Autenticação do cofre com identidades gerenciadas para recursos do Azure
O Azure Key Vault usa o Microsoft Entra ID para autenticar usuários e aplicativos que tentam acessar um cofre. Para conceder ao nosso aplicativo Web acesso ao cofre, primeiro precisamos registrar o aplicativo usando o Microsoft Entra ID. O registro cria uma identidade para o aplicativo. Assim que o aplicativo tiver uma identidade, pode atribuir permissões de cofre a ele.
Aplicativos e usuários se autenticam no Key Vault usando um token de autenticação do Microsoft Entra. Obter um token do Microsoft Entra ID requer um segredo ou certificado. Qualquer pessoa com um token poderia usar a identidade do aplicativo para acessar todos os segredos no cofre.
Os segredos de nosso aplicativo estão seguros no cofre, mas ainda precisamos manter um segredo ou certificado fora do cofre para acessá-los. Esse problema é chamado de problema de inicialização, e o Azure tem uma solução para ele.
Identidades gerenciadas dos recursos do Azure
As identidades gerenciadas do Azure são um recurso do Azure que pode ser usado pelo aplicativo para acessar o Key Vault e outros serviços do Azure sem a necessidade de gerenciar nem um único segredo fora do cofre. O uso da identidade gerenciada é uma maneira simples e segura para aproveitar o Key Vault por meio do aplicativo Web.
Quando você habilita a identidade gerenciada no aplicativo Web, o Azure ativa um serviço REST de concessão de token separado, especificamente para seu aplicativo usar. O aplicativo solicita tokens desse serviço, em vez de diretamente do Microsoft Entra ID. O aplicativo precisa usar um segredo para acessar esse serviço, mas esse segredo é injetado nas variáveis de ambiente do aplicativo pelo Serviço de Aplicativo quando ele é iniciado. Você não precisa gerenciar nem armazenar esse valor secreto em nenhum lugar, e nada fora do aplicativo pode acessar esse segredo ou o ponto de extremidade de serviço de token da identidade gerenciada.
As identidades gerenciadas para recursos do Azure também registram seu aplicativo no Microsoft Entra ID para você. O Microsoft Entra ID excluirá o registro se você excluir o aplicativo Web ou desabilitar a respectiva identidade gerenciada.
As identidades gerenciadas estão disponíveis em todas as edições do Microsoft Entra ID, incluindo a edição Gratuita incluída em uma assinatura do Azure. O uso dele no Serviço de Aplicativo não tem nenhum custo extra e não exige nenhuma configuração, e você pode habilitá-lo ou desabilitá-lo em um aplicativo a qualquer momento.
A habilitação de uma identidade gerenciada para um aplicativo Web exige apenas um único comando da CLI do Azure sem nenhuma configuração. Faremos isso mais adiante quando configurarmos um aplicativo do Serviço de Aplicativo e o implantarmos no Azure. Antes disso, no entanto, vamos aplicar conhecimento em identidades gerenciadas para escrever o código para o aplicativo.