Autenticar aplicativos Java para Azure serviços durante o desenvolvimento local usando contas de desenvolvedor

Durante o desenvolvimento local, os aplicativos precisam se autenticar para Azure para acessar vários serviços Azure. Você pode autenticar localmente usando uma das seguintes abordagens:

Use uma conta de desenvolvedor com uma das ferramentas de desenvolvedor compatíveis com a biblioteca de identidade Azure.
Use uma entidade de serviço. Para obter mais informações, consulte Autenticar aplicativos Java nos serviços do Azure no desenvolvimento local usando entidades de serviço.

Este artigo explica como autenticar usando uma conta de desenvolvedor com ferramentas compatíveis com a biblioteca de identidades do Azure. Neste artigo, você aprende:

Como usar Microsoft Entra grupos para gerenciar com eficiência permissões para várias contas de desenvolvedor.
Como atribuir funções a contas de desenvolvedor para definir o escopo das permissões.
Como fazer login em ferramentas que oferecem suporte ao desenvolvimento local.
Como autenticar usando uma conta de desenvolvedor do código do aplicativo.

Ferramentas de desenvolvedor com suporte para autenticação

Durante o desenvolvimento local, um aplicativo pode autenticar para Azure usando suas credenciais de Azure. Para que essa autenticação funcione, você deve estar conectado ao Azure de uma ferramenta de desenvolvedor, como uma das seguintes:

Azure CLI
CLI do desenvolvedor do Azure
Azure PowerShell
Visual Studio Code
Ideia do IntelliJ

A biblioteca Azure Identity pode detectar que o desenvolvedor está conectado a partir de uma dessas ferramentas. Em seguida, a biblioteca pode obter o token de acesso Microsoft Entra por meio da ferramenta para autenticar o aplicativo no Azure como o usuário que fez login.

Essa abordagem aproveita as contas de Azure existentes do desenvolvedor para simplificar o processo de autenticação. No entanto, a conta de um desenvolvedor provavelmente tem mais permissões do que o aplicativo requer, excedendo, portanto, as permissões com as quais o aplicativo é executado em produção. Como alternativa, você pode criar entidades de serviço de aplicativo para usar durante o desenvolvimento local, que podem ter o escopo para ter apenas o acesso necessário pelo aplicativo.

Criar um grupo de Microsoft Entra para desenvolvimento local

Crie um grupo do Microsoft Entra para encapsular as funções (permissões) que o aplicativo precisa no desenvolvimento local, em vez de atribuir as funções a objetos principal de serviço individuais. Essa abordagem oferece as seguintes vantagens:

Cada desenvolvedor tem as mesmas funções atribuídas no nível do grupo.
Se uma nova função for necessária para o aplicativo, ela só precisará ser adicionada ao grupo do aplicativo.
Se um novo desenvolvedor ingressar na equipe, um novo principal de serviço de aplicativo será criado para o desenvolvedor e adicionado ao grupo, garantindo que o desenvolvedor tenha as permissões corretas para trabalhar no aplicativo.

Azure portal
Azure CLI

Navegue até a página de visão geral Microsoft Entra ID no portal Azure.
Selecione Todos os grupos no menu à esquerda.
Na página Grupos , selecione Novo grupo.
Na página Novo grupo , preencha os seguintes campos de formulário:
- Tipo de grupo: Selecione Segurança.
- Nome do grupo: insira um nome para o grupo que inclui uma referência ao nome do aplicativo ou do ambiente.
- Descrição do grupo: insira uma descrição que explique a finalidade do grupo.
Selecione o link Nenhum membro selecionado em Membros para adicionar membros ao grupo.
No painel de submenu que é aberto, procure a entidade de serviço que você criou anteriormente e selecione-a nos resultados filtrados. Escolha o botão Selecionar na parte inferior do painel para confirmar sua seleção.
Selecione Criar na parte inferior da página Novo grupo para criar o grupo e retornar à página Todos os grupos . Se você não vir o novo grupo listado, aguarde um momento e atualize a página.

Use o comando az ad group create para criar grupos no Microsoft Entra ID.
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
Os parâmetros --display-name e --mail-nickname são obrigatórios. O nome dado ao grupo deve ser baseado no nome e no ambiente do aplicativo para indicar a finalidade do grupo.
Para adicionar membros ao grupo, você precisará da ID do objeto da entidade de serviço do aplicativo, que é diferente da ID do aplicativo. Utilize o comando az ad sp list para listar as entidades de serviço disponíveis.
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
O parâmetro --filter aceita filtros no estilo OData e pode ser usado para filtrar a lista, conforme mostrado. O --query parâmetro limita a saída apenas às colunas de interesse.

