Autenticar recursos do Azure a partir de aplicativos Python hospedados no local

Os aplicativos hospedados fora do Azure (por exemplo, no local ou em um data center de terceiros) devem usar um principal de serviço de aplicação para autenticar-se no Azure ao acessar os recursos do Azure. Os objetos principais do serviço de aplicativo são criados usando o processo de registro do aplicativo no Azure. A criação de uma nova entidade de serviço de aplicação gera um identificador de cliente e um segredo de cliente para a sua aplicação. Você armazena a ID do cliente, o segredo do cliente e a ID do locatário em variáveis de ambiente a serem usadas pelo SDK do Azure para Python para autenticar seu aplicativo no Azure em tempo de execução.

Um registro de aplicativo diferente deve ser criado para cada ambiente em que o aplicativo está hospedado. Criar um registro de aplicativo diferente permite que permissões de recursos específicos do ambiente sejam configuradas para cada entidade de serviço e garante que um aplicativo implantado em um ambiente não converse com os recursos do Azure que fazem parte de outro ambiente.

Registrar o aplicativo no Azure

Um aplicativo pode ser registrado no Azure usando o portal do Azure ou a CLI do Azure.

CLI do Azure

APP_NAME=<app-name>
az ad sp create-for-rbac --name $APP_NAME

A saída do comando é semelhante à seguinte. Anote esses valores ou mantenha essa janela aberta, pois você precisará desses valores nas próximas etapas e não poderá visualizar o valor da senha (segredo do cliente) novamente.

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Em seguida, você precisa obter o appID valor e armazená-lo em uma variável. Esse valor é usado para definir variáveis de ambiente em seu ambiente de desenvolvimento local para que o SDK do Azure para Python possa se autenticar no Azure usando a entidade de serviço.

APP_ID=$(az ad sp create-for-rbac \
  --name $APP_NAME --query appId --output tsv)

Portal do Azure

Entre no portal Azure e siga estes passos.

Instruções	Captura de ecrã
No portal do Azure: Insira registros de aplicativos na barra de pesquisa na parte superior do portal do Azure. Selecione o item rotulado Registros de aplicativos sob o título Serviços no menu que aparece abaixo da barra de pesquisa.
Na página Registos da aplicação, selecione + Novo registo.
Na página Registar uma candidatura, preencha o formulário da seguinte forma. Nome → Insira um nome para o registro do aplicativo no Azure. Recomenda-se que esse nome inclua o nome do aplicativo e o ambiente (teste, prod) para o qual o registro do aplicativo se destina. Tipos de contas suportadas → Apenas contas neste diretório organizacional. Selecione Registrar para registrar seu aplicativo e criar a entidade de serviço do aplicativo.
Na página de Registo da aplicação para o seu aplicativo: ID do aplicativo (cliente) → Esta é a ID do aplicativo que seu aplicativo usará para acessar o Azure durante o desenvolvimento local. Copie esse valor para um local temporário em um editor de texto, pois você precisará dele em uma etapa futura. ID do diretório (locatário) → Esse valor também será necessário para seu aplicativo quando ele se autenticar no Azure. Copie esse valor para um local temporário em um editor de texto, ele também será necessário em uma etapa futura. Credenciais do cliente → Você deve definir as credenciais do cliente para o aplicativo antes que seu aplicativo possa se autenticar no Azure e usar os serviços do Azure. Selecione Adicionar um certificado ou segredo para adicionar credenciais ao seu aplicativo.
Na página Certificados & segredos, selecione + Novo segredo do cliente.
A caixa de diálogo Adicionar um segredo do cliente aparecerá no lado direito da página. Nesta caixa de diálogo: Descrição → Insira um valor de Atual. Expira → Selecione um valor de 24 meses. Selecione Adicionar para adicionar o segredo. IMPORTANTE: Defina um lembrete no seu calendário antes da data de expiração do segredo. Dessa forma, você pode adicionar um novo segredo antes e atualizar seus aplicativos antes da expiração desse segredo e evitar uma interrupção do serviço em seu aplicativo.
A página Certificados & segredos mostra o valor do segredo do cliente. Copie esse valor para um local temporário em um editor de texto porque você precisa dele em uma etapa futura. IMPORTANTE: Esta é a única vez que você verá esse valor. Depois de sair ou atualizar esta página, você não poderá ver esse valor novamente. Você pode adicionar outro segredo do cliente sem invalidar esse segredo do cliente, mas não verá esse valor novamente.

Atribuir funções à entidade de serviço do aplicativo

Em seguida, você precisa determinar quais funções (permissões) seu aplicativo precisa em quais recursos e atribuir essas funções ao seu aplicativo. As funções podem ser atribuídas a um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostra como atribuir funções para a entidade de serviço no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.

CLI do Azure

Um principal de serviço é atribuído um papel no Azure usando o comando az role assignment create.

