Migrar um aplicativo para usar conexões sem senha com o Hubs de Eventos do Azure

As solicitações de aplicativo para os Serviços do Azure devem ser autenticadas por meio de chaves de acesso de conta ou conexões sem senha. No entanto, você deve priorizar conexões sem senha em seus aplicativos quando possível. Métodos de autenticação tradicionais que usam senhas ou chaves secretas criam riscos e complicações de segurança. Visite as de conexões sem senha para os serviços do Azure para saber mais sobre as vantagens de migrar para conexões sem senha.

O tutorial a seguir explica como migrar um aplicativo existente para se conectar por meio de conexões sem senha. Essas mesmas etapas de migração devem ser aplicadas se você estiver usando chaves de acesso, cadeias de conexão ou outra abordagem baseada em segredos.

Configurar seu ambiente de desenvolvimento

As conexões sem senha podem ser configuradas para funcionar em ambientes locais e hospedados no Azure. Nesta seção, você aplica as configurações para permitir que usuários individuais se autentiquem nos Hubs de Eventos do Azure para desenvolvimento local.

Atribuir funções de usuário

Ao desenvolver localmente, certifique-se de que a conta de usuário que está acessando os Hubs de Eventos do Azure tenha as permissões corretas. Você precisará das funções Receptor de Dados do Hubs de Eventos do Azure e Remetente de Dados do Hubs de Eventos do Azure para ler e gravar dados de mensagens. Para atribuir essa função a si mesmo, você precisará receber a atribuição da função Administrador de Acesso do Usuário ou de outra função que inclua a ação Microsoft.Authorization/roleAssignments/write. É possível atribuir funções RBAC do Azure a um usuário usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Saiba mais sobre os escopos disponíveis para atribuições de função na página de visão geral do escopo.

O exemplo a seguir atribui as funções Remetente de Dados do Hubs de Eventos do Azure e Receptor de Dados do Hubs de Eventos do Azure à sua conta de usuário. Essa função concede acesso de leitura e gravação a mensagens do hub de eventos.

Azure portal

1. No portal do Azure, localize seu hub de eventos usando a barra de pesquisa principal ou a navegação à esquerda.

2. Na página de visão geral do hub de eventos, selecione Controle de acesso (IAM) no menu à esquerda.

3. Na página Controle de acesso (IAM), selecione a guia Atribuições de função.

4. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.

   

5. Use a caixa de pesquisa para filtrar os resultados para a função desejada. Para este exemplo, pesquise o Remetente de Dados do Hubs de Eventos do Azure e selecione o resultado correspondente e, em seguida, escolha Avançar.

6. Em Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço e, em seguida, selecione + Selecionar membros.

7. No diálogo, pesquise seu nome de usuário do Microsoft Entra (geralmente seu endereço de email user@domain) e escolha Selecionar na parte inferior do diálogo.

8. Selecione Revisar + atribuir para ir para a página final e, em seguida, Revisar + atribuir novamente para concluir o processo.

9. Repita essas etapas para a função Receptor de Dados do Hubs de Eventos do Azure para permitir que a conta envie e receba mensagens.

CLI do Azure

Para atribuir uma função no nível do recurso usando a CLI do Azure, primeiro você deve recuperar a ID do recurso usando o comando az eventhubs eventhub show. É possível filtrar as propriedades de saída usando o parâmetro --query.

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Copie a saída Id do comando anterior. Em seguida, você pode atribuir funções usando o comando az role da CLI do Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

PowerShell

Para atribuir uma função no nível do recurso usando o Azure PowerShell, primeiro você precisa recuperar a ID do recurso usando o comando Get-AzResource.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourEventHubsNamespace>"

Copie o valor Id da saída do comando anterior. Em seguida, é possível atribuir funções usando o comando New-AzRoleAssignment no PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Receiver" `
    -Scope <yourEventHubsId>

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Sender" `
    -Scope <yourEventHubsId>

Importante

Na maioria dos casos, levará um ou dois minutos para a atribuição de função se propagar no Azure, mas em casos raros pode levar até oito minutos. Se você receber erros de autenticação ao executar o código pela primeira vez, aguarde alguns instantes e tente novamente.

