Configurar um aplicativo para confiar em um provedor de identidade externo

Este artigo descreve como gerenciar uma credencial de identidade federada em um aplicativo no Microsoft Entra ID. A credencial de identidade federada cria uma relação de confiança entre um aplicativo e um provedor de identidade externo (IdP).

Em seguida, você pode configurar uma carga de trabalho de software externo para trocar um token do IdP externo por um token de acesso da plataforma de identidade da Microsoft. A carga de trabalho externa pode acessar recursos protegidos do Microsoft Entra sem a necessidade de gerenciar segredos (em cenários suportados). Para saber mais sobre o fluxo de trabalho de troca de tokens, leia sobre federação de identidades de carga de trabalho.

Neste artigo, você aprenderá a criar, listar e excluir credenciais de identidade federada em um aplicativo no Microsoft Entra ID.

Considerações e restrições importantes

Para criar, atualizar ou excluir uma credencial de identidade federada, a conta que executa a ação deve ter a função Administrador de Aplicativos, Desenvolvedor de Aplicativos, Administrador de Aplicativos na Nuvem ou Proprietário de Aplicativos. A permissão microsoft.directory/applications/credentials/update é necessária para atualizar uma credencial de identidade federada.

Um máximo de 20 credenciais de identidade federada pode ser adicionado a um aplicativo ou identidade gerenciada atribuída pelo usuário.

Quando você configura uma credencial de identidade federada, há várias informações importantes a serem fornecidas:

• Emissor e assunto são as principais informações necessárias para estabelecer a relação de confiança. A combinação de issuer e subject deve ser única no aplicativo. Quando a carga de trabalho de software externo solicita que a plataforma de identidade da Microsoft troque o token externo por um token de acesso, os valores do emissor e do assunto da credencial de identidade federada são verificados em relação às issuer declarações fornecidas subjectno token externo. Se essa verificação de validação for aprovada, a plataforma de identidade da Microsoft emitirá um token de acesso à carga de trabalho de software externo.

• issuer é a URL do provedor de identidade externo e deve corresponder à issuer declaração do token externo que está sendo trocado. Obrigatório. Se a declaração tiver espaço em branco à esquerda ou à direita no valor, a issuer troca de token será bloqueada. Este campo tem um limite de caracteres de 600 caracteres.

• subject é o identificador da carga de trabalho de software externo e deve corresponder à sub declaração (subject) do token externo que está sendo trocado. subject não tem formato fixo, pois cada IdP usa seu próprio - às vezes um GUID, às vezes um identificador delimitado por dois pontos, às vezes cadeias de caracteres arbitrárias. Este campo tem um limite de caracteres de 600 caracteres.

  Importante

  Os valores de configuração de assunto devem corresponder exatamente à configuração na configuração do fluxo de trabalho do GitHub. Caso contrário, a plataforma de identidade da Microsoft examinará o token externo de entrada e rejeitará a troca por um token de acesso. Você não receberá um erro, a troca falha sem erro.

  Importante

  Se você adicionar acidentalmente as informações incorretas da carga de trabalho externa na configuração do assunto, a credencial de identidade federada será criada com êxito sem erro. O erro não se torna aparente até que a troca de token falhe.

• Audiências lista as audiências que podem aparecer no token externo. Obrigatório. Você deve adicionar um único valor de público, que tem um limite de 600 caracteres. O valor recomendado é "api://AzureADTokenExchange". Ele diz o que a aud plataforma de identidade da Microsoft deve aceitar na declaração no token de entrada.

• name é o identificador exclusivo da credencial de identidade federada. Obrigatório. Este campo tem um limite de caracteres de 3 a 120 caracteres e deve ser amigável para URL. Há suporte para caracteres alfanuméricos, traços ou sublinhados, o primeiro caractere deve ser apenas alfanumérico.  É imutável uma vez criado.

• description é a descrição fornecida pelo usuário da credencial de identidade federada. Opcional. A descrição não é validada ou verificada pela ID do Microsoft Entra. Este campo tem um limite de 600 caracteres.

Não há suporte para caracteres curinga em nenhum valor de propriedade de credencial de identidade federada.

Para saber mais sobre regiões com suporte, hora de propagar atualizações de credenciais federadas, emissores com suporte e muito mais, leia Considerações e restrições importantes para credenciais de identidade federada.

