Autenticação do razão confidencial do Azure com a ID do Microsoft Entra
A maneira recomendada de acessar o razão confidencial do Azure é autenticando-se no serviço de ID do Microsoft Entra; isso garante que o razão confidencial do Azure nunca obtenha as credenciais de diretório da entidade de segurança de acesso.
Para fazer isso, o cliente executa um processo de duas etapas:
- Na primeira etapa, o cliente:
- Comunica-se com o serviço Microsoft Entra.
- Autentica-se no serviço Microsoft Entra.
- Solicita um token de acesso emitido especificamente para o razão confidencial do Azure.
- Na segunda etapa, o cliente emite solicitações para o razão confidencial do Azure, fornecendo o token de acesso adquirido na primeira etapa como uma prova de identidade para o razão confidencial do Azure.
Em seguida, o razão confidencial do Azure executa a solicitação em nome da entidade de segurança para a qual a ID do Microsoft Entra emitiu o token de acesso. Todas as verificações de autorização são executadas usando essa identidade.
Na maioria dos casos, é recomendável usar um dos SDKs do razão confidencial do Azure para acessar o serviço programaticamente, pois eles removem grande parte da complicação ao implementar o fluxo acima (e muito mais). Veja, por exemplo, a biblioteca de clientes do Python e a biblioteca de clientes do .NET.
Os principais cenários de autenticação são:
Um aplicativo cliente autenticando um usuário conectado: nesse cenário, um aplicativo interativo (cliente) dispara um prompt do Microsoft Entra para o usuário para obter credenciais (como nome de usuário e senha). Consulte autenticação de usuário.
Um aplicativo "sem periféricos": nesse cenário, um aplicativo está em execução sem um usuário presente para fornecer as credenciais. Em vez disso, o aplicativo é autenticado como "ele mesmo" na ID do Microsoft Entra usando algumas credenciais com as quais foi configurado. Consulte autenticação de aplicativo.
Autenticação em nome do usuário. Nesse cenário, às vezes chamado de "serviço Web" ou "aplicativo Web", o aplicativo obtém um token de acesso do Microsoft Entra de outro aplicativo e o "converte" em outro token de acesso do Microsoft Entra que pode ser usado com o razão confidencial do Azure. Em outras palavras, o aplicativo atua como um mediador entre o usuário ou o aplicativo que forneceu as credenciais e o serviço do razão confidencial do Azure. Consulte autenticação em nome do usuário.
Parâmetros do Microsoft Entra
Recurso do Microsoft Entra para o razão confidencial do Azure
Ao adquirir um token de acesso da ID do Microsoft Entra, o cliente deve indicar para qual recurso do Microsoft Entra o token deve ser emitido. O recurso do Microsoft Entra de um ponto de extremidade do razão confidencial do Azure é o URI do ponto de extremidade, impedindo as informações de porta e o caminho.
Por exemplo, se você tivesse um razão confidencial do Azure chamado "myACL", o URI seria:
https://myACL.confidential-ledger.azure.com
ID de locatário do Entra ID da Microsoft
A ID do Microsoft Entra é um serviço multilocatário e todas as organizações podem criar um objeto chamado diretório na ID do Microsoft Entra. O objeto do directory contém objetos relacionados à segurança, como contas de usuário, aplicativos e grupos. A ID do Microsoft Entra geralmente se refere ao diretório como um locatário. Os locatários do Microsoft Entra são identificados por um GUID (ID do locatário). Em muitos casos, os locatários do Microsoft Entra também podem ser identificados pelo nome de domínio da organização.
Por exemplo, uma organização chamada "Contoso" pode ter a ID do locatário aaaabbbb-0000-cccc-1111-dddd2222eeee
e o nome de domínio contoso.com
.
Ponto de extremidade de autoridade do Microsoft Entra
A ID do Microsoft Entra tem muitos pontos de extremidade para autenticação:
- Quando o locatário que hospeda a entidade de segurança que está sendo autenticada é conhecido (em outras palavras, quando se sabe em qual diretório do Microsoft Entra o usuário ou aplicativo está), o ponto de extremidade do Microsoft Entra é
https://login.microsoftonline.com/{tenantId}
. Aqui,{tenantId}
está a ID do locatário da organização na ID do Microsoft Entra ou seu nome de domínio (por exemplo,contoso.com
). - Quando o locatário que hospeda a entidade de segurança que está sendo autenticada não é conhecido, o ponto de extremidade "comum" pode ser usado substituindo o
{tenantId}
acima pelo valorcommon
.
