Autenticar aplicativos .NET hospedados no Azure em recursos do Azure usando uma identidade gerenciada atribuída ao sistema

A abordagem recomendada para autenticar um aplicativo hospedado no Azure em outros recursos do Azure é usar uma identidade gerenciada . Essa abordagem é suportada para a maioria dos serviços do Azure, incluindo aplicativos hospedados no Serviço de Aplicativo do Azure, Aplicativos de Contêiner do Azure e Máquinas Virtuais do Azure. Descubra mais sobre diferentes técnicas e abordagens de autenticação na página visão geral da autenticação. Nas seções a seguir, você aprenderá:

• Conceitos essenciais de identidade gerenciada
• Como criar uma identidade gerenciada atribuída ao sistema para seu aplicativo
• Como atribuir funções à identidade gerenciada atribuída ao sistema
• Como autenticar usando a identidade gerenciada atribuída pelo sistema a partir do código do seu aplicativo

Conceitos essenciais de identidade gerenciada

Uma identidade gerenciada permite que seu aplicativo se conecte com segurança a outros recursos do Azure sem o uso de chaves secretas ou outros segredos de aplicativo. Internamente, o Azure rastreia a identidade e os recursos aos quais ele pode se conectar. O Azure usa essas informações para obter automaticamente tokens do Microsoft Entra para o aplicativo para permitir que ele se conecte a outros recursos do Azure.

Há dois tipos de identidades gerenciadas a serem consideradas ao configurar seu aplicativo hospedado:

• identidades gerenciadas atribuídas pelo sistema são habilitadas diretamente em um recurso do Azure e vinculadas ao seu ciclo de vida. Quando o recurso é excluído, o Azure exclui automaticamente a identidade para você. As identidades atribuídas pelo sistema fornecem uma abordagem minimalista para o uso de identidades gerenciadas.
• identidades gerenciadas atribuídas pelo usuário são criadas como recursos autônomos do Azure e oferecem maior flexibilidade e recursos. Eles são ideais para soluções que envolvem vários recursos do Azure que precisam compartilhar a mesma identidade e permissões. Por exemplo, se várias máquinas virtuais precisarem acessar o mesmo conjunto de recursos do Azure, uma identidade gerenciada atribuída pelo usuário fornecerá reutilização e gerenciamento otimizado.

Dica

Saiba mais sobre como selecionar e gerenciar identidades gerenciadas atribuídas pelo sistema e identidades gerenciadas atribuídas pelo usuário no artigo Recomendações de práticas recomendadas de identidade gerenciada.

As seções à frente descrevem as etapas para habilitar e usar uma identidade gerenciada atribuída ao sistema para um aplicativo hospedado no Azure. Se você precisar usar uma identidade gerenciada atribuída pelo usuário, visite o artigo identidades gerenciadas atribuídas pelo usuário para obter mais informações.

Habilitar uma identidade gerenciada atribuída ao sistema no recurso de hospedagem do Azure

Para começar a usar uma identidade gerenciada atribuída pelo sistema com seu aplicativo, habilite a identidade no recurso do Azure que hospeda seu aplicativo, como um Serviço de Aplicativo do Azure, Aplicativo de Contêiner do Azure ou Máquina Virtual do Azure.

Você pode habilitar uma identidade gerenciada atribuída pelo sistema para um recurso do Azure usando o portal do Azure ou a CLI do Azure.

Portal do Azure

1. No portal do Azure, navegue até o recurso que hospeda o código do aplicativo, como um Serviço de Aplicativo do Azure ou uma instância do Aplicativo de Contêiner do Azure.

2. Na página Visão Geral do recurso, expanda Configurações e selecione Identidade na navegação.

3. Na página Identidade, alterne o controle deslizante Status para On.

4. Selecione Salvar para aplicar as alterações.

   

CLI do Azure

Os comandos da CLI do Azure podem ser executados no Azure Cloud Shell ou num posto de trabalho com a CLI do Azure instalada.

Os comandos da CLI do Azure usados para habilitar a identidade gerenciada para um recurso do Azure têm o formato az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Os comandos específicos para serviços populares do Azure são mostrados abaixo.

Serviço de Aplicativo do Azure:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Máquina Virtual do Azure:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

A saída é semelhante à seguinte:

{
  "principalId": "99999999-9999-9999-9999-999999999999",
  "tenantId": "33333333-3333-3333-3333-333333333333",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

O valor principalId é a ID exclusiva da identidade gerenciada. Mantenha uma cópia dessa saída, pois você precisará desses valores na próxima etapa.

Atribuir funções à identidade gerenciada

Em seguida, determine quais funções seu aplicativo precisa e atribua essas funções à identidade gerenciada. Você pode atribuir funções a uma identidade gerenciada nos seguintes escopos:

• Resource: As funções atribuídas aplicam-se apenas a esse recurso específico.
• Grupo de recursos: As funções atribuídas aplicam-se a todos os recursos contidos no grupo de recursos.
• Subscrição: As funções atribuídas aplicam-se a todos os recursos contidos na subscrição.

O exemplo a seguir mostra como atribuir funções no escopo do grupo de recursos, já que muitos aplicativos gerenciam todos os seus recursos relacionados do Azure usando um único grupo de recursos.

Portal do Azure

1. Navegue até à página Visão Geral do grupo de recursos que contém o aplicativo com a identidade gerenciada atribuída ao sistema.

2. Selecione Controle de Acesso (IAM) na barra de navegação à esquerda.

3. Na página Controlo de acesso (IAM), selecione + Adicionar no menu superior e, em seguida, escolha Adicionar atribuição de função para navegar até a página Adicionar atribuição de função.

