Autenticar aplicações Python alojadas no Azure para recursos Azure usando uma identidade gerida atribuída pelo utilizador

A abordagem recomendada para autenticar um aplicativo hospedado no Azure em outros recursos do Azure é usar uma identidade gerenciada . Essa abordagem é suportada para a maioria dos serviços do Azure, incluindo aplicativos hospedados no Serviço de Aplicativo do Azure, Aplicativos de Contêiner do Azure e Máquinas Virtuais do Azure. Descubra mais sobre diferentes técnicas e abordagens de autenticação na página visão geral da autenticação. Nas seções a seguir, você aprenderá:

• Conceitos essenciais de identidade gerenciada
• Como criar uma identidade gerenciada atribuída pelo usuário para seu aplicativo
• Como atribuir funções à identidade gerenciada atribuída pelo usuário
• Como autenticar usando a identidade gerenciada atribuída pelo usuário a partir do código do seu aplicativo

Conceitos essenciais de identidade gerenciada

Uma identidade gerenciada permite que seu aplicativo se conecte com segurança a outros recursos do Azure sem o uso de chaves secretas ou outros segredos de aplicativo. Internamente, o Azure rastreia a identidade e os recursos aos quais ele pode se conectar. O Azure usa essas informações para obter automaticamente tokens do Microsoft Entra para o aplicativo para permitir que ele se conecte a outros recursos do Azure.

Há dois tipos de identidades gerenciadas a serem consideradas ao configurar seu aplicativo hospedado:

• identidades gerenciadas atribuídas pelo sistema são habilitadas diretamente em um recurso do Azure e vinculadas ao seu ciclo de vida. Quando o recurso é excluído, o Azure exclui automaticamente a identidade para você. As identidades atribuídas pelo sistema fornecem uma abordagem minimalista para o uso de identidades gerenciadas.
• identidades gerenciadas atribuídas pelo usuário são criadas como recursos autônomos do Azure e oferecem maior flexibilidade e recursos. Eles são ideais para soluções que envolvem vários recursos do Azure que precisam compartilhar a mesma identidade e permissões. Por exemplo, se várias máquinas virtuais precisarem acessar o mesmo conjunto de recursos do Azure, uma identidade gerenciada atribuída pelo usuário fornecerá reutilização e gerenciamento otimizado.

Sugestão

Saiba mais sobre como selecionar e gerenciar identidades gerenciadas atribuídas pelo sistema e pelo usuário no artigo Recomendações de práticas recomendadas de identidade gerenciada .

As seções à frente descrevem as etapas para habilitar e usar uma identidade gerenciada atribuída pelo usuário para um aplicativo hospedado no Azure. Se você precisar usar uma identidade gerenciada atribuída pelo sistema, visite o artigo Identidades gerenciadas atribuídas pelo sistema para obter mais informações.

Criar uma identidade gerenciada atribuída pelo usuário

As identidades gerenciadas atribuídas pelo usuário são criadas como recursos autônomos em sua assinatura do Azure usando o portal do Azure ou a CLI do Azure. Os comandos da CLI do Azure podem ser executados no Azure Cloud Shell ou em uma estação de trabalho com a CLI do Azure instalada.

portal do Azure

1. No portal do Azure, insira Identidades geridas na barra de pesquisa principal e selecione o resultado correspondente na seção Serviços.

2. Na página Identidades Gerenciadas, selecione + Criar.

   

3. Na página Criar Identidade Gerida Atribuída ao Utilizador, selecione uma subscrição, um grupo de recursos e uma região para a identidade gerida atribuída ao utilizador, e forneça um nome.

4. Selecione Rever + criar para rever e validar as suas entradas.

   

5. Selecione Criar para criar a identidade gerenciada atribuída pelo usuário.

6. Depois que a identidade for criada, selecione Ir para o recurso.

7. Na página Visão Geral da nova identidade, copie o valor ID do Cliente para utilizar mais tarde, ao configurar o código da aplicação.

Use o comando da CLI do Azure az identity create para criar uma identidade gerenciada:

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

A saída do comando imprime o ID do cliente da identidade gerenciada atribuída pelo usuário criada. O ID do cliente é usado para configurar o código do aplicativo que depende da identidade.

Você sempre pode exibir as propriedades de identidade gerenciada novamente usando o comando az identity show:

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Atribuir a identidade gerenciada ao seu aplicativo

Uma identidade gerenciada atribuída pelo usuário pode ser associada a um ou mais recursos do Azure. Todos os recursos que usam essa identidade obtêm as permissões aplicadas por meio das funções da identidade.

portal do Azure

1. No portal do Azure, navegue até o recurso que hospeda o código do seu aplicativo, como um Serviço de Aplicativo do Azure ou uma instância do Aplicativo de Contêiner do Azure.