RESOURCE_GROUP_NAME=<resource-group-name>
SUBSCRIPTION_ID=$(az account show --query id --output tsv)
ROLE_NAME=<role-name>

az role assignment create \
  --assignee "$APP_ID" \
  --scope "./subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP_NAME" \
  --role "$ROLE_NAME"

![!NOTA] Para impedir que o Git Bash trate /subscriptions/... como um caminho de arquivo, adicione ./ à string do parâmetro scope e use aspas duplas ao redor de toda a string.

Para obter os nomes de função aos quais se pode atribuir uma entidade de serviço, utilize o comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por exemplo, para permitir que a entidade de serviço com o appId de leitura, gravação e exclusão tenha acesso a contêineres e dados de blob de Armazenamento do Azure em todas as contas de armazenamento no 00001111-aaaa-2222-bbbb-3333cccc4444 na assinatura com ID , você atribuiria a entidade de aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e serviço do aplicativo à função de Colaborador de Dados de Blob de Armazenamento usando o comando a seguir.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope "./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-python-sdk-auth-example" \
    --role "Storage Blob Data Contributor"

Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, consulte o artigo Atribuir funções do Azure usando a CLI do Azure.

Portal do Azure

Instruções	Captura de ecrã
Localize o grupo de recursos para seu aplicativo pesquisando o nome do grupo de recursos usando a caixa de pesquisa na parte superior do portal do Azure. Navegue até o grupo de recursos selecionando o nome do grupo de recursos sob o título Grupos de Recursos na caixa de diálogo.
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda.
Na página de Controle de Acesso (IAM): Selecione o separador Atribuição de funções. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas para o grupo de recursos. Use a caixa de pesquisa para filtrar a lista para um tamanho mais gerenciável. Este exemplo mostra como filtrar funções de Blob de Armazenamento. Selecione a função que pretende atribuir. Selecione Avançar para ir para a próxima tela.
A próxima página Adicionar atribuição de função permite especificar a qual usuário atribuir a função. Selecione Utilizador, grupo ou principal de serviço em Atribuir acesso a. Selecione + Selecionar membros em Membros Uma caixa de diálogo é aberta no lado direito do portal do Azure.
Na caixa de diálogo Selecionar membros: A caixa de texto Selecionar pode ser usada para filtrar a lista de usuários e grupos em sua assinatura. Se necessário, digite os primeiros caracteres do principal de serviço que criou para a aplicação para que a lista seja filtrada. Selecione a entidade de serviço associada ao seu aplicativo. Selecione Selecionar na parte inferior da caixa de diálogo para continuar.
A entidade de serviço aparece como selecionada no ecrã Adicionar atribuição de função. Selecione Rever + atribuir para ir para a página final e, em seguida, Rever + atribuir novamente para concluir o processo.

Configurar variáveis de ambiente para aplicativo

Você deve definir as variáveis de ambiente AZURE_CLIENT_ID, AZURE_TENANT_ID e AZURE_CLIENT_SECRET para o processo que executa a sua aplicação Python, para tornar as credenciais do principal de serviço da aplicação disponíveis para a sua aplicação em tempo de execução. O DefaultAzureCredential objeto procura as informações do principal de serviço nessas variáveis de ambiente.

Ao usar o Gunicorn para executar aplicativos Web Python em um ambiente de servidor UNIX, as variáveis de ambiente para um aplicativo podem ser especificadas usando a EnvironmentFile diretiva no gunicorn.server. Veja o seguinte exemplo.

[Unit]
Description=gunicorn daemon
After=network.target  
  
[Service]  
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/gunicorn --config config.py wsgi:app
            
[Install]  
WantedBy=multi-user.target

O arquivo especificado na EnvironmentFile diretiva deve conter uma lista de variáveis de ambiente com seus valores da seguinte maneira.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

Implementar DefaultAzureCredential no aplicativo

Para autenticar objetos de cliente do SDK do Azure no Azure, a sua aplicação deve usar a classe DefaultAzureCredential do pacote azure.identity.

Comece adicionando o pacote azure.identity ao seu aplicativo.

pip install azure-identity

Em seguida, para qualquer código Python que crie um objeto de cliente do SDK do Azure em seu aplicativo, você deve:

1. Importe a DefaultAzureCredential classe do azure.identity módulo.
2. Crie um DefaultAzureCredential objeto.
3. Passe o DefaultAzureCredential objeto para o construtor de objeto de cliente do SDK do Azure.

Um exemplo dessa abordagem é mostrado no segmento de código a seguir.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)

Neste exemplo, quando o código instancia o objeto DefaultAzureCredential, DefaultAzureCredential lê as variáveis de ambiente AZURE_TENANT_ID, AZURE_CLIENT_ID, e AZURE_CLIENT_SECRET para obter as informações do principal de serviço da aplicação para se conectar ao Azure.