Mengautentikasi aplikasi Go ke layanan Azure dengan menggunakan Azure SDK for Go
Saat aplikasi perlu mengakses sumber daya Azure seperti layanan Azure Storage, Azure Key Vault, atau Azure AI, aplikasi harus diautentikasi ke Azure. Persyaratan ini berlaku untuk semua aplikasi, baik yang disebarkan ke Azure, disebarkan secara lokal, atau sedang dalam pengembangan di stasiun kerja pengembang lokal. Artikel ini menjelaskan pendekatan yang direkomendasikan untuk mengautentikasi aplikasi ke Azure saat Anda menggunakan Azure SDK for Go.
Pendekatan autentikasi aplikasi yang direkomendasikan
Gunakan autentikasi berbasis token daripada string koneksi untuk aplikasi Anda saat diautentikasi ke sumber daya Azure. Azure SDK for Go menyediakan mekanisme yang mendukung autentikasi berbasis token. Aplikasi dapat mengautentikasi ke sumber daya Azure dengan lancar baik aplikasi dalam pengembangan lokal, disebarkan ke Azure, atau disebarkan ke server lokal.
Jenis autentikasi berbasis token tertentu yang digunakan aplikasi untuk mengautentikasi ke sumber daya Azure bergantung pada tempat aplikasi dijalankan. Jenis autentikasi berbasis token diperlihatkan dalam diagram berikut.
- Saat pengembang menjalankan aplikasi selama pengembangan lokal: Aplikasi mengautentikasi ke Azure dengan menggunakan perwakilan layanan aplikasi untuk pengembangan lokal atau kredensial Azure pengembang. Opsi-opsi ini dibahas dalam bagian Autentikasi selama pengembangan lokal.
- Saat aplikasi dihosting di Azure: Aplikasi mengautentikasi ke sumber daya Azure dengan menggunakan identitas terkelola. Opsi ini dibahas di bagian Autentikasi di lingkungan server.
- Saat aplikasi dihosting dan disebarkan secara lokal: Aplikasi melakukan autentikasi ke sumber daya Azure dengan menggunakan prinsipal layanan aplikasi. Opsi ini dibahas di bagian Autentikasi di lingkungan server.
DefaultAzureCredential
Jenis
Anda mengonfigurasi metode autentikasi yang sesuai untuk setiap lingkungan, dan DefaultAzureCredential secara otomatis mendeteksi dan menggunakan metode autentikasi tersebut. Penggunaan DefaultAzureCredential lebih disarankan daripada pengkodean logika kondisional atau fitur flag secara manual untuk menggunakan metode autentikasi yang beragam di berbagai lingkungan.
Detail tentang menggunakan jenis DefaultAzureCredential dibahas di bagian Gunakan DefaultAzureCredential dalam aplikasi.
Keuntungan autentikasi berbasis token
Gunakan autentikasi berbasis token alih-alih menggunakan string koneksi saat Anda membuat aplikasi untuk Azure. Autentikasi berbasis token menawarkan keuntungan berikut daripada mengautentikasi dengan string koneksi:
- Metode autentikasi berbasis token yang dijelaskan dalam artikel ini memungkinkan Anda membuat izin khusus yang diperlukan oleh aplikasi pada sumber daya Azure. Praktik ini mengikuti prinsip hak istimewa paling sedikit. Sebaliknya, string koneksi memberikan hak penuh ke sumber daya Azure.
- Siapa pun atau aplikasi apa pun dengan string koneksi dapat terhubung ke sumber daya Azure, tetapi metode autentikasi berbasis token mencakup akses ke sumber daya hanya untuk aplikasi yang dimaksudkan untuk mengakses sumber daya.
- Dengan identitas terkelola, tidak ada rahasia aplikasi untuk disimpan. Aplikasi ini lebih aman karena tidak ada string koneksi atau rahasia aplikasi yang dapat disusupi.
- Paket azidentity dalam Azure SDK mengelola token bagi Anda secara otomatis. Token terkelola membuat penggunaan autentikasi berbasis token mudah digunakan sebagai string koneksi.
Batasi penggunaan string koneksi ke aplikasi bukti konsep awal atau prototipe pengembangan yang tidak mengakses data produksi atau sensitif. Jika tidak, autentikasi berbasis token yang tersedia di Azure SDK selalu lebih disukai saat mengautentikasi ke sumber daya Azure.
