Authentifizierung bei den Azure-Ressourcen von lokal gehosteten Python-Apps

Apps, die außerhalb von Azure gehostet werden, z. B. lokal oder in einem Rechenzentrum eines Drittanbieters, sollten einen Anwendungsdienstprinzipal über Microsoft Entra ID verwenden, um sich bei Azure Diensten zu authentifizieren. In den folgenden Abschnitten lernen Sie Folgendes:

Registrieren einer Anwendung bei Microsoft Entra zur Erstellung eines Dienstprinzipals
Zuweisung von Rollen zu Bereichsberechtigungen
So authentifizieren Sie sich über einen Dienstprinzipal von Ihrem Anwendungscode aus

Wenn Sie dedizierte Anwendungsdienstprinzipale verwenden, können Sie das Prinzip der geringsten Rechte beim Zugriff auf Azure Ressourcen einhalten. Berechtigungen sind auf die spezifischen Anforderungen der App während der Entwicklung beschränkt und verhindern den versehentlichen Zugriff auf Azure Ressourcen, die für andere Apps oder Dienste vorgesehen sind. Dieser Ansatz hilft auch, Probleme zu vermeiden, wenn die App in die Produktion verschoben wird, indem sichergestellt wird, dass sie in der Entwicklungsumgebung nicht überprivilegiert ist.

Für jede Umgebung, in der die App gehostet wird, sollte eine andere App-Registrierung erstellt werden. Dadurch können umgebungsspezifische Ressourcenberechtigungen für jeden Dienstprinzipal konfiguriert werden und sicherstellen, dass eine in einer Umgebung bereitgestellte App nicht mit Azure Ressourcen spricht, die Teil einer anderen Umgebung sind.

Registrieren der App in Azure

Anwendungsdienstprinzipalobjekte werden über eine App-Registrierung in Azure entweder über das Azure Portal oder Azure CLI erstellt.

Azure Portal
Azure CLI

Verwenden Sie im Azure-Portal die Suchleiste, um zur Seite App registrations zu navigieren.
Wählen Sie auf der Seite App registrations+ Neue Registrierung aus.
Gehen Sie auf der Seite Registrieren einer Anwendung folgendermaßen vor:
- Geben Sie für das Feld Name einen beschreibenden Wert ein, der den App-Namen und die Zielumgebung enthält.
- Wählen Sie unter Unterstützte Kontotypendie Option Nur Konten in diesem Organisationsverzeichnis (nur Microsoft Customer Led - Single Tenant)oder die Option, die Ihren Anforderungen am besten entspricht.
Wählen Sie Registrieren , um Ihre App zu registrieren und den Dienstprinzipal zu erstellen.

Ein Screenshot, der zeigt, wie man eine App-Registrierung im Azure-Portal erstellt.
Kopieren Sie auf der Seite App-Registrierung Ihrer App die Anwendungs-ID (Client-ID) und Verzeichnis-ID (Mandanten-ID) und fügen Sie sie an einem temporären Speicherort ein, um sie später in Ihren App-Codekonfigurationen zu verwenden.
Wählen Sie Zertifikat oder Geheimnis hinzufügen , um Anmeldedaten für Ihre App einzurichten.
Auf der Seite Zertifikate & Geheimnisse wählen Sie + Neues Client-Geheimnis.
In dem Hinzufügen eines Client-Geheimnisses Flyout-Panel, das sich öffnet:
- Für die Beschreibunggeben Sie den Wert Current ein.
- Für den Wert Expires belassen Sie den empfohlenen Standardwert von 180 Tagen.
- Wählen Sie Hinzufügen aus, um das Geheimnis hinzuzufügen.
Kopieren Sie auf der Seite Zertifikate & Geheimnisse die Eigenschaft Wert des Client-Geheimnisses zur Verwendung in einem späteren Schritt.

Hinweis

Der Wert des geheimen Clientschlüssels wird nur einmal angezeigt, nachdem die App-Registrierung erstellt wurde. Sie können weitere geheime Clientschlüssel hinzufügen, ohne diesen geheimen Clientschlüssel ungültig zu machen, aber es gibt keine Möglichkeit, diesen Wert erneut anzuzeigen.

