Autenticar recursos do Azure a partir de aplicativos Python hospedados localmente

Os aplicativos hospedados fora do Azure (por exemplo, no local ou em um data center de terceiros) devem usar uma entidade de serviço de aplicativo para autenticar no Azure ao acessar recursos do Azure. Os objetos da entidade de serviço de aplicativo são criados com um processo de registro de aplicativo no Azure. Quando uma entidade de serviço de aplicativo for criada, uma ID do cliente e um segredo do cliente serão gerados para seu aplicativo. A ID do cliente, o segredo do cliente e a ID do locatário são armazenados em variáveis de ambiente para que possam ser usados pelo SDK do Azure para Python para autenticar seu aplicativo no Azure em tempo de execução.

Um registro de aplicativo diferente deve ser criado para cada ambiente em que o aplicativo está hospedado. Isso permite que permissões de recursos específicos do ambiente sejam configuradas para cada entidade de serviço e garante que um aplicativo implantado em um ambiente não converse com recursos do Azure que fazem parte de outro ambiente.

1 – Registrar o aplicativo no Azure

Um aplicativo pode ser registrado no Azure usando o portal do Azure ou a CLI do Azure.

CLI do Azure

az ad sp create-for-rbac --name <app-name>

A saída do comando deve ser semelhante à seguinte. Anote esses valores ou mantenha essa janela aberta, pois você precisará desses valores nas próximas etapas e não poderá exibir o valor de senha (segredo do cliente) novamente.

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "33333333-3333-3333-3333-333333333333"
}

Portal do Azure

Entre no portal do Azure e siga estas etapas.

Instruções	Captura de tela
No portal do Azure: Insira registros de aplicativos na caixa de pesquisa na parte superior do portal do Azure. Selecione o item rotulado Registros de aplicativo sob o título Serviços no menu que aparece abaixo da barra de pesquisa.
Na páginaRegistros de aplicativo, selecione + Novo registro.
Na página Registrar um aplicativo, preencha o formulário conforme segue. Nome → Insira um nome para o registro de aplicativo no Azure. Recomendamos que esse nome inclua o nome do aplicativo e o ambiente (teste, prod) referente ao registro do aplicativo. Tipos de conta compatíveis → Contas somente neste diretório organizacional. Selecione Registrar para registrar seu aplicativo e criar a entidade de serviço de aplicativo.
Na página Registro de aplicativo do seu aplicativo: ID do aplicativo (cliente) → Essa é a ID do aplicativo que seu aplicativo usará para acessar o Azure durante o desenvolvimento local. Copie esse valor para um local temporário em um editor de texto, pois você precisará dele em uma etapa futura. ID do diretório (locatário) → Esse valor também será necessário para seu aplicativo quando ele se autenticar no Azure. Copie esse valor para um local temporário em um editor de texto, pois ele será necessário em uma etapa futura. Credenciais do cliente → Você deve definir as credenciais do cliente para o aplicativo antes que seu aplicativo possa se autenticar no Azure e usar os serviços do Azure. Selecione Adicionar um certificado ou segredo para adicionar credenciais ao seu aplicativo.
Na página Certificados e segredos, selecione + Novo segredo do cliente.
A caixa de diálogo Adicionar um segredo de cliente será exibida do lado direito da página. Nesta caixa de diálogo: Descrição → Inserir um valor de Atual. Expira → Selecione um valor de 24 meses. Selecione Adicionar para adicionar o segredo. IMPORTANTE: defina um lembrete em seu calendário antes da data de validade do segredo. Dessa forma, você pode adicionar um novo segredo antes e atualizar seus aplicativos antes da expiração desse segredo e evitar uma interrupção de serviço em seu aplicativo.
A página Certificados e segredos mostra o valor do segredo do cliente. Copie esse valor para um local temporário em um editor de texto porque você precisa dele em uma etapa futura. IMPORTANTE: Esta é a única vez que você verá esse valor. Depois de sair ou atualizar esta página, você não poderá ver esse valor novamente. Você pode adicionar outro segredo do cliente sem invalidar esse segredo do cliente, mas não verá esse valor novamente.

2 – Atribuir funções à entidade de serviço de aplicativo

Em seguida, você precisa determinar as funções (permissões) de que seu aplicativo precisa em quais recursos e atribuir essas funções ao seu aplicativo. As funções podem ser atribuídas a uma função em um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostra como atribuir funções para a entidade de serviço no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os recursos do Azure em um único grupo de recursos.

