Autenticação do Azure com entidade de serviço
Este artigo analisa como a biblioteca de Identidade do Azure dá suporte à autenticação de token do Microsoft Entra por meio da entidade de serviço. Este artigo aborda os seguintes temas:
- Criar uma entidade de serviço com a CLI do Azure
- Credencial secreta do cliente
- Credencial de certificado de cliente
Para obter mais informações, consulte Objetos principais de aplicativo e serviço no Microsoft Entra ID. Para solucionar problemas de autenticação da entidade de serviço, consulte Solucionar problemas de autenticação da entidade de serviço.
Criar uma entidade de serviço com a CLI do Azure
Use os seguintes exemplos da CLI do Azure para criar ou obter credenciais de segredo do cliente.
Use o seguinte comando para criar uma entidade de serviço e configurar seu acesso aos recursos do Azure:
az ad sp create-for-rbac \
--name <your application name> \
--role Contributor \
--scopes /subscriptions/mySubscriptionID
Este comando retorna um valor semelhante à seguinte saída:
{
"appId": "generated-app-ID",
"displayName": "dummy-app-name",
"name": "http://dummy-app-name",
"password": "random-password",
"tenant": "tenant-ID"
}
Use o comando a seguir para criar uma entidade de serviço junto com um certificado. Anote o caminho/local deste certificado.
az ad sp create-for-rbac \
--name <your application name> \
--role Contributor \
--cert <certificate name> \
--create-cert
Verifique as credenciais devolvidas e anote as seguintes informações:
AZURE\_CLIENT\_IDpara o appId.AZURE\_CLIENT\_SECRETpara a senha.AZURE\_TENANT\_IDpara o inquilino.
Credencial secreta do cliente
Essa credencial autentica a entidade de serviço criada por meio de seu segredo de cliente (senha). Este exemplo demonstra a autenticação da SecretClient biblioteca de cliente azure-security-keyvault-secrets usando o ClientSecretCredential.
/**
* Authenticate with client secret.
*/
ClientSecretCredential clientSecretCredential = new ClientSecretCredentialBuilder()
.clientId("<your client ID>")
.clientSecret("<your client secret>")
.tenantId("<your tenant ID>")
.build();
// Azure SDK client builders accept the credential as a parameter.
SecretClient client = new SecretClientBuilder()
.vaultUrl("https://<your Key Vault name>.vault.azure.net")
.credential(clientSecretCredential)
.buildClient();
Credencial de certificado de cliente
Essa credencial autentica a entidade de serviço criada por meio de seu certificado de cliente. Este exemplo demonstra a autenticação da SecretClient biblioteca de cliente azure-security-keyvault-secrets usando o ClientCertificateCredential.
/**
* Authenticate with a client certificate.
*/
ClientCertificateCredential clientCertificateCredential = new ClientCertificateCredentialBuilder()
.clientId("<your client ID>")
.pemCertificate("<path to PEM certificate>")
// Choose between either a PEM certificate or a PFX certificate.
//.pfxCertificate("<path to PFX certificate>", "PFX CERTIFICATE PASSWORD")
.tenantId("<your tenant ID>")
.build();
// Azure SDK client builders accept the credential as a parameter.
SecretClient client = new SecretClientBuilder()
.vaultUrl("https://<your Key Vault name>.vault.azure.net")
.credential(clientCertificateCredential)
.buildClient();
Próximos passos
Este artigo abordou a autenticação via entidade de serviço. Essa forma de autenticação é uma das várias maneiras de autenticar no SDK do Azure para Java. Os artigos a seguir descrevem outras maneiras:
- Autenticação do Azure em ambientes de desenvolvimento
- Autenticando aplicativos hospedados no Azure
- Autenticação com credenciais de usuário
Se você tiver problemas relacionados à autenticação da entidade de serviço, consulte Solucionar problemas de autenticação da entidade de serviço.
Depois de dominar a autenticação, consulte Configurar o log no SDK do Azure para Java para obter informações sobre a funcionalidade de registro em log fornecida pelo SDK.