Partilhar via

Usar identidades geridas para autenticar fontes (pré-visualização)

Aplica-se a: ✔️ Front Door Standard ✔️ Front Door Premium

As identidades gerenciadas fornecidas pelo Microsoft Entra ID permitem que sua instância do Azure Front Door Standard/Premium acesse com segurança outros recursos protegidos pelo Microsoft Entra, como o Armazenamento de Blobs do Azure, sem a necessidade de gerenciar credenciais. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?.

Depois de ativar a identidade gerida para o Azure Front Door e conceder à identidade gerida as permissões necessárias para o seu ponto de origem, o Front Door utilizará a identidade gerida para obter um token de acesso do Microsoft Entra ID para aceder ao recurso especificado. Depois de obter o token com sucesso, o Front Door definirá o valor do token no cabeçalho Authorization usando o esquema Bearer e, em seguida, encaminhará a solicitação para a origem. O Front Door armazena em cache o token até que ele expire.

Note

Este recurso não é suportado atualmente para origens com Private Link ativado no Front Door.

O Azure Front Door dá suporte a dois tipos de identidades gerenciadas:

  • Identidade atribuída ao sistema: essa identidade está vinculada ao seu serviço e é excluída se o serviço for excluído. Cada serviço pode ter apenas uma identidade atribuída ao sistema.
  • Identidade atribuída pelo usuário: este é um recurso autônomo do Azure que pode ser atribuído ao seu serviço. Cada serviço pode ter várias identidades atribuídas pelo usuário.

As identidades gerenciadas são específicas do locatário do Microsoft Entra onde sua assinatura do Azure está hospedada. Se uma assinatura for movida para um diretório diferente, você precisará recriar e reconfigurar a identidade.

Prerequisites

Ativar a identidade gerida

  1. Navegue até o seu perfil existente do Azure Front Door. Selecione Identidade em Segurança no menu à esquerda.

  2. Escolha uma identidade gerenciada atribuída ao sistema ou ao usuário .

    • Sistema atribuído - Uma identidade gerenciada vinculada ao ciclo de vida do perfil do Azure Front Door.

    • Usuário atribuído - Um recurso de identidade gerenciado autônomo com seu próprio ciclo de vida.

    Sistema atribuído

    1. Alterne o Status para Ativado e selecione Salvar.

      Captura de ecrã da página de configuração de identidade gerida atribuída ao sistema.

    2. Confirme a criação de uma identidade gerenciada pelo sistema para seu perfil de porta da frente selecionando Sim quando solicitado.

    Utilizador atribuído

    Para usar uma identidade gerenciada atribuída pelo usuário, você deve ter uma já criada. Para obter instruções sobre como criar uma nova identidade, consulte Criar uma identidade gerenciada atribuída pelo usuário.

    1. Na guia Usuário atribuído , selecione + Adicionar para adicionar uma identidade gerenciada atribuída pelo usuário.

    2. Procure e selecione a identidade gerenciada atribuída pelo usuário. Em seguida, selecione Adicionar para anexá-lo ao perfil da Porta da Frente do Azure.

    3. O nome da identidade gerida atribuída ao utilizador selecionado aparece no perfil do Azure Front Door.

      Captura de ecrã da identidade gerida atribuída pelo utilizador adicionada ao perfil Front Door.

Associar a identidade a um grupo de origem

Note

A associação só funcionará se

  • O grupo Origin não contém origens com link privado habilitado.
  • o protocolo de verificação de saúde está configurado para 'HTTPS' nas definições do grupo de origem.
  • o protocolo de encaminhamento é definido como 'Somente HTTPS' nas configurações de rota.
  • o protocolo de encaminhamento é definido como 'Somente HTTPS' caso você esteja usando uma ação 'Substituição de configuração de rota' em conjuntos de regras.

Advertência

A partir daqui, se estiver a usar autenticação de origem entre a Porta Principal e o Armazenamento, a sequência de passos para ativar a autenticação de origem é muito importante e pode causar problemas se a sequência apropriada não for seguida.

  • Se estiver a usar uma conta de armazenamento com acesso anónimo público ativado, siga os passos abaixo na sequência exata - 'Associar a identidade a um grupo de origem' seguido de 'Fornecer acesso no recurso de origem'. Quando todos os passos estiverem concluídos, pode desativar o acesso anónimo público para permitir o acesso apenas à sua conta de armazenamento a partir do Front Door.
  • Se estiveres a usar uma conta de armazenamento com acesso anónimo público desativado, tens de seguir uma sequência diferente. Primeiro, faça os passos para 'Fornecer acesso no recurso de origem' seguidos de 'Associar a identidade a um grupo de origem'. Comece a enviar tráfego via Porta Principal para a conta de armazenamento apenas depois de completar todos os passos da sequência mencionada.

  1. Navegue até o seu perfil existente do Azure Front Door e abra grupos de origem.

  2. Selecione um grupo de origem existente que tenha origens já configuradas.

  3. Role para baixo até a seção Autenticação .

  4. Habilite a autenticação do Origin.

  5. Escolha entre identidade gerenciada atribuída ao sistema ou ao usuário.

  6. Insira o escopo correto no campo Escopo .

  7. Clique em Atualizar.

    Captura de ecrã a mostrar a associação da identidade a um grupo de origem.

