Compartilhar via


Autenticar aplicativos .NET para serviços do Azure durante o desenvolvimento local usando entidades de serviço

Os desenvolvedores precisam depurar e testar aplicativos de nuvem nas suas estações de trabalho locais. Ainda que o aplicativo seja executado na estação de trabalho de um desenvolvedor durante o desenvolvimento local, é necessário se autenticar em todos os serviços do Azure usados pelo aplicativo. Este artigo aborda como configurar objetos de entidade de serviço de aplicativo dedicados a serem usados durante o desenvolvimento local.

Um diagrama mostrando como um aplicativo .NET local usa as credenciais do desenvolvedor para se conectar ao Azure usando ferramentas de desenvolvimento instaladas localmente.

As entidades de serviço de aplicativo dedicadas para desenvolvimento local permitem que você siga o princípio do privilégio mínimo durante o desenvolvimento de aplicativos. Como as permissões são restritas ao que é necessário para o aplicativo durante o desenvolvimento, o código do aplicativo é impedido de acessar acidentalmente um recurso do Azure destinado a ser usado por outro aplicativo. Isso também impede que bugs causados por privilégios excessivos no ambiente de desenvolvimento ocorram quando o aplicativo é movido para produção.

Uma entidade de serviço de aplicativo é configurada para o aplicativo quando o aplicativo é registrado no Azure. Ao registrar um aplicativo para desenvolvimento local, é recomendável:

  • Criar um registro de aplicativo separado para cada desenvolvedor que trabalha no aplicativo. Isso criará entidades de serviço de aplicativo separadas para cada desenvolvedor usar durante o desenvolvimento local e evitará a necessidade de os desenvolvedores compartilharem credenciais para uma única entidade de serviço de aplicativo.
  • Criar um registro de aplicativo separado por aplicativo. Isso define o escopo das permissões do aplicativo apenas para o que é necessário para o aplicativo.

Durante o desenvolvimento local, as variáveis de ambiente são definidas com a identidade da entidade de serviço de aplicativo. A biblioteca de Identidade do Azure lê essas variáveis de ambiente e usa essas informações para autenticar o aplicativo nos recursos do Azure necessários.

1 – Registrar o aplicativo no Azure

Os objetos da entidade de serviço de aplicativo são criados com um registro de aplicativo no Azure. Isso pode ser feito usando o portal do Azure ou a CLI do Azure.

Entre no portal do Azure e siga estas etapas.

Instruções Captura de tela
No portal do Azure:
  1. Insira registros de aplicativos na caixa de pesquisa na parte superior do portal do Azure.
  2. Selecione o item rotulado Registros de aplicativo sob o título Serviços no menu que aparece abaixo da barra de pesquisa.
Uma captura de tela mostrando como usar a barra de pesquisa superior no portal do Azure para localizar e navegar até a página Registros de aplicativo.
Na páginaRegistros de aplicativo, selecione + Novo registro. Uma captura de tela mostrando a localização do botão Novo registro na página Registros de aplicativo.
Na página Registrar um aplicativo, preencha o formulário conforme segue.
  1. Nome → Insira um nome para o registro de aplicativo no Azure. É recomendável que esse nome inclua o nome do aplicativo, o usuário para quem se destina o registro do aplicativo e um identificador como "dev" para indicar que esse registro de aplicativo é para uso no desenvolvimento local.
  2. Tipos de conta compatíveisContas somente neste diretório organizacional.
Selecione Registrar para registrar seu aplicativo e criar a entidade de serviço de aplicativo.
Uma captura de tela mostrando como preencher a página Registrar um aplicativo dando um nome ao aplicativo e especificando os tipos de contas compatíveis como contas somente neste diretório organizacional.
Na página Registro de aplicativo do seu aplicativo:
  1. ID do aplicativo (cliente) → Essa é a ID de aplicativo que o aplicativo usará para acessar o Azure durante o desenvolvimento local. Copie esse valor para um local temporário em um editor de texto, pois você precisará dele em uma etapa futura.
  2. ID de diretório (locatário) → Esse valor também será necessário para seu aplicativo quando ele for autenticado no Azure. Copie esse valor para um local temporário em um editor de texto, pois ele também será necessário em uma etapa futura.
  3. Credenciais do cliente → Você deve definir as credenciais do cliente para o aplicativo antes que seu aplicativo possa se autenticar no Azure e usar os serviços do Azure. Selecione Adicionar um certificado ou segredo para adicionar credenciais ao seu aplicativo.
Uma captura de tela da página Registro de aplicativo após a conclusão do registro de aplicativo. Esta captura de tela mostra a localização da ID do aplicativo e da ID do locatário, que serão necessárias em uma etapa futura. Ela também mostra a localização do link a ser usado para adicionar um segredo de aplicativo para o aplicativo.
Na página Certificados e segredos, selecione + Novo segredo do cliente. Uma captura de tela mostrando o local do link a ser usado para criar um novo segredo do cliente na página de certificados e segredos.
A caixa de diálogo Adicionar um segredo de cliente será exibida do lado direito da página. Nesta caixa de diálogo:
  1. Descrição → Inserir um valor de Atual.
  2. Expira → Selecione um valor de 24 meses.
Selecione Adicionar para adicionar o segredo.
Uma captura de tela mostrando a página em que um novo segredo do cliente é adicionado para a entidade de serviço de aplicativo criada pelo processo de registro de aplicativo.
Na página Certificados e segredos, será mostrado o valor do segredo do cliente.

