Autenticar aplicativos .NET nos serviços do Azure durante o desenvolvimento local usando entidades de serviço

Durante o desenvolvimento local, os aplicativos precisam se autenticar no Azure para acessar vários serviços do Azure. Duas abordagens comuns para autenticação local são usar uma conta de programador ou um principal de serviço. Este artigo explica como usar um principal de serviço de aplicação. Nas seções a seguir, você aprende:

Como registrar um aplicativo no Microsoft Entra para criar uma entidade de serviço
Como usar grupos do Microsoft Entra para gerenciar permissões com eficiência
Como atribuir funções às permissões de âmbito
Como autenticar usando um principal de serviço a partir do código da sua aplicação

O uso de entidades de serviço de aplicativo dedicadas permite que você siga o princípio de menor privilégio ao acessar recursos do Azure. As permissões são limitadas aos requisitos específicos do aplicativo durante o desenvolvimento, impedindo o acesso acidental aos recursos do Azure destinados a outros aplicativos ou serviços. Essa abordagem também ajuda a evitar problemas quando o aplicativo é movido para produção, garantindo que ele não seja excessivamente privilegiado no ambiente de desenvolvimento.

Um diagrama mostrando como um aplicativo .NET local usa uma entidade de serviço para se conectar aos recursos do Azure.

Quando a aplicação é registada no Azure, um principal de serviço de aplicação é criado. Para o desenvolvimento local:

Crie um registro de aplicativo separado para cada desenvolvedor que trabalha no aplicativo para garantir que cada desenvolvedor tenha sua própria entidade de serviço de aplicativo, evitando a necessidade de compartilhar credenciais.
Crie um registro de aplicativo separado para cada aplicativo para limitar as permissões do aplicativo apenas ao necessário.

Durante o desenvolvimento local, as variáveis de ambiente são definidas com a identidade principal do serviço do aplicativo. A biblioteca de Identidade do Azure lê essas variáveis de ambiente para autenticar o aplicativo nos recursos necessários do Azure.

Registrar o aplicativo no Azure

Os objetos principais do serviço de aplicativo são criados por meio de um registro de aplicativo no Azure usando o portal do Azure ou a CLI do Azure.

Portal do Azure
CLI do Azure

No portal do Azure, utilize a barra de pesquisa para navegar até à página de Registo de Aplicações.
Na página Registos de Aplicações, selecione + Novo registo.
Na página de Registar uma candidatura
- Para o campo Nome, insira um valor descritivo que inclua o nome do aplicativo e o ambiente de destino.
- Para o Tipos de conta suportados, selecione Contas apenas neste diretório organizacional (Somente Liderado pelo Cliente Microsoft - Locatário único)ou a opção que melhor atenda às suas necessidades.
Selecione Registrar para registar a sua aplicação e criar o principal de serviço.
Na página de registro do aplicativo para seu aplicativo, copie o ID do aplicativo (cliente) e ID do diretório (locatário) e cole-os em um local temporário para uso posterior nas configurações de código do aplicativo.
Selecione Adicionar um certificado ou secreto para configurar credenciais para seu aplicativo.
Na página Certificados & segredos, selecione + Novo segredo de cliente.
No Adicionar um segredo de cliente no painel suspenso que se abre:
- Para a Descrição, insira um valor de Current.
- Para o valor expira, deixe o valor padrão recomendado de 180 dias.
- Selecione Adicionar para cadastrar o segredo.
Na página Certificados & segredos, copie a propriedade Value do segredo do cliente para uso em uma etapa futura.

Observação

O valor secreto do cliente só é exibido uma vez após a criação do registro do aplicativo. Você pode adicionar mais segredos de cliente sem invalidar esse segredo de cliente, mas não há como exibir esse valor novamente.

Os comandos da CLI do Azure podem ser executados no Shell da Nuvem Azure ou numa estação de trabalho com a CLI do Azure instalada.

Utilize o comando az ad sp create-for-rbac para criar um registo de aplicação e uma nova entidade de serviço para a aplicação.

az ad sp create-for-rbac --name <service-principal-name>

A saída deste comando é semelhante ao seguinte JSON:

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

Copie essa saída para um arquivo temporário em um editor de texto, pois você precisará desses valores em uma etapa futura.

