在本地开发期间使用开发人员帐户对访问 Azure 服务的 .NET 应用进行身份验证

开发人员需要在其本地工作站上调试和测试云应用。 在本地开发期间，当应用在开发人员的工作站上运行时，它仍然必须向应用使用的任何 Azure 服务进行身份验证。 本文介绍如何在本地开发期间使用开发人员的 Azure 凭据对访问 Azure 的应用进行身份验证。

要使应用能够在本地开发期间使用开发人员的 Azure 凭据向 Azure 进行身份验证，必须通过下述开发人员工具之一将开发人员登录到 Azure：

• Visual Studio
• Azure CLI
• Azure 开发人员 CLI
• Azure PowerShell

Azure 标识库可以检测到开发人员已从其中一个工具登录。 然后，该库可通过工具获取 Microsoft Entra 访问令牌，以将应用作为登录用户向 Azure 进行身份验证。

这种方法对于开发团队而言最容易设置，因为它利用开发人员的现有 Azure 帐户。 但是，开发人员帐户拥有的权限可能比应用需要的权限更多，因此超出了应用在生产环境中运行时使用的权限。 作为替代方法，可以创建在本地开发期间使用的应用程序服务主体，其权限范围仅限应用所需的访问权限。

1 - 为本地开发创建 Microsoft Entra 组

由于基本上始终有多个开发人员在开发一个应用，因此推荐一个 Microsoft Entra 组来封装应用在本地开发中所需的角色（权限）。 此方法提供以下优势：

• 由于角色是在组级别分配的，因此可以确保为每个开发人员分配相同的角色。
• 如果应用需要新角色，只需将此角色添加到应用的组即可。
• 如果有新的开发人员加入团队，他们将获得在添加到组后处理应用所需的权限。

如果开发团队已有一个 Microsoft Entra 组，则你可以使用该组。 否则，请完成以下步骤来创建 Microsoft Entra 组。

• Azure 门户
• Azure CLI

说明	屏幕快照
通过在页面顶部的搜索框中键入 Microsoft Entra ID，导航到 Azure 门户中的 Microsoft Entra ID 页。 在“服务”部分下选择“Microsoft Entra ID”。
在“Microsoft Entra ID”页上，从左侧菜单中选择“组”。
在“所有组”页上，选择“新建组”。
在“新建组”页上： 从“组类型”下拉列表中选择“安全性”。 组名称 → 安全组的名称，通常是基于应用程序名称创建的。 在组的名称中包含类似于 local-dev 的字符串来指示组的用途也很有帮助。 组说明 → 组的用途说明。 在“成员”下选择“未选择成员”链接，以将成员添加到组中。
在“添加成员”对话框中： 使用搜索框筛选列表中的用户名。 选择一个或多个应用对此应用进行本地开发。 选择对象时，该对象将移动到对话框底部的“选定项”列表。 完成后，选中“选择”按钮。
返回“新建组”页，选择“创建”来创建组。将创建组，你将返回到“所有组”页面。 最长可能需要在 30 秒后才会显示该组，由于 Azure 门户中会进行缓存，你可能需要刷新页面。

2 - 将角色分配给 Microsoft Entra 组

接下来，请确定应用在哪些资源上需要哪些角色（权限），并将这些角色分配到应用。 在此示例中，角色将分配给在步骤 1 中创建的 Microsoft Entra 组。 可以在资源、资源组或订阅范围分配组。 此示例演示如何在资源组范围分配角色，因为大多数应用将其所有 Azure 资源分组到单个资源组中。

• Azure 门户
• Azure CLI

说明	屏幕快照
使用 Azure 门户顶部的搜索框搜索资源组名称，找到应用的资源组。 在对话框中的“资源组”标题下选择资源组名称，导航到该资源组。
在资源组的页面上，从左侧菜单中选择“访问控制(IAM)”。
在“访问控制(IAM)”页上： 选择“角色分配”选项卡。 从顶部菜单中选择“+ 添加”，然后从出现的下拉菜单中选择“添加角色分配”。
“添加角色分配”页列出了可为资源组分配的所有角色。 使用搜索框筛选列表，以便以更容易操作的大小显示内容。 此示例演示如何筛选存储 Blob 角色。 选择要分配的角色。 选择“下一步”转到下一屏幕。
在下一个“添加角色分配”页面中，可以指定要将角色分配给哪个用户。 在“将访问权限分配给”下选择“用户、组或服务主体”。 在“成员”下选择“+ 选择成员”。 Azure 门户的右侧会打开一个对话框。
在“选择成员”对话框中： “选择”文本框可用于筛选订阅中的用户和组列表。 如果需要，请键入为应用创建的本地开发 Microsoft Entra 组的前几个字符。 选择与应用程序关联的本地开发 Microsoft Entra 组。 在对话框底部选择“选择”以继续。
现在，该 Microsoft Entra 组将在“添加角色分配”屏幕上显示为选中状态。 选择“查看 + 分配”转到最后一页，然后再次选择“查看 + 分配”完成该过程。

3 - 使用开发人员工具登录到 Azure

接下来，使用多个开发人员工具之一登录到 Azure。 进行身份验证的帐户也应该存在于前面创建并配置的 Microsoft Entra 组中。

az login

azd auth login

Connect-AzAccount

4 - 在应用程序中实现 DefaultAzureCredential

DefaultAzureCredential 是一个带个人观点的有序机制序列，用于向 Microsoft Entra 进行身份验证。 每个身份验证机制都是一个派生自 TokenCredential 类的类，称为“凭据”。 在运行时，DefaultAzureCredential 尝试使用第一个凭据进行身份验证。 如果该凭据无法获取访问令牌，则会尝试序列中的下一个凭据，以此类推，直到成功获取访问令牌。 这样，应用就可在不同的环境中使用不同的凭据，而无需编写特定于环境的代码。

DefaultAzureCredential 按哪种顺序和在哪个位置查找凭据见于 DefaultAzureCredential。

若要使用 DefaultAzureCredential，请将 Azure.Identity 和 Microsoft.Extensions.Azure 包添加到应用程序：

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

使用各种 Azure SDK 客户端库中的专用客户端类访问 Azure 服务。 应注册这些类和你自己的自定义服务，以便可以在整个应用中通过依赖项注入来访问它们。 在 Program.cs 中，完成以下步骤以注册客户端类和 DefaultAzureCredential：

1. 通过 using 指令包含 Azure.Identity 和 Microsoft.Extensions.Azure 命名空间。
2. 使用相应的 Add 前缀扩展方法注册 Azure 服务客户端。
3. 将 DefaultAzureCredential 的实例传递给 UseCredential 方法。

例如：

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

UseCredential 的替代方法是直接实例化 DefaultAzureCredential：

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

上述代码在本地开发工作站上运行时，它会在应用程序服务主体的环境变量或本地安装的开发人员工具（如 Visual Studio）中查找一组开发人员凭据。 在本地开发期间，两种方法都可用于对访问 Azure 资源的应用进行身份验证。

部署到 Azure 时，此代码也可以对访问 Azure 资源的应用进行身份验证。 DefaultAzureCredential 可以检索环境设置和托管标识配置，以自动向其他服务进行身份验证。