Hizmet sorumlularını kullanarak yerel geliştirme sırasında Azure hizmetlerinde .NET uygulamalarının kimliğini doğrulama

  • Makale

Geliştiricilerin yerel iş istasyonlarında bulut uygulamalarının hatalarını ayıklaması ve test etmeleri gerekir. Bir uygulama yerel geliştirme sırasında bir geliştiricinin iş istasyonunda çalıştığında, uygulama tarafından kullanılan tüm Azure hizmetlerinde kimlik doğrulaması yapmaya devam etmelidir. Bu makalede, yerel geliştirme sırasında kullanılacak ayrılmış uygulama hizmet sorumlusu nesnelerinin nasıl ayarlanacağı ele alınıyor.

Yerel bir .NET uygulamasının yerel olarak yüklenen geliştirme araçlarını kullanarak Azure'a bağlanmak için geliştiricinin kimlik bilgilerini nasıl kullandığını gösteren diyagram.

Yerel geliştirme için ayrılmış uygulama hizmet sorumluları, uygulama geliştirme sırasında en az ayrıcalık ilkesini izlemenize olanak sağlar. İzinlerin kapsamı geliştirme sırasında uygulama için tam olarak gerekli olanlarla belirlenmiş olduğundan, uygulama kodunun farklı bir uygulama tarafından kullanılmak üzere tasarlanmış bir Azure kaynağına yanlışlıkla erişmesi engellenir. Bu, uygulama geliştirme ortamında aşırı ayrıcalıklı olduğundan uygulama üretime taşındığında hataların oluşmasını da engeller.

Uygulama Azure'a kaydedildiğinde uygulama için bir uygulama hizmet sorumlusu ayarlanır. Bir uygulamayı yerel geliştirme için kaydederken şunların kullanılması önerilir:

  • Uygulama üzerinde çalışan her geliştirici için ayrı bir uygulama kaydı oluşturun. Bu, her geliştiricinin yerel geliştirme sırasında kullanması için ayrı uygulama hizmet sorumluları oluşturur ve geliştiricilerin tek bir uygulama hizmet sorumlusu için kimlik bilgilerini paylaşma gereksinimini önler.
  • Uygulama başına ayrı bir uygulama kaydı oluşturun. Bu, uygulamanın izinlerini yalnızca uygulama için gerekli olan izinlere göre kapsamlar.

Yerel geliştirme sırasında ortam değişkenleri uygulama hizmeti sorumlusunun kimliğiyle ayarlanır. Azure Kimlik kitaplığı bu ortam değişkenlerini okur ve uygulamanın kimliğini ihtiyaç duyduğu Azure kaynaklarında doğrulamak için bu bilgileri kullanır.

1 - Uygulamayı Azure'a kaydetme

Uygulama hizmeti sorumlusu nesneleri Azure'da bir uygulama kaydıyla oluşturulur. Bu, Azure portalı veya Azure CLI kullanılarak yapılabilir.

Azure portalında oturum açın ve şu adımları izleyin.