Observação

O valor secreto do cliente só é exibido uma vez após a criação do registro do aplicativo. Você pode adicionar mais segredos de cliente sem invalidar esse segredo de cliente, mas não há como exibir esse valor novamente.

Criar um grupo do Microsoft Entra para desenvolvimento local

Crie um grupo do Microsoft Entra para encapsular as funções (permissões) de que o aplicativo precisa no desenvolvimento local, em vez de atribuir as funções a objetos de entidade de serviço individuais. Esta abordagem oferece as seguintes vantagens:

Cada desenvolvedor tem as mesmas funções atribuídas no nível do grupo.
Se uma nova função for necessária para o aplicativo, ela só precisará ser adicionada ao grupo do aplicativo.
Se um novo programador ingressar na equipa, um novo principal de serviço da aplicação será criado para o programador e adicionado ao grupo, garantindo que o programador tenha as permissões certas para trabalhar na aplicação.

Portal do Azure
CLI do Azure

Navegue até a página de visão geral do Microsoft Entra ID no portal do Azure.
Selecione Todos os grupos no menu à esquerda.
Na página Grupos, selecione Novo grupo.
Na página Novo de grupo, preencha os seguintes campos de formulário:
- Tipo de grupo: Selecionar segurança .
- Nome do grupo: insira um nome para o grupo que inclua uma referência ao nome do aplicativo ou ambiente.
- Descrição do grupo: Insira uma descrição que explique a finalidade do grupo.
Selecione o link Sem membros selecionados em Membros para adicionar membros ao grupo.
No painel suspenso que se abre, procure a entidade de serviço que criou anteriormente e selecione-a nos resultados filtrados. Escolha o botão Selecionar na parte inferior do painel para confirmar a sua seleção.
Selecione Criar na parte inferior da página Novo grupo para criar o grupo e retornar à página Todos os grupos. Se não vir o novo grupo listado, aguarde um momento e atualize a página.

Utilize o comando az ad group create para criar grupos no Microsoft Entra ID.
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
Os parâmetros --display-name e --mail-nickname são necessários. O nome dado ao grupo deve ser baseado no nome e no ambiente do aplicativo para indicar a finalidade do grupo.
Para adicionar membros ao grupo, precisas do ID do objeto do principal de serviço da aplicação, que é diferente do ID da aplicação. Use o comando az ad sp list para listar as entidades de serviço disponíveis:
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
O parâmetro --filter aceita filtros no estilo OData e pode ser usado para filtrar a lista conforme mostrado. O parâmetro --query limita a saída apenas às colunas de interesse.

Use o comando az ad group member add para adicionar membros ao grupo.

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Atribuir funções ao grupo

Em seguida, determine quais funções (permissões) seu aplicativo precisa em quais recursos e atribua essas funções ao grupo do Microsoft Entra que você criou. Os grupos podem receber uma função no recurso, no grupo de recursos ou no escopo de assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.

Portal do Azure
CLI do Azure

No portal do Azure, navegue até a página Visão Geral do grupo de recursos que contém a sua aplicação.
Selecione controle de acesso (IAM) na navegação à esquerda.
Na página Controle de acesso (IAM), selecione + Adicionar e, em seguida, escolha Adicionar atribuição de função no menu suspenso. A página Adicionar atribuição de função fornece várias guias para configurar e atribuir funções.
Na guia Função, use a caixa de pesquisa para localizar a função que deseja atribuir. Selecione a função e, em seguida, escolha Avançar.
No separador Membros:
- Para a Atribuir acesso ao valor, selecione Utilizador, grupo ou principal do serviço.
- Para o valor de Membros , escolha + Selecionar Membros para abrir o painel suspenso Selecionar Membros.
- Procure o grupo do Microsoft Entra criado anteriormente e selecione-o nos resultados filtrados. Escolha e depois selecione para selecionar o grupo e fechar o painel de pop-up.
- Selecione Rever + atribuir na parte inferior da aba Membros.
No separador Rever + atribuir, selecione Rever + atribuir na parte inferior da página.

