Guia de início rápido: adicionar autenticação de aplicativo ao seu aplicativo Web em execução no Serviço de Aplicativo do Azure

Nota

A partir de 1º de junho de 2024, todos os aplicativos do Serviço de Aplicativo recém-criados terão a opção de gerar um nome de host padrão exclusivo usando a convenção <app-name>-<random-hash>.<region>.azurewebsites.netde nomenclatura. Os nomes de aplicativos existentes permanecerão inalterados.

Exemplo: myapp-ds27dh7271aah175.westus-01.azurewebsites.net

Para obter mais detalhes, consulte Nome de host padrão exclusivo para recurso do Serviço de Aplicativo.

Saiba como habilitar a autenticação para seu aplicativo Web em execução no Serviço de Aplicativo do Azure e limitar o acesso aos usuários em sua organização.

Neste tutorial, irá aprender a:

• Configure a autenticação para o aplicativo Web.
• Limite o acesso ao aplicativo Web aos usuários em sua organização usando o Microsoft Entra como provedor de identidade.

Autenticação automática fornecida pelo Serviço de Aplicativo

O Serviço de Aplicativo fornece suporte interno de autenticação e autorização, para que você possa entrar em usuários sem código em seu aplicativo Web. Usar o módulo opcional de autenticação/autorização do Serviço de Aplicativo simplifica a autenticação e a autorização para seu aplicativo. Quando estiver pronto para autenticação e autorização personalizadas, você aproveitará essa arquitetura.

A autenticação do serviço de aplicativo fornece:

• Ative e configure facilmente através do portal do Azure e das definições da aplicação.
• Não são necessários SDKs, idiomas específicos ou alterações no código do aplicativo.
• Vários provedores de identidade são suportados:
  • Microsoft Entra
  • Conta Microsoft
  • Facebook
  • Google
  • Twitter

Quando o módulo de autenticação/autorização está habilitado, cada solicitação HTTP de entrada passa por ele antes de ser manipulada pelo código do seu aplicativo. Para saber mais, consulte Autenticação e autorização no Serviço de Aplicativo do Azure.

1. Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita do Azure antes de começar.

2. Criar e publicar um aplicativo Web no Serviço de Aplicativo

Para este tutorial, você precisa de um aplicativo Web implantado no Serviço de Aplicativo. Você pode usar um aplicativo Web existente ou seguir um dos inícios rápidos para criar e publicar um novo aplicativo Web no Serviço de Aplicativo:

• ASP.NET Core
• Node.js
• Python
• Java

Quer utilize uma aplicação Web existente ou crie uma nova, tome nota do seguinte:

• Nome do aplicativo Web.
• Grupo de recursos no qual o aplicativo Web está implantado.

Você precisa desses nomes ao longo deste tutorial.

3. Configurar autenticação e autorização

Agora que você tem um aplicativo Web em execução no Serviço de Aplicativo, habilite a autenticação e a autorização. Você usa o Microsoft Entra como o provedor de identidade. Para obter mais informações, consulte Configurar a autenticação do Microsoft Entra para seu aplicativo do Serviço de Aplicativo.

Configuração da força de trabalho

1. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página.

2. Em Grupos de recursos, localize e selecione o seu grupo de recursos. Em Visão geral, selecione a página de gerenciamento do seu aplicativo.

   

3. No menu esquerdo da sua aplicação, selecione Autenticação e, em seguida, selecione Adicionar fornecedor de identidade.

4. Na página Adicionar um provedor de identidade, selecione Microsoft como o provedor de identidade para entrar nas identidades Microsoft e Microsoft Entra.

5. Em Tipo de locatário, selecione Configuração da força de trabalho (locatário atual) para funcionários e convidados de negócios.

6. Para Registro de>aplicativo Tipo de registro de aplicativo, selecione Criar novo registro de aplicativo para criar um novo registro de aplicativo no Microsoft Entra.

7. Insira um Nome de exibição para seu aplicativo. Os usuários do seu aplicativo podem ver o nome para exibição quando usam o aplicativo, por exemplo, durante o login.

8. Para Registo de>aplicações Tipos de conta suportados, selecione Inquilino único inquilino atual para que apenas os utilizadores na sua organização possam iniciar sessão na aplicação Web.

9. Na seção Verificações adicionais, selecione:

   • Permitir solicitações somente deste próprio aplicativo para o requisito de aplicativo cliente
   • Permitir solicitações de qualquer identidade para o requisito de Identidade
   • Permitir solicitações somente do locatário emissor para o requisito de locatário

10. Na seção Configurações de autenticação do Serviço de Aplicativo, defina:

    • Exigir autenticação para autenticação
    • Redirecionamento HTTP 302 encontrado: recomendado para sites para solicitações não autenticadas
    • Caixa de armazenamento de tokens

11. Na parte inferior da página Adicionar um provedor de identidade, selecione Adicionar para habilitar a autenticação para seu aplicativo Web.

    

    Agora você tem um aplicativo protegido pela autenticação e autorização do Serviço de Aplicativo.

    Nota

    Para permitir contas de outros inquilinos, altere o 'URL do emissor' para 'https://login.microsoftonline.com/common/v2.0' editando o seu 'Fornecedor de identidade' a partir da folha 'Autenticação'.

Configuração externa

1. No menu do portal do Azure, selecione Grupos de recursos ou procure e selecione Grupos de recursos em qualquer página.

2. Em Grupos de recursos, localize e selecione o seu grupo de recursos. Em Visão geral, selecione a página de gerenciamento do seu aplicativo.

   

3. No menu esquerdo da sua aplicação, selecione Autenticação e, em seguida, selecione Adicionar fornecedor de identidade.