Yönergeler Ekran görüntüsü
Azure portalında:
  1. Azure portalının üst kısmındaki arama çubuğuna uygulama kayıtlarını girin.
  2. Arama çubuğunun altında görüntülenen menüdeki Hizmetler başlığının altında Uygulama kayıtları etiketli öğeyi seçin.
 Uygulama kayıtları sayfasını bulmak ve sayfaya gitmek için Azure portalındaki üst arama çubuğunun nasıl kullanılacağını gösteren ekran görüntüsü.
Uygulama kayıtları sayfasında + Yeni kayıt'ı seçin. Uygulama kayıtları sayfasındaki Yeni kayıt düğmesinin konumunu gösteren ekran görüntüsü.
Uygulamayı kaydet sayfasında formu aşağıdaki gibi doldurun.
  1. Ad → Azure'da uygulama kaydı için bir ad girin. Bu adın uygulama adını, uygulama kaydının ait olduğu kullanıcıyı ve bu uygulama kaydının yerel geliştirmede kullanılmak üzere olduğunu belirtmek için 'dev' gibi bir tanımlayıcı içermesi önerilir.
  2. Desteklenen hesap türleri yalnızca bu kuruluş dizinindeki Hesaplar →.
Uygulamanızı kaydetmek ve uygulama hizmet sorumlusunu oluşturmak için Kaydet'i seçin.		 Uygulamaya bir ad vererek ve desteklenen hesap türlerini yalnızca bu kuruluş dizininde hesap olarak belirterek Uygulamayı kaydet sayfasının nasıl doldurulacağını gösteren ekran görüntüsü.
Uygulamanızın Uygulama kaydı sayfasında:
  1. Uygulama (istemci) kimliği → Bu, uygulamanın yerel geliştirme sırasında Azure'a erişmek için kullanacağı uygulama kimliğidir. Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın; çünkü sonraki bir adımda buna ihtiyacınız olacaktır.
  2. Dizin (kiracı) kimliği → Bu değer, Azure'da kimlik doğrulaması yaparken uygulamanız tarafından da gerekli olacaktır. Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın; gelecekteki bir adımda da gerekli olacaktır.
  3. İstemci kimlik bilgileri → Uygulamanızın Azure'da kimlik doğrulaması yapıp Azure hizmetlerini kullanabilmesi için önce uygulamanın istemci kimlik bilgilerini ayarlamanız gerekir. Uygulamanızın kimlik bilgilerini eklemek için Sertifika veya gizli dizi ekle'yi seçin.
 Uygulama kaydı tamamlandıktan sonra Uygulama kaydı sayfasının ekran görüntüsü. Bu ekran görüntüsü, uygulama kimliğinin ve kiracı kimliğinin konumunu gösterir. Bu konum, gelecekteki bir adımda gerekli olacaktır. Ayrıca, uygulama için bir uygulama gizli dizisi eklemek için kullanılacak bağlantının konumunu da gösterir.
Sertifikalar ve gizli diziler sayfasında + Yeni istemci gizli dizisi'ni seçin. Sertifikalar ve gizli diziler sayfasında yeni bir istemci gizli dizisi oluşturmak için kullanılacak bağlantının konumunu gösteren ekran görüntüsü.
İstemci gizli dizisi ekle iletişim kutusu sayfanın sağ tarafından açılır. Bu iletişim kutusunda:
  1. Açıklama → Geçerli değerini girin.
  2. Süresi doluyor → 24 aylık bir değer seçin.
Gizli diziyi eklemek için Ekle'yi seçin.		 Uygulama kayıt işlemi tarafından oluşturma uygulama hizmeti sorumlusu için yeni bir istemci gizli dizisinin eklendiği sayfayı gösteren ekran görüntüsü.
Sertifikalar ve gizli diziler sayfasında, istemci gizli dizisinin değeri gösterilir.

Bu değeri bir metin düzenleyicisinde geçici bir konuma kopyalayın; çünkü sonraki bir adımda buna ihtiyacınız olacaktır.

ÖNEMLİ: Bu değeri yalnızca bu kez görürsünüz. Bu sayfadan ayrıldıktan veya sayfayı yeniledikten sonra bu değeri bir daha göremezsiniz. Bu istemci gizli dizisini geçersiz kılınmadan başka bir istemci gizli dizisi ekleyebilirsiniz, ancak bu değeri bir daha görmezsiniz.		 Oluşturulan istemci gizli dizisini içeren sayfayı gösteren ekran görüntüsü.

2 - Yerel geliştirme için Microsoft Entra grubu oluşturma

Genellikle bir uygulama üzerinde çalışan birden çok geliştirici olduğundan, rolleri tek tek hizmet sorumlusu nesnelerine atamak yerine yerel geliştirmede uygulamanın ihtiyaç duyduğu rolleri (izinleri) kapsüllemek için bir Microsoft Entra grubu oluşturmanız önerilir. Bu yaklaşım aşağıdaki avantajları sunar:

  • Roller grup düzeyinde atandığından her geliştiricinin aynı rollere atandığından emin olur.
  • Uygulama için yeni bir rol gerekiyorsa, yalnızca uygulamanın grubuna eklenmesi gerekir.
  • Ekibe yeni bir geliştirici katılırsa, geliştirici için yeni bir uygulama hizmet sorumlusu oluşturulur ve gruba eklenir ve geliştiricinin uygulama üzerinde çalışmak için doğru izinlere sahip olması sağlanır.
Yönergeler Ekran görüntüsü
Sayfanın üst kısmındaki arama kutusuna Microsoft Entra Id yazarak Azure portalında Microsoft Entra Id sayfasına gidin. Hizmetler bölümünün altında Microsoft Entra Id'yi seçin. Microsoft Entra Id sayfasını aramak ve sayfaya gitmek için Azure portalındaki üst arama çubuğunun nasıl kullanılacağını gösteren ekran görüntüsü.
Microsoft Entra Id sayfasında sol taraftaki menüden Gruplar'ı seçin. Microsoft Entra Default Directory sayfasının sol tarafındaki menüde Gruplar menü öğesinin konumunu gösteren ekran görüntüsü.
Tüm gruplar sayfasında Yeni grup'a tıklayın. Tüm gruplar sayfasındaki Yeni Grup düğmesinin konumunu gösteren ekran görüntüsü.
Yeni Grup sayfasında:
  1. Grup türüGüvenlik
  2. Grup adı → Genellikle uygulama adından oluşturulan güvenlik grubu için bir addır. Grubun amacını belirtmek için grubun adına local-dev gibi bir dize eklemek de yararlıdır.
  3. Grup açıklaması → Grubun amacının açıklaması.
  4. Gruba üye eklemek için Üyeler'in altında Üye seçilmedi bağlantısını seçin.
 Uygulama için yeni bir Microsoft Entra grubu oluşturmak üzere formun nasıl doldurulacağını gösteren ekran görüntüsü. Bu ekran görüntüsü, bu gruba üye eklemek için seçecek bağlantının konumunu da gösterir.
Üye ekle iletişim kutusunda:
  1. Listedeki asıl adlar listesine filtre uygulamak için arama kutusunu kullanın.
  2. Bu uygulama için yerel geliştirme için uygulama hizmet sorumlularını seçin. Nesneler seçildikçe gri görüntülenir ve iletişim kutusunun en altındaki Seçili öğeler listesine gider.
  3. İşiniz bittiğinde Seç düğmesini seçin.
 Gruba dahil edilecek uygulama hizmeti sorumlularının nasıl seçileceği gösteren Üye ekle iletişim kutusunun ekran görüntüsü.
Yeni grup sayfasına dönüp Oluştur'u seçerek grubu oluşturun.

