Аутентификация Java-приложений в службах Azure во время локальной разработки с помощью служебных принципалов

Во время локальной разработки приложениям необходимо пройти аутентификацию для доступа к различным службам Azure. Вы можете выполнить локальную проверку подлинности с помощью одного из следующих подходов:

Используйте учетную запись разработчика с одним из инструментов разработчика, поддерживаемых библиотекой удостоверений Azure. Дополнительные сведения см. в разделе Проверка подлинности приложений Java к службам Azure при локальной разработке с помощью учетных записей разработчиков.
Используйте принципал службы.

В этой статье объясняется, как использовать учетную запись службы приложения. Дополнительные сведения об объектах приложений и службы можно найти в разделе Объекты приложений и субъекты службы в Microsoft Entra ID. В этой статье рассматриваются следующие вопросы:

Как зарегистрировать приложение с помощью Microsoft Entra для создания сервисного принципала.
Использование групп Microsoft Entra для эффективного управления разрешениями.
Как назначать роли в рамках разрешений области.
Как пройти проверку подлинности с помощью сервисного принципала из кода приложения.

Использование выделенных субъектов-служб приложений позволяет следовать принципу наименьших привилегий при доступе к ресурсам Azure. Разрешения можно ограничить определенными требованиями приложения во время разработки, чтобы предотвратить случайный доступ к ресурсам Azure, предназначенным для других приложений или служб. Этот подход также помогает избежать проблем при перемещении приложения в рабочую среду, гарантируя отсутствие избыточных привилегий в среде разработки.

Схема, показывающая, как локальное приложение Java использует учетную запись службы для подключения к ресурсам Azure.

При регистрации приложения в Azure создается основной объект службы приложения. Для локальной разработки необходимо:

Создайте отдельную регистрацию приложений для каждого разработчика, работающего над приложением, чтобы у каждого разработчика была собственная учетная запись службы приложений и чтобы не нужно было делиться учетными данными.
Создайте отдельную регистрацию приложения для каждого приложения, чтобы ограничить разрешения приложения только тем, что необходимо.

Во время локальной разработки задайте переменные среды с идентификатором служебного принципала приложения. Библиотека Azure Identity считывает эти переменные среды для проверки подлинности приложения в необходимых ресурсах Azure.

Регистрация приложения в Azure

Объекты основного сервиса приложения создаются посредством регистрации приложения в Azure через портал Azure или Azure CLI.

портал Azure
Azure CLI

На портале Azure используйте строку поиска, чтобы перейти на страницу App registrations.
На странице App registrations выберите + Новая регистрация.
На странице Зарегистрировать приложение:
- В поле Имя введите описательное значение, включающее имя приложения и целевую среду.
- Для поддерживаемых типов учетных записейвыберите учетные записи только в этом каталоге организации (только клиент Майкрософт — один клиент)или любой вариант, который лучше всего соответствует вашим требованиям.
Выберите Регистрация, чтобы зарегистрировать приложение и создать служебный принципал.
На странице регистрации приложений скопируйте идентификатор приложения (клиента) и идентификатор каталога (клиента) и вставьте их во временное расположение для последующего использования в конфигурациях кода приложения.
Выберите Добавить сертификат или секрет, чтобы установить учетные данные для приложения.
На странице "Сертификаты и секреты" выберите "+ Новый секрет клиента".
На панели, открывающейся для добавления секрета клиента, выполните следующие действия:
- Для описаниявведите значение Current.
- Для значения «срок действия», оставьте рекомендуемое значение по умолчанию — 180 дней.
- Нажмите кнопку "Добавить ", чтобы добавить секрет.
На странице сертификатов & секретов скопируйте свойство значения секрета клиента для использования в следующем шаге.

Замечание

Значение секрета клиента отображается только один раз после создания регистрации приложения. Вы можете добавить дополнительные секреты клиента, не отменив этот секрет клиента, но невозможно снова отобразить это значение.