Copie esse valor para um local temporário em um editor de texto, pois você precisará dele em uma etapa futura.

IMPORTANTE: esta é a única vez que você verá esse valor. Depois de sair ou atualizar esta página, você não poderá ver esse valor novamente. Você pode adicionar um segredo do cliente extra sem invalidar esse segredo do cliente, mas não verá esse valor novamente.
Uma captura de tela mostrando a página com o segredo do cliente gerado.

2 – Criar um grupo do Microsoft Entra para desenvolvimento local

Como normalmente há vários desenvolvedores que trabalham em um aplicativo, é recomendável criar um grupo do Microsoft Entra para encapsular as funções (permissões) de que o aplicativo precisa no desenvolvimento local em vez de atribuir as funções a objetos de entidade de serviço individuais. Essa abordagem oferece as seguintes vantagens:

  • Cada desenvolvedor deve ter as mesmas funções atribuídas, já que as funções são atribuídas no nível do grupo.
  • Se for necessária uma nova função para o aplicativo, ela só precisará ser adicionada ao grupo do aplicativo.
  • Se um novo desenvolvedor ingressar na equipe, uma nova entidade de serviço de aplicativo será criada para o desenvolvedor e adicionada ao grupo, garantindo que o desenvolvedor tenha as permissões certas para trabalhar no aplicativo.
Instruções Captura de tela
Navegue até a página do Microsoft Entra ID no portal do Azure digitando Microsoft Entra ID na caixa de pesquisa na parte superior da página. Selecione Microsoft Entra ID na seção Serviços. Uma captura de tela mostrando como usar a barra de pesquisa superior no portal do Azure para pesquisar e navegar até a página do Microsoft Entra ID.
Na página Microsoft Entra ID, selecione Grupos no menu à esquerda. Uma captura de tela mostrando o local do item de menu Grupos no menu à esquerda da página Diretório Padrão do Microsoft Entra.
Na página Todos os grupos, selecione Novo grupo. Uma captura de tela que mostra a localização do botão Novo grupo na página Todos os grupos.
Na página Novo grupo:
  1. Tipo de grupoSegurança
  2. Nome do grupo → Um nome para o grupo de segurança, normalmente criado com base no nome do aplicativo. Também é útil incluir uma cadeia de caracteres como desenvolvimento local no nome do grupo para indicar a finalidade do grupo.
  3. Descrição do grupo → Uma descrição da finalidade do grupo.
  4. Selecione o link Nenhum membro selecionado em Membros para adicionar membros ao grupo.
Uma captura de tela mostrando como preencher o formulário para criar um grupo do Microsoft Entra para o aplicativo. Esta captura de tela também mostra o local do link a ser selecionado para adicionar membros a esse grupo.
Na caixa de diálogo Adicionar membros:
  1. Use a caixa de pesquisa para filtrar a lista de nomes de entidade de segurança na lista.
  2. Selecione as entidades de serviço de aplicativo para desenvolvimento local para este aplicativo. Conforme os objetos são selecionados, eles ficarão esmaecidos e serão movidos para a lista Itens selecionados na parte inferior da caixa de diálogo.
  3. Depois de concluir, escolha o botão Selecionar.
Uma captura de tela da caixa de diálogo Adicionar membros que mostra como selecionar entidades de serviço de aplicativo a serem incluídas no grupo.
De volta à página Novo grupo, selecione Criar para criar o grupo.

