare la pagina a causa della memorizzazione nella cache nel portale di Azure.		 Screenshot della pagina Nuovo gruppo che mostra come completare il processo selezionando il pulsante Crea.

3 - Assegnare ruoli all'applicazione

Successivamente, determinare i ruoli (autorizzazioni) necessari per l'app in base alle risorse e assegnare tali ruoli all'app. In questo esempio i ruoli verranno assegnati al gruppo di Microsoft Entra creato nel passaggio 2. Ai gruppi possono essere assegnati a una risorsa, a un gruppo di risorse o a una sottoscrizione. Questo esempio illustra come assegnare i ruoli a livello di gruppo di risorse perché la maggior parte delle app raggruppa tutte le risorse di Azure in un unico gruppo di risorse.

Istruzioni Schermata
Individuare il gruppo di risorse per l'app cercando il nome del gruppo di risorse usando la casella di ricerca nella parte superiore del portale di Azure. Passare al gruppo di risorse selezionando il nome del gruppo di risorse nell'intestazione Gruppi di risorse della finestra di dialogo. Screenshot che mostra come usare la casella di ricerca superiore nel portale di Azure per individuare e passare al gruppo di risorse a cui assegnare ruoli (autorizzazioni).
Nella pagina del gruppo di risorse selezionare Controllo di accesso (IAM) nel menu a sinistra. Screenshot della pagina del gruppo di risorse che mostra la posizione della voce di menu Controllo di accesso (IAM).
Nella pagina Controllo di accesso (IAM):
  1. Selezionare la scheda Assegnazioni di ruolo.
  2. Selezionare + Aggiungi nel menu in alto e quindi Aggiungi assegnazione di ruolo nel menu a discesa risultante.
 Screenshot che mostra come passare alla scheda Assegnazioni di ruolo e alla posizione del pulsante usato per aggiungere assegnazioni di ruolo a un gruppo di risorse.
Nella pagina Aggiungi assegnazione di ruolo sono elencati tutti i ruoli che è possibile assegnare per il gruppo di risorse.
  1. Usare la casella di ricerca per filtrare l'elenco in modo da renderlo più gestibile. Questo esempio illustra come filtrare i ruoli di BLOB del servizio di archiviazione.
  2. Selezionare il ruolo che si vuole assegnare.
Selezionare Avanti per passare alla schermata successiva.		 Screenshot che mostra come filtrare e selezionare le assegnazioni di ruolo da aggiungere al gruppo di risorse.
La pagina Aggiungi assegnazione di ruolo successiva consente di specificare a quale utente assegnare il ruolo.
  1. Selezionare Utente, gruppo o servizio principale in Assegnazione dell'accesso a .
  2. Selezionare + Selezionare membri in Membri.
Viene aperta una finestra di dialogo sul lato destro del portale di Azure.		 Screenshot che mostra il pulsante di opzione da selezionare per assegnare un ruolo a un gruppo Microsoft Entra e il collegamento usato per selezionare il gruppo a cui assegnare il ruolo.
Nella finestra di dialogo Seleziona membri:
  1. La casella di testo Seleziona può essere usata per filtrare l'elenco di utenti e gruppi nella sottoscrizione. Se necessario, digitare i primi caratteri del gruppo di Microsoft Entra di sviluppo locale creato per l'app.
  2. Selezionare il gruppo Microsoft Entra di sviluppo locale associato all'applicazione.
Selezionare Seleziona nella parte inferiore della finestra di dialogo per continuare.		 Screenshot che mostra come filtrare e selezionare il gruppo Microsoft Entra per l'app nella finestra di dialogo Seleziona membri.
Il gruppo Microsoft Entra viene ora visualizzato come selezionato nella schermata Aggiungi assegnazione di ruolo. Selezionare Rivedi e assegna per passare alla pagina finale e quindi Rivedi e assegna di nuovo per completare il processo. Screenshot che mostra la pagina Aggiungi assegnazione di ruolo completata e il percorso del pulsante Rivedi e assegna usato per completare il processo.

4 - Impostare le variabili di ambiente dell'applicazione

In fase di esecuzione, DefaultAzureCredential cerca le informazioni sull'entità servizio in una raccolta di variabili di ambiente. Esistono diversi modi per configurare le variabili di ambiente quando si usa .NET a seconda degli strumenti e dell'ambiente.

Indipendentemente dall'approccio scelto, configurare le variabili di ambiente seguenti quando si usa un'entità servizio:

  • AZURE_CLIENT_ID → Il valore dell'ID dell'app.
  • AZURE_TENANT_ID → Il valore dell'ID del tenant.
  • AZURE_CLIENT_SECRET → Password/credenziali generate per l'app.

Quando si lavora localmente con Visual Studio, le variabili di ambiente possono essere impostate nel file launchsettings.json nella cartella del progetto Properties. All'avvio dell'app, questi valori vengono estratti automaticamente. Tenere presente che queste configurazioni non viaggiano con l'app quando viene distribuita, quindi è necessario configurare le variabili di ambiente nell'ambiente di hosting di destinazione.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID":"11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID": "11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    }
  }

5 - Implementare DefaultAzureCredential nell'applicazione

DefaultAzureCredential è una sequenza ordinata di meccanismi per l'autenticazione a Microsoft Entra. Ogni meccanismo di autenticazione è una classe derivata dalla classe TokenCredential ed è nota come credenziale. In fase di esecuzione, DefaultAzureCredential tenta di eseguire l'autenticazione usando la prima credenziale. Se tale credenziale non riesce ad acquisire un token di accesso, viene tentata la credenziale successiva nella sequenza e così via finché non viene ottenuto un token di accesso correttamente. In questo modo, l'app può usare credenziali diverse in ambienti diversi senza scrivere codice specifico dell'ambiente.

L'ordine e le posizioni in cui DefaultAzureCredential cerca le credenziali sono disponibili in DefaultAzureCredential.

Per usare DefaultAzureCredential, aggiungere Azure.Identity e facoltativamente, i pacchetti Microsoft.Extensions.Azure all'applicazione:

In un terminale di propria scelta passare alla directory del progetto dell'applicazione ed eseguire i comandi seguenti:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

È possibile accedere ai servizi di Azure usando classi client specializzate dalle varie librerie client di Azure SDK. Queste classi e i propri servizi personalizzati devono essere registrati in modo da poter essere accessibili tramite l'inserimento delle dipendenze in tutta l'app. In Program.cs completare i passaggi seguenti per registrare una classe client e DefaultAzureCredential:

  1. Includere gli spazi dei nomi Azure.Identity e Microsoft.Extensions.Azure tramite direttive using.
  2. Registrare il client del servizio di Azure usando il metodo di estensione con prefisso Add corrispondente.
  3. Passare un'istanza di DefaultAzureCredential al metodo UseCredential.

Ad esempio:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Un'alternativa a UseCredential consiste nel creare un'istanza diretta di DefaultAzureCredential:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Quando il codice precedente viene eseguito nella workstation di sviluppo locale, cerca nelle variabili di ambiente un'entità servizio dell'applicazione o negli strumenti di sviluppo installati localmente, come Visual Studio, per un set di credenziali per sviluppatori. Entrambi gli approcci possono essere usati per autenticare l'app nelle risorse di Azure durante lo sviluppo locale.

Quando distribuito in Azure, lo stesso codice può anche autenticare l'app in altre risorse di Azure. DefaultAzureCredential può recuperare automaticamente le impostazioni dell'ambiente e le configurazioni dell'identità gestita per l'autenticazione automatica in altri servizi.