Pré-requisitos

Crie um registro de aplicativo no Microsoft Entra ID. Conceda ao seu aplicativo acesso aos recursos do Azure direcionados pela sua carga de trabalho de software externo.

Encontre o ID do objeto do aplicativo (não o ID do aplicativo (cliente)), que você precisa nas etapas a seguir. Você pode encontrar a ID do objeto do aplicativo no centro de administração do Microsoft Entra. Aceda à lista de registos de aplicações e selecione o registo da sua aplicação. Em Visão Geral-Essencial>, localize a ID do objeto.

Obtenha as informações de assunto e emissor para seu IdP externo e carga de trabalho de software, que você precisa nas etapas a seguir.

Configurar uma credencial de identidade federada em um aplicativo

GitHub Actions

Para adicionar uma identidade federada para ações do GitHub, siga estas etapas:

1. Encontre seu registro de aplicativo na experiência de registros de aplicativos do centro de administração do Microsoft Entra. Selecione Certificados & segredos no painel de navegação esquerdo, selecione a guia Credenciais federadas e selecione Adicionar credencial.

2. Na caixa suspensa Cenário de credenciais federadas, selecione Ações do GitHub implantando recursos do Azure.

3. Especifique a Organização e o Repositório para seu fluxo de trabalho de Ações do GitHub.

4. Para Tipo de entidade, selecione Ambiente, Ramificação, Solicitação pull ou Tag e especifique o valor. Os valores devem corresponder exatamente à configuração no fluxo de trabalho do GitHub. A correspondência de padrões não é suportada para ramificações e tags. Especifique um ambiente se o fluxo de trabalho on-push for executado em muitas ramificações ou tags. Para mais informações, leia os exemplos.

5. Adicione um Nome para a credencial federada.

6. Os campos Emissor, Audiências e Identificador de assunto são preenchidos automaticamente com base nos valores inseridos.

7. Selecione Adicionar para configurar a credencial federada.

   

Use os seguintes valores do registro do aplicativo Microsoft Entra para seu fluxo de trabalho do GitHub:

• AZURE_CLIENT_ID o ID do aplicativo (cliente)

• AZURE_TENANT_ID o ID do diretório (locatário)

  A captura de tela a seguir demonstra como copiar a ID do aplicativo e a ID do locatário.

  

• AZURE_SUBSCRIPTION_ID o seu ID de subscrição. Para obter a ID da subscrição, abra Subscrições no portal do Azure e localize a sua subscrição. Em seguida, copie o ID da assinatura.

Exemplos de tipo de entidade

Exemplo de ramificação

Para um fluxo de trabalho acionado por um evento de solicitação push ou pull na ramificação principal:

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

Especifique um tipo de entidade de ramificação e um nome de ramificação do GitHub de "principal".

Exemplo de ambiente

Para Jobs vinculado a um ambiente chamado "produção":

on:
  push:
    branches:
      - main

jobs:
  deployment:
    runs-on: ubuntu-latest
    environment: production
    steps:
      - name: deploy
        # ...deployment-specific steps

Especifique um tipo de entidade de ambiente e um nome de ambiente GitHub de "produção".

Exemplo de tag

Por exemplo, para um fluxo de trabalho acionado por um push para a tag chamada "v2":

on:
  push:
    # Sequence of patterns matched against refs/heads
    branches:
      - main
      - 'mona/octocat'
      - 'releases/**'
    # Sequence of patterns matched against refs/tags
    tags:
      - v2
      - v1.*

Especifique um tipo de Entidade de Tag e um nome de tag do GitHub de "v2".

Exemplo de solicitação pull

Para um fluxo de trabalho acionado por um evento de solicitação pull, especifique um tipo de entidade de solicitação pull

Kubernetes

Encontre seu registro de aplicativo na experiência de registros de aplicativos do centro de administração do Microsoft Entra. Selecione Certificados & segredos no painel de navegação esquerdo, selecione a guia Credenciais federadas e selecione Adicionar credencial.

Selecione o cenário Kubernetes acessando recursos do Azure no menu suspenso.

Preencha os campos URL do emissor do cluster, Namespace, Nome da conta de serviço e Nome:

• URL do emissor do cluster é a URL do emissor OIDC para o cluster gerenciado ou a URL do Emissor OIDC para um cluster autogerenciado.
• Nome da conta de serviço é o nome da conta de serviço do Kubernetes, que fornece uma identidade para processos executados em um Pod.
• Namespace é o namespace da conta de serviço.
• Nome é o nome da credencial federada, que não pode ser alterada posteriormente.

