Partilhar via

Acessar a Configuração do Aplicativo do Azure usando a ID do Microsoft Entra

  • Artigo

A Configuração de Aplicativos do Azure dá suporte à autorização de solicitações para repositórios de Configuração de Aplicativos usando a ID do Microsoft Entra. Com o Microsoft Entra ID, você pode aproveitar o controle de acesso baseado em função do Azure (Azure RBAC) para conceder permissões a entidades de segurança, que podem ser entidades de usuário, identidades gerenciadas ou entidades de serviço.

Descrição geral

O acesso a uma loja de Configuração de Aplicações utilizando o Microsoft Entra ID envolve dois passos:

  1. Autenticação: adquira um token da entidade de segurança do Microsoft Entra ID para Configuração do Aplicativo. Para obter mais informações, consulte Autenticação do Microsoft Entra em Configuração do aplicativo.

  2. Autorização: passe o token como parte de uma solicitação para uma loja de configuração de aplicativo. Para autorizar o acesso à App Configuration Store especificada, a entidade de segurança deve receber as funções apropriadas com antecedência. Para obter mais informações, consulte Autorização do Microsoft Entra em Configuração do aplicativo.

Funções internas do Azure para Configuração de Aplicativo do Azure

O Azure fornece as seguintes funções internas para autorizar o acesso à Configuração do Aplicativo usando a ID do Microsoft Entra:

Acesso ao plano de dados

As solicitações para operações de plano de dados são enviadas para o ponto de extremidade da sua loja de Configuração de Aplicativos. Essas solicitações pertencem aos dados de Configuração do Aplicativo.

  • Proprietário dos Dados de Configuração do Aplicativo: use essa função para conceder acesso de leitura, gravação e exclusão aos dados de Configuração do Aplicativo. Essa função não concede acesso ao recurso Configuração do Aplicativo.
  • Leitor de Dados de Configuração de Aplicativo: use esta função para dar acesso de leitura aos dados de Configuração de Aplicativo. Essa função não concede acesso ao recurso Configuração do Aplicativo.

Controlar o acesso ao plano

Todas as solicitações para operações de plano de controle são enviadas para a URL do Azure Resource Manager. Essas solicitações pertencem ao recurso Configuração do aplicativo.

  • Colaborador de Configuração de Aplicativo: use essa função para gerenciar apenas o recurso de Configuração de Aplicativo. Essa função não concede acesso para gerenciar outros recursos do Azure. Ele concede acesso às chaves de acesso do recurso. Embora os dados de Configuração do Aplicativo possam ser acessados usando chaves de acesso, essa função não concede acesso direto aos dados usando a ID do Microsoft Entra. Ele concede acesso para recuperar recursos de Configuração de Aplicativo excluídos, mas não para limpá-los. Para limpar recursos excluídos da Configuração do Aplicativo, use a função de Colaborador .
  • Leitor de Configuração de Aplicativo: use esta função para ler somente o recurso de Configuração de Aplicativo. Esta função não concede acesso para ler outros recursos do Azure. Ele não concede acesso às chaves de acesso do recurso, nem aos dados armazenados na Configuração do aplicativo.
  • Colaborador ou Proprietário: use essa função para gerenciar o recurso de Configuração do Aplicativo e, ao mesmo tempo, possa gerenciar outros recursos do Azure. Esta função é uma função de administrador privilegiado. Ele concede acesso às chaves de acesso do recurso. Embora os dados de Configuração do Aplicativo possam ser acessados usando chaves de acesso, essa função não concede acesso direto aos dados usando a ID do Microsoft Entra.
  • Leitor: use essa função para ler o recurso de Configuração do Aplicativo e, ao mesmo tempo, possa ler outros recursos do Azure. Esta função não concede acesso às chaves de acesso do recurso, nem aos dados armazenados na Configuração da Aplicação.

Nota

Depois que uma atribuição de função for feita para uma identidade, aguarde até 15 minutos para que a permissão se propague antes de acessar os dados armazenados na Configuração do Aplicativo usando essa identidade.

Autenticação com credenciais de token

Para permitir que seu aplicativo se autentique com a ID do Microsoft Entra, a biblioteca de Identidade do Azure dá suporte a várias credenciais de token para autenticação do Microsoft Entra ID. Por exemplo, você pode escolher Credencial do Visual Studio ao desenvolver seu aplicativo no Visual Studio, Credencial de Identidade de Carga de Trabalho quando seu aplicativo é executado no Kubernetes ou Credencial de Identidade Gerenciada quando seu aplicativo é implantado em serviços do Azure como o Azure Functions.

Usar DefaultAzureCredential

O DefaultAzureCredential é uma cadeia pré-configurada de credenciais de token que tenta automaticamente uma sequência ordenada dos métodos de autenticação mais comuns. O uso do DefaultAzureCredential permite que você mantenha o mesmo código em ambientes de desenvolvimento local e do Azure. No entanto, é importante saber qual credencial está sendo usada em cada ambiente, pois você precisa conceder as funções apropriadas para autorização de trabalho. Por exemplo, autorize sua própria conta quando você espera que a retorne à sua identidade de usuário durante o DefaultAzureCredential desenvolvimento local. Da mesma forma, habilite a identidade gerenciada no Azure Functions e atribua-lhe a função necessária quando você espera que o DefaultAzureCredential recurso retorne ao ManagedIdentityCredential quando seu Aplicativo de Função for executado no Azure.

Atribuir funções de dados de Configuração de Aplicativo

Independentemente da credencial usada, você deve atribuir a ela as funções apropriadas antes que ela possa acessar sua loja de configuração de aplicativos. Se o seu aplicativo só precisar ler dados da sua loja de Configuração de Aplicativos, atribua-lhe a função de Leitor de Dados de Configuração de Aplicativo . Se o seu aplicativo também precisar gravar dados em sua loja de Configuração de Aplicativos, atribua-lhe a função de Proprietário de Dados de Configuração de Aplicativo.

Siga estas etapas para atribuir funções de Dados de Configuração do Aplicativo à sua credencial.

  1. No portal do Azure, navegue até sua loja de Configuração de Aplicativo e selecione Controle de acesso (IAM).

  2. Selecione Adicionar ->Adicionar atribuição de função.

    Se você não tiver permissão para atribuir funções, a opção Adicionar atribuição de função será desabilitada. Somente usuários com funções de Proprietário ou Administrador de Acesso de Usuário podem fazer atribuições de função.

  3. Na guia Função, selecione a função Leitor de Dados de Configuração do Aplicativo (ou outra função de Configuração do Aplicativo, conforme apropriado) e selecione Avançar.

  4. Na guia Membros, siga o assistente para selecionar a credencial à qual você está concedendo acesso e, em seguida, selecione Avançar.

  5. Por fim, na guia Revisar + atribuir , selecione Revisar + atribuir para atribuir a função.

Próximos passos

Saiba como usar identidades gerenciadas para acessar sua loja de configuração de aplicativos.