Dela via

Autentisera Go-appar till Azure-tjänster under lokal utveckling med hjälp av utvecklarkonton

Under den lokala utvecklingen måste program autentiseras till Azure för att använda olika Azure-tjänster. Autentisera lokalt med någon av följande metoder:

Den här artikeln beskriver hur du autentiserar med ett utvecklarkonto med verktyg som stöds av Azure Identity-biblioteket. I de kommande avsnitten lär du dig:

  • Så här använder du Microsoft Entra-grupper för att effektivt hantera behörigheter för flera utvecklarkonton.
  • Så här tilldelar du roller till utvecklarkonton för att begränsa behörigheter.
  • Så här loggar du in på lokala utvecklingsverktyg som stöds.
  • Autentisera med ett utvecklarkonto från din appkod.

Utvecklarverktyg som stöds för autentisering

För att en app ska kunna autentisera till Azure under lokal utveckling med utvecklarens Azure-autentiseringsuppgifter måste utvecklaren vara inloggad i Azure från något av följande utvecklarverktyg:

  • Azure CLI (kommandoradsgränssnittet för Azure)
  • Azure Developer CLI (kommandoradsgränssnitt)
  • Azure PowerShell

Azure Identity-biblioteket kan identifiera att utvecklaren är inloggad från något av dessa verktyg. Biblioteket kan sedan hämta Microsoft Entra-åtkomsttoken via verktyget för att autentisera appen till Azure som den inloggade användaren.

Den här metoden utnyttjar utvecklarens befintliga Azure-konton för att effektivisera autentiseringsprocessen. Ett utvecklarkonto har dock sannolikt fler behörigheter än vad som krävs av appen, och överskrider därför de behörigheter som appen körs med i produktion. Alternativt kan du skapa huvudnamn för programtjänsten som ska användas under den lokala utvecklingen, som kan begränsas till att endast ha den åtkomst som krävs av appen.

Skapa en Microsoft Entra-grupp för lokal utveckling

Skapa en Microsoft Entra-grupp för att kapsla in de roller (behörigheter) som appen behöver under lokal utveckling, istället för att tilldela rollerna till enskilda tjänsthuvudobjekt. Den här metoden erbjuder följande fördelar:

  • Varje utvecklare har samma roller tilldelade på gruppnivå.
  • Om en ny roll behövs för appen behöver den bara läggas till i gruppen för appen.
  • Om en ny utvecklare ansluter till teamet skapas ett nytt huvudnamn för programtjänsten för utvecklaren och läggs till i gruppen, vilket säkerställer att utvecklaren har rätt behörighet att arbeta med appen.

  1. Gå till översiktssidan för Microsoft Entra-ID i Azure-portalen.

  2. Välj Alla grupper på den vänstra menyn.

  3. På sidan Grupper väljer du Ny grupp.

  4. På sidan Ny grupp fyller du i följande formulärfält:

    • Grupptyp: Välj Security.
    • Gruppnamn: Ange ett namn för gruppen som innehåller en referens till appens eller miljöns namn.
    • Gruppbeskrivning: Ange en beskrivning som förklarar syftet med gruppen.

    En skärmbild som visar hur du skapar en grupp i Azure-portalen.

  5. Välj länken Inga medlemmar har valts under Medlemmar för att lägga till medlemmar i gruppen.

  6. I den utfällbara panelen som öppnas söker du efter tjänstens huvudnamn som du skapade tidigare och väljer det från de filtrerade resultaten. Välj knappen Välj längst ned i panelen för att bekräfta ditt val.

  7. Välj Skapa längst ned på sidan Ny grupp för att skapa gruppen och återgå till sidan Alla grupper . Om du inte ser den nya gruppen i listan väntar du en stund och uppdaterar sidan.

Tilldela roller till gruppen

Bestäm sedan vilka roller (behörigheter) din app behöver för vilka resurser och tilldela dessa roller till den Microsoft Entra-grupp som du skapade. Grupper kan tilldelas en roll på resurs-, resursgrupps- eller prenumerationsnivå. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång, eftersom de flesta appar grupperar alla sina Azure-resurser i en enda resursgrupp.

  1. I Azure-portalen går du till sidan Översikt för resursgruppen som innehåller din app.

  2. Välj Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

  3. På sidan Åtkomstkontroll (IAM) väljer du + Lägg till och väljer sedan Lägg till rolltilldelning i den nedrullningsbara menyn. Sidan Lägg till rolltilldelning innehåller flera flikar för att konfigurera och tilldela roller.

  4. På fliken Roll använder du sökrutan för att hitta den roll som du vill tilldela. Välj rollen och välj sedan Nästa.

  5. På fliken Medlemmar:

    • För värdet Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn .
    • För värdet Medlemmar väljer du + Välj medlemmar för att öppna den utfällbara panelen Välj medlemmar .
    • Sök efter den Microsoft Entra-grupp som du skapade tidigare och välj den från de filtrerade resultaten. Välj Välj för att välja gruppen och stäng den utfällbara panelen.
    • Välj Granska och tilldela längst ned på fliken Medlemmar.

    En skärmbild som visar hur du tilldelar en roll till Microsoft Entra-gruppen.

  6. På fliken Granska + tilldela väljer du Granska + tilldela längst ned på sidan.

Logga in på Azure med hjälp av utvecklarverktyg

Logga sedan in på Azure med något av flera utvecklarverktyg som kan användas för att utföra autentisering i utvecklingsmiljön. Det konto som du autentiserar bör också finnas i den Microsoft Entra-grupp som du skapade och konfigurerade tidigare.

Utvecklare kan använda Azure CLI för att autentisera. Appar som använder DefaultAzureCredential eller AzureCLICredential kan sedan använda det här kontot för att autentisera appbegäranden.

Om du vill autentisera med Azure CLI kör du kommandot az login. I ett system med en standardwebbläsare startar Azure CLI webbläsaren för att autentisera användaren.

az login

För system utan en standardwebbläsare använder kommandot az login autentiseringsflödet för enhetskod. Användaren kan också tvinga Azure CLI att använda enhetskodflödet i stället för att starta en webbläsare genom att ange argumentet --use-device-code.

az login --use-device-code

Autentisera till Azure-tjänster från din app

Azidentity-paketet innehåller olika autentiseringsuppgifter som är anpassade för att stödja olika scenarier och Microsoft Entra-autentiseringsflöden. Följande steg visar hur du använder DefaultAzureCredential när du arbetar med tjänstprincipaler lokalt och i produktionsmiljö.

Implementera koden

Om du vill autentisera Azure SDK-klientobjekt till Azure bör ditt program använda klassen DefaultAzureCredential. I det här scenariot kontrollerar DefaultAzureCredential sekventiellt om utvecklaren har loggat in på Azure med hjälp av Azure CLI eller Azure Developer CLI. Om utvecklaren är inloggad i Azure med något av dessa verktyg används de autentiseringsuppgifter som används för att logga in på verktyget av appen för att autentisera till Azure.

Lägg först till azidentity-paketet i ditt program.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

För alla Go-kod som skapar ett Azure SDK-klientobjekt i din app vill du sedan:

  1. Importera azidentity-paketet.
  2. Skapa en instans av typ DefaultAzureCredential.
  3. Skicka instansen av DefaultAzureCredential typ till Azure SDK-klientkonstruktorn.

Ett exempel på dessa steg visas i följande kodsegment.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}