Outros provedores de identidade

Encontre seu registro de aplicativo na experiência de registros de aplicativos do centro de administração do Microsoft Entra. Selecione Certificados & segredos no painel de navegação esquerdo, selecione a guia Credenciais federadas e selecione Adicionar credencial.

Selecione o outro cenário de emissor no menu suspenso.

Especifique os seguintes campos (usando uma carga de trabalho de software em execução no Google Cloud como exemplo):

• Nome é o nome da credencial federada, que não pode ser alterada posteriormente.
• Identificador de assunto: deve corresponder à sub declaração no token emitido pelo provedor de identidade externo. Neste exemplo usando o Google Cloud, o assunto é o ID exclusivo da conta de serviço que você planeja usar.
• Emissor: deve corresponder à iss declaração no token emitido pelo provedor de identidade externo. Uma URL que está em conformidade com a especificação OIDC Discovery. O Microsoft Entra ID usa essa URL do emissor para buscar as chaves necessárias para validar o token. Para o Google Cloud, o emissor é "https://accounts.google.com".

Listar credenciais de identidade federada em um aplicativo

Encontre seu registro de aplicativo na experiência de registros de aplicativos do centro de administração do Microsoft Entra. Selecione Certificados & segredos no painel de navegação esquerdo e selecione a guia Credenciais federadas. As credenciais federadas configuradas em seu aplicativo são listadas.

Excluir uma credencial de identidade federada de um aplicativo

Encontre seu registro de aplicativo na experiência de registros de aplicativos do centro de administração do Microsoft Entra. Selecione Certificados & segredos no painel de navegação esquerdo e selecione a guia Credenciais federadas. As credenciais federadas configuradas em seu aplicativo são listadas.

Para excluir uma credencial de identidade federada, selecione o ícone Excluir da credencial.

Pré-requisitos

• Se você ainda não tiver uma conta do Azure, inscreva-se para obter uma conta gratuita antes de continuar.

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

  • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

• Crie um registro de aplicativo no Microsoft Entra ID. Conceda ao seu aplicativo acesso aos recursos do Azure direcionados pela sua carga de trabalho de software externo.
• Encontre o ID do objeto, o ID do aplicativo (cliente) ou o URI do identificador do aplicativo, que você precisa nas etapas a seguir. Você pode encontrar esses valores no centro de administração do Microsoft Entra. Aceda à lista de aplicações registadas e selecione o registo da sua aplicação. Em Visão geral-Essentials>, obtenha o valor de ID do objeto, ID do aplicativo (cliente) ou URI do ID do aplicativo, que você precisa nas etapas a seguir.
• Obtenha as informações de assunto e emissor para seu IdP externo e carga de trabalho de software, que você precisa nas etapas a seguir.

Configurar uma credencial de identidade federada em um aplicativo

Execute o comando az ad app federated-credential create para criar uma nova credencial de identidade federada em seu aplicativo.

O id parâmetro especifica o URI do identificador, a ID do aplicativo ou a ID do objeto do aplicativo. O parameters parâmetro especifica os parâmetros, no formato JSON, para criar a credencial de identidade federada.

Exemplo de ações do GitHub

O nome especifica o nome da sua credencial de identidade federada.

O emissor identifica o caminho para o provedor OIDC do GitHub: https://token.actions.githubusercontent.com/. Esse emissor se tornará confiável para seu aplicativo do Azure.

subject identifica a organização, o repositório e o ambiente do GitHub para seu fluxo de trabalho de Ações do GitHub. Quando o fluxo de trabalho de Ações do GitHub solicita que a plataforma de identidade da Microsoft troque um token do GitHub por um token de acesso, os valores na credencial de identidade federada são verificados em relação ao token do GitHub fornecido. Antes de o Azure conceder um token de acesso, a solicitação deve corresponder às condições definidas aqui.

• Para trabalhos vinculados a um ambiente: repo:< Organization/Repository >:environment:< Name >
• Para Trabalhos não vinculados a um ambiente, inclua o caminho ref para ramificação/tag com base no caminho ref usado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
• Para fluxos de trabalho acionados por um evento pull request: repo:< Organization/Repository >:pull-request.

az ad app federated-credential create --id f6475511-fd81-4965-a00e-41e7792b7b9c --parameters credential.json
("credential.json" contains the following content)
{
    "name": "Testing",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Exemplo do Kubernetes

emissor é a URL do emissor da conta de serviço (a URL do emissor OIDC para o cluster gerenciado ou a URL do Emissor OIDC para um cluster autogerenciado).