Fornecendo acesso no recurso de origem

  1. Navegue até a página de gerenciamento do seu recurso de origem. Por exemplo, se a origem for um Armazenamento de Blobs do Azure, vá para essa página de gerenciamento da conta de armazenamento.

Note

As próximas etapas pressupõem que sua origem seja um Armazenamento de Blob do Azure. Se você estiver usando um tipo de recurso diferente, certifique-se de selecionar a função de trabalho apropriada durante a atribuição de função. Caso contrário, as etapas permanecerão as mesmas para a maioria dos tipos de recursos.

  1. Vá para a seção Controle de acesso (IAM) e clique em Adicionar. Selecione Adicionar atribuição de função no menu suspenso. Captura de tela das configurações de controle de acesso.
  2. Em Funções do trabalho na guia Funções, selecione uma função apropriada (por exemplo, Leitor de Dados de Blobs de Armazenamento) na lista e selecione Avançar. Captura de ecrã do separador Funções em Adicionar atribuição de função.

Importante

Ao conceder qualquer identidade, incluindo uma identidade gerenciada, permissões para acessar serviços, sempre conceda o mínimo de permissões necessárias para executar as ações desejadas. Por exemplo, se uma identidade gerenciada for usada para ler dados de uma conta de armazenamento, não há necessidade de permitir que essas permissões de identidade também gravem dados na conta de armazenamento. Conceder permissões extras, ao tornar a identidade gerida uma colaboradora de uma conta de armazenamento quando não é necessário, pode fazer solicitações vindas via AFD capazes de efetuar operações de gravação e eliminação.

  1. Na guia Membros , em Atribuir acesso a, escolha Identidade gerenciada e clique em Selecionar membros. Captura de ecrã do separador Membros em Adicionar atribuição de função.
  2. A janela Selecionar identidades gerenciadas é aberta. Escolha a subscrição onde está localizada a sua Front Door e, no menu pendente Managed identity, selecione perfis do Front Door e CDN. Na lista suspensa Selecionar , escolha a identidade gerenciada criada para sua porta da frente. Clique no botão Selecionar na parte inferior.
  3. Selecione Rever e atribuir e, em seguida, selecione Rever e atribuir mais uma vez após a conclusão da validação.

Dicas ao usar a autenticação de origem

  • Se você estiver enfrentando erros durante a configuração do grupo de origem,
    • Verifique se o protocolo da sonda de integridade está definido como HTTPS.
    • Certifique-se de que o protocolo de encaminhamento dentro das configurações de rota e/ou configurações de substituição de configuração de rota (em conjuntos de regras) esteja definido como 'Somente HTTPS'.
    • Certifique-se de que não há origens habilitadas para link privado dentro do grupo de origem.
  • Se vir "Acesso Negado; respostas da origem", verifique se a Identidade Gerida tem a função apropriada atribuída para aceder ao recurso de origem.
  • Transição de tokens SAS para armazenamento: se estiver fazendo a transição de tokens SAS para identidades gerenciadas, siga uma abordagem passo a passo para evitar tempo de inatividade. Habilite a Identidade Gerenciada, associe-a à origem e pare de usar tokens SAS.
  • Depois de habilitar a autenticação de origem nas configurações do grupo de origem, você não deve desabilitar/excluir diretamente as identidades das configurações de Identidade no portal Front Door, nem excluir diretamente a identidade gerenciada atribuída pelo usuário no portal de Identidade Gerenciada. Isso fará com que a autenticação de origem falhe imediatamente. Em vez disso, se você quiser parar de usar o recurso de autenticação de origem ou quiser excluir/desabilitar as identidades, primeiro desative as restrições de acesso na seção Controle de Acesso (IAM) do recurso de origem para que a origem seja acessível sem a necessidade de uma identidade gerenciada ou token de ID do Entra. Em seguida, desative a autenticação de origem nas configurações do grupo de origem do Front Door. Aguarde algum tempo até que a configuração seja atualizada e, em seguida, exclua/desative a identidade, se necessário.
  • Se seus clientes já estiverem enviando seus próprios tokens sob o cabeçalho Autorização, o valor do token será substituído pelo AFD pelo token de autenticação de origem. Se desejar que o AFD envie o token do cliente para a origem, você pode configurar uma regra AFD usando a variável de servidor {http_req_header_Authorization} para enviar o token sob um cabeçalho separado. Captura de tela da regra para enviar o token do cliente para a origem por meio de um cabeçalho diferente.
  • É recomendável usar identidades gerenciadas diferentes para autenticação de origem e para autenticação AFD para Cofre de Chaves do Azure.
  • Para conhecer as práticas recomendadas ao usar identidades gerenciadas, consulte Recomendações de práticas recomendadas de identidade gerenciada.
  • Para obter as práticas recomendadas ao atribuir a função RBAC à conta de armazenamento do Azure, consulte Atribuir uma função do Azure para acesso a dados de blob
  • Last updated on