Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os aplicativos podem usar a biblioteca de Identidade do Azure para autenticar na ID do Microsoft Entra, que permite que os aplicativos acessem os serviços e recursos do Azure. Este requisito de autenticação aplica-se quer a aplicação seja implementada no Azure, alojada no local ou executada localmente numa estação de trabalho de programador. As seções à frente descrevem as abordagens recomendadas para autenticar um aplicativo no Microsoft Entra ID em diferentes ambientes ao usar as bibliotecas de cliente do SDK do Azure.
Abordagem recomendada para autenticação de aplicativos
A autenticação baseada em token por meio do Microsoft Entra ID é a abordagem recomendada para autenticar aplicativos no Azure, em vez de usar cadeias de conexão ou opções baseadas em chave. A biblioteca de Identidade do Azure fornece classes que dão suporte à autenticação baseada em token e permitem que os aplicativos se autentiquem nos recursos do Azure, independentemente de o aplicativo ser executado localmente, no Azure ou em um servidor local.
Vantagens da autenticação baseada em tokens
A autenticação baseada em tokens oferece as seguintes vantagens em relação às cadeias de conexão:
- A autenticação baseada em token garante que apenas os aplicativos específicos destinados a acessar o recurso do Azure possam fazê-lo, enquanto qualquer pessoa ou qualquer aplicativo com uma cadeia de conexão pode se conectar a um recurso do Azure.
- A autenticação baseada em token permite limitar ainda mais o acesso aos recursos do Azure apenas às permissões específicas necessárias para o aplicativo. Isto segue o princípio do menor privilégio. Por outro lado, uma cadeia de conexão concede direitos completos ao recurso do Azure.
- Ao usar uma identidade gerida para autenticação baseada em token, a Azure lida com funções administrativas para si, para que não tenha de se preocupar com tarefas como proteger ou substituir segredos. Isso torna o aplicativo mais seguro porque não há nenhuma cadeia de conexão ou segredo do aplicativo que possa ser comprometido.
- A biblioteca de Identidade do Azure adquire e gerencia tokens do Microsoft Entra para você.
O uso de cadeias de conexão deve ser limitado a cenários em que a autenticação baseada em tokens não é uma opção, aplicativos iniciais de prova de conceito ou protótipos de desenvolvimento que não acessam dados confidenciais ou de produção. Quando possível, use as classes de autenticação baseada em token disponíveis na biblioteca de Identidade do Azure para autenticar nos recursos do Azure.
Autenticação em diferentes ambientes
O tipo específico de autenticação baseada em token que um aplicativo deve usar para autenticar nos recursos do Azure depende de onde o aplicativo é executado. O diagrama a seguir fornece orientação para diferentes cenários e ambientes:
Quando uma aplicação é:
- Hospedado no Azure: o aplicativo deve se autenticar nos recursos do Azure usando uma identidade gerenciada. Essa opção é discutida com mais detalhes em autenticação em ambientes de servidor.
- Execução local durante o desenvolvimento: a aplicação pode se autenticar no Azure usando um principal de serviço para desenvolvimento local ou usando as credenciais Azure do desenvolvedor. Cada opção é discutida com mais detalhes na seção sobre autenticação durante o desenvolvimento local.
- Hospedado local: o aplicativo deve se autenticar nos recursos do Azure usando uma entidade de serviço de aplicativo ou uma identidade gerenciada no caso do Azure Arc. Os fluxos de trabalho locais são discutidos com mais detalhes na autenticação em ambientes de servidor.
Autenticação para aplicativos hospedados no Azure
Quando seu aplicativo é hospedado no Azure, ele pode usar identidades gerenciadas para autenticar recursos do Azure sem precisar gerenciar credenciais. Existem dois tipos de identidades gerenciadas: atribuídas pelo usuário e atribuídas pelo sistema.
Usar uma identidade gerenciada atribuída pelo usuário
Uma identidade gerida atribuída pelo utilizador, que é criada como um recurso do Azure autónomo. Ele pode ser atribuído a um ou mais recursos do Azure, permitindo que esses recursos compartilhem a mesma identidade e permissões. Para autenticar usando uma identidade gerenciada atribuída pelo usuário, crie a identidade, atribua-a ao seu recurso do Azure e configure seu aplicativo para usar essa identidade para autenticação especificando sua ID de cliente, ID de recurso ou ID de objeto.
Usar uma identidade gerenciada atribuída ao sistema
Uma identidade gerenciada atribuída ao sistema é habilitada diretamente em um recurso do Azure. A identidade está vinculada ao ciclo de vida desse recurso e é excluída automaticamente quando o recurso é excluído. Para autenticar usando uma identidade gerenciada atribuída ao sistema, habilite a identidade em seu recurso do Azure e configure seu aplicativo para usar essa identidade para autenticação.
Autenticação durante o desenvolvimento local
Durante o desenvolvimento local, você pode se autenticar nos recursos do Azure usando suas credenciais de desenvolvedor ou uma entidade de serviço. Isso permite que você teste a lógica de autenticação do seu aplicativo sem implantá-la no Azure.
Usar credenciais de desenvolvedor
Você pode usar suas próprias credenciais do Azure para autenticar recursos do Azure durante o desenvolvimento local. Isso geralmente é feito usando uma ferramenta de desenvolvimento, como a CLI do Azure ou o Visual Studio, que pode fornecer ao seu aplicativo os tokens necessários para acessar os serviços do Azure. Este método é conveniente, mas só deve ser usado para fins de desenvolvimento.
Usar uma entidade de serviço
Um principal de serviço é criado num inquilino do Microsoft Entra para representar um aplicativo, sendo utilizada para autenticar-se em recursos do Azure. Você pode configurar seu aplicativo para usar credenciais da entidade de serviço durante o desenvolvimento local. Esse método é mais seguro do que usar credenciais de desenvolvedor e está mais próximo de como seu aplicativo será autenticado na produção. No entanto, ainda é menos ideal do que usar uma identidade gerenciada devido à necessidade de segredos.
Autenticação para aplicativos hospedados no local
Para aplicativos hospedados localmente, você pode usar uma entidade de serviço para autenticar recursos do Azure. Isso envolve a criação de uma entidade de serviço no Microsoft Entra ID, atribuindo-lhe as permissões necessárias e configurando seu aplicativo para usar suas credenciais. Esse método permite que seu aplicativo local acesse com segurança os serviços do Azure.
Colabore connosco no GitHub
A origem deste conteúdo pode ser encontrada no GitHub, onde também pode criar e rever problemas e pedidos Pull. Para mais informações, consulte o nosso guia do contribuidor.