4. Na página Adicionar um provedor de identidade, selecione Microsoft como o provedor de identidade para entrar nas identidades Microsoft e Microsoft Entra.

5. Em Tipo de locatário, selecione Configuração externa para usuários externos.

6. Selecione Criar novo registro de aplicativo para criar um novo registro de aplicativo.

7. Selecione um locatário existente para usar na lista suspensa ou selecione Criar novo para criar um novo locatário externo.

   

8. (Opcional) Na página Criar um locatário, adicione o Nome do Locatário * e o Nome do Domínio. Selecione um Local e selecione Revisar e criar e, em seguida, Criar.

   

9. Selecione Configurar para configurar a autenticação externa.

10. O navegador abre Configurar autenticação do cliente. Em Configurar início de sessão, selecione Criar novo para criar uma experiência de início de sessão para os seus utilizadores externos.

11. Insira um Nome para o fluxo de usuário.

12. Para este início rápido, selecione Email e senha que permitem que novos usuários se inscrevam e entrem usando um endereço de e-mail como nome de entrada e uma senha como sua primeira credencial de fator.

13. Selecione Criar para criar o fluxo de utilizador.

    

14. Selecione Avançar para personalizar a marca.

15. Adicione o logótipo da sua empresa, selecione uma cor de fundo e selecione um esquema de início de sessão.

    

16. Selecione Seguinte. Se o locatário selecionado já tiver uma configuração de marca, será necessário confirmar que deseja substituí-la.

17. Selecione Configurar na guia Revisão para confirmar a atualização do locatário externo.

18. O navegador retorna à página Adicionar um provedor de identidade.

19. Na seção Verificações adicionais, selecione:

    • Permitir solicitações somente deste próprio aplicativo para o requisito de aplicativo cliente
    • Permitir solicitações de qualquer identidade para o requisito de Identidade
    • Permitir solicitações somente do locatário emissor para o requisito de locatário

20. Na seção Configurações de autenticação do Serviço de Aplicativo, defina:

    • Exigir autenticação para autenticação
    • Redirecionamento HTTP 302 encontrado: recomendado para sites para solicitações não autenticadas
    • Caixa de armazenamento de tokens

21. Na parte inferior da página Adicionar um provedor de identidade, selecione Adicionar para habilitar a autenticação para seu aplicativo Web.

    

4. Verificar o acesso limitado ao aplicativo Web

Quando você habilitou o módulo de autenticação/autorização do Serviço de Aplicativo na seção anterior, um registro de aplicativo foi criado em sua força de trabalho ou locatário externo. O registro do aplicativo tem o nome para exibição que você criou em uma etapa anterior.

1. Para verificar as configurações, entre no centro de administração do Microsoft Entra como pelo menos um desenvolvedor de aplicativos. Se você escolher a configuração externa, use o ícone Configurações no menu superior para alternar para o locatário externo com seu aplicativo Web no menu Assinaturas de diretórios + . Quando você estiver no locatário correto:

2. Navegue até Registros de aplicativos de identidade>>e selecione Registros> de aplicativos de aplicativos no menu.

3. Selecione o registro do aplicativo que foi criado.

4. Na visão geral, verifique se Tipos de conta suportados está definido como Somente minha organização.

5. Para verificar se o acesso ao seu aplicativo está limitado aos usuários em sua organização, vá para Visão geral do aplicativo Web e selecione o link Domínio padrão. Ou inicie um navegador no modo de navegação anónima ou privado e vá para https://<app-name>.azurewebsites.net (ver nota no topo).

   

6. Você deve ser direcionado para uma página de entrada segura, verificando se usuários não autenticados não têm permissão de acesso ao site.

7. Inicie sessão como utilizador na sua organização para obter acesso ao site. Você também pode iniciar um novo navegador e tentar entrar usando uma conta pessoal para verificar se os usuários fora da organização não têm acesso.

5. Limpar os recursos

Se você concluiu todas as etapas neste tutorial com várias partes, criou um Serviço de Aplicativo, um plano de hospedagem do Serviço de Aplicativo e uma conta de armazenamento em um grupo de recursos. Você também criou um registro de aplicativo no Microsoft Entra ID. Se você escolheu a configuração externa, talvez tenha criado um novo locatário externo. Quando não for mais necessário, exclua esses recursos e o registro do aplicativo para não continuar acumulando cobranças.

Neste tutorial, irá aprender a:

• Exclua os recursos do Azure criados ao seguir o tutorial.

Eliminar o grupo de recursos

No portal do Azure, selecione Grupos de recursos no menu do portal e selecione o grupo de recursos que contém seu plano do Serviço de Aplicativo e do Serviço de Aplicativo.

Selecione Excluir grupo de recursos para excluir o grupo de recursos e todos os recursos.

Esse comando pode levar vários minutos para ser executado.

Excluir o registro do aplicativo

No centro de administração do Microsoft Entra, selecione Registros>de aplicativos de aplicativos. Em seguida, selecione o aplicativo que você criou.

Na visão geral de registro do aplicativo, selecione Excluir.

Excluir o locatário externo

Se você criou um novo locatário externo, poderá excluí-lo. No Centro de administração do Microsoft Entra, navegue até Visão geral>da identidade>Gerenciar locatários.

Selecione o inquilino que pretende eliminar e, em seguida, selecione Eliminar.

Talvez seja necessário concluir as ações necessárias antes de excluir o locatário. Por exemplo, talvez seja necessário excluir todos os fluxos de usuários e registros de aplicativos no locatário.

Se você estiver pronto para excluir o locatário, selecione Excluir.

Próximos passos

Neste tutorial, ficou a saber como:

• Configure a autenticação para o aplicativo Web.
• Limite o acesso ao aplicativo Web aos usuários em sua organização.

O Serviço de Aplicativo acessa o armazenamento