Assunto é o nome do assunto nos tokens emitidos para a conta de serviço. O Kubernetes usa o seguinte formato para nomes de assuntos: system:serviceaccount:<SERVICE_ACCOUNT_NAMESPACE>:<SERVICE_ACCOUNT_NAME>.

name é o nome da credencial federada, que não pode ser alterada posteriormente.

Audiências lista as audiências que podem aparecer no token externo. Este campo é obrigatório. O valor recomendado é "api://AzureADTokenExchange".

az ad app federated-credential create --id f6475511-fd81-4965-a00e-41e7792b7b9c --parameters credential.json
("credential.json" contains the following content)
{
    "name": "Kubernetes-federated-credential",
    "issuer": "https://aksoicwesteurope.blob.core.windows.net/9d80a3e1-2a87-46ea-ab16-e629589c541c/",
    "subject": "system:serviceaccount:erp8asle:pod-identity-sa",
    "description": "Kubernetes service account federated credential",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Exemplo de outros provedores de identidade

Você pode configurar uma credencial de identidade federada em um aplicativo e criar uma relação de confiança com outros provedores de identidade externos. O exemplo a seguir usa uma carga de trabalho de software em execução no Google Cloud como exemplo:

name é o nome da credencial federada, que não pode ser alterada posteriormente.

id: o ID do objeto, o ID do aplicativo (cliente) ou o URI do identificador do aplicativo.

Assunto: Deve corresponder à sub declaração no token emitido pelo provedor de identidade externo. Neste exemplo usando o Google Cloud, o assunto é o ID exclusivo da conta de serviço que você planeja usar.

Emissor: Deve corresponder à iss declaração no token emitido pelo provedor de identidade externo. Uma URL que está em conformidade com a especificação OIDC Discovery. O Microsoft Entra ID usa essa URL do emissor para buscar as chaves necessárias para validar o token. Para o Google Cloud, o emissor é "https://accounts.google.com".

Audiências: lista as audiências que podem aparecer no token externo. Este campo é obrigatório. O valor recomendado é "api://AzureADTokenExchange".

az ad app federated-credential create --id f6475511-fd81-4965-a00e-41e7792b7b9c --parameters credential.json
("credential.json" contains the following content)
{
    "name": "GcpFederation",
    "issuer": "https://accounts.google.com",
    "subject": "112633961854638529490",
    "description": "Test GCP federation",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

Listar credenciais de identidade federada em um aplicativo

Execute o comando az ad app federated-credential list para listar as credenciais de identidade federada em seu aplicativo.

O parâmetro id especifica o URI do identificador, o ID do aplicativo ou o ID do objeto do aplicativo.

az ad app federated-credential list --id f6475511-fd81-4965-a00e-41e7792b7b9c

Obter uma credencial de identidade federada em um aplicativo

Execute o comando az ad app federated-credential show para obter uma credencial de identidade federada em seu aplicativo.

O parâmetro id especifica o URI do identificador, o ID do aplicativo ou o ID do objeto do aplicativo.

O federated-credential-id especifica o ID ou o nome da credencial de identidade federada.

az ad app federated-credential show --id f6475511-fd81-4965-a00e-41e7792b7b9c --federated-credential-id c79f8feb-a9db-4090-85f9-90d820caa0eb

Excluir uma credencial de identidade federada de um aplicativo

Execute o comando az ad app federated-credential delete para remover uma credencial de identidade federada do seu aplicativo.

O parâmetro id especifica o URI do identificador, o ID do aplicativo ou o ID do objeto do aplicativo.