Azure CLI Befehle können im Azure Cloud Shell oder auf einer Arbeitsstation ausgeführt werden, auf der Azure CLI installiert ist.

Verwenden Sie den Befehl az ad sp create-for-rbac , um eine neue App-Registrierung und einen neuen Dienstprinzipal für die App zu erstellen.

az ad sp create-for-rbac --name <service-principal-name>

Die Ausgabe dieses Befehls ähnelt dem folgenden JSON:

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

Kopieren Sie diese Ausgabe in eine temporäre Datei in einem Text-Editor, da Sie diese Werte in einem zukünftigen Schritt benötigen.

Hinweis

Der Wert des geheimen Clientschlüssels wird nur einmal angezeigt, nachdem die App-Registrierung erstellt wurde. Sie können weitere geheime Clientschlüssel hinzufügen, ohne diesen geheimen Clientschlüssel ungültig zu machen, aber es gibt keine Möglichkeit, diesen Wert erneut anzuzeigen.

Zuweisen von Rollen zum Anwendungsdienstprinzipal

Ermitteln Sie als Nächstes, welche Rollen (Berechtigungen) Ihre App für welche Ressourcen benötigt, und weisen Sie diese Rollen dem von Ihnen erstellten Dienstprinzipal zu. Rollen können auf Ressourcen-, Ressourcengruppen- oder Abonnementebene zugewiesen werden. In diesem Beispiel wird gezeigt, wie Rollen im Ressourcengruppenbereich zugewiesen werden, da die meisten Apps alle ihre Azure Ressourcen in einer einzelnen Ressourcengruppe gruppieren.

Azure Portal
Azure CLI

Navigieren Sie im Azure-Portal zur Seite Overview der Ressourcengruppe, die Ihre App enthält.
Wählen Sie im linken Navigationsbereich die Option Zugriffssteuerung (IAM).
Wählen Sie auf der Seite access control (IAM)+ Hinzufügen und dann im Dropdownmenü " Rollenzuweisung hinzufügen " aus. Die Seite " Rollenzuweisung hinzufügen " bietet mehrere Registerkarten zum Konfigurieren und Zuweisen von Rollen.
Verwenden Sie auf der Registerkarte " Rolle " das Suchfeld, um die Rolle zu suchen, die Sie zuweisen möchten. Wählen Sie die Rolle und dann "Weiter" aus.
Auf der Registerkarte „Mitglieder“
- Wählen Sie für den Wert "Zugriff zuweisen""Benutzer", "Gruppe" oder "Dienstprinzipal" aus.
- Wählen Sie für den Wert " Mitglieder " die Option "Mitglieder auswählen " aus, um den Flyoutbereich " Mitglieder auswählen " zu öffnen.
- Suchen Sie nach dem Zuvor erstellten Dienstprinzipal, und wählen Sie ihn aus den gefilterten Ergebnissen aus. Wählen Sie Auswählen aus, um die Gruppe auszuwählen und das Flyout-Panel zu schließen.
- Wählen Sie "Überprüfen" und "Zuweisen " am unteren Rand der Registerkarte " Mitglieder " aus.
Wählen Sie auf der Registerkarte " Überprüfen+ Zuweisen " die Option "Überprüfen" und "Zuweisen " am unteren Rand der Seite aus.