Use o comando adicionar membros do grupo az ad para adicionar membros ao grupo:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Atribuir funções ao grupo

Em seguida, determine quais funções (permissões) seu aplicativo precisa em quais recursos e atribua essas funções ao grupo de Microsoft Entra criado. Os grupos podem ser atribuídos a uma função no nível do recurso, do grupo de recursos ou da assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos Azure em um único grupo de recursos.

Azure portal
Azure CLI

No portal Azure, navegue até a página Overview do grupo de recursos que contém seu aplicativo.
Selecione Controle de acesso (IAM) na navegação à esquerda.
Na página controle de acesso (IAM), selecione + Adicionar e escolha Adicionar atribuição de função no menu suspenso. A página Adicionar atribuição de função fornece várias guias para configurar e atribuir funções.
Na guia Função , use a caixa de pesquisa para localizar a função que você deseja atribuir. Selecione a função e escolha Avançar.
Na guia Membros :
- Para atribuir acesso ao valor, selecione Usuário, grupo ou entidade de serviço .
- Para o valor Membros, escolha + Selecionar membros para abrir o painel de seleção Selecionar membros.
- Pesquise o grupo de Microsoft Entra criado anteriormente e selecione-o nos resultados filtrados. Escolha Selecionar para escolher o grupo e fechar o painel de menu.
- Selecione Examinar + atribuir na parte inferior da guia Membros .
Na guia Revisão + atribuição , selecione Examinar + atribuir na parte inferior da página.

Use o comando az role definition list para obter os nomes das funções às quais um grupo Microsoft Entra ou entidade de serviço pode ser atribuído a:
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Use o comando az role assignment create para atribuir uma função ao grupo de Microsoft Entra que você criou:
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Para obter informações sobre como atribuir permissões no nível do recurso ou da assinatura usando o Azure CLI, consulte atribuir funções do Azure usando o Azure CLI.

Em seguida, entre no Azure usando uma das ferramentas de desenvolvedor que você pode usar para executar a autenticação em seu ambiente de desenvolvimento. A conta autenticada também deve existir no grupo de Microsoft Entra que você criou e configurou anteriormente.

Os desenvolvedores que usam o Visual Studio Code podem se autenticar com sua conta de desenvolvedor diretamente através do editor usando o intermediário. Os aplicativos que usam DefaultAzureCredential ou VisualStudioCodeCredential podem usar essa conta para autenticar solicitações de aplicativo por meio de uma experiência de logon único contínuo.

Em Visual Studio Code, acesse o painel Extensions e instale a extensão Azure Resources. Essa extensão permite exibir e gerenciar Azure recursos diretamente de Visual Studio Code. Ele também usa o provedor de autenticação interno Visual Studio Code Microsoft para autenticar com Azure.
Abra a Paleta de Comandos no Visual Studio Code e, em seguida, pesquise e selecione Azure: Entrar.

Dica

Abra a Paleta de Comandos usando Ctrl+Shift+P no Windows/Linux ou Cmd+Shift+P no macOS.

O desenvolvedor que usa o IntelliJ pode autenticar usando o plug-in Azure Toolkit for IntelliJ. Use as etapas a seguir para entrar:

Na janela do IntelliJ, abra Arquivo > Configurações > Plugins.
Pesquise por "Azure Toolkit for IntelliJ" no mercado. Instale e reinicie o IDE.
Localize o novo item de menu Ferramentas > Azure > Entrar no Azure.
O Logon do Dispositivo ajuda você a entrar como uma conta de usuário. Siga as instruções para entrar no login.microsoftonline.com site usando o código do dispositivo. O IntelliJ solicita que você selecione suas assinaturas. Selecione a assinatura com os recursos que você deseja acessar.

Os desenvolvedores podem usar Azure CLI para autenticar. Aplicativos que usam DefaultAzureCredential ou AzureCLICredential podem usar essa conta para autenticar solicitações de aplicativo.

Para autenticar com o Azure CLI, execute o comando az login. Em um sistema com um navegador da Web padrão, o Azure CLI inicia o navegador para autenticar o usuário.

az login

Para sistemas sem um navegador da Web padrão, o comando az login usa o fluxo de autenticação de código do dispositivo. Você também pode forçar o Azure CLI a usar o fluxo de código do dispositivo em vez de iniciar um navegador especificando o argumento --use-device-code.

az login --use-device-code

Os desenvolvedores podem usar Azure Developer CLI para se autenticar no Microsoft Entra ID. Os aplicativos que usam DefaultAzureCredential ou AzureDeveloperCliCredential podem usar essa conta para autenticar solicitações de aplicativo ao serem executados localmente.

