Métodos de autenticação usando o Azure Ative Directory
Importante
Esta é a documentação do Azure Sphere (Legado). O Azure Sphere (Legado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (Integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).
A API Pública do Azure Sphere (PAPI) dá suporte a vários métodos de autenticação e autorização de usuário no Azure Ative Directory (AAD).
Com o Azure Ative Directory, um token de aplicativo pode ser usado para autenticar e conceder acesso a recursos específicos do Azure a partir de um aplicativo de usuário, serviço ou ferramenta de automação usando a entidade de serviço ou o método de identidade gerenciada para autenticação.
Importante
Ao criar uma entidade de serviço, você deve proteger as credenciais do aplicativo geradas, como segredos de cliente ou certificados de cliente. Certifique-se de não incluir as credenciais do aplicativo em seu código ou verifique as credenciais em seu controle de origem. Como alternativa, considere o uso de identidade gerenciada para evitar a necessidade de usar credenciais.
A ilustração a seguir mostra os métodos de autenticação com suporte usando o Azure Ative Directory:
Método da entidade de serviço
Uma entidade de serviço do Azure pode ser configurada para usar um segredo de cliente ou certificado de cliente para autenticação. As entidades de serviço são contas que não estão vinculadas a nenhum usuário em particular, mas podem ter permissões atribuídas por meio de funções predefinidas. A autenticação com uma entidade de serviço é a melhor maneira de escrever scripts ou programas seguros, permitindo que você aplique restrições de permissão e informações de credenciais estáticas armazenadas localmente. Para obter mais informações, consulte Entidade de serviço do Azure.
Há duas opções disponíveis para entidades de serviço: segredos de cliente e certificados de cliente. Para obter mais informações, consulte Método de autenticação da entidade de serviço.
Método de identidade gerenciada
A identidade gerenciada do Azure também pode ser usada para se comunicar com o serviço de API Pública do Azure Sphere. A identidade gerenciada é suportada em vários serviços do Azure. A vantagem de usar uma identidade gerenciada para o método de autenticação de recursos do Azure é que você não precisa gerenciar nenhum segredo de cliente ou certificado de cliente. Para obter mais informações, consulte Identidade gerenciada para método de recurso.
Método de identidade do usuário
Usando esse método, você não precisa autenticar usando o locatário do Azure Sphere. Você pode fazer logon usando a identidade de usuário do Azure Ative Directory. Para obter mais informações, consulte Método de autenticação do usuário.
Adicionar a ID do Aplicativo de API Pública do Azure Sphere ao seu locatário do Azure
Primeiro, você precisa adicionar a ID do Aplicativo de API Pública do Azure Sphere ao seu locatário do Azure usando uma configuração única:
Nota
- Use uma conta de Administrador Global para seu locatário do Azure Ative Directory (Azure AD) para executar esse comando.
- O valor para o
AppIdparâmetro é estático. - Recomendamos o uso
Azure Sphere Public APIpara que um-DisplayNamenome de exibição comum possa ser usado entre locatários.
Abra uma janela elevada do Prompt de Comando do Windows PowerShell (execute o Windows PowerShell como administrador) e execute o seguinte comando para instalar o módulo Azure AD Powershell:
Install-Module AzureADEntre no Azure AD PowerShell com uma conta de administrador. Especifique o parâmetro a ser autenticado
-TenantIdcomo uma entidade de serviço:Connect-AzureAD -TenantId <Azure Active Directory TenantID><Azure Ative Directory TenantID> representa o TenantID do Azure Ative Directory. Para obter mais informações, consulte Como localizar sua ID de locatário do Azure Ative Directory.
Crie a entidade de serviço e conecte-a
Azure Sphere Public APIao aplicativo especificando a ID do Aplicativo de API Pública do Azure Sphere, conforme descrito abaixo:New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"