Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os aplicativos podem usar a biblioteca de Identidade do Azure para autenticar na ID do Microsoft Entra, que permite que os aplicativos acessem os serviços e recursos do Azure. Esse requisito de autenticação se aplica se o aplicativo é implantado no Azure, hospedado localmente ou em execução localmente em uma estação de trabalho do desenvolvedor. As seções a seguir descrevem as abordagens recomendadas para autenticar um aplicativo na ID do Microsoft Entra em diferentes ambientes ao usar as bibliotecas de clientes do SDK do Azure.
Abordagem recomendada para autenticação de aplicativo
A autenticação baseada em token por meio da ID do Microsoft Entra é a abordagem recomendada para autenticar aplicativos no Azure, em vez de usar cadeias de conexão ou opções baseadas em chave. A biblioteca de Identidade do Azure fornece classes que dão suporte à autenticação baseada em token e permitem que os aplicativos se autentiquem nos recursos do Azure, seja ele executado localmente, no Azure ou em um servidor local.
Vantagens da autenticação baseada em token
A autenticação baseada em token oferece as seguintes vantagens em relação às cadeias de conexão:
- A autenticação baseada em token garante que apenas os aplicativos específicos destinados a acessar o recurso do Azure sejam capazes de fazer isso, enquanto qualquer pessoa ou qualquer aplicativo com uma cadeia de conexão pode se conectar a um recurso do Azure.
- A autenticação baseada em token permite limitar ainda mais o acesso a recursos do Azure apenas às permissões específicas necessárias para o aplicativo. Isso segue o princípio de privilégios mínimos. Por outro lado, uma cadeia de conexão concede direitos completos ao recurso do Azure.
- Ao usar uma identidade gerenciada para autenticação baseada em token, o Azure gerencia funções administrativas para você, para que você não precise se preocupar com tarefas como proteger ou trocar segredos. Isso torna o aplicativo mais seguro porque não há nenhuma cadeia de conexão ou segredo do aplicativo que possa ser comprometido.
- A biblioteca de Identidades do Azure adquire e gerencia tokens do Microsoft Entra para você.
O uso de cadeias de conexão deve ser limitado a cenários em que a autenticação baseada em token não é uma opção, aplicativos de prova de conceito iniciais ou protótipos de desenvolvimento que não acessam dados confidenciais ou de produção. Quando possível, use as classes de autenticação baseadas em token disponíveis na biblioteca de Identidade do Azure para autenticar nos recursos do Azure.
Autenticação em diferentes ambientes
O tipo específico de autenticação baseada em token que um aplicativo deve usar para autenticar nos recursos do Azure depende de onde o aplicativo é executado. O diagrama a seguir fornece diretrizes para diferentes cenários e ambientes:
Quando um aplicativo é:
- Hospedado no Azure: o aplicativo deve se autenticar nos recursos do Azure usando uma identidade gerenciada. Essa opção é discutida com mais detalhes na seção autenticação em ambientes de servidores.
- Executando localmente durante o desenvolvimento: o aplicativo pode se autenticar no Azure usando um principal de serviço de aplicativo para o desenvolvimento local ou usando as credenciais do desenvolvedor no Azure. Cada opção é discutida em mais detalhes em autenticação durante o desenvolvimento local.
- Hospedado localmente: o aplicativo deve se autenticar nos recursos do Azure usando uma entidade de serviço de aplicativo ou uma identidade gerenciada no caso do Azure Arc. Os fluxos de trabalho locais são discutidos com mais detalhes sobre a autenticação em ambientes de servidor.
Autenticação para aplicativos hospedados no Azure
Quando seu aplicativo está hospedado no Azure, ele pode usar identidades gerenciadas para se autenticar nos recursos do Azure sem precisar gerenciar credenciais. Há dois tipos de identidades gerenciadas: atribuídas pelo usuário e atribuídas pelo sistema.
Usar uma identidade gerenciada atribuída pelo usuário
Uma identidade gerenciada atribuída pelo usuário é criada como um recurso autônomo do Azure. Ele pode ser atribuído a um ou mais recursos do Azure, permitindo que esses recursos compartilhem a mesma identidade e permissões. Para autenticar usando uma identidade gerenciada atribuída pelo usuário, crie a identidade, atribua-a ao recurso do Azure e configure seu aplicativo para usar essa identidade para autenticação especificando a ID do cliente, a ID do recurso ou a ID do objeto.
Usar uma identidade gerenciada atribuída pelo sistema
Uma identidade gerenciada atribuída pelo sistema é habilitada diretamente em um recurso do Azure. A identidade está vinculada ao ciclo de vida desse recurso e é excluída automaticamente quando o recurso é excluído. Para autenticar usando uma identidade gerenciada atribuída pelo sistema, habilite a identidade no recurso do Azure e configure seu aplicativo para usar essa identidade para autenticação.
Autenticação durante o desenvolvimento local
Durante o desenvolvimento local, você pode se autenticar nos recursos do Azure usando suas credenciais de desenvolvedor ou uma entidade de serviço. Isso permite que você teste a lógica de autenticação do aplicativo sem implantá-la no Azure.
Usar credenciais de desenvolvedor
Você pode usar suas próprias credenciais do Azure para se autenticar nos recursos do Azure durante o desenvolvimento local. Isso normalmente é feito usando uma ferramenta de desenvolvimento, como a CLI do Azure ou o Visual Studio, que pode fornecer ao seu aplicativo os tokens necessários para acessar os serviços do Azure. Esse método é conveniente, mas só deve ser usado para fins de desenvolvimento.
Usar uma entidade de serviço
Uma entidade de serviço é criada em um locatário do Microsoft Entra para representar um aplicativo e ser utilizado para autenticar recursos no Azure. Você pode configurar o seu aplicativo para utilizar as credenciais da entidade de serviço durante o desenvolvimento local. Esse método é mais seguro do que usar credenciais de desenvolvedor e está mais próximo de como seu aplicativo será autenticado em produção. No entanto, ainda é menos ideal do que usar uma identidade gerenciada devido à necessidade de segredos.
Autenticação para aplicativos hospedados localmente
Para os aplicativos hospedados localmente, você pode usar uma entidade de serviço para autenticar-se nos recursos do Azure. Isso envolve criar um principal de serviço no Microsoft Entra ID, atribuir as permissões necessárias e configurar seu aplicativo para usar suas credenciais. Esse método permite que seu aplicativo local acesse com segurança os serviços do Azure.
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