O ponto de extremidade de serviço do Microsoft Entra usado para autenticação também é chamado de URL de autoridade do Microsoft Entra ou simplesmente autoridade do Microsoft Entra.
Observação
O ponto de extremidade de serviço do Microsoft Entra muda em nuvens nacionais. Ao trabalhar com um serviço de razão confidencial do Azure implantado em uma nuvem nacional, defina o ponto de extremidade de serviço da nuvem nacional correspondente do Microsoft Entra. Para alterar o ponto de extremidade, defina uma variável de ambiente AadAuthorityUri
para o URI necessário.
Autenticação de usuário
A maneira mais fácil de acessar o razão confidencial do Azure com a autenticação do usuário é usar o SDK do razão confidencial do Azure e definir a propriedade Federated Authentication
da cadeia de conexão do razão confidencial do Azure como true
. Na primeira vez que o SDK for usado para enviar uma solicitação ao serviço, o usuário receberá um formulário de entrada para inserir as credenciais do Microsoft Entra. Após uma autenticação bem-sucedida, a solicitação será enviada ao razão confidencial do Azure.
Os aplicativos que não usam o SDK do razão confidencial do Azure ainda podem usar a MSAL (Biblioteca de Autenticação da Microsoft) em vez de implementar o cliente de protocolo de segurança de serviço do Microsoft Entra. Consulte Habilite seus aplicativos Web para conectar usuários e chamar APIs com a Plataforma de identidade da Microsoft para desenvolvedores.
Se o aplicativo se destina a atuar como front-end e autenticar usuários para um cluster do razão confidencial do Azure, o aplicativo deverá receber permissões delegadas no razão confidencial do Azure.
Autenticação do aplicativo
Os aplicativos que usam o razão confidencial do Azure são autenticados usando um token da ID do Microsoft Entra. O proprietário do aplicativo deve primeiro registrá-lo na ID do Microsoft Entra. O registro também cria um segundo objeto de aplicativo que identifica o aplicativo em todos os locatários.
Para obter etapas detalhadas sobre como registrar um aplicativo do razão confidencial do Azure com a ID do Microsoft Entra, examine estes artigos:
- Como registrar um aplicativo do razão confidencial do Azure com a ID do Microsoft Entra
- Usar o portal para criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar recursos
- Crie uma entidade de serviço do Azure com a CLI do Azure.
No final do registro, o proprietário do aplicativo obtém os seguintes valores:
- Uma ID do aplicativo (também conhecida como ID do cliente ou appID do Microsoft Entra)
- Uma chave de autenticação (também conhecida como o segredo compartilhado).
O aplicativo deve apresentar esses dois valores à ID do Microsoft Entra para obter um token.
Os SDKs do razão confidencial do Azure usam a biblioteca de clientes do Azure Identity, que permite a autenticação contínua ao razão confidencial do Azure em ambientes com o mesmo código.
.NET | Python | Java | JavaScript |
---|---|---|---|
Azure Identity SDK .NET | Azure Identity SDK Python | Azure Identity SDK Java | Azure Identity SDK JavaScript |
Autenticação em nome do usuário
Nesse cenário, um aplicativo recebeu um token de acesso do Microsoft Entra para algum recurso arbitrário gerenciado pelo aplicativo e usa esse token para adquirir um novo token de acesso do Microsoft Entra para o recurso de razão confidencial do Azure para que o aplicativo possa acessar o razão confidencial em nome da entidade de segurança indicada pelo token de acesso original do Microsoft Entra.
Esse fluxo é chamado de fluxo de troca de token OAuth2. Geralmente, ele requer várias etapas de configuração com a ID do Microsoft Entra e, em alguns casos(dependendo da configuração do locatário do Microsoft Entra), pode exigir consentimento especial do administrador do locatário do Microsoft Entra.
Próximas etapas
- Como registrar um aplicativo do razão confidencial do Azure com a ID do Microsoft Entra
- Visão geral do Razão Confidencial do Microsoft Azure
- Integrar aplicativos ao Microsoft Entra ID
- Usar o portal para criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar recursos
- Crie uma entidade de serviço do Azure com a CLI do Azure.
- Autenticação de nós do Razão Confidencial do Azure