Entrar no Azure localmente

Para desenvolvimento local, você deve estar autenticado com a mesma conta do Microsoft Entra à qual a função foi atribuída. Você pode autenticar por meio de ferramentas de desenvolvimento populares, como a CLI do Azure ou o Azure PowerShell. As ferramentas de desenvolvimento com as quais você pode autenticar variam entre os idiomas.

CLI do Azure

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

Visual Studio

Selecione o botão Entrar no canto superior direito do Visual Studio.

Entre usando a conta do Microsoft Entra à qual você atribuiu uma função anteriormente.

Visual Studio Code

Você precisará instalar a CLI do Azure para trabalhar com DefaultAzureCredential pelo Visual Studio Code.

No menu principal do Visual Studio Code, navegue até Terminal > Novo Terminal.

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

PowerShell

Entre no Azure usando o PowerShell com o seguinte comando:

Connect-AzAccount

Atualizar o código do aplicativo para usar conexões sem senha

A biblioteca de clientes da Identidade do Azure, para cada um dos ecossistemas a seguir, fornece uma classe DefaultAzureCredential que lida com a autenticação sem senha no Azure:

• .NET
• C++
• Go
• Java
• Node.js
• Python

DefaultAzureCredential oferece suporte a vários métodos de autenticação. O método a ser usado é determinado em runtime. Essa abordagem permite que seu aplicativo use diferentes métodos de autenticação em ambientes diferentes (local versus produção) sem implementar código específico do ambiente. Confira os links anteriores para o pedido e os locais em que DefaultAzureCredential procura credenciais.

.NET

1. Para usar DefaultAzureCredential em um aplicativo .NET, instale o pacote Azure.Identity:

   dotnet add package Azure.Identity
   

2. Na parte superior do seu arquivo, adicione o código a seguir:

   using Azure.Identity;
   

3. Identifique as localizações em seu código que criam um objeto EventHubProducerClient ou EventProcessorClient para se conectar ao Hubs de Eventos do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

   DefaultAzureCredential credential = new();
   var eventHubNamespace = $"https://{namespace}.servicebus.windows.net";
   
   // Event Hubs producer
   EventHubProducerClient producerClient = new(
       eventHubNamespace,
       eventHubName,
       credential);
   
   // Event Hubs processor
   EventProcessorClient processorClient = new(
       storageClient,
       EventHubConsumerClient.DefaultConsumerGroupName,
       eventHubNamespace,
       eventHubName,
       credential);
   

Go

1. Para usar DefaultAzureCredential em um aplicativo Go, instale o módulo azidentity:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Na parte superior do seu arquivo, adicione o código a seguir:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifique as localizações em seu código que criam uma instância ProducerClient ou ConsumerClient para se conectar aos Hubs de Eventos do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   eventHubNamespace := fmt.Sprintf(
       "https://%s.servicebus.windows.net",
       namespace)
   
   if err != nil {
       // handle error
   }
   
   // Event Hubs producer
   producerClient, err = azeventhubs.NewProducerClient(
       eventHubNamespace,
       eventHubName,
       credential,
       nil)
   
   if err != nil {
       // handle error
   }
   
   // Event Hubs processor
   processorClient, err = azeventhubs.NewConsumerClient(
       eventHubNamespace,
       eventHubName,
       azeventhubs.DefaultConsumerGroup,
       credential,
       nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Para usar DefaultAzureCredential em um aplicativo Java, instale o pacote azure-identity por meio de uma das seguintes abordagens:

   1. Incluir o arquivo da BOM.
   2. Incluir uma dependência direta.

2. Na parte superior do seu arquivo, adicione o código a seguir:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifique as localizações em seu código que criam um objeto EventHubProducerClient ou EventProcessorClient para se conectar ao Hubs de Eventos do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String eventHubNamespace = "https://" + namespace + ".servicebus.windows.net";
   
   // Event Hubs producer
   EventHubProducerClient producerClient = new EventHubClientBuilder()
       .credential(eventHubNamespace, eventHubName, credential)
       .buildProducerClient();
   
