Início Rápido: Adicionar a autenticação de aplicativo ao seu aplicativo Web em execução no Serviço de Aplicativo do Azure

Observação

A partir de 1º de junho de 2024, todos os aplicativos do Serviço de Aplicativo recém-criados terão a opção de criar um nome de host padrão exclusivo com uma convenção de nomenclatura <app-name>-<random-hash>.<region>.azurewebsites.net. Os nomes dos aplicativos existentes não serão alterados.

Exemplo: myapp-ds27dh7271aah175.westus-01.azurewebsites.net

Para obter mais informações, consulte Nome de Host Padrão Exclusivo para o Recurso do Serviço de Aplicativo.

Saiba como habilitar a autenticação para seu aplicativo Web em execução no Serviço de Aplicativo do Azure e limitar o acesso a usuários na sua organização.

Neste tutorial, você aprenderá como:

• Configurar a autenticação para o aplicativo Web.
• Limite o acesso ao aplicativo Web apenas para os usuários da sua organização usando o Microsoft Entra como o provedor de identidade.

Autenticação automática fornecida pelo Serviço de Aplicativo

O Serviço de Aplicativo fornece suporte interno à autenticação e à autorização, de modo que você possa conectar usuários sem código no aplicativo Web. O uso do módulo opcional de autenticação/autorização do Serviço de Aplicativo simplifica a autenticação e a autorização para o aplicativo. Quando estiver pronto para a autenticação e a autorização personalizadas, você fará isso nesta arquitetura.

A autenticação do serviço de aplicativo fornece:

• Fácil ativação e configuração por meio do portal do Azure e das configurações do aplicativo.
• Não há necessidade de SDKs, idiomas específicos ou alterações no código do aplicativo.
• Há suporte para vários provedores de identidade:
  • Microsoft Entra
  • Conta da Microsoft
  • Facebook
  • Google
  • Twitter

Quando o módulo de autorização/autenticação está habilitado, toda solicitação HTTP de entrada passa por ele antes de ser manipulada pelo código do aplicativo. Para obter mais informações, confira Autenticação e autorização no Serviço de Aplicativo do Azure.

1. Pré-requisitos

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

2. Criar e publicar um aplicativo Web no Serviço de Aplicativo

Para este tutorial, você precisará ter um aplicativo Web implantado no Serviço de Aplicativo. Você pode usar um aplicativo Web existente ou pode seguir um dos guias de início rápido para criar e publicar um novo aplicativo Web no Serviço de Aplicativo:

• ASP.NET Core
• Node.js
• Python
• Java

Seja ao usar um aplicativo Web existente ou criar um novo, observe o seguinte:

• Nome do aplicativo Web.
• Grupo de recursos em que o aplicativo Web é implantado.

Você precisará desses nomes ao longo deste tutorial.

3. Configurar a autenticação e a autorização

Agora que você tem um aplicativo Web em execução no Serviço de Aplicativo, habilite a autenticação e a autorização. Configure o Microsoft Entra como o provedor de identidade. Para obter mais informações, consulte Configurar a autenticação do Microsoft Entra no seu aplicativo do Serviço de Aplicativo.

Configuração da força de trabalho

1. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página.

2. Clique em grupos de recursos e selecione o grupo de recursos. Em Visão geral, selecione a página de gerenciamento do aplicativo.

   

3. No menu à esquerda do aplicativo, selecione Autenticação e escolha Adicionar provedor de identidade.

4. Na página Adicionar um provedor de identidade, selecione Microsoft como o Provedor de identidade para conectar identidades da Microsoft e do Microsoft Entra.

5. Em Tipo de locatário, selecione Configuração da força de trabalho (locatário atual) para funcionários e convidados corporativos.

6. Em Registro de aplicativo>Tipo de registro de aplicativo, selecione Criar registro de aplicativo para criar um registro de aplicativo no Microsoft Entra.

7. Insira um Nome de exibição para o seu aplicativo. Os usuários do seu aplicativo podem ver o nome de exibição quando usam o aplicativo, por exemplo, durante a conexão.

8. Para Registro de aplicativo>Tipos de conta com suporte, selecione Locatário único de locatário atual para que somente os usuários em sua organização possam entrar no aplicativo Web.

9. Na seção Verificações adicionais, selecione:

   • Permitir solicitações somente deste próprio aplicativo em Requisito de aplicativo cliente
   • Permitir solicitações de qualquer identidade em Requisito de identidade
   • Permitir solicitações somente do locatário emissor em Requisito de locatário

10. Na seção Configurações de autenticação do Serviço de Aplicativo, defina:

    • Exigir autenticação em autenticação
    • Redirecionamento para HTTP 302 Encontrado: recomendado para sites em Solicitações não autenticadas
    • Caixa Repositório de tokens

11. Na parte inferior da página Adicionar um provedor de identidade, selecione Adicionar para habilitar a autenticação no seu aplicativo Web.

    

    Agora você tem um aplicativo protegido pela autenticação e a autorização do Serviço de Aplicativo.

    Observação

    Para permitir contas de outros locatários, altere a “URL do Emissor” para “https://login.microsoftonline.com/common/v2.0” editando seu “Provedor de Identidade” na folha “Autenticação”.

Configuração externa

1. No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página.

2. Clique em grupos de recursos e selecione o grupo de recursos. Em Visão geral, selecione a página de gerenciamento do aplicativo.

   

3. No menu à esquerda do aplicativo, selecione Autenticação e escolha Adicionar provedor de identidade.

4. Na página Adicionar um provedor de identidade, selecione Microsoft como o Provedor de identidade para conectar identidades da Microsoft e do Microsoft Entra.

