Autenticação do cofre com identidades geridas para os recursos do Azure

Concluído

O Azure Key Vault usa a ID do Microsoft Entra para autenticar usuários e aplicativos que tentam acessar um cofre. Para conceder ao nosso aplicativo Web acesso ao cofre, primeiro você precisa registrar seu aplicativo com o Microsoft Entra ID. O registo cria uma identidade para a aplicação. Depois que o aplicativo tiver uma identidade, você poderá atribuir permissões de cofre a ele.

Os aplicativos e usuários são autenticados no Cofre da Chave usando um token de autenticação do Microsoft Entra. Obter um token do Microsoft Entra ID requer um segredo ou certificado. Qualquer pessoa com um token pode usar a identidade do aplicativo para acessar todos os segredos no cofre.

Os segredos do seu aplicativo estão seguros no cofre, mas você ainda precisa manter um segredo ou certificado fora do cofre para acessá-los! Esse problema é chamado de problema de inicialização e o Azure tem uma solução para ele.

Identidades geridas para os recursos do Azure

Identidades gerenciadas para recursos do Azure é um recurso do Azure que seu aplicativo pode usar para acessar o Cofre da Chave e outros serviços do Azure sem precisar gerenciar um único segredo fora do cofre. A utilização de uma identidade gerida é uma forma simples e segura de tirar partido do Key Vault na sua aplicação Web.

Quando você habilita a identidade gerenciada em seu aplicativo Web, o Azure ativa um serviço REST de concessão de token separado especificamente para seu aplicativo usar. Seu aplicativo solicita tokens deste serviço em vez de diretamente do Microsoft Entra ID. A aplicação tem de utilizar um segredo para aceder a este serviço, mas este é inserido pelo Serviço de Aplicações nas variáveis do ambiente da aplicação quando é iniciado. Não tem de gerir ou armazenar o valor deste segredo em nenhum lugar e nenhum serviço fora da sua aplicação poderá aceder a este segredo ou ao ponto final de serviço de tokens de identidades geridas.

As identidades gerenciadas para recursos do Azure também registram seu aplicativo na ID do Microsoft Entra para você. O Microsoft Entra ID exclui o registro se você excluir o aplicativo Web ou desabilitar sua identidade gerenciada.

As identidades gerenciadas estão disponíveis em todas as edições do Microsoft Entra ID, incluindo a edição gratuita incluída em uma assinatura do Azure. Usá-lo no Serviço de Aplicativo não tem custo extra e não requer configuração, e você pode habilitá-lo ou desativá-lo em um aplicativo a qualquer momento.

A ativação de uma identidade gerida para uma aplicação Web requer apenas um único comando da CLI do Azure sem qualquer configuração. Você faz isso mais tarde quando configura um aplicativo do Serviço de Aplicativo e o implanta no Azure. Antes disso, porém, aplique seu conhecimento de identidades gerenciadas para escrever o código para nosso aplicativo.

Verifique o seu conhecimento

1.

Como é que a utilização das identidades geridas dos recursos do Azure altera a forma como uma aplicação é autenticada no Azure Key Vault?

A aplicação utiliza um certificado para se autenticar em vez de um segredo.

Cada utilizador da aplicação tem de introduzir uma palavra-passe.

O aplicativo obtém tokens de um serviço de token em vez do Microsoft Entra ID.

As identidades geridas são reconhecidas e autenticadas automaticamente pelo Azure Key Vault.

2.

Qual destas afirmações descreve uma das principais vantagens em utilizar as identidades geridas dos recursos do Azure para autenticar uma aplicação no Key Vault?

A utilização de identidades geridas melhora o desempenho de aplicações.

A utilização de identidades geridas elimina a necessidade de processar segredos durante a configuração.

As identidades geridas podem receber permissões do Azure Key Vault automaticamente.

Tem de responder a todas as questões antes de verificar o seu trabalho.