   // Event Hubs processor
   EventProcessorClient processorClient = new EventProcessorClientBuilder()
       .consumerGroup(consumerGroupName)
       .credential(eventHubNamespace, eventHubName, credential)
       .checkpointStore(new SampleCheckpointStore())
       .processEvent(eventContext -> {
           System.out.println(
               "Partition ID = " +
               eventContext.getPartitionContext().getPartitionId() +
               " and sequence number of event = " +
               eventContext.getEventData().getSequenceNumber());
       })
       .processError(errorContext -> {
           System.out.println(
               "Error occurred while processing events " +
               errorContext.getThrowable().getMessage());
       })
       .buildEventProcessorClient();
   

Node.js

1. Para usar DefaultAzureCredential em um aplicativo Node.js, instale o pacote @azure/identity:

   npm install --save @azure/identity
   

2. Na parte superior do seu arquivo, adicione o código a seguir:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifique as localizações em seu código que criam um objeto EventHubProducerClient ou EventHubConsumerClient para se conectar ao Hubs de Eventos do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

   const credential = new DefaultAzureCredential();
   const eventHubNamespace = `https://${namespace}.servicebus.windows.net`;
   
   // Event Hubs producer    
   const producerClient = new EventHubProducerClient(
       eventHubNamespace,
       eventHubName,
       credential);
   
   // Event Hubs processor
   const processorClient = new EventHubConsumerClient(
       consumerGroupName,
       eventHubNamespace,
       eventHubName,
       credential
   );
   

Python

1. Para usar DefaultAzureCredential em um aplicativo Python, instale o pacote azure-identity:

   pip install azure-identity
   

2. Na parte superior do seu arquivo, adicione o código a seguir:

   from azure.identity import DefaultAzureCredential
   

3. Identifique as localizações em seu código que criam um objeto EventHubProducerClient ou EventHubConsumerClient para se conectar ao Hubs de Eventos do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

   credential = DefaultAzureCredential()
   event_hub_namespace = "https://%s.servicebus.windows.net" % namespace
   
   # Event Hubs producer
   producer_client = EventHubProducerClient(
       fully_qualified_namespace = event_hub_namespace,
       eventhub_name = event_hub_name,
       credential = credential
   )
   
   # Event Hubs processor
   processor_client = EventHubConsumerClient(
       fully_qualified_namespace = event_hub_namespace,
       eventhub_name = event_hub_name,
       consumer_group = "$Default",
       checkpoint_store = checkpoint_store,
       credential = credential
   )
   

4. Certifique-se de atualizar o namespace do hub de eventos no URI dos seus objetos EventHubProducerClient ou EventProcessorClient. É possível encontrar o namespace na página de visão geral do portal do Azure.

   

Executar o aplicativo localmente

Depois de fazer essas alterações de código, execute seu aplicativo localmente. A nova configuração deve selecionar suas credenciais locais, como a CLI do Azure, o Visual Studio ou o IntelliJ. As funções atribuídas ao usuário no Azure permitem que seu aplicativo se conecte ao serviço do Azure localmente.

Configurar o ambiente de hospedagem do Azure

Depois que o aplicativo estiver configurado para usar conexões sem senha e for executado localmente, o mesmo código poderá ser autenticado nos serviços do Azure depois de implantado no Azure. As seções a seguir explicam como configurar um aplicativo implantado para se conectar ao Hubs de Eventos do Azure usando uma identidade gerenciada. As identidades gerenciadas fornecem uma identidade automaticamente gerenciada no Microsoft Entra ID para os aplicativos usarem ao se conectarem a recursos que dão suporte à autenticação do Microsoft Entra. Saiba mais sobre as identidades gerenciadas:

• Visão geral do acesso sem senha
• Melhores práticas de identidade gerenciada

Criar a identidade gerenciada

Você pode criar uma identidade gerenciada atribuída pelo usuário usando o portal do Azure ou a CLI do Azure. Seu aplicativo usa a identidade para se autenticar em outros serviços.

