Autenticação do Azure com o módulo de Identidade do Azure para Go

Neste tutorial, o tipo DefaultAzureCredential do módulo Azure Identity for Go é usado para autenticar no Azure. O módulo Identidade do Azure oferece vários tipos de credenciais que se concentram no OAuth com a ID do Microsoft Entra.

DefaultAzureCredential simplifica a autenticação combinando tipos de credenciais comumente usados. Ele encadeia tipos de credenciais usados para autenticar aplicativos implantados no Azure com tipos de credenciais usados para autenticar em um ambiente de desenvolvimento.

Pré-requisitos

• Assinatura do Azure: caso você não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Go instalado: versão 1.18 ou superior

1. Instalar o módulo Identidade do Azure para o Go

Execute o seguinte comando para baixar o módulo azidentity:

go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity

2. Autenticar-se com o Azure

Use o DefaultAzureCredential para se autenticar no Azure com uma das seguintes técnicas:

• Opção 1: definir variáveis de ambiente
• Opção 2: Usar a identidade da carga de trabalho
• Opção 3: Usar uma identidade gerenciada
• Opção 4: Entrar com a CLI do Azure

Para saber mais sobre os diferentes tipos de credenciais, confira tipos de credencial.

Opção 1: definir variáveis de ambiente

O DefaultAzureCredential usa o tipo EnvironmentCredential para configurar a autenticação usando variáveis de ambiente que dão suporte a três tipos de autenticação. Escolha entre os tipos de autenticação a seguir e defina as variáveis de ambiente apropriadas.

Entidade de serviço com um segredo

Nome da variável	Valor
AZURE_CLIENT_ID	ID de aplicativo de uma entidade de serviço do Azure
AZURE_TENANT_ID	ID do locatário do Microsoft Entra do aplicativo
AZURE_CLIENT_SECRET	Senha da entidade de serviço do Azure

Bash

export AZURE_TENANT_ID="<active_directory_tenant_id"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_SECRET="<service_principal_password>"

PowerShell

$env:AZURE_TENANT_ID="<active_directory_tenant_id"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_SECRET="<service_principal_password>"

Entidade de serviço com certificado

Nome da variável	Valor
AZURE_CLIENT_ID	ID de um aplicativo Microsoft Entra
AZURE_TENANT_ID	ID do locatário do Microsoft Entra do aplicativo
AZURE_CLIENT_CERTIFICATE_PATH	Caminho para um arquivo de certificado, incluindo a chave privada (sem proteção por senha)

Bash

export AZURE_TENANT_ID="<active_directory_tenant_id>"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_CERTIFICATE_PATH="<azure_client_certificate_path>"

PowerShell

$env:AZURE_TENANT_ID="<active_directory_tenant_id>"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_CERTIFICATE_PATH="<azure_client_certificate_path>"

Nome de usuário e senha

Nome da variável	Valor
AZURE_CLIENT_ID	ID de um aplicativo Microsoft Entra
AZURE_USERNAME	Um nome de usuário (geralmente um endereço de email)
AZURE_PASSWORD	A senha do usuário

Bash

export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_USERNAME="<azure_username>"
export AZURE_PASSWORD="<azure_user_password>"

PowerShell

$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_USERNAME="<azure_username>"
$env:AZURE_PASSWORD="<azure_user_password>"

A configuração é tentada na ordem anterior. Por exemplo, se os valores para um segredo do cliente e um certificado estiverem presentes, o segredo do cliente será usado.

Opção 2: Usar identidade de carga de trabalho

O Microsoft Entra Workload ID permite que pods em um cluster do Kubernetes usem uma identidade do Kubernetes (conta de serviço). Um token Kubernetes é emitido e a federação OIDC permite que os aplicativos Kubernetes acessem recursos do Azure com segurança com o Microsoft Entra ID.

Se as variáveis de ambiente necessárias para EnvironmentCredential não estiverem presentes, DefaultAzureCredential tentará autenticar usando WorkloadIdentityCredential. WorkloadIdentityCredential tenta ler a configuração da entidade de serviço a partir de variáveis de ambiente definidas pelo webhook Workload Identity.

Opção 3: Usar uma identidade gerenciada

As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem credenciais. Ao se conectar a recursos que oferecem suporte à autenticação do Microsoft Entra, os aplicativos podem usar tokens do Microsoft Entra em vez de credenciais.

Se as variáveis de ambiente necessárias para WorkloadIdentityCredential não estiverem presentes, DefaultAzureCredential tentará autenticar usando ManagedIdentityCredential.

Se estiver usando uma identidade gerenciada atribuída pelo usuário, execute o seguinte comando para definir a AZURE_CLIENT_ID variável de ambiente.

Bash

export AZURE_CLIENT_ID="<user_assigned_managed_identity_client_id>"

PowerShell

$env:AZURE_CLIENT_ID="<user_assigned_managed_identity_client_id>"

Observação

Para usar uma identidade gerenciada atribuída pelo sistema, verifique se a AZURE_CLIENT_ID variável de ambiente não está definida.

Opção 4: Entrar com a CLI do Azure

Para reduzir o atrito no desenvolvimento local, DefaultAzureCredential pode autenticar como o usuário entrou na CLI do Azure.

Execute o seguinte comando para entrar na CLI do Azure:

az login

A autenticação da CLI do Azure não é recomendada para aplicativos em execução no Azure.

3. Usar DefaultAzureCredential para autenticar ResourceClient

Crie um novo módulo Go de exemplo nomeado azure-auth para testar a autenticação no Azure com DefaultAzureCredential:

1. Crie um diretório para testar e executar o código Go de exemplo e, em seguida, altere para esse diretório.

2. Execute go mod init para criar um módulo:

   go mod init azure-auth
   

3. Execute vá para baixar, compilar e instalar os módulos necessários do SDK do Azure para Go:

   go get "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   go get "github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/subscription/armsubscription"
   

4. Crie um arquivo chamado main.go e insira o seguinte código:

   package main
   
   import (
     "context"
   
     "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
     "github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/subscription/armsubscription"
   )
   
   const subscriptionID = "<subscription ID>"
   
   func main() {
     cred, err := azidentity.NewDefaultAzureCredential(nil)
     if err != nil {
       // TODO: handle error
     }
     // Azure SDK Resource Management clients accept the credential as a parameter.
     // The client will authenticate with the credential as necessary.
     client, err := armsubscription.NewSubscriptionsClient(cred, nil)
     if err != nil {
       // TODO: handle error
     }
     _, err = client.Get(context.TODO(), subscriptionID, nil)
     if err != nil {
       // TODO: handle error
     }
   }   
   
   

   Substitua <subscription ID> por sua ID da assinatura.

5. Execute go run para compilar e executar o aplicativo:

   go run .
   

Autenticar-se no Azure com DefaultAzureCredential

Use o código a seguir em seu aplicativo para autenticar no Azure com o módulo Identidade do Azure usando DefaultAzureCredential:

// This credential type checks environment variables for configuration.
cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
  // handle error
}

// Azure Resource Management clients accept the credential as a parameter
client, err := armresources.NewClient("<subscriptionId>", cred, nil)
if err != nil {
  // handle error
}

Solução de problemas

Para obter orientação sobre como resolver erros de tipos de credenciais específicos, consulte o guia de solução de problemas.

Próximas etapas

Saiba mais sobre como usar o SDK do Azure para linguagem Go