O grupo será criado e você retornará para a página Todos os grupos. Pode levar até 30 segundos para que o grupo apareça. Talvez seja necessário atualizar a página devido ao cache no portal do Azure.
Uma captura de tela da página Novo Grupo que mostra como concluir o processo selecionando o botão Criar.

3 – Atribuir funções ao aplicativo

Agora, determine quais funções (permissões) seu aplicativo precisa em quais recursos e atribua essas funções ao aplicativo. Nesse exemplo, as funções são atribuídas ao grupo do Microsoft Entra criado na etapa 2. Os grupos podem receber uma função em um recurso, um grupo de recursos ou um escopo de assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, pois a maioria dos aplicativos agrupa todos os recursos do Azure em um único grupo de recursos.

Instruções Captura de tela
Localize o grupo de recursos no seu aplicativo pesquisando o nome do grupo de recursos usando a caixa de pesquisa na parte superior do portal do Azure. Navegue até o grupo de recursos selecionando o nome do grupo de recursos no título Grupos de recursos na caixa de diálogo. Uma captura de tela que mostra como usar a caixa de pesquisa na parte superior do portal do Azure para localizar e navegar até o grupo de recursos ao qual você deseja atribuir funções (permissões).
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda. Uma captura de tela da página do grupo de recursos que mostra a localização do item de menu Controle de acesso (IAM).
Na página Controle de acesso (IAM):
  1. Selecione a guia Atribuições de função.
  2. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
Uma captura de tela que mostra como navegar até a guia de atribuições de função e o local do botão usado para adicionar atribuições de função a um grupo de recursos.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas ao grupo de recursos.
  1. Use a caixa de pesquisa para filtrar a lista para obter um tamanho mais gerenciável. Este exemplo mostra como filtrar as funções do Blob de Armazenamento.
  2. Selecione a função que você deseja atribuir.
Selecione Avançar para ir para a próxima tela.
Uma captura de tela que mostra como filtrar e selecionar atribuições de função a serem adicionadas ao grupo de recursos.
A próxima página Adicionar atribuição de função permite especificar a qual usuário atribuir a função.
  1. Selecione Usuário, grupo ou entidade de serviço emAtribuir acesso a.
  2. Selecione + Selecionar membros em Membros.
Uma caixa de diálogo é aberta no lado direito do portal do Azure.
Uma captura de tela mostrando o botão de opção a ser selecionado para atribuir uma função a um grupo do Microsoft Entra e o link usado para selecionar o grupo ao qual atribuir a função.
Na caixa de diálogo Selecionar membros:
  1. A caixa de texto Selecionar pode ser usada para filtrar a lista de usuários e grupos em sua assinatura. Se necessário, digite os primeiros caracteres do grupo de desenvolvimento local do Microsoft Entra que você criou para o aplicativo.
  2. Selecione o grupo de desenvolvimento local do Microsoft Entra associado ao seu aplicativo.
Para continuar, selecione Selecionar na parte inferior da caixa de diálogo.
Uma captura de tela mostrando como filtrar e selecionar o grupo do Microsoft Entra do aplicativo na caixa de diálogo Selecionar membros.
O grupo Microsoft Entra é exibido como selecionado na tela Adicionar atribuição de função. Selecione Revisar + atribuir para ir para a página final e, em seguida, Revisar + atribuir novamente para concluir o processo. Uma captura de tela que mostra a página Adicionar atribuição de função concluída e o local do botão Revisar + atribuir usado para concluir o processo.

