Início Rápido: Adicionar a autenticação de aplicativo ao seu aplicativo Web em execução no Serviço de Aplicativo do Azure
Observação
A partir de 1º de junho de 2024, todos os aplicativos recém-criados do Serviço de Aplicativo terão a opção de gerar um nome do host padrão exclusivo usando a convenção de nomenclatura <app-name>-<random-hash>.<region>.azurewebsites.net
. Os nomes de aplicativos existentes permanecerão inalterados.
Exemplo: myapp-ds27dh7271aah175.westus-01.azurewebsites.net
Para obter mais detalhes, consulte Nome do Host Padrão Exclusivo para o Recurso Serviço de Aplicativo.
Saiba como habilitar a autenticação para seu aplicativo Web em execução no Serviço de Aplicativo do Azure e limitar o acesso a usuários na sua organização.
Neste tutorial, você aprenderá como:
- Configurar a autenticação para o aplicativo Web.
- Limite o acesso ao aplicativo Web apenas para os usuários da sua organização usando o Microsoft Entra como o provedor de identidade.
Autenticação automática fornecida pelo Serviço de Aplicativo
O Serviço de Aplicativo fornece suporte interno à autenticação e à autorização, de modo que você possa conectar usuários sem código no aplicativo Web. O uso do módulo opcional de autenticação/autorização do Serviço de Aplicativo simplifica a autenticação e a autorização para o aplicativo. Quando estiver pronto para a autenticação e a autorização personalizadas, você fará isso nesta arquitetura.
A autenticação do serviço de aplicativo fornece:
- Fácil ativação e configuração por meio do portal do Azure e das configurações do aplicativo.
- Não há necessidade de SDKs, idiomas específicos ou alterações no código do aplicativo.
- Há suporte para vários provedores de identidade:
- Microsoft Entra
- Conta da Microsoft
- X
Quando o módulo de autorização/autenticação está habilitado, toda solicitação HTTP de entrada passa por ele antes de ser manipulada pelo código do aplicativo. Para obter mais informações, confira Autenticação e autorização no Serviço de Aplicativo do Azure.
1. Pré-requisitos
Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.
2. Criar e publicar um aplicativo Web no Serviço de Aplicativo
Para este tutorial, você precisará ter um aplicativo Web implantado no Serviço de Aplicativo. Você pode usar um aplicativo Web existente ou pode seguir um dos guias de início rápido para criar e publicar um novo aplicativo Web no Serviço de Aplicativo:
Seja ao usar um aplicativo Web existente ou criar um novo, observe o seguinte:
- Nome do aplicativo Web.
- Grupo de recursos em que o aplicativo Web é implantado.
Você precisará desses nomes ao longo deste tutorial.
3. Configurar a autenticação e a autorização
Agora que você tem um aplicativo Web em execução no Serviço de Aplicativo, habilite a autenticação e a autorização. Configure o Microsoft Entra como o provedor de identidade. Para obter mais informações, consulte Configurar a autenticação do Microsoft Entra no seu aplicativo do Serviço de Aplicativo.
No menu do portal do Azure, selecione Grupos de recursos ou pesquise e selecione Grupos de recursos em qualquer página.
Clique em grupos de recursos e selecione o grupo de recursos. Em Visão geral, selecione a página de gerenciamento do aplicativo.
No menu à esquerda do aplicativo, selecione Autenticação e escolha Adicionar provedor de identidade.
Na página Adicionar um provedor de identidade, selecione Microsoft como o Provedor de identidade para conectar identidades da Microsoft e do Microsoft Entra.
Em Tipo de locatário, selecione Configuração da força de trabalho (locatário atual) para funcionários e convidados corporativos.
Em Registro de aplicativo>Tipo de registro de aplicativo, selecione Criar registro de aplicativo para criar um registro de aplicativo no Microsoft Entra.
Insira um Nome de exibição para o seu aplicativo. Os usuários do seu aplicativo podem ver o nome de exibição quando usam o aplicativo, por exemplo, durante a conexão.
Em Expiração do segredo do cliente, selecione Recomendado: 180 dias.
Para Registro de aplicativo>Tipos de conta com suporte, selecione Locatário único de locatário atual para que somente os usuários em sua organização possam entrar no aplicativo Web.
