Criar uma aplicação e um principal de serviço do Azure Active Directory que possam aceder aos recursos

Neste artigo, irá aprender a criar uma aplicação do Azure Active Directory (Azure AD) e um principal de serviço que podem ser utilizados com o controlo de acesso baseado em funções. Quando regista uma nova aplicação no Azure AD, é criado automaticamente um principal de serviço para o registo da aplicação. O principal de serviço é a identidade da aplicação no inquilino Azure AD. O acesso aos recursos é restringido pelas funções atribuídas ao principal de serviço, dando-lhe controlo sobre os recursos que podem ser acedidos e a que nível. Por motivos de segurança, é sempre recomendado utilizar principais de serviço com ferramentas automatizadas em vez de permitir que iniciem sessão com uma identidade de utilizador.

Neste artigo, irá criar uma única aplicação de inquilino no portal do Azure. Este exemplo é aplicável a aplicações de linha de negócio utilizadas numa organização. Também pode utilizar Azure PowerShell ou a CLI do Azure para criar um principal de serviço.

Importante

Em vez de criar um principal de serviço, considere utilizar identidades geridas para recursos do Azure para a identidade da sua aplicação. Se o seu código for executado num serviço que suporte identidades geridas e aceda a recursos que suportam Azure AD autenticação, as identidades geridas são uma opção melhor para si. Para saber mais sobre as identidades geridas dos recursos do Azure, incluindo quais os serviços atualmente suportados, veja O que são identidades geridas para recursos do Azure?.

Para obter mais informações sobre a relação entre o registo de aplicações, objetos de aplicação e principais de serviço, leia Objetos de aplicação e principal de serviço no Azure Active Directory.

Pré-requisitos

Para registar uma aplicação no seu inquilino Azure AD, precisa de:

• Uma conta de utilizador Azure AD. Se ainda não tiver uma, pode criar uma conta gratuitamente.

Permissões necessárias para registar uma aplicação

Tem de ter permissões suficientes para registar uma aplicação no seu inquilino Azure AD e atribuir à aplicação uma função na sua subscrição do Azure. Para concluir estas tarefas, precisa de Application.ReadWrite.Allpermissão.

Registar uma aplicação com Azure AD e criar um principal de serviço

1. Inicie sessão no portal do Azure.

2. Procure e Selecione Azure Active Directory.

3. Selecione Registos de aplicações e, em seguida, selecione Novo registo.

4. Atribua um nome à aplicação, por exemplo "example-app".

5. Selecione um tipo de conta suportado, que determina quem pode utilizar a aplicação.

6. Em URI de Redirecionamento, selecione Web para o tipo de aplicação que pretende criar. Introduza o URI para onde o token de acesso é enviado.

7. Selecione Registar.

   

Criou a sua aplicação Azure AD e principal de serviço.

Atribuir uma função à aplicação

Para aceder aos recursos na sua subscrição, tem de atribuir uma função à aplicação. Decida que função oferece as permissões certas para a aplicação. Para saber mais sobre as funções disponíveis, veja Funções incorporadas do Azure.

Pode definir o âmbito ao nível da subscrição, grupo de recursos ou recurso. As permissões são herdadas para níveis inferiores de âmbito.

1. Inicie sessão no portal do Azure.

2. Selecione o nível de âmbito ao qual pretende atribuir a aplicação. Por exemplo, para atribuir uma função no âmbito da subscrição, procure e selecione Subscrições. Se não vir a subscrição que procura, selecione o filtro de subscrições globais. Certifique-se de que a subscrição que pretende está selecionada para o inquilino.

3. Selecione Controlo de acesso (IAM) .

4. Selecione Adicionar e, em seguida, selecione Adicionar atribuição de função.

5. No separador Função , selecione a função que pretende atribuir à aplicação na lista. Por exemplo, para permitir que a aplicação execute ações como reiniciar, iniciar e parar instâncias, selecione a função Contribuidor .

6. Selecione Seguinte.

7. No separador Membros . Selecione Atribuir acesso a e, em seguida, selecione Utilizador, grupo ou principal de serviço

8. Selecione Selecionar membros. Por predefinição, Azure AD aplicações não são apresentadas nas opções disponíveis. Para localizar a sua aplicação, procure-a pelo respetivo nome.

9. Selecione o botão Selecionar e, em seguida, selecione Rever + atribuir.

   

O principal de serviço está configurado. Pode começar a utilizá-lo para executar os seus scripts ou aplicações. Para gerir o principal de serviço (permissões, permissões de consentimento do utilizador, ver que utilizadores consentiram, rever permissões, ver informações de início de sessão e muito mais), aceda a Aplicações empresariais.