Azure portal

1. Na parte superior do portal do Azure, pesquise Identidades gerenciadas. Selecione o resultado Identidades gerenciadas.
2. Selecione + Criar na parte superior da página de visão geral de Identidades gerenciadas.
3. Na guia Informações Básicas, insira os seguintes valores:
   • Assinatura: selecione a assinatura desejada.
   • Grupo de recursos: selecione o grupo de recursos desejado.
   • Região: selecione uma região próxima à sua localização.
   • Nome: insira um nome reconhecível para sua identidade, como MigrationIdentity.
4. Selecione Revisar + criar na parte inferior da página.
5. Quando as verificações de validação forem concluídas, selecione Criar. O Azure cria uma nova identidade atribuída pelo usuário.

Depois que o recurso for criado, selecione Ir para o recurso para exibir os detalhes da identidade gerenciada.

CLI do Azure

Use o comando az identity create para criar uma identidade gerenciada atribuída ao usuário:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Associar a identidade gerenciada ao seu aplicativo Web

Você precisa configurar seu aplicativo Web para usar a identidade gerenciada que você criou. Atribua a identidade ao seu aplicativo usando o portal do Azure ou a CLI do Azure.

Portal do Azure

Conclua as etapas a seguir no portal do Azure para associar uma identidade ao seu aplicativo. Essas mesmas etapas se aplicam aos seguintes serviços do Azure:

• Azure Spring Apps
• Aplicativos de Contêiner do Azure
• Máquinas Virtuais do Azure
• Serviço de Kubernetes do Azure

1. Navegue até a página de visão geral do seu aplicativo Web.

2. Selecione Identidade no painel de navegação esquerdo.

3. Na página Identidade, alterne para a guia Atribuída pelo usuário.

4. Selecione + Adicionar para abrir o submenu Adicionar identidade gerenciada atribuída pelo usuário.

5. Selecione a assinatura que você usou anteriormente para criar a identidade.

6. Pesquise a MigrationIdentity pelo nome e selecione-a nos resultados da pesquisa.

7. Selecione Adicionar para associar a identidade ao seu aplicativo.

   

CLI do Azure

Use os seguintes comandos da CLI do Azure para associar uma identidade ao seu aplicativo:

Recupere a ID da identidade gerenciada que você criou usando o comando az identity show. Copie o valor de saída para usar na próxima etapa.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Serviço de Aplicativo do Azure

Você pode atribuir uma identidade gerenciada a uma instância do Serviço de Aplicativo do Azure com o comando az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Você pode atribuir uma identidade gerenciada a uma instância de Aplicativos Spring do Azure com o comando az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Aplicativos de Contêiner do Azure

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Máquinas Virtuais do Azure

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Serviço de Kubernetes do Azure

Você pode atribuir uma identidade gerenciada a uma instância do AKS (Serviço de Kubernetes do Azure) com o comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Conector do Serviço

Você pode usar o Conector de Serviço para criar uma conexão entre um ambiente de hospedagem de computação do Azure e um serviço de destino usando a CLI do Azure. Os comandos da CLI do Conector de Serviço atribuem automaticamente a função adequada à sua identidade. Você pode saber mais sobre o Conector de Serviço e quais cenários têm suporte na página de visão geral.

1. Recupere a ID do cliente da identidade gerenciada que você criou usando o comando az identity show. Copie o valor para uso posterior.

   az identity show \
       --name MigrationIdentity \
       --resource-group <your-resource-group> \
       --query clientId
   

2. Use o comando da CLI apropriado para estabelecer a conexão de serviço:

   Serviço de Aplicativo do Azure

   Se você estiver usando um Serviço de Aplicativo do Azure, use o comando az webapp connection:

   az webapp connection create eventhub \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Se você estiver usando os Aplicativos Spring do Azure, use o comando az spring-cloud connection:

   az spring-cloud connection create eventhub \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Aplicativos de Contêiner do Azure

   Se você estiver usando os Aplicativos de Contêiner do Azure, use o comando az containerapp connection:

   az containerapp connection create eventhub \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group> \
       --account <target-event-hub-namespace> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Atribuir funções à identidade gerenciada

Em seguida, você precisa conceder permissões à identidade gerenciada criada para acessar o seu hub de eventos. Conceda permissões atribuindo uma função à identidade gerenciada, assim como fez com o usuário de desenvolvimento local.