Utilize o comando az role definition list para obter os nomes das funções às quais um grupo ou principal de serviço do Microsoft Entra pode ser atribuído.
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Use o comando az role assignment create para atribuir uma função ao grupo do Microsoft Entra que você criou:
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, consulte Atribuir funções do Azure usando a CLI.

Definir as variáveis de ambiente do aplicativo

No tempo de execução, determinadas credenciais da biblioteca de Identidade do Azure, como DefaultAzureCredential, EnvironmentCredentiale ClientSecretCredential, pesquisam informações da entidade de serviço por convenção nas variáveis de ambiente. Há várias maneiras de configurar variáveis de ambiente ao trabalhar com .NET, dependendo de suas ferramentas e ambiente.

Independentemente da abordagem escolhida, configure as seguintes variáveis de ambiente para um principal de serviço:

AZURE_CLIENT_ID: Usado para identificar o aplicativo registrado no Azure.
AZURE_TENANT_ID: O ID do tenant do Microsoft Entra.
AZURE_CLIENT_SECRET: A credencial secreta que foi gerada para o aplicativo.

No Visual Studio, as variáveis de ambiente podem ser definidas no arquivo launchsettings.json na pasta Properties do seu projeto. Esses valores são carregados automaticamente quando a aplicação arranca. No entanto, essas configurações não viajam com seu aplicativo durante a implantação, portanto, você precisa configurar variáveis de ambiente em seu ambiente de hospedagem de destino.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    }
  }

No Visual Studio Code, as variáveis de ambiente podem ser definidas no arquivo de launch.json do seu projeto. Esses valores são carregados automaticamente quando a aplicação arranca. No entanto, essas configurações não viajam com seu aplicativo durante a implantação, portanto, você precisa configurar variáveis de ambiente em seu ambiente de hospedagem de destino.

"configurations": [
{
    "env": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Você pode definir variáveis de ambiente para o Windows a partir da linha de comando. No entanto, os valores são acessíveis a todos os aplicativos em execução nesse sistema operacional e podem causar conflitos, portanto, tenha cuidado com essa abordagem. As variáveis de ambiente podem ser definidas no nível do usuário ou do sistema.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

O PowerShell também pode ser usado para definir variáveis de ambiente no nível do usuário ou do sistema:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Autenticar nos serviços do Azure a partir da sua aplicação

O da biblioteca de Identidade do Azure fornece várias credenciais — implementações de TokenCredential adaptadas para suportar diferentes cenários e fluxos de autenticação do Microsoft Entra. As etapas a seguir demonstram como usar ClientSecretCredential ao trabalhar com entidades de serviço localmente e em produção.

Implementar o código

Adicione o pacote Azure.Identity. Em um projeto ASP.NET Core, instale o pacote Microsoft.Extensions.Azure também:

Linha de Comando
Gestor de Pacotes NuGet

Em um terminal de sua escolha, navegue até o diretório do projeto de aplicativo e execute os seguintes comandos:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Os serviços do Azure são acessados usando classes de cliente especializadas das várias bibliotecas de cliente do SDK do Azure. Essas classes e seus próprios serviços personalizados devem ser registrados para injeção de dependência para que possam ser usados em todo o aplicativo. No Program.cs, conclua as seguintes etapas para configurar uma classe de cliente para injeção de dependência e autenticação baseada em token:

Inclua os namespaces Azure.Identity e Microsoft.Extensions.Azure através das directivas using.
Registe o cliente do serviço Azure usando o método de extensão com o prefixo Add correspondente.
Configure ClientSecretCredential com os tenantId, clientIde clientSecret.
Passe a instância ClientSecretCredential para o método UseCredential.

builder.Services.AddAzureClients(clientBuilder =>
{
    var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
    var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
    var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new ClientSecretCredential(tenantId, clientId, clientSecret));
});

Uma alternativa ao método UseCredential é fornecer a credencial diretamente ao cliente de serviço:

var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new ClientSecretCredential(tenantId, clientId, clientSecret)));

Feedback

Esta página foi útil?

Last updated on 2025-03-25