Autentikasi di lingkungan server
Saat Anda menghosting di lingkungan server, setiap aplikasi diberi identitas aplikasi unik per lingkungan tempat aplikasi berjalan. Di Azure, identitas aplikasi diwakili oleh perwakilan layanan . Jenis khusus prinsip keamanan ini mengidentifikasi dan mengautentikasi aplikasi ke Azure. Jenis perwakilan layanan yang akan digunakan untuk aplikasi Anda bergantung pada tempat aplikasi Anda berjalan:
| Metode autentikasi | Deskripsi |
|---|---|
| Aplikasi yang dihosting di Azure | Aplikasi yang dihosting di Azure harus menggunakan prinsip layanan identitas terkelola . Identitas terkelola dirancang untuk mewakili identitas aplikasi yang dihosting di Azure dan hanya dapat digunakan dengan aplikasi yang dihosting Azure. Misalnya, aplikasi web Gin yang dihosting di Azure Container Apps akan diberi identitas terkelola. Identitas terkelola yang ditetapkan ke aplikasi kemudian akan digunakan untuk mengautentikasi aplikasi ke layanan Azure lainnya. Aplikasi yang berjalan di Azure Kubernetes Service (AKS) dapat menggunakan kredensial identitas Beban Kerja. Kredensial ini didasarkan pada identitas terkelola yang memiliki hubungan kepercayaan dengan akun layanan AKS. |
| Aplikasi yang dihosting di luar Azure (misalnya, aplikasi lokal) |
Aplikasi yang dihosting di luar Azure (misalnya, aplikasi lokal) yang perlu terhubung ke layanan Azure harus menggunakan perwakilan layanan aplikasi . Perwakilan layanan aplikasi mewakili identitas aplikasi di Azure dan dibuat melalui proses pendaftaran aplikasi. Misalnya, pertimbangkan aplikasi web Gin yang dihosting secara lokal yang menggunakan Azure Blob Storage. Anda akan membuat prinsipal layanan aplikasi untuk aplikasi dengan menggunakan proses pendaftaran aplikasi. AZURE_CLIENT_ID, AZURE_TENANT_ID, dan AZURE_CLIENT_SECRET semuanya akan disimpan sebagai variabel lingkungan untuk dibaca oleh aplikasi pada runtime dan memungkinkan aplikasi untuk mengautentikasi ke Azure dengan menggunakan perwakilan layanan aplikasi. |
Autentikasi selama pengembangan lokal
Saat aplikasi berjalan di stasiun kerja pengembang selama pengembangan lokal, aplikasi masih harus mengautentikasi ke layanan Azure apa pun yang digunakan oleh aplikasi. Ada dua strategi utama untuk mengautentikasi aplikasi ke Azure selama pengembangan lokal:
| Metode autentikasi | Deskripsi |
|---|---|
| Buat objek utama layanan aplikasi khusus untuk digunakan selama pengembangan lokal. | Dalam metode ini, objek prinsip layanan aplikasi khusus disiapkan dengan menggunakan proses pendaftaran aplikasi untuk digunakan selama pengembangan lokal. Identitas perwakilan layanan kemudian disimpan sebagai variabel lingkungan untuk diakses oleh aplikasi saat dijalankan dalam pengembangan lokal. Metode ini memungkinkan Anda menetapkan izin sumber daya tertentu yang diperlukan oleh aplikasi ke objek perwakilan layanan yang digunakan oleh pengembang selama pengembangan lokal. Praktik ini memastikan aplikasi hanya memiliki akses ke sumber daya tertentu yang dibutuhkan dan mereplikasi izin yang akan dimiliki aplikasi dalam produksi. Kelemahan dari pendekatan ini adalah kebutuhan untuk membuat objek perwakilan layanan terpisah untuk setiap pengembang yang bekerja pada aplikasi. |
| Autentikasi aplikasi ke Azure dengan menggunakan kredensial pengembang selama pengembangan lokal. | Dalam metode ini, pengembang harus masuk ke Azure dari Azure CLI atau Azure Developer CLI di stasiun kerja lokal mereka. Aplikasi kemudian dapat mengakses kredensial pengembang dari penyimpanan kredensial dan menggunakan kredensial tersebut untuk mengakses sumber daya Azure dari aplikasi. Metode ini memiliki keuntungan dari penyiapan yang lebih mudah karena pengembang hanya perlu masuk ke akun Azure mereka melalui salah satu alat pengembang yang disebutkan di atas. Kerugian dari pendekatan ini adalah bahwa akun pengembang kemungkinan memiliki lebih banyak izin daripada yang diperlukan oleh aplikasi. Akibatnya, aplikasi tidak secara akurat mereplikasi izin yang digunakan aplikasi di lingkungan produksi. |
Menggunakan DefaultAzureCredential dalam aplikasi
DefaultAzureCredential adalah urutan mekanisme yang diurutkan secara khusus untuk mengautentikasi ke Microsoft Entra ID. Setiap mekanisme autentikasi adalah kelas yang mengimplementasikan antarmuka TokenCredential dan dikenal sebagai kredensial . Saat runtime, DefaultAzureCredential mencoba mengautentikasi menggunakan kredensial pertama. Jika kredensial tersebut gagal memperoleh token akses, kredensial berikutnya dalam urutan dicoba, dan sebagainya, hingga token akses berhasil diperoleh. Dengan cara ini, aplikasi Anda dapat menggunakan kredensial yang berbeda di lingkungan yang berbeda tanpa menulis kode khusus lingkungan.
Untuk menggunakan DefaultAzureCredential di aplikasi Go, tambahkan paket azidentity ke aplikasi Anda.
go get github.com/Azure/azure-sdk-for-go/sdk/azidentity
Contoh kode berikut menunjukkan cara membuat instans klien Azure SDK dengan DefaultAzureCredential. Dalam hal ini, klien azblob digunakan untuk mengakses Azure Blob Storage.
import (
"context"
"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)
const (
account = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
containerName = "sample-container"
blobName = "sample-blob"
sampleFile = "path/to/sample/file"
)
func main() {
// create a credential
cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
// TODO: handle error
}
// create a client for the specified storage account
client, err := azblob.NewClient(account, cred, nil)
if err != nil {
// TODO: handle error
}
// TODO: perform some action with the azblob Client
// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}
Saat kode sebelumnya dijalankan di stasiun kerja pengembangan lokal Anda, kode tersebut akan mencari di variabel lingkungan untuk prinsip layanan aplikasi atau di alat pengembang yang terpasang secara lokal, seperti Azure CLI, untuk mendapatkan serangkaian kredensial pengembang. Salah satu pendekatan dapat digunakan untuk mengautentikasi aplikasi ke sumber daya Azure selama pengembangan lokal.
Saat disebarkan ke Azure, kode yang sama ini juga dapat mengautentikasi aplikasi Anda ke sumber daya Azure.
DefaultAzureCredential dapat mengambil pengaturan lingkungan dan konfigurasi identitas terkelola untuk mengautentikasi ke layanan Azure secara otomatis.