команды Azure CLI можно выполнять в Azure Cloud Shell или на рабочей станции с установленным Azure CLI.

Используйте команду az ad sp create-for-rbac, чтобы создать новую регистрацию приложения и сервисный принципал для приложения.
```
az ad sp create-for-rbac --name <service-principal-name>
```
Выходные данные этой команды похожи на следующий код JSON:
```
{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}
```
Скопируйте эти выходные данные в временный файл в текстовом редакторе, так как эти значения потребуются на следующем шаге.

Замечание

Значение секрета клиента отображается только один раз после создания регистрации приложения. Вы можете добавить дополнительные секреты клиента, не отменив этот секрет клиента, но невозможно снова отобразить это значение.

Создание группы Microsoft Entra для локальной разработки

Создайте группу Microsoft Entra, чтобы инкапсулировать роли (разрешения) в локальной разработке, а не назначать роли отдельным объектам субъекта-службы. Этот подход обеспечивает следующие преимущества:

Каждый разработчик имеет одинаковые роли, назначенные на уровне группы.
Если для приложения требуется новая роль, ее необходимо только добавить в группу для приложения.
Если новый разработчик присоединяется к команде, для разработчика создается новая учетная запись службы приложений и добавляется в группу, гарантируя, что разработчик имеет необходимые разрешения на работу с приложением.

портал Azure
Azure CLI

Перейдите на страницу обзора Microsoft Entra ID на портале Azure.
Выберите все группы в меню слева.
На странице Группы выберите Создать группу.
На странице "Создать группу" заполните следующие поля формы:
- Тип группы: выберите Безопасность.
- Имя группы: введите имя группы, которая содержит ссылку на имя приложения или среды.
- Описание группы: введите описание, объясняющее назначение группы.
Выберите ссылку "Нет участников" в разделе "Участники", чтобы добавить участников в группу.
На открывшейся всплывающей панели найдите созданную ранее основную служебную учетную запись и выберите её из результатов фильтрации. Нажмите кнопку "Выбрать " в нижней части панели, чтобы подтвердить выбор.
Нажмите кнопку "Создать " в нижней части страницы "Создать группу ", чтобы создать группу и вернуться на страницу "Все группы ". Если вы не видите новую группу, подождите минуту и обновите страницу.

Используйте команду az ad group create для создания групп в Microsoft Entra ID.
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
Параметры --display-name и --mail-nickname являются обязательными. Имя группы должно быть основано на имени и среде приложения, чтобы указать назначение группы.
Чтобы добавить участников в группу, требуется идентификатор объекта субъекта-службы приложения, который отличается от идентификатора приложения. Используйте команду az ad sp list для перечисления доступных служебных сущностей:
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
Параметр --filter принимает фильтры в стиле OData и может использоваться для фильтрации списка, как показано ниже. Параметр --query ограничивает выходные данные только столбцами, интересующими вас.
Используйте команду az ad group member add, чтобы добавить участников в группу.
```
az ad group member add \
    --group <group-name> \
    --member-id <object-id>
```

Назначьте роли группе

Затем определите, какие роли (разрешения) приложению требуются для каких ресурсов, и назначьте эти роли созданной группе Microsoft Entra. Группы можно назначить роль в ресурсе, группе ресурсов или области подписки. В этом примере показано, как назначать роли в области группы ресурсов, так как большинство приложений группируют все свои Azure ресурсы в единую группу ресурсов.

