Autenticando aplicativos hospedados no Azure em recursos do Azure com o SDK do Azure para JavaScript

  • Artigo

Quando um aplicativo é hospedado no Azure (usando um serviço como o Serviço de Aplicativo do Azure, Máquinas Virtuais do Azure ou Instâncias de Contêiner do Azure), a abordagem recomendada para autenticar um aplicativo nos recursos do Azure é usar uma identidade gerenciada.

Uma identidade gerenciada fornece uma identidade para seu aplicativo para que seu aplicativo se conecte a outros recursos do Azure sem a necessidade de usar um segredo (como uma cadeia de conexão de chave). Internamente, o Azure conhece a identidade do seu aplicativo e a quais recursos ele pode se conectar. O Azure usa essas informações para obter automaticamente tokens do Microsoft Entra para o aplicativo para permitir que ele se conecte a outros recursos do Azure, tudo sem que você precise gerenciar (criar ou girar) os segredos de autenticação.

Tipos de identidade gerenciados

Existem dois tipos de identidades geridas:

  • Identidades gerenciadas atribuídas pelo sistema - recurso único do Azure
  • Identidades gerenciadas atribuídas pelo usuário - vários recursos do Azure

Este artigo abordará as etapas para habilitar e usar uma identidade gerenciada atribuída ao sistema para um aplicativo. Se você precisar usar uma identidade gerenciada atribuída pelo usuário, consulte o artigo Gerenciar identidades gerenciadas atribuídas pelo usuário para ver como criar uma identidade gerenciada atribuída pelo usuário.

Identidades gerenciadas atribuídas pelo sistema para um único recurso

As identidades gerenciadas atribuídas pelo sistema são fornecidas e vinculadas diretamente a um recurso do Azure. Ao habilitar a identidade gerenciada em um recurso do Azure, você obtém uma identidade gerenciada atribuída ao sistema para esse recurso. Ele está vinculado ao ciclo de vida do recurso do Azure. Quando o recurso é excluído, o Azure exclui automaticamente a identidade para você. Como tudo o que você precisa fazer é habilitar a identidade gerenciada para o recurso do Azure que hospeda seu código, esse é o tipo de identidade gerenciada mais fácil de usar.

Identidades gerenciadas atribuídas pelo usuário para vários recursos

Conceitualmente, essa identidade é um recurso autônomo do Azure. Isso é usado com mais frequência quando sua solução tem várias cargas de trabalho executadas em vários recursos do Azure que precisam compartilhar a mesma identidade e as mesmas permissões. Por exemplo, se sua solução tivesse componentes executados em várias instâncias do Serviço de Aplicativo e da máquina virtual e todos eles precisassem de acesso ao mesmo conjunto de recursos do Azure, criar e usar uma identidade gerenciada atribuída pelo usuário nesses recursos faria sentido.

1 - Sistema atribuído: Ativar no aplicativo hospedado

A primeira etapa é habilitar a identidade gerenciada no recurso do Azure que hospeda seu aplicativo. Por exemplo, se você estiver hospedando um aplicativo Django usando o Serviço de Aplicativo do Azure, precisará habilitar a identidade gerenciada para esse aplicativo Web do Serviço de Aplicativo. Se você estivesse usando uma máquina virtual para hospedar seu aplicativo, permitiria que sua VM usasse a identidade gerenciada.

Você pode habilitar a identidade gerenciada para ser usada para um recurso do Azure usando o portal do Azure ou a CLI do Azure.

Instruções Captura de ecrã
Navegue até o recurso que hospeda o código do aplicativo no portal do Azure.

Por exemplo, você pode digitar o nome do recurso na caixa de pesquisa na parte superior da página e navegar até ele selecionando-o na caixa de diálogo.		 A screenshot showing how to use the top search bar in the Azure portal to locate and navigate to a resource in Azure.
Na página do seu recurso, selecione o item de menu Identidade no menu à esquerda.

Todos os recursos do Azure capazes de dar suporte à identidade gerenciada terão um item de menu Identidade , mesmo que o layout do menu possa variar ligeiramente.		 A screenshot showing the location of the Identity menu item in the left-hand menu for an Azure resource.
Na página Identidade:
  1. Altere o controle deslizante Status para Ativado.
  2. Selecione Guardar.
Uma caixa de diálogo de confirmação verifica se você deseja habilitar a identidade gerenciada para seu serviço. Responda Sim para habilitar a identidade gerenciada para o recurso do Azure.		 A screenshot showing how to enable managed identity for an Azure resource on the resource's Identity page.