Azure portal

1. Navegue até a página de visão geral do hub de eventos e selecione Controle de Acesso (IAM) na navegação à esquerda.

2. Escolha Adicionar atribuição de função.

   

3. Na caixa de pesquisa Função, pesquise por Remetente de Dados dos Hubs de Eventos do Azure, que é uma função comum usada para gerenciar operações de dados para filas. Você pode atribuir qualquer função apropriada para seu caso de uso. Selecione o Remetente de Dados dos Hubs de Eventos do Azure na lista e escolha Avançar.

4. Na tela Adicionar atribuição de função, para a opção Atribuir acesso à, selecione Identidade gerenciada. Em seguida, escolha +Selecionar membros.

5. No submenu, pesquise pelo nome a identidade gerenciada que você criou e selecione-a nos resultados. Escolha Selecionar para fechar o submenu.

   

6. Selecione Avançar algumas vezes até que você possa selecionar Revisão + atribuir para concluir a atribuição de função.

7. Repita estas etapas para a função Receptor de Dados do Hub de Eventos do Azure.

CLI do Azure

Para atribuir uma função no nível do recurso usando a CLI do Azure, primeiro você deve recuperar a ID do recurso usando o comando programa az eventhubs eventhub show. É possível filtrar as propriedades de saída usando o parâmetro --query.

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Copie a ID de saída do comando anterior. Em seguida, você pode atribuir funções usando o comando az role assignment da CLI do Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

Conector do Serviço

Se você conectou seus serviços usando o Conector de Serviço, não será necessário concluir esta etapa. As configurações de função necessárias foram tratadas para você quando você executou os comandos da CLI do Conector de Serviço.

Atualize o código do aplicativo

Você precisa configurar o código do aplicativo para procurar a identidade gerenciada específica que você criou quando ela for implantada no Azure. Em alguns cenários, definir explicitamente a identidade gerenciada para o aplicativo também impede que outras identidades de ambiente sejam detectadas acidentalmente e usadas automaticamente.

1. Na página de visão geral da identidade gerenciada, copie o valor da ID do cliente para a área de transferência.

2. Aplicar as seguintes alterações específicas do idioma:

   .NET

   Crie um objeto DefaultAzureCredentialOptions e passe-o para DefaultAzureCredential. Defina a propriedade ManagedIdentityClientId como ID do cliente.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Go

   Defina a variável de ambiente AZURE_CLIENT_ID como a ID do cliente de identidade gerenciada. DefaultAzureCredential lê essa variável de ambiente.

   Java

   Chame o método managedIdentityClientId . Passe a ID do cliente para ele.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Crie um objeto DefaultAzureCredentialClientIdOptions com sua propriedade managedIdentityClientId definida como a ID do cliente. Passe esse objeto para o construtor DefaultAzureCredential.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Defina o parâmetro managed_identity_client_id do construtor DefaultAzureCredential como o ID do cliente.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Reimplante seu código no Azure depois de fazer essa alteração para que as atualizações de configuração sejam aplicadas.

Testar o aplicativo

Depois de implantar o código atualizado, navegue até o aplicativo hospedado no navegador. Seu aplicativo deve ser capaz de se conectar ao hub de eventos com êxito. Lembre-se de que pode levar vários minutos para que as atribuições de função se propaguem pelo ambiente do Azure. Seu aplicativo agora está configurado para ser executado localmente e em um ambiente de produção sem que os desenvolvedores precisem gerenciar segredos no próprio aplicativo.

Próximas etapas

Neste tutorial, você aprendeu a migrar um aplicativo para conexões sem senha.

Você pode ler os seguintes recursos para explorar os conceitos discutidos neste artigo com mais detalhes:

• Conexões sem senha para serviços do Azure
• Para saber mais sobre .NET, confira Introdução ao .NET em 10 minutos.