Compartilhar via


Métodos de autenticação usando o Azure Active Directory

Importante

Esta é a documentação do Azure Sphere (herdado). O Azure Sphere (herdado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).

A API Pública do Azure Sphere (PAPI) dá suporte a vários métodos de autenticação e autorização de usuário no Azure Active Directory (AAD).

Com o Azure Active Directory, um token de aplicativo pode ser usado para autenticar e conceder acesso a recursos específicos do Azure de um aplicativo de usuário, serviço ou ferramenta de automação usando a entidade de serviço ou o método de identidade gerenciada para autenticação.

Importante

Ao criar uma entidade de serviço, você deve proteger as credenciais do aplicativo geradas, como segredos do cliente ou certificados do cliente. Certifique-se de não incluir as credenciais do aplicativo em seu código ou verificar as credenciais em seu controle do código-fonte. Como alternativa, considere o uso de identidade gerenciada para evitar a necessidade de usar credenciais.

A ilustração a seguir mostra os métodos de autenticação com suporte usando o Azure Active Directory:

Métodos de autenticação usando o Azure Active Directory

Método da entidade de serviço

Uma entidade de serviço do Azure pode ser configurada para usar um segredo do cliente ou um certificado do cliente para autenticação. As entidades de serviço são contas não vinculadas a nenhum usuário específico, mas podem ter permissões atribuídas por meio de funções predefinidas. A autenticação com uma entidade de serviço é a melhor maneira de escrever scripts ou programas seguros, permitindo que você aplique restrições de permissão e informações de credenciais estáticas armazenadas localmente. Para obter mais informações, consulte Entidade de serviço do Azure.

Há duas opções disponíveis para entidades de serviço: segredos do cliente e certificados do cliente. Para obter mais informações, consulte Método de autenticação da entidade de serviço.

Método de identidade gerenciada

A identidade gerenciada do Azure também pode ser usada para se comunicar com o serviço de API pública do Azure Sphere. A identidade gerenciada tem suporte em vários serviços do Azure. O benefício de usar uma identidade gerenciada para o método de autenticação de recursos do Azure é que você não precisa gerenciar nenhum segredo ou certificado de cliente. Para obter mais informações, consulte Identidade gerenciada para o método de recurso.

Método de identidade do usuário

Usando esse método, você não precisa se autenticar usando o locatário do Azure Sphere. Você pode fazer logon usando a identidade de usuário do Azure Active Directory. Para obter mais informações, consulte Método de autenticação do usuário.

Adicionar a ID do Aplicativo de API Pública do Azure Sphere ao seu locatário do Azure

Primeiro, você precisa adicionar a ID do Aplicativo da API Pública do Azure Sphere ao seu locatário do Azure usando uma configuração única:

Observação

  • Use uma conta de Administrador Global para seu locatário do Azure Active Directory (Azure AD) para executar esse comando.
  • O valor do AppId parâmetro é estático.
  • Recomendamos o uso Azure Sphere Public API de for para -DisplayName que um nome de exibição comum possa ser usado entre locatários.
  1. Abra uma janela de Prompt de Comando do Windows PowerShell com privilégios elevados (execute o Windows PowerShell como administrador) e execute o seguinte comando para instalar o módulo do Powershell do Azure AD:

    Install-Module AzureAD
    
  2. Entre no PowerShell do Azure AD com uma conta de administrador. Especifique o parâmetro a ser autenticado -TenantId como uma entidade de serviço:

    Connect-AzureAD -TenantId <Azure Active Directory TenantID>
    

    <Azure Active Directory TenantID> representa o TenantID do Azure Active Directory. Para obter mais informações, consulte Como localizar sua ID de locatário do Azure Active Directory.

  3. Crie a entidade de serviço e conecte-a Azure Sphere Public API ao aplicativo especificando a ID do aplicativo da API pública do Azure Sphere, conforme descrito abaixo:

    New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"