Autenticar aplicativos .NET hospedados no Azure em recursos do Azure usando uma identidade gerenciada atribuída pelo sistema

A abordagem recomendada para autenticar um aplicativo hospedado no Azure em outros recursos do Azure é usar uma identidade gerenciada . Essa abordagem é compatível com a maioria dos serviços do Azure, incluindo aplicativos hospedados no Serviço de Aplicativo do Azure, aplicativos de contêiner do Azure e máquinas virtuais do Azure. Descubra mais sobre diferentes técnicas e abordagens de autenticação na página de visão geral da autenticação . Nas seções a seguir, você aprenderá:

• Conceitos essenciais de identidade gerenciada
• Como criar uma identidade gerenciada atribuída pelo sistema para seu aplicativo
• Como atribuir funções à identidade gerenciada atribuída pelo sistema
• Como autenticar usando a identidade gerenciada atribuída pelo sistema no código do aplicativo

Conceitos essenciais de identidade gerenciada

Uma identidade gerenciada permite que seu aplicativo se conecte com segurança a outros recursos do Azure sem o uso de chaves secretas ou outros segredos do aplicativo. Internamente, o Azure controla a identidade e os recursos aos quais tem permissão para se conectar. O Azure usa essas informações para obter automaticamente tokens do Microsoft Entra para o aplicativo para permitir que ele se conecte a outros recursos do Azure.

Há dois tipos de identidades gerenciadas a serem consideradas ao configurar seu aplicativo hospedado:

• identidades gerenciadas atribuídas pelo sistema são habilitadas diretamente em um recurso do Azure e estão vinculadas ao ciclo de vida. Quando o recurso é excluído, o Azure exclui automaticamente a identidade para você. As identidades atribuídas pelo sistema fornecem uma abordagem minimalista para o uso de identidades gerenciadas.
• identidades gerenciadas atribuídas pelo usuário são criadas como recursos autônomos do Azure e oferecem maior flexibilidade e funcionalidades. Elas são ideais para soluções que envolvem vários recursos do Azure que precisam compartilhar a mesma identidade e permissões. Por exemplo, se várias máquinas virtuais precisarem acessar o mesmo conjunto de recursos do Azure, uma identidade gerenciada atribuída pelo usuário fornecerá reutilização e gerenciamento otimizado.

Dica

Saiba mais sobre como selecionar e gerenciar identidades gerenciadas atribuídas pelo sistema e pelo usuário no artigo de recomendações sobre as melhores práticas de identidade gerenciada.

As seções a seguir descrevem as etapas para habilitar e usar uma identidade gerenciada atribuída pelo sistema para um aplicativo hospedado no Azure. Se você precisar usar uma identidade gerenciada atribuída pelo usuário, visite o artigo identidades gerenciadas atribuídas pelo usuário para obter mais informações.

Habilitar uma identidade gerenciada atribuída pelo sistema no recurso de hospedagem do Azure

Para começar a usar uma identidade gerenciada atribuída pelo sistema com seu aplicativo, habilite a identidade no recurso do Azure que hospeda seu aplicativo, como um Serviço de Aplicativo do Azure, um Aplicativo de Contêiner do Azure ou uma Máquina Virtual do Azure.

Você pode habilitar uma identidade gerenciada atribuída pelo sistema para um recurso do Azure usando o portal do Azure ou a CLI do Azure.

portal do Azure

1. No portal do Azure, navegue até o recurso que hospeda o código do aplicativo, como um Serviço de Aplicativo do Azure ou uma instância do Aplicativo de Contêiner do Azure.

2. Na página visão geral do do recurso, expanda de Configurações de e selecione de Identidade na navegação.

3. Na página de Identidade do, alterne o controle deslizante de Status do para On.

4. Selecione Salvar para aplicar suas alterações.

   

CLI do Azure

Os comandos da CLI do Azure podem ser executados no do Azure Cloud Shell ou em uma estação de trabalho com a CLI do Azure instalada.

Os comandos da CLI do Azure usados para habilitar a identidade gerenciada para um recurso do Azure são do formulário az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Comandos específicos para serviços populares do Azure são mostrados abaixo.

Serviço de Aplicativo do Azure:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Máquina Virtual do Azure:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

A saída se assemelha ao seguinte:

{
  "principalId": "99999999-9999-9999-9999-999999999999",
  "tenantId": "33333333-3333-3333-3333-333333333333",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

O valor principalId é a ID exclusiva da identidade gerenciada. Mantenha uma cópia dessa saída, pois você precisará desses valores na próxima etapa.

Atribuir funções à identidade gerenciada

Em seguida, determine quais funções seu aplicativo precisa e atribua essas funções à identidade gerenciada. Você pode atribuir funções a uma identidade gerenciada nos seguintes escopos:

• Resource: as funções atribuídas se aplicam somente a esse recurso específico.
• grupo de recursos: as funções atribuídas se aplicam a todos os recursos contidos no grupo de recursos.
• Assinatura: As funções designadas se aplicam a todos os recursos contidos na assinatura.