Verwenden Sie den Befehl " az role definition list" , um die Namen der Rollen abzurufen, denen ein Dienstprinzipal zugewiesen werden kann:
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Verwenden Sie den Befehl " az role assignment create " zum Zuweisen einer Rolle zu einem Anwendungsdienstprinzipal:
```
az role assignment create \
    --assignee "<app-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Informationen zum Zuweisen von Berechtigungen auf Ressourcen- oder Abonnementebene mithilfe des Azure CLI finden Sie unter Assign-Azure Rollen mithilfe der Azure CLI.

Festlegen der App-Umgebungsvariablen

Zur Laufzeit suchen bestimmte Anmeldeinformationen aus der Azure Identitätsbibliothek, wie DefaultAzureCredential, EnvironmentCredential und ClientSecretCredential, konventionell in den Umgebungsvariablen nach Dienstprinzipalinformationen. Es gibt mehrere Möglichkeiten zum Konfigurieren von Umgebungsvariablen beim Arbeiten mit Python, je nach Tool und Umgebung.

Konfigurieren Sie unabhängig vom gewählten Ansatz die folgenden Umgebungsvariablen für einen Dienstprinzipal:

AZURE_CLIENT_ID: Wird verwendet, um die registrierte App in Azure zu identifizieren.
AZURE_TENANT_ID: Die ID des Microsoft Entra Mandanten.
AZURE_CLIENT_SECRET: Die geheimen Anmeldeinformationen, die für die App generiert wurden.

In Visual Studio Code können Umgebungsvariablen in der Datei launch.json im Ordner .vscode Ihres Projekts festgelegt werden. Diese Werte werden automatisch abgerufen, wenn die App gestartet wird. Diese Konfigurationen reisen jedoch während der Bereitstellung nicht mit Ihrer App zusammen, daher müssen Sie Umgebungsvariablen in Ihrer Zielhostingumgebung einrichten.

{
    "configurations": [
        {
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Über die Befehlszeile Windows können Sie Umgebungsvariablen auf Benutzerebene mithilfe der folgenden Befehle festlegen:

setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

Umgebungsvariablen auf Systemebene können auch festgelegt werden, wenn Sie die Eingabeaufforderung als Administrator ausführen und das /m Flag hinzufügen:

setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell kann auch verwendet werden, um Umgebungsvariablen auf Benutzer- oder Systemebene festzulegen:

Verwenden Sie die folgenden Befehle, um die Umgebungsvariablen mithilfe von PowerShell auf Benutzerebene festzulegen:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

Umgebungsvariablen auf Systemebene können auch mithilfe von PowerShell festgelegt werden, wenn Sie sie mit der Option "Als Administrator ausführen" öffnen:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Wenn Sie Gunicorn verwenden, um Python Web-Apps in einer UNIX-Serverumgebung auszuführen, können Umgebungsvariablen für eine App mithilfe der Direktive EnvironmentFile in der Datei gunicorn.service wie unten dargestellt angegeben angegeben werden:

[Unit]
Description=gunicorn daemon
After=network.target

[Service]
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/bin/gunicorn --config config.py wsgi:app

[Install]
WantedBy=multi-user.target

Die in der EnvironmentFile Direktive angegebene Datei sollte eine Liste von Umgebungsvariablen mit ihren Werten enthalten, wie unten dargestellt:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Authentifizieren bei Azure Diensten aus Ihrer App

Die bibliothek azure-identity bietet verschiedene credentials – Implementierungen von TokenCredential angepasst an die Unterstützung verschiedener Szenarien und Microsoft Entra Authentifizierungsflüsse. Die vorausstehenden Schritte veranschaulichen die Verwendung von ClientSecretCredential beim lokalen Arbeiten mit Dienstprinzipalen und in der Produktion.

Implementieren des Codes

Fügen Sie zunächst das Paket zu Ihrer Anwendung hinzu.

pip install azure-identity

Als Nächstes sollten Sie für jeden Python Code, der ein Azure SDK Clientobjekt in Ihrer App erstellt, Folgendes ausführen:

Importieren Sie die ClientSecretCredential-Klasse aus dem azure.identity-Modul.
Importieren Sie das os Modul, um Umgebungsvariablen zu lesen.
Lesen Sie die Umgebungsvariablen, um die Client-ID, die Mandanten-ID und den geheimen Clientschlüssel abzurufen.
Erstellen Sie ein ClientSecretCredential Objekt, das die Mandanten-ID, die Client-ID und den geheimen Clientschlüssel übergibt.
Übergeben Sie das ClientSecretCredential-Objekt an den Azure SDK Clientobjektkonstruktor.

Ein Beispiel für diesen Ansatz ist im folgenden Codesegment dargestellt.

import os
from azure.identity import ClientSecretCredential
from azure.storage.blob import BlobServiceClient

tenant_id = os.environ.get("AZURE_TENANT_ID")
client_id = os.environ.get("AZURE_CLIENT_ID")
client_secret = os.environ.get("AZURE_CLIENT_SECRET")

credential = ClientSecretCredential(tenant_id, client_id, client_secret)

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential)

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-06