A secção seguinte mostra como obter valores que são necessários ao iniciar sessão programaticamente.

Iniciar sessão na aplicação

Ao iniciar sessão através de programação, transmita o ID do inquilino e o ID da aplicação no seu pedido de autenticação. Também precisa de um certificado ou de uma chave de autenticação. Para obter o ID do diretório (inquilino) e o ID da aplicação:

1. Procure selecione Azure Active Directory.
2. Em Registos de aplicações no Azure AD, selecione a sua aplicação.
3. Na página de descrição geral da aplicação, copie o valor do ID do Diretório (inquilino) e armazene-o no código da aplicação.
4. Copie o valor do ID da Aplicação (cliente) e armazene-o no código da aplicação.

Configurar autenticação

Existem dois tipos de autenticação disponíveis para principais de serviço: autenticação baseada em palavra-passe (segredo da aplicação) e autenticação baseada em certificado. Recomendamos que utilize um certificado, mas também pode criar um segredo da aplicação.

Opção 1 (recomendado): criar e carregar um certificado autoassinado

Se tiver um, pode utilizar um certificado existente. Opcionalmente, pode criar um certificado autoassinado apenas para fins de teste. Para criar um certificado autoassinado, abra Windows PowerShell e execute New-SelfSignedCertificate com os seguintes parâmetros para criar o certificado no arquivo de certificados de utilizador no seu computador:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporte este certificado para um ficheiro com o snap-in Gerir Certificado de Utilizador MMC acessível a partir do windows Painel de Controlo.

1. Selecione Executar no menu Iniciar e, em seguida, introduza certmgr.msc. É apresentada a ferramenta Gestor de Certificados para o utilizador atual.
2. Para ver os certificados, em Certificados – Utilizador Atual no painel esquerdo, expanda o diretório Pessoal .
3. Clique com o botão direito do rato no certificado que criou e selecione Todas as tarefas-Exportar>.
4. Siga o assistente Exportação de Certificados.

Para carregar o certificado:

1. Procure e selecione Azure Active Directory.
2. Em Registos de aplicações no Azure AD, selecione a sua aplicação.
3. Selecione Segredos de certificados&.
4. Selecione Certificados, em seguida, selecione Carregar certificado e, em seguida, selecione o certificado (um certificado existente ou o certificado autoassinado que exportou).
5. Selecione Adicionar.

Depois de registar o certificado na aplicação no portal de registo de aplicações, ative o código da aplicação cliente para utilizar o certificado.

Opção 2: Criar um novo segredo da aplicação

Se optar por não utilizar um certificado, pode criar um novo segredo da aplicação.

1. Procure e selecione Azure Active Directory.
2. Selecione Registos de aplicações e selecione a sua aplicação na lista.
3. Selecione Segredos de certificados&.
4. Selecione Segredos do cliente e, em seguida, Selecione Novo segredo do cliente.
5. Forneça uma descrição do segredo e uma duração.
6. Selecione Adicionar.

Depois de guardar o segredo do cliente, o valor do segredo do cliente é apresentado. Copie este valor porque não poderá obter a chave mais tarde. Irá fornecer o valor da chave com o ID da aplicação para iniciar sessão como a aplicação. Armazene o valor da chave num local onde a aplicação o possa obter.

Configurar políticas de acesso em recursos

Poderá ter de configurar permissões adicionais nos recursos a que a sua aplicação precisa de aceder. Por exemplo, também tem de atualizar as políticas de acesso de um cofre de chaves para conceder à sua aplicação acesso a chaves, segredos ou certificados.

Para configurar políticas de acesso:

1. Inicie sessão no portal do Azure.

2. Selecione o cofre de chaves e selecione Políticas de acesso.

3. Selecione Adicionar política de acesso e, em seguida, selecione as permissões de chave, segredo e certificado que pretende conceder à sua aplicação. Selecione o principal de serviço que criou anteriormente.

4. Selecione Adicionar para adicionar a política de acesso.

5. Guarde.

   

Passos seguintes

• Saiba como utilizar o Azure PowerShell ou a CLI do Azure para criar um principal de serviço.
• Para saber mais sobre como especificar políticas de segurança, veja Controlo de acesso baseado em funções do Azure (RBAC do Azure).
• Para obter uma lista das ações disponíveis que podem ser concedidas ou negadas aos utilizadores, veja Operações do Fornecedor de Recursos do Azure Resource Manager.
• Para obter informações sobre como trabalhar com registos de aplicações com o Microsoft Graph, veja a Referência da API de Aplicações .