   

4. A página Adicionar atribuição de função apresenta um fluxo de trabalho com guias em várias etapas para atribuir funções a identidades. No separador inicial Função, utiliza a caixa de pesquisa na parte superior para localizar a função que deseja atribuir à identidade.

5. Selecione a função nos resultados e, em seguida, escolha Avançar para ir para o separador Membros.

6. Para a opção Atribuir acesso a, selecione Identidade gerenciada.

7. Para a opção Membros, escolha + Selecionar membros para abrir o painel Selecionar identidades gerenciadas.

8. No painel Selecionar identidades geridas, use os menus suspensos de Assinatura e Identidade gerida para filtrar os resultados da pesquisa para as suas identidades. Use a caixa de pesquisa Selecionar para localizar a identidade do sistema ativada para o recurso do Azure que hospeda a sua aplicação.

   

9. Selecione a identidade e escolha Selecionar na parte inferior do painel para continuar.

10. Selecione Revisão + Atribua na parte inferior da página.

11. Na aba final Revisão + atribuir, selecione Revisão + atribuir para concluir o fluxo de trabalho.

CLI do Azure

Uma identidade gerenciada recebe uma função no Azure usando o comando az role assignment create:

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Para obter os nomes das funções às quais se pode atribuir uma entidade de serviço, utilize o comando az role definition list:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por exemplo, para permitir que a identidade gerida com a ID de 99999999-9999-9999-9999-999999999999 tenha permissões de leitura, escrita e eliminação em contêineres e dados de blob do Armazenamento do Azure em todas as contas de armazenamento no grupo de recursos msdocs-dotnet-sdk-auth-example, atribua o principal de serviço da aplicação ao papel de Colaborador de Dados de Blob de Armazenamento usando o seguinte comando:

az role assignment create \
    --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"

Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, consulte o artigo Atribuir funções do Azure usando a CLI do Azure.

Autenticar nos serviços do Azure a partir da sua aplicação

O da biblioteca de Identidade do Azure fornece várias credenciais — implementações de TokenCredential adaptadas para suportar diferentes cenários e fluxos de autenticação do Microsoft Entra. Como a identidade gerenciada não está disponível ao ser executada localmente, as etapas à frente demonstram qual credencial usar em qual cenário:

• Ambiente de desenvolvimento local: Durante desenvolvimento local somente, use uma classe chamada DefaultAzureCredential para uma cadeia de credenciais opinativa e pré-configurada. DefaultAzureCredential descobre credenciais de usuário de suas ferramentas locais ou IDE, como a CLI do Azure ou Visual Studio. Ele também oferece flexibilidade e conveniência para tentativas, tempos de espera para respostas e suporte para várias opções de autenticação. Visite o artigo sobre a autenticação nos serviços do Azure durante o desenvolvimento local para obter mais informações.
• aplicativos hospedados no Azure: quando seu aplicativo estiver sendo executado no Azure, use ManagedIdentityCredential para descobrir com segurança a identidade gerenciada configurada para seu aplicativo. Especificar esse tipo exato de credencial evita que outras credenciais disponíveis sejam coletadas inesperadamente.

Implementar o código

Adicione o pacote Azure.Identity. Em um projeto ASP.NET Core, também instale o pacote de Microsoft.Extensions.Azure:

linha de comando

Em um terminal de sua escolha, navegue até o diretório do projeto de aplicativo e execute os seguintes comandos:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Gerenciador de Pacotes NuGet

Clique com o botão direito do mouse em seu projeto na janela Visual Studio Solution Explorer e selecione Manage NuGet Packages. Procure Azure.Identitye instale o pacote correspondente. Repita este processo para o pacote Microsoft.Extensions.Azure.

Os serviços do Azure são acessados usando classes de cliente especializadas das várias bibliotecas de cliente do SDK do Azure. Essas classes e seus próprios serviços personalizados devem ser registrados para injeção de dependência para que possam ser usados em todo o aplicativo. No Program.cs, conclua as seguintes etapas para configurar uma classe de cliente para injeção de dependência e autenticação baseada em token:

1. Inclua os namespaces Azure.Identity e Microsoft.Extensions.Azure por meio de diretivas using.
2. Registe-se o cliente do serviço Azure usando o método de extensão correspondente prefixado com Add.
3. Passe uma instância TokenCredential apropriada para o método UseCredential:
   • Use DefaultAzureCredential quando seu aplicativo estiver sendo executado localmente.
   • Use ManagedIdentityCredential quando seu aplicativo estiver sendo executado no Azure.

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    TokenCredential credential = null;

    if (builder.Environment.IsProduction())
    {
        // Managed identity token credential discovered when running in Azure environments
        credential = new ManagedIdentityCredential();
    }
    else
    {
        // Running locally on dev machine - DO NOT use in production or outside of local dev
        credential = new DefaultAzureCredential();
    }

    clientBuilder.UseCredential(credential);
});

Uma alternativa ao método UseCredential é fornecer a credencial diretamente ao cliente de serviço:

TokenCredential credential = null;

if (builder.Environment.IsProduction() || builder.Environment.IsStaging())
{
    // Managed identity token credential discovered when running in Azure environments
    credential = new ManagedIdentityCredential();
}
else
{
    // Running locally on dev machine - DO NOT use in production or outside of local dev
    credential = new DefaultAzureCredential();
}

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"), credential));

---

O código anterior se comporta de forma diferente dependendo do ambiente onde está sendo executado:

• Em sua estação de trabalho de desenvolvimento local, DefaultAzureCredential procura nas variáveis de ambiente uma entidade de serviço de aplicativo ou em ferramentas de desenvolvedor instaladas localmente, como o Visual Studio, para obter um conjunto de credenciais de desenvolvedor.
• Quando implantado no Azure, o ManagedIdentityCredential descobre suas configurações de identidade gerenciadas para autenticar em outros serviços automaticamente.