O federated-credential-id especifica o ID ou o nome da credencial de identidade federada.

az ad app federated-credential delete --id f6475511-fd81-4965-a00e-41e7792b7b9c --federated-credential-id c79f8feb-a9db-4090-85f9-90d820caa0eb

Pré-requisitos

• Para executar os scripts de exemplo, você tem duas opções:
  • Use o Azure Cloud Shell, que você pode abrir usando o botão Experimentar no canto superior direito dos blocos de código.
  • Execute scripts localmente com o Azure PowerShell, conforme descrito na próxima seção.
• Crie um registro de aplicativo no Microsoft Entra ID. Conceda ao seu aplicativo acesso aos recursos do Azure direcionados pela sua carga de trabalho de software externo.
• Encontre o ID do objeto do aplicativo (não o ID do aplicativo (cliente)), que você precisa nas etapas a seguir. Você pode encontrar a ID do objeto do aplicativo no centro de administração do Microsoft Entra. Aceda à lista de aplicações registadas e selecione o registo da sua aplicação. Em Visão Geral-Essencial>, localize a ID do objeto.
• Obtenha as informações de assunto e emissor para seu IdP externo e carga de trabalho de software, que você precisa nas etapas a seguir.

Configurar o Azure PowerShell localmente

Para usar o Azure PowerShell localmente para este artigo em vez de usar o Cloud Shell:

1. Instale a versão mais recente do Azure PowerShell , caso ainda não o tenha feito.

2. Inicie sessão no Azure.

   Connect-AzAccount
   

3. Instale a versão mais recente do PowerShellGet.

   Install-Module -Name PowerShellGet -AllowPrerelease
   

   Talvez seja necessário Exit sair da sessão atual do PowerShell depois de executar esse comando para a próxima etapa.

4. Instale a versão de pré-lançamento do Az.Resources módulo para executar as operações de credenciais de identidade federada neste artigo.

   Install-Module -Name Az.Resources -AllowPrerelease
   

Configurar uma credencial de identidade federada em um aplicativo

Execute o cmdlet New-AzADAppFederatedCredential para criar uma nova credencial de identidade federada em um aplicativo.

Exemplo de ações do GitHub

• ApplicationObjectId: a ID do objeto do aplicativo (não a ID do aplicativo (cliente)) que você registrou anteriormente na ID do Microsoft Entra.
• O emissor identifica o GitHub como o emissor de token externo.
• O assunto identifica a organização, o repositório e o ambiente do GitHub para seu fluxo de trabalho de Ações do GitHub. Quando o fluxo de trabalho de Ações do GitHub solicita que a plataforma de identidade da Microsoft troque um token do GitHub por um token de acesso, os valores na credencial de identidade federada são verificados em relação ao token do GitHub fornecido.
  • Para trabalhos vinculados a um ambiente: repo:< Organization/Repository >:environment:< Name >
  • Para Trabalhos não vinculados a um ambiente, inclua o caminho ref para ramificação/tag com base no caminho ref usado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
  • Para fluxos de trabalho acionados por um evento pull request: repo:< Organization/Repository >:pull-request.
• Nome é o nome da credencial federada, que não pode ser alterada posteriormente.
• Audiência lista as audiências que podem aparecer no token externo. Este campo é obrigatório. O valor recomendado é "api://AzureADTokenExchange".

New-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -Audience api://AzureADTokenExchange -Issuer 'https://token.actions.githubusercontent.com/' -Name 'GitHub-Actions-Test' -Subject 'repo:octo-org/octo-repo:environment:Production'

Exemplo do Kubernetes

• ApplicationObjectId: a ID do objeto do aplicativo (não a ID do aplicativo (cliente)) que você registrou anteriormente na ID do Microsoft Entra.
• Emissor é a URL do emissor da conta de serviço (a URL do emissor OIDC para o cluster gerenciado ou a URL do Emissor OIDC para um cluster autogerenciado).
• Assunto é o nome do assunto nos tokens emitidos para a conta de serviço. O Kubernetes usa o seguinte formato para nomes de assuntos: system:serviceaccount:<SERVICE_ACCOUNT_NAMESPACE>:<SERVICE_ACCOUNT_NAME>.
• Nome é o nome da credencial federada, que não pode ser alterada posteriormente.
• Audiência lista as audiências que podem aparecer na aud declaração do token externo.