Para autenticar com a CLI do Desenvolvedor Azure, execute o comando azd auth login. Em um sistema com um navegador da Web padrão, a CLI do Desenvolvedor do Azure inicia o navegador para autenticar o usuário.

azd auth login

Para sistemas sem um navegador da web padrão, o azd auth login --use-device-code utiliza o fluxo de autenticação por código do dispositivo. O usuário também pode forçar a CLI do desenvolvedor Azure a usar o fluxo de código do dispositivo em vez de iniciar um navegador especificando o argumento --use-device-code.

azd auth login --use-device-code

Os desenvolvedores podem usar Azure PowerShell para se autenticar no Microsoft Entra ID. Os aplicativos que usam DefaultAzureCredential ou AzurePowerShellCredential podem usar essa conta para autenticar solicitações de aplicativo ao serem executados localmente.

Para autenticar com Azure PowerShell, execute o comando Connect-AzAccount. Em um sistema com um navegador da Web padrão e versão 5.0.0 ou posterior de Azure PowerShell, ele inicia o navegador para autenticar o usuário.

Connect-AzAccount

Para sistemas sem um navegador da Web padrão, o comando Connect-AzAccount usa o fluxo de autenticação de código do dispositivo. O usuário também pode forçar Azure PowerShell a usar o fluxo de código do dispositivo em vez de iniciar um navegador especificando o argumento UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Autenticar nos serviços do Azure a partir do seu aplicativo

A biblioteca Azure Identity fornece implementações de TokenCredential que dão suporte a vários cenários e fluxos de autenticação Microsoft Entra. As etapas a seguir mostram como usar DefaultAzureCredential ou uma credencial de ferramenta de desenvolvimento específica ao trabalhar com contas de usuário localmente.

Implementar o código

Adicione a dependência azure-identity ao arquivo pom.xml:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Escolha uma das implementações de credencial com base em seu cenário.
- Use uma credencial específica para sua ferramenta de desenvolvimento: essa opção é melhor para cenários de uma única pessoa ou de ferramenta única.
- Use uma credencial disponível para uso em qualquer ferramenta de desenvolvimento: essa opção é melhor para projetos de software livre e equipes de ferramentas diversas.

Use uma credencial específica para sua ferramenta de desenvolvimento

Passe uma instância de TokenCredential correspondente a uma ferramenta de desenvolvimento específica para o construtor do cliente de serviço Azure, como AzureCliCredential.

import com.azure.identity.AzureCliCredential;
import com.azure.identity.AzureCliCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

AzureCliCredential credential = new AzureCliCredentialBuilder().build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Cada credencial de ferramenta segue o mesmo padrão. Substitua o tipo de credencial e seu construtor correspondente conforme necessário:

AzureCliCredential / AzureCliCredentialBuilder
AzureDeveloperCliCredential / AzureDeveloperCliCredentialBuilder
AzurePowerShellCredential / AzurePowerShellCredentialBuilder
IntelliJCredential / IntelliJCredentialBuilder
VisualStudioCodeCredential / VisualStudioCodeCredentialBuilder

Usar uma credencial disponível para uso em qualquer ferramenta de desenvolvimento

Use uma DefaultAzureCredential instância otimizada para todas as ferramentas de desenvolvimento locais. Este exemplo requer a variável AZURE_TOKEN_CREDENTIALS de ambiente definida como dev. Para obter mais informações, consulte Excluir uma categoria de tipo de credencial.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .requireEnvVars(AzureIdentityEnvVars.AZURE_TOKEN_CREDENTIALS)
    .build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Próximas Etapas

Este artigo abordou a autenticação durante o desenvolvimento usando credenciais disponíveis em seu computador. Essa forma de autenticação é uma das várias maneiras pelas quais você pode se autenticar no Azure SDK para Java. Os artigos a seguir descrevem outras maneiras:

Se você encontrar problemas relacionados à autenticação do ambiente de desenvolvimento, consulte Solucionar problemas de autenticação de ambiente de desenvolvimento.

Depois de dominar a autenticação, consulte Configurar o log no Azure SDK para Java para obter informações sobre a funcionalidade de registro em log fornecida pelo SDK.

Comentários

Esta página foi útil?

Last updated on 2026-03-11