CLI do Azure

Uma entidade de serviço recebe uma função no Azure usando o comando az role assignment create.

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}" 

Para obter os nomes de função aos quais uma entidade de serviço pode ser atribuída, use o comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por exemplo, para permitir que a entidade de serviço com o appId de leitura, gravação e exclusão tenha acesso a contêineres e dados de blob do Armazenamento do Azure em todas as contas de armazenamento no grupo de recursos msdocs-python-sdk-auth-example na assinatura com ID 11111111-1111-1111-1111-111111111111, você atribuiria a entidade de 00000000-0000-0000-0000-000000000000 serviço do aplicativo à função Colaborador de Dados do Blob de Armazenamento usando o comando a seguir.

az role assignment create --assignee 00000000-0000-0000-0000-000000000000 \
    --scope /subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/msdocs-python-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, confira o artigo Atribuir funções do Azure usando a CLI do Azure.

Portal do Azure

Instruções	Captura de tela
Localize o grupo de recursos do aplicativo pesquisando pelo nome do grupo de recursos e usando a caixa de pesquisa na parte superior do portal do Azure. Navegue até o grupo de recursos selecionando o nome do grupo de recursos no título Grupos de recursos na caixa de diálogo.
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda.
Na página Controle de acesso (IAM): Selecione a guia Atribuições de função. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas ao grupo de recursos. Use a caixa de pesquisa para filtrar a lista para obter um tamanho mais gerenciável. Este exemplo mostra como filtrar as funções do Blob de Armazenamento. Selecione a função que você deseja atribuir. Selecione Avançar para ir para a próxima tela.
A próxima página Adicionar atribuição de função permite especificar a qual usuário atribuir a função. Selecione Usuário, grupo ou entidade de serviço emAtribuir acesso a. Selecionar + Selecionar membros em Membros Uma caixa de diálogo é aberta no lado direito do portal do Azure.
Na caixa de diálogo Selecionar membros: A caixa de texto Selecionar pode ser usada para filtrar a lista de usuários e grupos em sua assinatura. Se necessário, digite os primeiros caracteres da entidade de serviço que você criou para o aplicativo para filtrar a lista. Selecione a entidade de serviço associada ao aplicativo. Para continuar, selecione Selecionar na parte inferior da caixa de diálogo.
A entidade de serviço é exibida como selecionada na tela Adicionar atribuição de função. Selecione Revisar + atribuir para ir para a página final e, em seguida, Revisar + atribuir novamente para concluir o processo.

3 – Configurar variáveis de ambiente para o aplicativo

Você deve definir as AZURE_CLIENT_IDvariáveis , AZURE_TENANT_IDe AZURE_CLIENT_SECRET de ambiente para o processo que executa seu aplicativo Python para disponibilizar as credenciais da entidade de serviço de aplicativo para seu aplicativo em tempo de execução. O DefaultAzureCredential objeto procura as informações da entidade de serviço nessas variáveis de ambiente.

Ao usar o Gunicorn para executar aplicativos Web Python em um ambiente de servidor UNIX, as variáveis de ambiente para um aplicativo podem ser especificadas usando a EnvironmentFilegunicorn.server diretiva no arquivo, conforme mostrado abaixo.

[Unit]
Description=gunicorn daemon
After=network.target  
  
[Service]  
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/gunicorn --config config.py wsgi:app
            
[Install]  
WantedBy=multi-user.target

O arquivo especificado na EnvironmentFile diretiva deve conter uma lista de variáveis de ambiente com seus valores, conforme mostrado abaixo.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4 – Implementar DefaultAzureCredential no aplicativo

Para autenticar objetos de cliente do SDK do Azure no Azure, seu aplicativo deve usar a DefaultAzureCredentialazure.identity classe do pacote.

Comece adicionando o pacote azure.identity ao seu aplicativo.

pip install azure-identity

Em seguida, para qualquer código Python que crie um objeto cliente do SDK do Azure em seu aplicativo, você desejará:

1. Importe a DefaultAzureCredential classe do azure.identity módulo.
2. Crie um objeto DefaultAzureCredential.
3. Passe o DefaultAzureCredential objeto para o construtor de objeto cliente do SDK do Azure.

Um exemplo disso é mostrado na ilustração a seguir.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)

Quando o código acima instancia o DefaultAzureCredential objeto, DefaultAzureCredential lê as variáveis AZURE_TENANT_IDde ambiente e AZURE_CLIENT_IDAZURE_CLIENT_SECRET as informações da entidade de serviço do aplicativo com as quais se conectar ao Azure.