2 - Atribuir funções à identidade gerenciada

Em seguida, você precisa determinar quais funções (permissões) seu aplicativo precisa e atribuir a identidade gerenciada a essas funções no Azure. Uma identidade gerenciada pode receber funções em um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostrará como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.

Instruções Captura de ecrã
Localize o grupo de recursos para seu aplicativo pesquisando o nome do grupo de recursos usando a caixa de pesquisa na parte superior do portal do Azure.

Navegue até o grupo de recursos selecionando o nome do grupo de recursos sob o título Grupos de Recursos na caixa de diálogo.		 A screenshot showing how to use the top search bar in the Azure portal to locate and navigate to a resource group in Azure.
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda. A screenshot showing the location of the Access control (I A M ) menu item in the left-hand menu of an Azure resource group.
Na página Controle de acesso (IAM):
  1. Selecione o separador Atribuição de funções.
  2. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
 A screenshot showing how to navigate to the role assignments tab and the location of the button used to add role assignments to a resource group.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas para o grupo de recursos.
  1. Use a caixa de pesquisa para filtrar a lista para um tamanho mais gerenciável. Este exemplo mostra como filtrar funções de Blob de Armazenamento.
  2. Selecione a função que pretende atribuir.
    Selecione Avançar para ir para a próxima tela.
 A screenshot showing how to filter and select role assignments to be added to the resource group.
A próxima página Adicionar atribuição de função permite especificar a qual usuário atribuir a função.
  1. Selecione Identidade gerenciada em Atribuir acesso a.
  2. Selecione + Selecionar membros em Membros
Uma caixa de diálogo é aberta no lado direito do portal do Azure.		 A screenshot showing how to select managed identity as the type of user you want to assign the role (permission) on the add role assignments page.
Na caixa de diálogo Selecionar identidades gerenciadas:
  1. A lista suspensa Identidade gerenciada e a caixa de texto Selecionar podem ser usadas para filtrar a lista de identidades gerenciadas em sua assinatura. Neste exemplo, ao selecionar Serviço de Aplicativo, somente as identidades gerenciadas associadas a um Serviço de Aplicativo são exibidas.
  2. Selecione a identidade gerenciada para o recurso do Azure que hospeda seu aplicativo.
Escolha Selecionar na parte inferior da caixa de diálogo para continuar.		 A screenshot showing how to use the select managed identities dialog to filter and select the managed identity to assign the role to.
A identidade gerenciada é mostrada como selecionada na tela Adicionar atribuição de função.

Selecione Rever + atribuir para ir para a página final e, em seguida, Rever + atribuir novamente para concluir o processo.		 A screenshot of the final add role assignment screen where a user needs to select the Review + Assign button to finalize the role assignment.

3 - Implementar DefaultAzureCredential em seu aplicativo

A DefaultAzureCredential classe detetará automaticamente que uma identidade gerenciada está sendo usada e usará a identidade gerenciada para autenticar em outros recursos do Azure. Conforme discutido no artigo de visão geral da autenticação do SDK do Azure para JavaScript, DefaultAzureCredential dá suporte a vários métodos de autenticação e determina o método de autenticação que está sendo usado em tempo de execução. Dessa forma, seu aplicativo pode usar diferentes métodos de autenticação em ambientes diferentes sem implementar código específico do ambiente.

Primeiro, adicione o pacote @azure/identity ao seu aplicativo.

npm install @azure/identity

Em seguida, para qualquer código JavaScript que crie um objeto de cliente do SDK do Azure em seu aplicativo, você deseja:

  1. Importe a DefaultAzureCredential classe do @azure/identity módulo.
  2. Crie um DefaultAzureCredential objeto.
  3. Passe o DefaultAzureCredential objeto para o construtor de objeto de cliente do SDK do Azure.

Um exemplo disso é mostrado no segmento de código a seguir.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Quando o código acima é executado em sua estação de trabalho local durante o desenvolvimento local, o método SDK, DefaultAzureCredential(), procura nas variáveis de ambiente uma entidade de serviço de aplicativo ou no VS Code, na CLI do Azure ou no Azure PowerShell um conjunto de credenciais de desenvolvedor, que podem ser usadas para autenticar o aplicativo nos recursos do Azure durante o desenvolvimento local. Dessa forma, esse mesmo código pode ser usado para autenticar seu aplicativo nos recursos do Azure durante o desenvolvimento local e quando implantado no Azure.