New-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -Audience api://AzureADTokenExchange -Issuer 'https://aksoicwesteurope.blob.core.windows.net/9d80a3e1-2a87-46ea-ab16-e629589c541c/' -Name 'Kubernetes-federated-credential' -Subject 'system:serviceaccount:erp8asle:pod-identity-sa'

Exemplo de outros provedores de identidade

Especifique os seguintes parâmetros (usando uma carga de trabalho de software em execução no Google Cloud como exemplo):

• ObjectID: a ID do objeto do aplicativo (não a ID do aplicativo (cliente)) que você registrou anteriormente no Microsoft Entra ID.
• Nome é o nome da credencial federada, que não pode ser alterada posteriormente.
• Assunto: deve corresponder à sub declaração no token emitido pelo provedor de identidade externo. Neste exemplo usando o Google Cloud, o assunto é o ID exclusivo da conta de serviço que você planeja usar.
• Emissor: deve corresponder à iss declaração no token emitido pelo provedor de identidade externo. Uma URL que está em conformidade com a especificação OIDC Discovery. O Microsoft Entra ID usa essa URL do emissor para buscar as chaves necessárias para validar o token. Para o Google Cloud, o emissor é "https://accounts.google.com".
• Audiências: devem corresponder à aud declaração no token externo. Por motivos de segurança, você deve escolher um valor que seja exclusivo para tokens destinados ao Microsoft Entra ID. O valor recomendado é "api://AzureADTokenExchange".

New-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -Audience api://AzureADTokenExchange -Issuer 'https://accounts.google.com' -Name 'GcpFederation' -Subject '112633961854638529490'

Listar credenciais de identidade federada em um aplicativo

Execute o cmdlet Get-AzADAppFederatedCredential para listar as credenciais de identidade federada de um aplicativo.

Get-AzADApplication -ObjectId $app | Get-AzADAppFederatedCredential

Obter uma credencial de identidade federada em um aplicativo

Execute o cmdlet Get-AzADAppFederatedCredential para obter a credencial de identidade federada por ID de um aplicativo.

Get-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -FederatedCredentialId $credentialId

Excluir uma credencial de identidade federada de um aplicativo

Execute o cmdlet Remove-AzADAppFederatedCredential para excluir uma credencial de identidade federada de um aplicativo.

Remove-AzADAppFederatedCredential -ApplicationObjectId $appObjectId -FederatedCredentialId $credentialId

Pré-requisitos

Crie um registro de aplicativo no Microsoft Entra ID. Conceda ao seu aplicativo acesso aos recursos do Azure direcionados pela sua carga de trabalho de software externo.

Encontre o ID do objeto do aplicativo (não o ID do aplicativo (cliente)), que você precisa nas etapas a seguir. Você pode encontrar a ID do objeto do aplicativo no centro de administração do Microsoft Entra. Aceda à lista de aplicações registadas e selecione o registo da sua aplicação. Em Visão Geral-Essencial>, localize a ID do objeto.

Obtenha as informações de assunto e emissor para seu IdP externo e carga de trabalho de software, que você precisa nas etapas a seguir.

O ponto de extremidade do Microsoft Graph (https://graph.microsoft.com) expõe APIs REST para criar, atualizar e excluir federatedIdentityCredentials em aplicativos. Inicie o Azure Cloud Shell e inicie sessão no seu inquilino para executar comandos do Microsoft Graph a partir da AZ CLI.

Configurar uma credencial de identidade federada em um aplicativo

GitHub Actions

Execute o método a seguir para criar uma nova credencial de identidade federada em seu aplicativo (especificada pela ID do objeto do aplicativo). O emissor identifica o GitHub como o emissor de token externo. subject identifica a organização, o repositório e o ambiente do GitHub para seu fluxo de trabalho de Ações do GitHub. Quando o fluxo de trabalho de Ações do GitHub solicita que a plataforma de identidade da Microsoft troque um token do GitHub por um token de acesso, os valores na credencial de identidade federada são verificados em relação ao token do GitHub fornecido.

az rest --method POST --uri 'https://graph.microsoft.com/applications/f6475511-fd81-4965-a00e-41e7792b7b9c/federatedIdentityCredentials' --body '{"name":"Testing","issuer":"https://token.actions.githubusercontent.com","subject":"repo:octo-org/octo-repo:environment:Production","description":"Testing","audiences":["api://AzureADTokenExchange"]}'

E você recebe a resposta:

{
  "@odata.context": "https://graph.microsoft.com/$metadata#applications('f6475511-fd81-4965-a00e-41e7792b7b9c')/federatedIdentityCredentials/$entity",
  "audiences": [
    "api://AzureADTokenExchange"
  ],
  "description": "Testing",
  "id": "1aa3e6a7-464c-4cd2-88d3-90db98132755",
  "issuer": "https://token.actions.githubusercontent.com",
  "name": "Testing",
  "subject": "repo:octo-org/octo-repo:environment:Production"
}

name: O nome do seu aplicativo do Azure.

emissor: O caminho para o provedor OIDC do GitHub: https://token.actions.githubusercontent.com. Esse emissor se tornará confiável para seu aplicativo do Azure.

subject: Antes que o Azure conceda um token de acesso, a solicitação deve corresponder às condições definidas aqui.

