Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ Front Door Standard ✔️ Front Door Premium
As identidades gerenciadas fornecidas pelo Microsoft Entra ID permitem que sua instância do Azure Front Door Standard/Premium acesse com segurança outros recursos protegidos do Microsoft Entra, como o Armazenamento de Blobs do Azure, sem a necessidade de gerenciar credenciais. Para saber mais, confira O que são identidades gerenciadas para recursos do Azure?.
Depois de habilitar a identidade gerenciada do Azure Front Door e conceder à identidade gerenciada as permissões necessárias para acessar sua origem, o Front Door usará a identidade gerenciada para obter um token de acesso do Microsoft Entra ID para acessar o recurso especificado. Depois de obter o token com êxito, o Front Door definirá o valor do token no cabeçalho da Autorização usando o esquema Bearer e, em seguida, encaminhará a solicitação para o destino final. O Front Door armazena o token em cache até que ele expire.
Note
Atualmente, não há suporte para esse recurso para origens com o Link Privado habilitado no Front Door.
O Azure Front Door dá suporte a dois tipos de identidades gerenciadas:
- Identidade atribuída pelo sistema: essa identidade está vinculada ao serviço e será excluída se o serviço for excluído. Cada serviço pode ter apenas uma identidade atribuída pelo sistema.
- Identidade atribuída pelo usuário: esse é um recurso autônomo do Azure que pode ser atribuído ao seu serviço. Cada serviço pode ter várias identidades atribuídas pelo usuário.
As identidades gerenciadas são específicas para o locatário do Microsoft Entra em que sua assinatura do Azure está hospedada. Se uma assinatura for movida para um diretório diferente, você precisará recriar e reconfigurar a identidade.
Prerequisites
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Um perfil Standard ou Premium do Azure Front Door. Para criar um novo perfil, confira criar um Azure Front Door.
Habilitar a identidade gerenciada
Navegue até o perfil existente do Azure Front Door. Selecione Identidade em Segurança no menu à esquerda.
Escolha uma identidade gerenciada atribuída pelo sistema ou uma identidade gerenciada atribuída pelo usuário.
Sistema atribuído – uma identidade gerenciada vinculada ao ciclo de vida do perfil do Azure Front Door.
Atribuído pelo usuário – um recurso de identidade gerenciada autônomo com seu próprio ciclo de vida.
Atribuído pelo sistema
Alterne o Status para Ativado e selecione Salvar.
Confirme a criação de uma identidade gerenciada pelo sistema para seu perfil do Front Door selecionando Sim quando solicitado.
Usuário atribuído
Para usar uma identidade gerenciada atribuída pelo usuário, você deve ter uma já criada. Para obter instruções sobre como criar uma nova identidade, confira criar uma identidade gerenciada atribuída pelo usuário.
Na guia Atribuído pelo usuário , selecione + Adicionar para adicionar uma identidade gerenciada atribuída pelo usuário.
Pesquise e selecione a identidade gerenciada atribuída pelo usuário. Em seguida, selecione Adicionar para anexá-lo ao perfil do Azure Front Door.
O nome da identidade gerenciada atribuída pelo usuário selecionada aparece no perfil do Azure Front Door.
Associando a identidade a um grupo de origem
Note
A associação só funcionará se
- o grupo de origem não contém nenhuma origem com o link privado habilitado.
- o protocolo de investigação de integridade é definido como “HTTPS” nas configurações do grupo de origem.
- o protocolo de encaminhamento é definido como "Somente HTTPS" nas configurações de rota.
- o protocolo de encaminhamento é definido como "Somente HTTPS" caso você esteja usando uma ação de “Substituição de configuração de rota” nos conjuntos de regras.
Aviso
Daqui em diante, se você estiver usando a autenticação de origem entre o Front Door e o Armazenamento, a sequência de etapas para habilitar a autenticação de origem será muito importante e causará problemas se a sequência apropriada não for seguida.
- Se você estiver usando uma conta de armazenamento com acesso anônimo público habilitado, siga as etapas abaixo na sequência exata : "Associando a identidade a um grupo de origem" seguido por "Fornecendo acesso no recurso de origem". Depois que todas as etapas forem concluídas, você poderá desabilitar o acesso anônimo público para permitir apenas o acesso à sua conta de armazenamento do Front Door.
- Se você estiver usando uma conta de armazenamento com acesso anônimo público desabilitado, deverá seguir uma sequência diferente. Primeiro, execute as etapas para "Fornecer acesso no recurso de origem" seguido por "Associar a identidade a um grupo de origem". Comece a enviar o tráfego por meio do Front Door para a conta de armazenamento somente depois de concluir todas as etapas na sequência mencionada acima.
Navegue até o perfil existente do Azure Front Door e abra grupos de origem.
Selecione um grupo de origem existente que tenha origens já configuradas.