2. Na página Visão Geral do recurso, expanda Configurações e selecione Identidade na navegação.

3. Na página Identidade, alterne para o separador Atribuído ao usuário.

4. Selecione + Adicionar para abrir o painel Adicionar identidade gerenciada atribuída ao usuário.

5. No painel Adicionar identidade gerenciada atribuída ao utilizador, use a lista suspensa Assinatura para filtrar os resultados da pesquisa para as suas identidades. Utilize a caixa de pesquisa identidades gerenciadas atribuídas ao usuário para localizar a identidade gerenciada atribuída ao utilizador que você habilitou para o recurso do Azure que hospeda a sua aplicação.

6. Selecione a identidade e escolha Adicionar na parte inferior do painel para continuar.

   

A CLI do Azure fornece comandos diferentes para atribuir uma identidade gerenciada atribuída pelo usuário a diferentes tipos de serviços de hospedagem.

1. Para atribuir uma identidade gerida atribuída ao utilizador a um recurso, como uma aplicação web do Serviço de Aplicações do Azure usando a CLI do Azure, você precisará do ID da identidade. Use o comando az identity show para recuperar a ID do recurso:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Depois de ter a ID do recurso, use o comando az <resourceType> identity assign comando da CLI do Azure para associar a identidade gerenciada atribuída pelo usuário a diferentes recursos, como os seguintes:

   Para o Serviço de Aplicativo do Azure, use o comando da CLI do Azure az webapp identity assign:

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Para Aplicativos de Contêiner do Azure, use o comando CLI do Azure az containerapp identity assign:

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Para Máquinas Virtuais do Azure, use o comando da CLI do Azure az vm identity assign:

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Atribuir funções à identidade gerenciada

Em seguida, determine quais funções seu aplicativo precisa e atribua essas funções à identidade gerenciada. Você pode atribuir funções a uma identidade gerenciada nos seguintes escopos:

• Resource: As funções atribuídas aplicam-se apenas a esse recurso específico.
• Grupo de recursos: As funções atribuídas aplicam-se a todos os recursos contidos no grupo de recursos.
• Subscrição: As funções atribuídas aplicam-se a todos os recursos contidos na subscrição.

O exemplo a seguir mostra como atribuir funções no escopo do grupo de recursos, já que muitos aplicativos gerenciam todos os seus recursos relacionados do Azure usando um único grupo de recursos.

portal do Azure

1. Navegue para a página Visão Geral do grupo de recursos que contém o aplicativo com a identidade gerida atribuída pelo utilizador.

2. Selecione Controle de Acesso (IAM) na barra de navegação à esquerda.

3. Na página Controlo de acesso (IAM), selecione + Adicionar no menu superior e, em seguida, escolha Adicionar atribuição de função para navegar até a página Adicionar atribuição de função.

   

4. A página Adicionar atribuição de função apresenta um fluxo de trabalho com guias em várias etapas para atribuir funções a identidades. No separador inicial Função, utiliza a caixa de pesquisa na parte superior para localizar a função que deseja atribuir à identidade.

5. Selecione a função nos resultados e, em seguida, escolha Avançar para ir para o separador Membros.

6. Para a opção Atribuir acesso a, selecione Identidade gerenciada.

7. Para a opção Membros, escolha + Selecionar membros para abrir o painel Selecionar identidades gerenciadas.

8. No painel Selecionar identidades geridas, use a lista suspensa Assinatura e a lista suspensa Identidade gerida para filtrar as suas identidades nos resultados da pesquisa. Use a caixa de pesquisa Selecionar para encontrar a identidade gerida atribuída ao utilizador que você ativou para o recurso do Azure que hospeda a sua aplicação.

   

9. Selecione a identidade e escolha Selecionar na parte inferior do painel para continuar.

10. Selecione Revisão + Atribua na parte inferior da página.

11. Na aba final Revisão + atribuir, selecione Revisão + atribuir para concluir o fluxo de trabalho.

1. Para atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure, você precisará da ID principal da identidade. Use o comando az identity show para recuperar a ID principal:

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Use o comando az role definition list para explorar quais funções uma identidade gerenciada pode ser atribuída:

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Atribua uma função a uma identidade gerenciada usando o comando az role assignment create:

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Por exemplo, para permitir a identidade gerenciada com a ID de leitura, gravação e exclusão de acesso a contêineres e dados de blob de Armazenamento do Azure a todas as contas de armazenamento no grupo de recursos 99999999-9999-9999-9999-999999999999, atribua a entidade de serviço do aplicativo à função de Colaborador de Dados de Blob de Armazenamento usando o seguinte comando:

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, consulte o artigo Atribuir funções do Azure usando a CLI do Azure.