• Para trabalhos vinculados a um ambiente: repo:< Organization/Repository >:environment:< Name >
• Para Trabalhos não vinculados a um ambiente, inclua o caminho ref para ramificação/tag com base no caminho ref usado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
• Para fluxos de trabalho acionados por um evento pull request: repo:< Organization/Repository >:pull-request.

Audiências lista as audiências que podem aparecer no token externo. Este campo é obrigatório. O valor recomendado é "api://AzureADTokenExchange".

Exemplo do Kubernetes

Execute o método a seguir para configurar uma credencial de identidade federada em um aplicativo e criar uma relação de confiança com uma conta de serviço do Kubernetes. Especifique os parâmetros seguintes:

• emissor é a URL do emissor da conta de serviço (a URL do emissor OIDC para o cluster gerenciado ou a URL do Emissor OIDC para um cluster autogerenciado).
• Assunto é o nome do assunto nos tokens emitidos para a conta de serviço. O Kubernetes usa o seguinte formato para nomes de assuntos: system:serviceaccount:<SERVICE_ACCOUNT_NAMESPACE>:<SERVICE_ACCOUNT_NAME>.
• name é o nome da credencial federada, que não pode ser alterada posteriormente.
• Audiências lista as audiências que podem aparecer no token externo. Este campo é obrigatório. O valor recomendado é "api://AzureADTokenExchange".

az rest --method POST --uri 'https://graph.microsoft.com/applications/f6475511-fd81-4965-a00e-41e7792b7b9c/federatedIdentityCredentials' --body '{"name":"Kubernetes-federated-credential","issuer":"https://aksoicwesteurope.blob.core.windows.net/9d80a3e1-2a87-46ea-ab16-e629589c541c/","subject":"system:serviceaccount:erp8asle:pod-identity-sa","description":"Kubernetes service account federated credential","audiences":["api://AzureADTokenExchange"]}'

E você recebe a resposta:

{
  "@odata.context": "https://graph.microsoft.com/$metadata#applications('f6475511-fd81-4965-a00e-41e7792b7b9c')/federatedIdentityCredentials/$entity",
  "audiences": [
    "api://AzureADTokenExchange"
  ],
  "description": "Kubernetes service account federated credential",
  "id": "51ecf9c3-35fc-4519-a28a-8c27c6178bca",
  "issuer": "https://aksoicwesteurope.blob.core.windows.net/9d80a3e1-2a87-46ea-ab16-e629589c541c/",
  "name": "Kubernetes-federated-credential",
  "subject": "system:serviceaccount:erp8asle:pod-identity-sa"
}

Exemplo de outros provedores de identidade

Execute o método a seguir para configurar uma credencial de identidade federada em um aplicativo e criar uma relação de confiança com um provedor de identidade externo. Especifique os seguintes parâmetros (usando uma carga de trabalho de software em execução no Google Cloud como exemplo):

• name é o nome da credencial federada, que não pode ser alterada posteriormente.
• ObjectID: a ID do objeto do aplicativo (não a ID do aplicativo (cliente)) que você registrou anteriormente no Microsoft Entra ID.
• Assunto: Deve corresponder à sub declaração no token emitido pelo provedor de identidade externo. Neste exemplo usando o Google Cloud, o assunto é o ID exclusivo da conta de serviço que você planeja usar.
• Emissor: Deve corresponder à iss declaração no token emitido pelo provedor de identidade externo. Uma URL que está em conformidade com a especificação OIDC Discovery. O Microsoft Entra ID usa essa URL do emissor para buscar as chaves necessárias para validar o token. Para o Google Cloud, o emissor é "https://accounts.google.com".
• Audiências lista as audiências que podem aparecer no token externo. Este campo é obrigatório. O valor recomendado é "api://AzureADTokenExchange".

az rest --method POST --uri 'https://graph.microsoft.com/applications/<ObjectID>/federatedIdentityCredentials' --body '{"name":"GcpFederation","issuer":"https://accounts.google.com","subject":"112633961854638529490","description":"Testing","audiences":["api://AzureADTokenExchange"]}'

E você recebe a resposta:

