Autentisera till Azure-resurser från Python-appar som körs lokalt

Appar som finns utanför Azure, till exempel lokalt eller i ett datacenter från tredje part, bör använda ett huvudnamn för programtjänsten via Microsoft Entra ID för att autentisera till Azure tjänster. I de kommande avsnitten lär du dig:

Så här registrerar du ett program med Microsoft Entra för att skapa ett huvudnamn för tjänsten
Hur man tilldelar roller för att begränsa behörigheter
Autentisera med tjänstens huvudnamn från din appkod

Med hjälp av dedikerade programtjänsthuvudnamn kan du följa principen om minsta behörighet vid åtkomst till Azure resurser. Behörigheter är begränsade till appens specifika krav under utveckling, vilket förhindrar oavsiktlig åtkomst till Azure resurser som är avsedda för andra appar eller tjänster. Den här metoden hjälper också till att undvika problem när appen flyttas till produktion genom att se till att den inte är överprivilegierad i utvecklingsmiljön.

En annan appregistrering ska skapas för varje miljö som appen finns i. På så sätt kan miljöspecifika resursbehörigheter konfigureras för varje huvudnamn för tjänsten och se till att en app som distribueras till en miljö inte kommunicerar med Azure resurser som ingår i en annan miljö.

Registrera appen i Azure

Huvudobjekt för programtjänsten skapas via en appregistrering i Azure med antingen Azure-portalen eller Azure CLI.

Azure portal
Azure CLI

I Azure-portalen använder du sökfältet för att navigera till sidan App registrations.
På sidan App registrations väljer du + Ny registrering.
På sidan Registrera en applikation:
- För fältet Namn anger du ett beskrivande värde som innehåller appnamnet och målmiljön.
- För kontotyper som stödsväljer du endast Konton i den här organisationskatalogen (endast Microsoft Customer Led – Enskild klientorganisation)eller vilket alternativ som passar bäst för dina behov.
Välj Registrera för att registrera din app och skapa tjänstens huvudnamn.
På sidan Appregistrering för din app kopierar du Program-ID (klient) och Katalog-ID (hyresgäst), som du sedan klistrar in på en tillfällig plats för senare användning i appkodkonfigurationerna.
Välj Lägg till ett certifikat eller en hemlig för att konfigurera autentiseringsuppgifter för din app.
På sidan Certifikat och hemligheter väljer du + Ny klienthemlighet.
I Lägg till en klienthemlighet flyout-panelen som öppnas:
- För Beskrivninganger du värdet Aktuell.
- För värdet Upphör att gälla lämnar du det rekommenderade standardvärdet på 180 dagar.
- Välj Lägg till för att lägga till hemligheten.
På sidan certifikat & hemligheter kopierar du egenskapen Value för klienthemligheten för användning i ett framtida steg.

Anmärkning

Värdet för klienthemlighet visas bara en gång efter att appregistreringen har skapats. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det går inte att visa det här värdet igen.

Azure CLI kommandon kan köras i Azure Cloud Shell eller på en arbetsstation med Azure CLI installerat.

Använd kommandot az ad sp create-for-rbac för att skapa en ny app-registrering och ett tjänsthuvudnamn för appen.

az ad sp create-for-rbac --name <service-principal-name>

Utdata från det här kommandot liknar följande JSON:

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

Kopiera utdata till en tillfällig fil i en textredigerare eftersom du behöver dessa värden i ett framtida steg.

Anmärkning

Värdet för klienthemlighet visas bara en gång efter att appregistreringen har skapats. Du kan lägga till fler klienthemligheter utan att ogiltigförklara den här klienthemligheten, men det går inte att visa det här värdet igen.

Tilldela roller till tjänstehuvudnamnet för applikationen

Bestäm sedan vilka roller (behörigheter) din app behöver på vilka resurser och tilldela dessa roller till tjänstens huvudnamn som du skapade. Roller kan tilldelas på resurs-, resursgrupps- eller prenumerationsnivån. Det här exemplet visar hur du tilldelar roller i resursgruppens omfång, eftersom de flesta appar grupperar alla sina Azure resurser i en enda resursgrupp.