Grup oluşturulur ve Tüm gruplar sayfasına geri dönersiniz. Grubun görünmesi 30 saniye kadar sürebilir. Azure portalında önbelleğe alma nedeniyle sayfayı yenilemeniz gerekebilir.		 Oluştur düğmesini seçerek işlemin nasıl tamamlanmasını gösteren Yeni Grup sayfasının ekran görüntüsü.

3 - Uygulamaya rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri uygulamanıza atayın. Bu örnekte roller, 2. adımda oluşturulan Microsoft Entra grubuna atanır. Gruplara kaynak, kaynak grubu veya abonelik kapsamında bir rol atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Yönergeler Ekran görüntüsü
Azure portalının üst kısmındaki arama kutusunu kullanarak kaynak grubu adını arayarak uygulamanızın kaynak grubunu bulun. İletişim kutusundaki Kaynak Grupları başlığının altındaki kaynak grubu adını seçerek kaynak grubunuza gidin. Rol (izinler) atamak istediğiniz kaynak grubunu bulmak ve bu gruba gitmek için Azure portalındaki en üstteki arama kutusunun nasıl kullanılacağını gösteren ekran görüntüsü.
Kaynak grubunun sayfasında sol taraftaki menüden Erişim denetimi (IAM) öğesini seçin. Erişim denetimi (IAM) menü öğesinin konumunu gösteren kaynak grubu sayfasının ekran görüntüsü.
Erişim denetimi (IAM) sayfasında:
  1. Rol atamaları sekmesini seçin.
  2. Üst menüden + Ekle'yi seçin ve ardından açılan menüden Rol ataması ekle'yi seçin.
 Rol atamaları sekmesine ve bir kaynak grubuna rol atamaları eklemek için kullanılan düğmenin konumunu gösteren ekran görüntüsü.
Rol ataması ekle sayfasında, kaynak grubu için atanabilecek tüm roller listelenir.
  1. Listeyi daha yönetilebilir bir boyuta filtrelemek için arama kutusunu kullanın. Bu örnekte Depolama Blobu rolleri için filtreleme gösterilmektedir.
  2. Atamak istediğiniz rolü seçin.
Sonraki ekrana gitmek için İleri'yi seçin.		 Kaynak grubuna eklenecek rol atamalarını filtrelemeyi ve seçmeyi gösteren ekran görüntüsü.
Sonraki Rol ataması ekle sayfası, rolü hangi kullanıcıya atayabileceğinizi belirtmenize olanak tanır.
  1. Erişim ata altında Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.
  2. Üyeler'in altında + Üyeleri seç'i seçin.
Azure portalının sağ tarafında bir iletişim kutusu açılır.		 Bir Microsoft Entra grubuna rol atamak için seçecek radyo düğmesini ve rolün atanacak grubu seçmek için kullanılan bağlantıyı gösteren ekran görüntüsü.
Üye seç iletişim kutusunda:
  1. Seç metin kutusu, aboneliğinizdeki kullanıcı ve grupların listesini filtrelemek için kullanılabilir. Gerekirse, uygulama için oluşturduğunuz yerel geliştirme Microsoft Entra grubunun ilk birkaç karakterini yazın.
  2. Uygulamanızla ilişkili yerel geliştirme Microsoft Entra grubunu seçin.
Devam etmek için iletişim kutusunun alt kısmındaki Seç'i seçin.		 Üye seç iletişim kutusunda uygulamanın Microsoft Entra grubunu filtrelemeyi ve seçmeyi gösteren ekran görüntüsü.
Microsoft Entra grubu Rol ataması ekle ekranında seçili olarak gösterilir. Son sayfaya gitmek için Gözden geçir + ata'yı seçin ve ardından işlemi tamamlamak için Gözden geçir + yeniden ata'yı seçin. Tamamlanan Rol ataması ekle sayfasını ve işlemi tamamlamak için kullanılan Gözden Geçir ve ata düğmesinin konumunu gösteren ekran görüntüsü.

