Métodos de autenticação usando o Azure Active Directory
A API Pública do Azure Sphere (PAPI) dá suporte a vários métodos de autenticação e autorização do usuário no Azure Active Directory (AAD).
Com o Azure Active Directory, um token de aplicativo pode ser usado para autenticar e conceder acesso a recursos específicos do Azure de um aplicativo de usuário, serviço ou ferramenta de automação usando a entidade de serviço ou o método de identidade gerenciada para autenticação.
Importante
Ao criar uma entidade de serviço, você deve proteger as credenciais de aplicativo geradas, como segredos do cliente ou certificados de cliente. Certifique-se de que você não inclua as credenciais do aplicativo em seu código ou marcar as credenciais em seu controle de origem. Como alternativa, considere usar a identidade gerenciada para evitar a necessidade de usar credenciais.
A ilustração a seguir mostra os métodos de autenticação com suporte usando o Azure Active Directory:
Método de entidade de serviço
Uma entidade de serviço do Azure pode ser configurada para usar um segredo do cliente ou um certificado de cliente para autenticação. As entidades de serviço são contas não vinculadas a nenhum usuário específico, mas podem ter permissões atribuídas por meio de funções pré-definidas. A autenticação com uma entidade de serviço é a melhor maneira de gravar scripts ou programas seguros, permitindo que você aplique restrições de permissão e informações de credencial estática armazenadas localmente. Para obter mais informações, consulte Entidade de serviço do Azure.
Há duas opções disponíveis para entidades de serviço: segredos do cliente e certificados de cliente. Para obter mais informações, consulte Método de autenticação da entidade de serviço.
Método de identidade gerenciada
A identidade gerenciada do Azure também pode ser usada para se comunicar com o serviço de API Pública do Azure Sphere . A identidade gerenciada tem suporte em vários serviços do Azure. O benefício de usar uma identidade gerenciada para o método de autenticação de recursos do Azure é que você não precisa gerenciar segredos de cliente ou certificados de cliente. Para obter mais informações, consulte Identidade gerenciada para método de recurso.
Método de identidade do usuário
Usando esse método, você não precisa se autenticar usando o locatário do Azure Sphere. Você pode fazer logon usando a identidade de usuário do Azure Active Directory. Para obter mais informações, consulte Método de autenticação do usuário.
Adicionar a ID do Aplicativo de API Pública do Azure Sphere ao locatário do Azure
Primeiro, você precisa adicionar a ID do Aplicativo de API Pública do Azure Sphere ao locatário do Azure usando uma configuração única:
Nota
- Use uma conta de Administrador Global para seu locatário do Azure Active Directory (Azure AD) para executar esse comando.
- O valor do
AppIdparâmetro é estático. - Recomendamos usar
Azure Sphere Public APIpara o-DisplayNamepara que um nome de exibição comum possa ser usado entre locatários.
Abra uma janela do Prompt de Comando do Windows PowerShell elevado (execute Windows PowerShell como administrador) e execute o seguinte comando para instalar o módulo Azure AD Powershell:
Install-Module AzureADEntre no Azure AD PowerShell com uma conta de administrador. Especifique o
-TenantIdparâmetro para se autenticar como uma entidade de serviço:Connect-AzureAD -TenantId <Azure Active Directory TenantID><O TenantID> do Azure Active Directory representa o TenantID do diretório Azure Active. Para obter mais informações, consulte Como encontrar sua ID de locatário do Azure Active Directory.
Crie a entidade de serviço e conecte-a
Azure Sphere Public APIao aplicativo especificando a ID do Aplicativo de API Pública do Azure Sphere, conforme descrito abaixo:New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"