Azure portal
Azure CLI

I Azure-portalen går du till sidan Overview i resursgruppen som innehåller din app.
Välj Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.
På sidan Åtkomstkontroll (IAM) väljer du + Lägg till och väljer sedan Lägg till rolltilldelning i den nedrullningsbara menyn. Sidan Lägg till rolltilldelning innehåller flera flikar för att konfigurera och tilldela roller.
På fliken Roll använder du sökrutan för att hitta den roll som du vill tilldela. Välj rollen och välj sedan Nästa.
På fliken Medlemmar:
- För värdet Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn .
- För värdet Medlemmar väljer du + Välj medlemmar för att öppna den utfällbara panelen Välj medlemmar .
- Sök efter tjänstens huvudnamn som du skapade tidigare och välj det från de filtrerade resultaten. Välj Välj för att välja gruppen och stäng den utfällbara panelen.
- Välj Granska + tilldela längst ned på fliken Medlemmar .
På fliken Granska + tilldela väljer du Granska + tilldela längst ned på sidan.

Använd kommandot az role definition list för att hämta namnen på de roller som en tjänstprincipal kan tilldelas:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Använd kommandot az role assignment create för att tilldela en roll till en serviceprincipal:
```
az role assignment create \
    --assignee "<app-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Information om hur du tilldelar behörigheter på resurs- eller prenumerationsnivå med hjälp av Azure CLI finns i Tilldela Azure roller med hjälp av Azure CLI.

Ange appmiljövariablerna

Vid körning söker vissa autentiseringsuppgifter från Azure Identity Library, till exempel DefaultAzureCredential, EnvironmentCredential och ClientSecretCredential, efter information om tjänstens huvudnamn efter konvention i miljövariablerna. Det finns flera sätt att konfigurera miljövariabler när du arbetar med Python, beroende på verktyg och miljö.

Oavsett vilken metod du väljer konfigurerar du följande miljövariabler för tjänstens huvudnamn:

AZURE_CLIENT_ID: Används för att identifiera den registrerade appen i Azure.
AZURE_TENANT_ID: ID för Microsoft Entra klientorganisationen.
AZURE_CLIENT_SECRET: Den hemliga autentiseringsuppgift som genererades för appen.

I Visual Studio Code kan miljövariabler anges i filen launch.json som finns i mappen .vscode i projektet. Dessa värden hämtas automatiskt när appen startar. De här konfigurationerna följer dock inte med din app under distributionen, så du måste konfigurera miljövariabler i målvärdmiljön.

{
    "configurations": [
        {
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Från kommandoraden Windows kan du ange miljövariabler på användarnivå med hjälp av följande kommandon:

setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

Miljövariabler på systemnivå kan också anges om du kör kommandotolken som administratör och lägger till /m flaggan:

setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell kan också användas för att ange miljövariabler på användar- eller systemnivå:

Använd följande kommandon för att ange miljövariablerna på användarnivå med hjälp av PowerShell:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

Miljövariabler på systemnivå kan också anges med PowerShell om du öppnar den med alternativet Kör som administratör:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

När du använder Gunicorn för att köra Python webbappar i en UNIX-servermiljö kan du ange miljövariabler för en app med hjälp av direktivet EnvironmentFile i filen gunicorn.service enligt nedan:

[Unit]
Description=gunicorn daemon
After=network.target

[Service]
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/bin/gunicorn --config config.py wsgi:app

[Install]
WantedBy=multi-user.target

Filen som anges i EnvironmentFile direktivet bör innehålla en lista över miljövariabler med deras värden enligt nedan:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Autentisera mot Azure-tjänster från din app

Biblioteket azure-identity innehåller olika credentials – implementeringar av TokenCredential anpassade för att stödja olika scenarier och Microsoft Entra autentiseringsflöden. Stegen framåt visar hur du använder ClientSecretCredential när du arbetar med tjänstens principaler lokalt och i produktion.

Implementera koden

Börja med att lägga till paketet i ditt program.

pip install azure-identity

För alla Python kod som skapar ett Azure SDK klientobjekt i din app bör du sedan:

ClientSecretCredential Importera klassen från modulenazure.identity.
Importera modulen os för att läsa miljövariabler.
Läs miljövariablerna för att hämta klient-ID, tenant-ID och klienthemlighet.
Skapa ett ClientSecretCredential-objekt genom att ange tenanthandels-ID, klient-ID och klienthemlighet.
Skicka objektet ClientSecretCredential till Azure SDK-klientobjektkonstruktorn.

Ett exempel på den här metoden visas i följande kodsegment.

import os
from azure.identity import ClientSecretCredential
from azure.storage.blob import BlobServiceClient

tenant_id = os.environ.get("AZURE_TENANT_ID")
client_id = os.environ.get("AZURE_CLIENT_ID")
client_secret = os.environ.get("AZURE_CLIENT_SECRET")

credential = ClientSecretCredential(tenant_id, client_id, client_secret)

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential)

Feedback

Var den här sidan till hjälp?

Last updated on 2026-03-06