Na seção Verificações adicionais, selecione:
- Permitir solicitações somente deste próprio aplicativo em Requisito de aplicativo cliente
- Permitir solicitações de qualquer identidade em Requisito de identidade
- Permitir solicitações somente do locatário emissor em Requisito de locatário
Na seção Configurações de autenticação do Serviço de Aplicativo, defina:
- Exigir autenticação em autenticação
- Redirecionamento para HTTP 302 Encontrado: recomendado para sites em Solicitações não autenticadas
- Caixa Repositório de tokens
Na parte inferior da página Adicionar um provedor de identidade, selecione Adicionar para habilitar a autenticação no seu aplicativo Web.
Agora você tem um aplicativo protegido pela autenticação e a autorização do Serviço de Aplicativo.
Observação
Para permitir contas de outros locatários, altere a “URL do Emissor” para “https://login.microsoftonline.com/common/v2.0” editando seu “Provedor de Identidade” na folha “Autenticação”.
4. Verificar o acesso limitado ao aplicativo Web
Quando você habilitou o módulo de autenticação/autorização do Serviço de Aplicativo na seção anterior, um registro de aplicativo foi criado em sua força de trabalho ou locatário externo. O registro do aplicativo tem o nome de exibição que você criou em uma etapa anterior.
Para verificar as configurações, conecte-se no centro de administração do Microsoft Entra como, pelo menos, Desenvolvedor de Aplicativos. Se você escolheu a configuração externa, use o ícone Configurações no menu superior para alternar para o locatário externo com o seu aplicativo Web no menu Diretórios + assinaturas. Quando estiver no locatário correto:
Navegue até Identidade>Aplicativos>Registros de aplicativo e selecione Aplicativos>Registros de aplicativo no menu.
Selecione o registro do aplicativo criado anteriormente.
Na visão geral, verifique se a opção Tipos de conta compatíveis está definida como Somente para minha organização.
Para verificar se o acesso ao seu aplicativo está limitado aos usuários da sua organização, acesse a Visão geral do aplicativo Web e selecione o link Domínio padrão. Ou inicie um navegador no modo anônimo ou privado e vá para
https://<app-name>.azurewebsites.net
(confira observação na parte superior).Você deverá ser direcionado para uma página de entrada segura, confirmando que os usuários não autenticados não têm permissão de acesso ao site.
Entre como um usuário em sua organização para obter acesso ao site. Você também pode iniciar um novo navegador e tentar entrar usando uma conta pessoal para confirmar se os usuários fora da organização não têm acesso.
5. Limpar os recursos
Se você concluiu todas as etapas neste tutorial de várias partes, você criou um Serviço de Aplicativo, um plano de hospedagem do Serviço de Aplicativo e uma conta de armazenamento em um grupo de recursos. Você também criou um registro de aplicativo na ID do Microsoft Entra. Se você escolheu a configuração externa, talvez você tenha criado um novo locatário externo. Quando não for mais necessário, exclua esses recursos e o registro de aplicativo para que você não continue a acumular encargos.
Neste tutorial, você aprenderá como:
- Excluir os recursos do Azure criados durante as etapas do tutorial.
Exclua o grupo de recursos
No portal do Azure, selecione Grupos de recursos no menu do portal e selecione o grupo de recursos que contém o Serviço de Aplicativo e o Plano do Serviço de Aplicativo.
Selecione Excluir grupo de recursos para excluir o grupo de recursos e todos os recursos que ele contém.
Esse comando pode levar vários minutos para ser executado.
Excluir o registro do aplicativo
No centro de administração do Microsoft Entra, selecione Aplicativos>Registros de aplicativo. Em seguida, selecione o aplicativo que você criou.
Na visão geral do registro de aplicativo, selecione Excluir.
Exclua o locatário externo
Se você criou um novo locatário externo, poderá excluí-lo. No centro de administração do Microsoft Entra, navegue até Identidade>Visão geral>Gerenciar locatários.
Selecione o locatário que você deseja excluir e, em seguida, selecione Excluir.
Talvez seja necessário concluir as ações necessárias antes da exclusão do locatário. Por exemplo, talvez seja necessário excluir todos os fluxos de usuário e registros de aplicativo no locatário.
Se estiver pronto para excluir o locatário, selecione Excluir.
Próximas etapas
Neste tutorial, você aprendeu a:
- Configurar a autenticação para o aplicativo Web.
- Limitar o acesso ao aplicativo Web para os usuários na sua organização.