5. Em Tipo de locatário, selecione Configuração externa para usuários externos.

6. Selecione Criar novo registro de aplicativo para criar um novo registro de aplicativo.

7. Selecione um locatário existente para usar na lista suspensa ou selecione Criar novo para criar um novo locatário externo.

   

8. (Opcional) Na página Criar um locatário, adicione o Nome do locatário* e o Nome de domínio. Selecione um Local e selecione Examinar e criar e, em seguida, Criar.

   

9. Selecione Configurar para configurar a autenticação externa.

10. O navegador será aberto em Configurar autenticação do cliente. Em Configurar entrada, selecione Criar para criar uma experiência de entrada para os usuários externos.

11. Insira um Nome para o fluxo de usuário.

12. Neste início rápido, selecione Email e senha, o que permite que novos usuários se inscrevam e se conectem usando um endereço de email como o nome de entrada e uma senha como a credencial de primeiro fator.

13. Selecione Criar para criar o fluxo de usuário.

    

14. Selecione Avançar para personalizar a identidade visual.

15. Adicione o logotipo da empresa, selecione uma cor da tela de fundo e escolha um layout de entrada.

    

16. Selecione Avançar. Se o locatário selecionado já tiver uma configuração de identidade visual, você precisará confirmar se deseja substituí-lo.

17. Selecione Configurar na guia Revisão para confirmar a atualização do locatário externo.

18. O navegador retorna à página Adicionar um provedor de identidade.

19. Na seção Verificações adicionais, selecione:

    • Permitir solicitações somente deste próprio aplicativo em Requisito de aplicativo cliente
    • Permitir solicitações de qualquer identidade em Requisito de identidade
    • Permitir solicitações somente do locatário emissor em Requisito de locatário

20. Na seção Configurações de autenticação do Serviço de Aplicativo, defina:

    • Exigir autenticação em autenticação
    • Redirecionamento para HTTP 302 Encontrado: recomendado para sites em Solicitações não autenticadas
    • Caixa Repositório de tokens

21. Na parte inferior da página Adicionar um provedor de identidade, selecione Adicionar para habilitar a autenticação no seu aplicativo Web.

    

4. Verificar o acesso limitado ao aplicativo Web

Quando você habilitou o módulo de autenticação/autorização do Serviço de Aplicativo na seção anterior, um registro de aplicativo foi criado em sua força de trabalho ou locatário externo. O registro do aplicativo tem o nome de exibição que você criou em uma etapa anterior.

1. Para verificar as configurações, conecte-se no centro de administração do Microsoft Entra como, pelo menos, Desenvolvedor de Aplicativos. Se você escolheu a configuração externa, use o ícone Configurações no menu superior para alternar para o locatário externo com o seu aplicativo Web no menu Diretórios + assinaturas. Quando estiver no locatário correto:

2. Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione Aplicativos>Registros de aplicativo no menu.

3. Selecione o registro do aplicativo criado anteriormente.

4. Na visão geral, verifique se a opção Tipos de conta compatíveis está definida como Somente para minha organização.

5. Para verificar se o acesso ao seu aplicativo está limitado aos usuários da sua organização, acesse a Visão geral do aplicativo Web e selecione o link Domínio padrão. Ou inicie um navegador no modo anônimo ou privado e vá para https://<app-name>.azurewebsites.net (confira observação na parte superior).

   

6. Você deverá ser direcionado para uma página de entrada segura, confirmando que os usuários não autenticados não têm permissão de acesso ao site.

7. Entre como um usuário em sua organização para obter acesso ao site. Você também pode iniciar um novo navegador e tentar entrar usando uma conta pessoal para confirmar se os usuários fora da organização não têm acesso.

5. Limpar os recursos

Se você concluiu todas as etapas neste tutorial de várias partes, você criou um Serviço de Aplicativo, um plano de hospedagem do Serviço de Aplicativo e uma conta de armazenamento em um grupo de recursos. Você também criou um registro de aplicativo na ID do Microsoft Entra. Se você escolheu a configuração externa, talvez você tenha criado um novo locatário externo. Quando não for mais necessário, exclua esses recursos e o registro de aplicativo para que você não continue a acumular encargos.

Neste tutorial, você aprenderá como:

• Excluir os recursos do Azure criados durante as etapas do tutorial.

Exclua o grupo de recursos

No portal do Azure, selecione Grupos de recursos no menu do portal e selecione o grupo de recursos que contém o Serviço de Aplicativo e o Plano do Serviço de Aplicativo.

Selecione Excluir grupo de recursos para excluir o grupo de recursos e todos os recursos que ele contém.

Esse comando pode levar vários minutos para ser executado.

Excluir o registro do aplicativo

No centro de administração do Microsoft Entra, selecione Aplicativos>Registros de aplicativo. Em seguida, selecione o aplicativo que você criou.

Na visão geral do registro de aplicativo, selecione Excluir.

Exclua o locatário externo

Se você criou um novo locatário externo, poderá excluí-lo. No centro de administração do Microsoft Entra, navegue até Identidade>Visão geral>Gerenciar locatários.

Selecione o locatário que você deseja excluir e, em seguida, selecione Excluir.

Talvez seja necessário concluir as ações necessárias antes da exclusão do locatário. Por exemplo, talvez seja necessário excluir todos os fluxos de usuário e registros de aplicativo no locatário.

Se estiver pronto para excluir o locatário, selecione Excluir.

Próximas etapas

Neste tutorial, você aprendeu a:

• Configurar a autenticação para o aplicativo Web.
• Limitar o acesso ao aplicativo Web para os usuários na sua organização.

O Serviço de Aplicativo acessa o armazenamento