4 – Definir variáveis de ambiente de aplicativo

Em runtime, DefaultAzureCredential procura as informações da entidade de serviço em uma coleção de variáveis de ambiente. Há várias maneiras de configurar variáveis de ambiente ao trabalhar com o .NET, dependendo de suas ferramentas e do ambiente.

Qualquer que seja a abordagem escolhida, você deve configurar as seguintes variáveis de ambiente ao trabalhar com uma entidade de serviço:

  • AZURE_CLIENT_ID → O valor da ID do aplicativo.
  • AZURE_TENANT_ID → O valor da ID do locatário.
  • AZURE_CLIENT_SECRET → A senha/credencial gerada para o aplicativo.

Ao trabalhar localmente com o Visual Studio, as variáveis de ambiente podem ser definidas no arquivo launchsettings.json na pasta Properties do projeto. Quando o aplicativo é iniciado, esses valores são obtidos automaticamente. Tenha em mente que essas configurações não seguem com seu aplicativo quando ele é implantado, portanto, você ainda precisará configurar variáveis de ambiente no ambiente de hospedagem de destino.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID":"11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "00000000-0000-0000-0000-000000000000",
        "AZURE_TENANT_ID": "11111111-1111-1111-1111-111111111111",
        "AZURE_CLIENT_SECRET": "=abcdefghijklmnopqrstuvwxyz"
      }
    }
  }

5 – Implementar DefaultAzureCredential no seu aplicativo

DefaultAzureCredential é uma sequência fundamentada e ordenada de mecanismos para autenticação no Microsoft Entra. Cada mecanismo de autenticação é uma classe derivada da classe TokenCredential e é conhecida como credencial. No runtime, a DefaultAzureCredential tenta autenticar usando a primeira credencial. Se essa credencial não conseguir adquirir um token de acesso, a próxima credencial na sequência será tentada e assim por diante, até que um token de acesso seja obtido com êxito. Dessa forma, seu aplicativo pode usar credenciais diferentes em ambientes diferentes sem escrever código específico para cada ambiente.

A ordem e os locais em que DefaultAzureCredential procura credenciais são encontrados em DefaultAzureCredential.

Para usar DefaultAzureCredential, adicione os pacotes Azure.Identity e, opcionalmente, os pacotes Microsoft.Extensions.Azure ao seu aplicativo:

Em um terminal da sua escolha, navegue até o diretório do projeto de aplicativo e execute os seguintes comandos:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Os serviços do Azure são acessados usando classes de cliente especializadas das várias bibliotecas de clientes do SDK do Azure. Essas classes e seus próprios serviços personalizados devem ser registrados para que possam ser acessados pela injeção de dependência no aplicativo. Em Program.cs, siga as seguintes etapas para registrar uma classe cliente e DefaultAzureCredential:

  1. Inclua os namespaces Azure.Identity e Microsoft.Extensions.Azure por meio das diretivas using.
  2. Registre o cliente de serviço do Azure usando o método de extensão com prefixo Addcorrespondente.
  3. Passe uma instância do DefaultAzureCredential para o método UseCredential.

Por exemplo:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Uma alternativa para UseCredential é criar uma instância de DefaultAzureCredential diretamente:

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Quando o código anterior é executado na sua estação de trabalho de desenvolvimento local, ele procura uma entidade de serviço de aplicativo nas variáveis de ambiente ou procura um conjunto de credenciais de desenvolvedor nas ferramentas de desenvolvedor instaladas localmente, como o Visual Studio. Qualquer abordagem pode ser usada para autenticar o aplicativo nos recursos do Azure durante o desenvolvimento local.

Quando implantado no Azure, esse mesmo código também pode autenticar seu aplicativo em outros recursos do Azure. DefaultAzureCredential pode recuperar configurações de ambiente e configurações de identidade gerenciada para autenticar-se em outros serviços automaticamente.