4 - Uygulama ortamı değişkenlerini ayarlama

Çalışma zamanında, DefaultAzureCredential ortam değişkenleri koleksiyonunda hizmet sorumlusu bilgilerini arar. Araçlarınıza ve ortamınıza bağlı olarak .NET ile çalışırken ortam değişkenlerini yapılandırmanın birden çok yolu vardır.

Seçtiğiniz yaklaşımdan bağımsız olarak, bir hizmet sorumlusuyla çalışırken aşağıdaki ortam değişkenlerini yapılandırın:

  • AZURE_CLIENT_ID Uygulama kimliği değerini →.
  • AZURE_TENANT_ID kiracı kimliği değerini →.
  • AZURE_CLIENT_SECRET → Uygulama için oluşturulan parola/kimlik bilgisi.

Visual Studio ile yerel olarak çalışırken, ortam değişkenleri projenizin klasöründeki Properties dosyada ayarlanabilirlaunchsettings.json. Uygulama başlatıldığında, bu değerler otomatik olarak çekilir. Bu yapılandırmaların dağıtıldığında uygulamanızla birlikte hareket etmediğinden hedef barındırma ortamınızda ortam değişkenleri ayarlamanız gerektiğini unutmayın.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID":"11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID": "11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    }
  }

5 - Uygulamanızda DefaultAzureCredential uygulama

DefaultAzureCredential , Microsoft Entra'da kimlik doğrulaması yapmak için düşünceli, sıralı bir mekanizma dizisidir. Her kimlik doğrulama mekanizması TokenCredential sınıfından türetilen bir sınıftır ve kimlik bilgisi olarak bilinir. Çalışma zamanında, DefaultAzureCredential ilk kimlik bilgilerini kullanarak kimlik doğrulamayı dener. Bu kimlik bilgisi bir erişim belirteci alamazsa, bir erişim belirteci başarıyla alınana kadar dizideki bir sonraki kimlik bilgisi denenir ve bu şekilde devam edilir. Bu şekilde, uygulamanız ortama özgü kod yazmadan farklı ortamlarda farklı kimlik bilgilerini kullanabilir.

Kimlik bilgilerinin arandığı DefaultAzureCredential sıra ve konumlar DefaultAzureCredential konumunda bulunur.

kullanmak DefaultAzureCredentialiçin Azure.Identity ve isteğe bağlı olarak Microsoft.Extensions.Azure paketlerini uygulamanıza ekleyin:

Seçtiğiniz bir terminalde uygulama projesi dizinine gidin ve aşağıdaki komutları çalıştırın:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure hizmetlerine çeşitli Azure SDK istemci kitaplıklarından özel istemci sınıfları kullanılarak erişilir. Bu sınıflar ve kendi özel hizmetleriniz, uygulamanıza bağımlılık ekleme yoluyla erişilebilmeleri için kaydedilmelidir. içinde Program.cs, bir istemci sınıfını ve DefaultAzureCredentialkaydetmek için aşağıdaki adımları tamamlayın:

  1. Azure.Identity yönergeleri aracılığıyla using ve Microsoft.Extensions.Azure ad alanlarını ekleyin.
  2. İlgili Addön ekli uzantı yöntemini kullanarak Azure hizmet istemcisini kaydedin.
  3. yönteminin DefaultAzureCredential bir örneğini UseCredential geçirin.

Örneğin:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Bunun bir alternatifi UseCredential de doğrudan örnekleme DefaultAzureCredential yapmaktır:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Yukarıdaki kod yerel geliştirme iş istasyonunuzda çalıştırıldığında, bir uygulama hizmet sorumlusunun ortam değişkenlerinde veya bir dizi geliştirici kimlik bilgisi için Visual Studio gibi yerel olarak yüklenen geliştirici araçlarında arar. Her iki yaklaşım da yerel geliştirme sırasında azure kaynaklarında uygulamanın kimliğini doğrulamak için kullanılabilir.

Azure'a dağıtıldığında, aynı kod uygulamanızın kimliğini diğer Azure kaynaklarda da doğrulayabilir. DefaultAzureCredential diğer hizmetlerde otomatik olarak kimlik doğrulaması yapmak için ortam ayarlarını ve yönetilen kimlik yapılandırmalarını alabilir.