O exemplo a seguir mostra como atribuir funções no escopo do grupo de recursos, já que muitos aplicativos gerenciam todos os recursos relacionados do Azure usando um único grupo de recursos.

portal do Azure

1. Navegue até a página Visão Geral do grupo de recursos que contém o aplicativo com a identidade gerenciada atribuída pelo sistema.

2. Selecione Controle de Acesso (IAM) no menu de navegação à esquerda.

3. Na página Controle de Acesso (IAM), selecione + Adicionar no menu superior e escolha Adicionar atribuição de função para navegar até a página Adicionar atribuição de função.

   

4. A página Adicionar atribuição de função apresenta um fluxo de trabalho multi-etapas com abas para atribuir funções a identidades. Na guia inicial de Função, use o campo de busca na parte superior para localizar a função que você deseja atribuir à identidade.

5. Selecione a função nos resultados e escolha Próximo para acessar a guia Membros.

6. Para a opção Atribuir acesso a, selecione Identidade gerenciada .

7. Para a opção Membros, selecione + Selecionar membros para abrir o painel Selecionar identidades gerenciadas.

8. No painel Selecionar identidades gerenciadas, use as listas suspensas de Assinatura e identidade gerenciada para filtrar os resultados da pesquisa para suas identidades. Use a caixa de pesquisa Select para localizar a identidade de sistema que você habilitou para o recurso do Azure que hospeda seu aplicativo.

   

9. Selecione a identidade e escolha Selecione na parte inferior do painel para continuar.

10. Selecione Revisão + atribua na parte inferior da página.

11. Na guia Revisão de final + atribuir, selecione Revisão + atribuir para concluir o fluxo de trabalho.

CLI do Azure

Uma identidade gerenciada é atribuída a um papel no Azure usando o comando az role assignment create:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Para obter os nomes de função a que uma entidade de serviço pode ser atribuída, use o comando az role definition list:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por exemplo, para permitir a identidade gerenciada com a ID de 99999999-9999-9999-9999-999999999999 acesso de leitura, gravação e exclusão a contêineres de blob do Armazenamento do Azure e dados a todas as contas de armazenamento no grupo de recursos msdocs-dotnet-sdk-auth-example, atribua a entidade de serviço de aplicativo à função Colaborador de Dados do Blob de Armazenamento usando o seguinte comando:

az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"

Para obter informações sobre como atribuir permissões no nível do recurso ou da assinatura usando a CLI do Azure, consulte o artigo Atribuir funções do Azure usando a CLI do Azure.

Implementar DefaultAzureCredential em seu aplicativo

DefaultAzureCredential é uma sequência pré-definida e ordenada de mecanismos para autenticação no Microsoft Entra ID. Cada mecanismo de autenticação é uma classe derivada da classe TokenCredential e é conhecido como uma credencial. Em runtime, DefaultAzureCredential tenta autenticar usando a primeira credencial. Se essa credencial não conseguir adquirir um token de acesso, a próxima credencial na sequência será tentada e assim por diante, até que um token de acesso seja obtido com êxito. Dessa forma, seu aplicativo pode usar credenciais diferentes em ambientes diferentes sem escrever código específico do ambiente.

Para usar DefaultAzureCredential, adicione os pacotes Azure.Identity e, opcionalmente, os pacotes Microsoft.Extensions.Azure ao seu aplicativo:

linha de comando

Em um terminal de sua escolha, navegue até o diretório do projeto de aplicativo e execute os seguintes comandos:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Gerenciador de Pacotes NuGet

Clique com o botão direito do mouse no projeto na janela do Gerenciador de Soluções do Visual Studio e selecione Gerenciar Pacotes NuGet. Pesquise por Azure.Identitye instale o pacote correspondente. Repita esse processo para o pacote Microsoft.Extensions.Azure.

Os serviços do Azure são acessados usando classes de cliente especializadas das várias bibliotecas de clientes do SDK do Azure. Essas classes e seus próprios serviços personalizados devem ser registrados para que possam ser acessados por meio da injeção de dependência em todo o aplicativo. Em Program.cs, conclua as seguintes etapas para registrar uma classe cliente e DefaultAzureCredential:

1. Inclua os namespaces Azure.Identity e Microsoft.Extensions.Azure por meio de diretivas de using.
2. Registre o cliente de serviço do Azure usando o método de extensão prefixado Addcorrespondente.
3. Passe uma instância de DefaultAzureCredential para o método UseCredential.

Por exemplo:

using Microsoft.Extensions.Azure;
using Azure.Identity;

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));
    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Uma alternativa para UseCredential é instanciar DefaultAzureCredential diretamente.

using Azure.Identity;

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Quando o código anterior é executado em sua estação de trabalho de desenvolvimento local, ele procura, nas variáveis de ambiente, um principal de serviço de aplicativo ou em ferramentas de desenvolvedor instaladas localmente, como o Visual Studio, um conjunto de credenciais de desenvolvedor. Qualquer abordagem pode ser usada para autenticar o aplicativo nos recursos do Azure durante o desenvolvimento local.

Quando implantado no Azure, esse mesmo código também pode autenticar seu aplicativo em outros recursos do Azure. DefaultAzureCredential pode recuperar configurações de ambiente e configurações de identidade gerenciada para autenticar-se em outros serviços automaticamente.