Compartilhar via

Acesse o Configuração de Aplicativos do Azure usando Microsoft Entra ID

  • Artigo

O Configuração de Aplicativos do Azure dá suporte à autorização de solicitações a repositórios da Configuração de Aplicativos usando Microsoft Entra ID. Com o Microsoft Entra ID, você pode aproveitar o controle de acesso baseado em função do Azure (Azure RBAC) para conceder permissões a entidades de segurança, que podem ser entidades de usuário, identidades gerenciadas ou entidades de serviço.

Visão geral

O acesso a um repositório da Configuração de Aplicativos usando Microsoft Entra ID envolve duas etapas:

  1. Autenticação: obtenha um token da entidade de segurança do Microsoft Entra ID para a Configuração de Aplicativos. Para obter mais informações, confira Autenticação do Microsoft Entra na Configuração de Aplicativos.

  2. Autorização: passe o token como parte de uma solicitação para um repositório da Configuração de Aplicativos. Para autorizar o acesso ao repositório da Configuração de Aplicativos especificado, as funções apropriadas devem ser atribuídas à entidade de segurança com antecedência. Para obter mais informações, confira Autorização do Microsoft Entra na Configuração de Aplicativos.

Funções internas do Azure da Configuração de Aplicativos do Azure

O Azure fornece as seguintes funções internas para autorizar o acesso à Configuração de Aplicativos usando Microsoft Entra ID:

Acesso ao plano de dados

As solicitações de operações do plano de dados são enviadas para o ponto de extremidade do repositório da Configuração de Aplicativos. Essas solicitações se referem aos dados de Configuração de Aplicativos.

  • Proprietário de Dados de Configuração de Aplicativos: use essa função para conceder acesso de leitura, gravação e exclusão aos dados do Configuração de Aplicativos. Essa função não concede acesso ao recurso de Configuração de Aplicativos.
  • Leitor de Dados da Configuração de Aplicativos: Use essa função para conceder acesso de leitura aos dados da Configuração de Aplicativos. Essa função não concede acesso ao recurso de Configuração de Aplicativos.

Acesso ao plano de controle

Todas as solicitações de operações do plano de controle são enviadas para a URL do Azure Resource Manager. Essas solicitações se referem ao recurso Configuração de Aplicativos.

  • Colaborador da Configuração de Aplicativos: use essa função para gerenciar apenas o recurso Configuração de Aplicativos. Essa função não concede acesso para gerenciar outros recursos do Azure. Ele concede acesso às chaves de acesso do recurso. Embora os dados de Configuração de Aplicativos possam ser acessados usando chaves de acesso, essa função não concede acesso direto aos dados com o Microsoft Entra ID. Concede acesso para recuperar o recurso Configuração de Aplicativos excluído, mas não para eliminá-lo. Para eliminar recursos da Configuração de Aplicativos excluídos, use a função Colaborador.
  • Leitor da Configuração de Aplicativos: use essa função para ler apenas o recurso Configuração de Aplicativos. Essa função não concede acesso para ler outros recursos do Azure. Não concede acesso às chaves de acesso do recurso nem aos dados armazenados no Configuração de Aplicativos.
  • Colaborador ou Proprietário: use essa função para gerenciar o recurso Configuração de Aplicativos e também gerenciar outros recursos do Azure. Esta função é uma função de administrador com privilégios. Ele concede acesso às chaves de acesso do recurso. Embora os dados de Configuração de Aplicativos possam ser acessados usando chaves de acesso, essa função não concede acesso direto aos dados com o Microsoft Entra ID.
  • Leitor: use essa função para ler o recurso Configuração de Aplicativos e também ler outros recursos do Azure. Essa função não concede acesso às chaves de acesso do recurso nem aos dados armazenados na Configuração de Aplicativos.

Observação

Depois que uma atribuição de função for feita para uma identidade, aguarde até 15 minutos para que a permissão seja propagada antes de acessar os dados armazenados na Configuração de Aplicativos usando essa identidade.

Autenticação com credenciais de token

Para permitir que seu aplicativo autentique com o Microsoft Entra ID, a biblioteca de Identidade do Azure dá suporte a várias credenciais de token para autenticação do Microsoft Entra ID. Por exemplo, você pode escolher Credencial do Visual Studio ao desenvolver seu aplicativo no Visual Studio, Credencial de Identidade de Carga de Trabalho quando seu aplicativo for executado no Kubernetes ou Credencial de Identidade Gerenciada quando seu aplicativo for implantado em serviços do Azure, como o Azure Functions.

Use DefaultAzureCredential

O DefaultAzureCredential é uma cadeia de credenciais de token preconfigurada que tenta automaticamente uma sequência ordenada dos métodos de autenticação mais comuns. O uso do DefaultAzureCredential permite que você mantenha o mesmo código nos ambientes de desenvolvimento local e do Azure. No entanto, é importante saber qual credencial está sendo usada em cada ambiente, pois você precisa conceder as funções apropriadas para que a autorização funcione. Por exemplo, autorize sua própria conta quando você espera que o DefaultAzureCredential use sua identidade de usuário durante o desenvolvimento local. Da mesma forma, habilite a identidade gerenciada no Azure Functions e atribua a ele a função necessária quando você esperar que o DefaultAzureCredential use a ManagedIdentityCredential quando seu Aplicativo de Funções for executado no Azure.

Atribuir funções de dados da Configuração de Aplicativos

Independentemente da credencial que você usar, será necessário atribuir as funções apropriadas antes que ela possa acessar o repositório da Configuração de Aplicativos. Se o aplicativo precisar apenas ler dados do repositório da Configuração de Aplicativos, atribua a ele a função Leitor de Dados da Configuração de Aplicativos. Se o aplicativo também precisar gravar dados no repositório da Configuração de Aplicativos, atribua a ele a função Proprietário de Dados da Configuração de Aplicativos.

Siga estas etapas para atribuir funções de Dados da Configuração de Aplicativos à sua credencial.

  1. No portal do Azure, navegue até o repositório da Configuração de Aplicativos e selecione Controle de acesso (IAM).

  2. Selecione Adicionar ->Adicionar atribuição de função.

    Se você não tiver permissão para atribuir funções, a opção Adicionar atribuição de função estará desabilitada. Somente usuários com funções Proprietário ou Administrador de Acesso de Usuário podem fazer atribuições de função.

  3. Na guia Função, selecione a função Leitor de Dados da Configuração de Aplicativos (ou outra função da Configuração de Aplicativos, conforme apropriado) e selecione Avançar.

  4. Na guia Membros, siga o assistente para selecionar a credencial à qual você está concedendo acesso e selecione Avançar.

  5. Por fim, na guia Verificar + atribuir, selecione Verificar + atribuir para atribuir a função.

Próximas etapas

Saiba como usar identidades gerenciadas para acessar seu repositório da Configuração de Aplicativos.