Role para baixo até a seção Autenticação .
Habilitar autenticação de origem.
Escolha entre a identidade gerenciada atribuída pelo sistema ou pelo usuário.
Insira o escopo correto dentro do campo Escopo .
Clique em Atualizar.
Fornecendo acesso no recurso de origem
- Navegue até a página de gerenciamento do recurso de origem. Por exemplo, se a origem for um Armazenamento de Blobs do Azure, vá para essa página de gerenciamento da Conta de Armazenamento.
Note
As próximas etapas pressupõem que sua origem seja um Armazenamento de Blobs do Azure. Se você estiver usando um tipo de recurso diferente, certifique-se de selecionar a função de cargo de trabalho apropriada durante a atribuição de função. Caso contrário, as etapas permanecerão as mesmas para a maioria dos tipos de recursos.
- Vá para a seção Controle de Acesso (IAM) e clique em Adicionar. Escolha Adicionar atribuição de função no menu suspenso.
- Em Funções da função de trabalho na guia Funções, selecione uma função apropriada (por exemplo, Leitor de dados do blob de armazenamento) na lista e escolha Avançar.
Importante
Ao conceder qualquer identidade, incluindo uma identidade gerenciada, permissões para acessar serviços, sempre conceda as permissões mínimas necessárias para executar as ações desejadas. Por exemplo, se uma identidade gerenciada for usada para ler dados de uma conta de armazenamento, não haverá necessidade de permitir que essas permissões de identidade também escrevam dados na conta de armazenamento. A concessão de permissões extras, por exemplo, tornando a identidade gerenciada um colaborador de uma conta de armazenamento quando não é necessário, pode fazer com que solicitações vindas através do AFD sejam capazes de realizar operações de gravação e exclusão.
- Na guia Membros , na guia Atribuir acesso, escolha Identidade gerenciada e clique em Selecionar membros.
- A janela Selecionar identidades gerenciadas é aberta. Escolha a assinatura em que o Front Door está localizado e, na lista suspensa Identidade gerenciada, escolha Front Door e perfis da CDN. Na lista suspensa Selecionar, escolha a identidade gerenciada criada para o Front Door. Clique no botão Selecionar na parte inferior.
- Selecione Examinar e atribuir e selecione Examinar e atribuir mais uma vez após a conclusão da validação.
Dicas ao usar a autenticação de origem
- Se você estiver enfrentando erros durante a configuração do grupo de origem,
- Verifique se o protocolo da sonda de saúde está definido como HTTPS.
- Verifique se o protocolo de encaminhamento dentro das configurações de rota e/ou das configurações de substituição de rota (em conjuntos de regras) está definido como "Somente HTTPS".
- Verifique se não há origens habilitadas para link privado dentro do grupo de origem.
- Se for exibida a mensagem “Acesso negado” vinda da origem, verifique se a Identidade Gerenciada possui a função apropriada atribuída para acessar o recurso de origem.
- Transição de Tokens SAS para Armazenamento: se estiver fazendo a transição de tokens SAS para Identidades Gerenciadas, siga uma abordagem passo a passo para evitar o tempo de inatividade. Habilite a Identidade Gerenciada, associe-a à origem e pare de usar tokens SAS.
- Depois de habilitar a autenticação de origem nas configurações do grupo de origem, você não deve desabilitar/excluir diretamente as identidades das configurações de identidade no portal do Front Door nem excluir diretamente a identidade gerenciada atribuída pelo usuário no portal de Identidade Gerenciada. Isso fará com que a autenticação de origem falhe imediatamente. Em vez disso, se você quiser parar de usar o recurso de autenticação de origem ou quiser excluir/desabilitar as identidades, primeiro desabilite as restrições de acesso na seção IAM (Controle de Acesso) do recurso de origem para que a origem seja acessível sem a necessidade de uma identidade gerenciada ou token de ID do Entra. Em seguida, desabilite a autenticação de origem nas configurações do grupo de origem do Front Door. Aguarde algum tempo para que a configuração seja atualizada e exclua/desabilite a identidade, se necessário.
- Se seus clientes já estiverem enviando seus próprios tokens sob o cabeçalho autorização, o valor do token será substituído pelo AFD com o token de autenticação de origem. Se você quiser que o AFD envie o token de cliente para a origem, poderá configurar uma regra AFD usando a variável de servidor {http_req_header_Authorization} para enviar o token em um cabeçalho separado.
- É recomendável que você use diferentes identidades gerenciadas para autenticação de origem e para autenticação do AFD no Azure Key Vault.
- Para obter as práticas recomendadas ao usar identidades gerenciadas, consulte as recomendações de melhores práticas de identidade gerenciada.
- Para obter práticas recomendadas ao atribuir a função RBAC para a conta de armazenamento do Azure, consulte Atribuir uma função do Azure para acesso aos dados de blob