Autorizar o acesso à Configuração do Aplicativo do Azure usando a ID do Microsoft Entra

Além de usar o HMAC (Código de Autenticação de Mensagem Baseado em Hash), a Configuração de Aplicativo do Azure dá suporte ao uso da ID do Microsoft Entra para autorizar solicitações a instâncias de Configuração de Aplicativo. O Microsoft Entra ID permite que você use o controle de acesso baseado em função do Azure (Azure RBAC) para conceder permissões a uma entidade de segurança. Uma entidade de segurança pode ser um usuário, uma identidade gerenciada ou uma entidade de serviço de aplicativo. Para saber mais sobre funções e atribuições de funções, consulte Noções básicas sobre diferentes funções.

Descrição geral

As solicitações feitas por uma entidade de segurança para acessar um recurso de Configuração de Aplicativo devem ser autorizadas. Com o Microsoft Entra ID, o acesso a um recurso é um processo de duas etapas:

1. A identidade da entidade de segurança é autenticada e um token OAuth 2.0 é retornado. O nome do recurso para solicitar um token é https://login.microsoftonline.com/{tenantID} onde {tenantID} corresponde à ID de locatário do Microsoft Entra à qual a entidade de serviço pertence.
2. O token é passado como parte de uma solicitação ao serviço de Configuração do Aplicativo para autorizar o acesso ao recurso especificado.

A etapa de autenticação requer que uma solicitação de aplicativo contenha um token de acesso OAuth 2.0 em tempo de execução. Se um aplicativo estiver sendo executado em uma entidade do Azure, como um aplicativo do Azure Functions, um Aplicativo Web do Azure ou uma VM do Azure, ele poderá usar uma identidade gerenciada para acessar os recursos. Para saber como autenticar solicitações feitas por uma identidade gerenciada para a Configuração do Aplicativo do Azure, consulte Autenticar o acesso aos recursos de Configuração do Aplicativo do Azure com a ID do Microsoft Entra e identidades gerenciadas para Recursos do Azure.

A etapa de autorização requer que uma ou mais funções do Azure sejam atribuídas à entidade de segurança. A Configuração de Aplicativo do Azure fornece funções do Azure que abrangem conjuntos de permissões para recursos de Configuração de Aplicativo. As funções atribuídas a uma entidade de segurança determinam as permissões fornecidas à entidade de segurança. Para obter mais informações sobre as funções do Azure, consulte Azure built-in roles for Azure App Configuration.

Atribuir funções do Azure para direitos de acesso

O Microsoft Entra autoriza direitos de acesso a recursos protegidos por meio do controle de acesso baseado em função do Azure (Azure RBAC).

Quando uma função do Azure é atribuída a uma entidade de segurança do Microsoft Entra, o Azure concede acesso a esses recursos para essa entidade de segurança. O acesso tem como escopo o recurso Configuração do Aplicativo. Uma entidade de segurança do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure.

Funções internas do Azure para Configuração de Aplicativo do Azure

O Azure fornece as seguintes funções internas do Azure para autorizar o acesso aos dados de Configuração do Aplicativo usando a ID do Microsoft Entra:

• Proprietário dos Dados de Configuração do Aplicativo: use esta função para conceder acesso de leitura/gravação/exclusão aos dados de Configuração do Aplicativo. Essa função não concede acesso ao recurso Configuração do Aplicativo.
• Leitor de Dados de Configuração de Aplicativo: use esta função para dar acesso de leitura aos dados de Configuração de Aplicativo. Essa função não concede acesso ao recurso Configuração do Aplicativo.
• Colaborador ou Proprietário: use esta função para gerenciar o recurso de Configuração do Aplicativo. Ele concede acesso às chaves de acesso do recurso. Embora os dados de Configuração do Aplicativo possam ser acessados usando chaves de acesso, essa função não concede acesso direto aos dados usando a ID do Microsoft Entra. Essa função é necessária se você acessar os dados de Configuração do Aplicativo por meio do modelo ARM, Bíceps ou Terraform durante a implantação. Para obter mais informações, consulte implantação.
• Leitor: use essa função para dar acesso de leitura ao recurso Configuração do aplicativo. Esta função não concede acesso às chaves de acesso do recurso, nem aos dados armazenados na Configuração da Aplicação.

Nota

Depois que uma atribuição de função for feita para uma identidade, aguarde até 15 minutos para que a permissão se propague antes de acessar os dados armazenados na Configuração do Aplicativo usando essa identidade.

Próximos passos

Saiba mais sobre como usar identidades gerenciadas para administrar seu serviço de Configuração de Aplicativo.