портал Azure
Azure CLI

На портале Azure перейдите на страницу Overview группы ресурсов, содержащей приложение.
Выберите управление доступом (IAM) в левой панели навигации.
На странице управления доступом (IAM) выберите +Добавить , а затем выберите "Добавить назначение ролей " в раскрывающемся меню. Страница "Добавление назначения ролей " предоставляет несколько вкладок для настройки и назначения ролей.
На вкладке "Роль" используйте поле поиска, чтобы найти роль, которую вы хотите назначить. Выберите роль и нажмите кнопку "Далее".
На вкладке "Члены" :
- Чтобы назначить доступ к значению , выберите "Пользователь", "Группа" или "Субъект-служба ".
- Для значения "Члены" нажмите кнопку "Выбрать участников ", чтобы открыть панель всплывающего меню "Выбор участников ".
- Найдите созданную ранее группу Microsoft Entra и выберите ее из отфильтрованных результатов. Выберите команду "Выбрать ", чтобы выбрать группу и закрыть панель всплывающего меню.
- Выберите Обзор + Назначение внизу вкладки Члены.
Снимок экрана, показывающий как назначить роль группе Microsoft Entra.
На вкладке "Обзор и назначение" выберите "Обзор и назначение" в нижней части страницы.

Используйте команду az role definition list, чтобы получить список ролей, к которым можно назначить группу Microsoft Entra или субъект-службу.
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Используйте команду az role assignment create, чтобы назначить роль созданной группе Microsoft Entra:
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Сведения о назначении разрешений на уровне ресурса или подписки с помощью Azure CLI см. в статье Назначение ролей Azure с помощью Azure CLI.

Установите переменные среды приложения

Во время выполнения определенные учетные данные из библиотеки удостоверений Azure Identity, такие как DefaultAzureCredential, EnvironmentCredential, и ClientSecretCredential, выполняют поиск информации о служебном объекте в переменных среды в соответствии с соглашением. При работе с Java переменные среды можно настраивать различными способами в зависимости от инструментов и среды.

Независимо от выбранного подхода настройте следующие переменные среды для субъекта-службы:

AZURE_CLIENT_ID: используется для идентификации зарегистрированного приложения в Azure.
AZURE_TENANT_ID: идентификатор клиента Microsoft Entra.
AZURE_CLIENT_SECRET: секретные учетные данные, созданные для приложения.

Bash
Visual Studio Code
IntelliJ IDEA

Добавьте следующие строки в файл ~/.bashrc или ~/.zshrc. Замените значения заполнителей фактическими значениями из регистрации приложения:

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

После редактирования файла выполните source ~/.bashrc или source ~/.zshrc, чтобы применить изменения к текущему сеансу.

Настройка переменных среды в .vscode/launch.json:

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Настройте переменные среды в конфигурации запуска:

Выберите "Выполнить > изменение конфигураций...".
Выберите конфигурацию приложения.

В поле переменных среды добавьте переменные :

AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>

Выберите Применить, а затем ОК.

Аутентификация для подключения к службам Azure из вашего приложения

Библиотека Azure Identity предоставляет различные учетные данные — реализации TokenCredential для поддержки различных сценариев и потоков аутентификации Microsoft Entra. Ниже показано, как использовать ClientSecretCredential при работе с субъектами-службами локально и в рабочей среде.

Реализация кода

Добавьте зависимость azure-identity в ваш pom.xml файл:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Доступ к службам Azure используется с помощью специализированных клиентских классов из различных клиентских библиотек Azure SDK. Для любого кода Java, создающего в приложении объект клиента Azure SDK, выполните следующие действия.

ClientSecretCredentialBuilder Импортируйте класс из com.azure.identity пакета.
Создайте объект с помощью ClientSecretCredentialBuilder, используя tenantId, clientId и clientSecret.
Передайте экземпляр ClientSecretCredential в метод credential объекта-создателя клиента Azure SDK.

Пример этого подхода показан в следующем сегменте кода:

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();

Дальнейшие действия

В этой статье рассматривается проверка подлинности с помощью принципала службы. Эта форма проверки подлинности является одним из многих способов проверки подлинности в Azure SDK для Java. В следующих статьях описаны другие способы проверки подлинности:

Если возникают проблемы, связанные с проверкой подлинности субъекта-службы, см. статью "Устранение неполадок с проверкой подлинности субъекта-службы".

После освоения аутентификации ознакомьтесь со статьей Настройка ведения журнала в Azure SDK для Java, чтобы получить информацию о предоставляемой SDK функциональности ведения журнала.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-11