Autenticar nos serviços do Azure a partir da sua aplicação

A biblioteca de Identidade do Azure fornece várias credenciais — implementações adaptadas para suportar diferentes cenários e fluxos de autenticação do TokenCredential Microsoft Entra. Como a identidade gerenciada não está disponível ao ser executada localmente, as etapas à frente demonstram qual credencial usar em qual cenário:

• Ambiente de desenvolvimento local: Durante desenvolvimento local somente, use uma classe chamada DefaultAzureCredential para uma cadeia de credenciais opinativa e pré-configurada. DefaultAzureCredential descobre credenciais de usuário de suas ferramentas locais ou IDE, como a CLI do Azure ou o Visual Studio Code. Ele também oferece flexibilidade e conveniência para tentativas, tempos de espera para respostas e suporte para várias opções de autenticação. Visite o artigo Autenticar nos serviços do Azure durante o desenvolvimento local para saber mais.
• Aplicativos hospedados no Azure: quando seu aplicativo estiver sendo executado no Azure, use ManagedIdentityCredential para descobrir com segurança a identidade gerenciada configurada para seu aplicativo. Especificar esse tipo exato de credencial evita que outras credenciais disponíveis sejam coletadas inesperadamente.

Implementar o código

Adicione o pacote Azure-identity à sua aplicação navegando até ao diretório do projeto da aplicação e executando o seguinte comando:

pip install azure-identity

Os serviços do Azure são acessados usando classes de cliente especializadas das várias bibliotecas de cliente do SDK do Azure. O exemplo de código seguinte demonstra como criar uma instância de credencial e usá-la com um cliente de serviço Azure SDK. No código da sua aplicação, complete os seguintes passos para autenticar usando uma identidade gerida:

1. Importe a ManagedIdentityCredential classe do azure.identity módulo.
2. Crie um ManagedIdentityCredential objeto e configure o ID do cliente, ID do recurso ou ID do objeto.
3. Passe o ManagedIdentityCredential objeto para o construtor cliente do Azure SDK.

ID de Cliente

O ID do cliente é usado para identificar uma identidade gerenciada ao configurar aplicativos ou serviços que precisam ser autenticados usando essa identidade.

1. Recupere o ID do cliente atribuído a uma identidade gerenciada atribuída pelo usuário usando o seguinte comando:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'clientId'
   

2. Configure ManagedIdentityCredential com a ID de cliente:

   from azure.identity import ManagedIdentityCredential
   from azure.storage.blob import BlobServiceClient
   
   credential = ManagedIdentityCredential(
       client_id="<client-id>"
   )
   
   blob_service_client = BlobServiceClient(
       account_url="https://<account-name>.blob.core.windows.net",
       credential=credential
   )
   

ID do recurso

A ID do recurso identifica exclusivamente o recurso de identidade gerenciado em sua assinatura do Azure usando a seguinte estrutura:

/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}

Os IDs de recursos podem ser criados por convenção, o que os torna mais convenientes ao trabalhar com um grande número de identidades gerenciadas atribuídas pelo usuário em seu ambiente.

1. Recupere o ID do recurso para uma identidade gerenciada atribuída pelo usuário usando o seguinte comando:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'id'
   

2. Configure ManagedIdentityCredential com o identificador do recurso:

   from azure.identity import ManagedIdentityCredential
   from azure.storage.blob import BlobServiceClient
   
   credential = ManagedIdentityCredential(
       identity_config={"resource_id": "<resource-id>"}
   )
   
   blob_service_client = BlobServiceClient(
       account_url="https://<account-name>.blob.core.windows.net",
       credential=credential
   )
   

ID do objeto

Um ID principal é outro nome para um ID de objeto.

1. Recupere o ID do objeto para uma identidade gerenciada atribuída pelo usuário usando o seguinte comando:

   az identity show \
       --resource-group <resource-group-name> \
       --name <identity-name> \
       --query 'principalId'
   

2. Configure ManagedIdentityCredential com a ID do objeto:

   from azure.identity import ManagedIdentityCredential
   from azure.storage.blob import BlobServiceClient
   
   credential = ManagedIdentityCredential(
       identity_config={"object_id": "<object-id>"}
   )
   
   blob_service_client = BlobServiceClient(
       account_url="https://<account-name>.blob.core.windows.net",
       credential=credential
   )