{
  "@odata.context": "https://graph.microsoft.com/$metadata#applications('f6475511-fd81-4965-a00e-41e7792b7b9c')/federatedIdentityCredentials/$entity",
  "audiences": [
    "api://AzureADTokenExchange"
  ],
  "description": "Testing",
  "id": "51ecf9c3-35fc-4519-a28a-8c27c6178bca",
  "issuer": "https://accounts.google.com"",
  "name": "GcpFederation",
  "subject": "112633961854638529490"
}

Listar credenciais de identidade federada em um aplicativo

Execute o seguinte método para listar a(s) credencial(ões) de identidade federada de um aplicativo (especificada pela ID do objeto do aplicativo):

az rest -m GET -u 'https://graph.microsoft.com/applications/f6475511-fd81-4965-a00e-41e7792b7b9c/federatedIdentityCredentials'

E você recebe uma resposta semelhante a:

{
  "@odata.context": "https://graph.microsoft.com/$metadata#applications('f6475511-fd81-4965-a00e-41e7792b7b9c')/federatedIdentityCredentials",
  "value": [
    {
      "audiences": [
        "api://AzureADTokenExchange"
      ],
      "description": "Testing",
      "id": "1aa3e6a7-464c-4cd2-88d3-90db98132755",
      "issuer": "https://token.actions.githubusercontent.com/",
      "name": "Testing",
      "subject": "repo:octo-org/octo-repo:environment:Production"
    }
  ]
}

Obter uma credencial de identidade federada em um aplicativo

Execute o seguinte método para obter uma credencial de identidade federada para um aplicativo (especificado pela ID do objeto do aplicativo):

az rest -m GET -u 'https://graph.microsoft.com/applications/f6475511-fd81-4965-a00e-41e7792b7b9c//federatedIdentityCredentials/1aa3e6a7-464c-4cd2-88d3-90db98132755'

E você recebe uma resposta semelhante a:

{
  "@odata.context": "https://graph.microsoft.com/$metadata#applications('f6475511-fd81-4965-a00e-41e7792b7b9c')/federatedIdentityCredentials",
  "value": {
      "@odata.context": "https://graph.microsoft.com/$metadata#applications('f6475511-fd81-4965-a00e-41e7792b7b9c')/federatedIdentityCredentials/$entity",
      "@odata.id": "https://graph.microsoft.com/v2/3d1e2be9-a10a-4a0c-8380-7ce190f98ed9/directoryObjects/$/Microsoft.DirectoryServices.Application('f6475511-fd81-4965-a00e-41e7792b7b9c')/federatedIdentityCredentials('f6475511-fd81-4965-a00e-41e7792b7b9c')/f6475511-fd81-4965-a00e-41e7792b7b9c",
    "audiences": [
        "api://AzureADTokenExchange"
      ],
      "description": "Testing",
      "id": "1aa3e6a7-464c-4cd2-88d3-90db98132755",
      "issuer": "https://token.actions.githubusercontent.com/",
      "name": "Testing",
      "subject": "repo:octo-org/octo-repo:environment:Production"
    }
}

Excluir uma credencial de identidade federada de um aplicativo

Execute o seguinte método para excluir uma credencial de identidade federada de um aplicativo (especificado pela ID do objeto do aplicativo):

az rest -m DELETE  -u 'https://graph.microsoft.com/applications/f6475511-fd81-4965-a00e-41e7792b7b9c/federatedIdentityCredentials/1aa3e6a7-464c-4cd2-88d3-90db98132755'

Próximos passos

• Para saber como usar a federação de identidades de carga de trabalho para Kubernetes, consulte Microsoft Entra Workload ID for Kubernetes open source project.
• Para saber como usar a federação de identidades de carga de trabalho para Ações do GitHub, consulte Configurar um fluxo de trabalho de Ações do GitHub para obter um token de acesso.
• Leia a documentação de Ações do GitHub para saber mais sobre como configurar seu fluxo de trabalho de Ações do GitHub para obter um token de acesso do provedor de identidade da Microsoft e acessar os recursos do Azure.
• Para obter mais informações, leia sobre como o Microsoft Entra ID usa a concessão de credenciais de cliente OAuth 2.0 e uma asserção de cliente emitida por outro IdP para obter um token.
• Para obter informações sobre o formato necessário de JWTs criados por provedores de identidade externos, leia sobre o formato de asserção.