Autenticar para Azure recursos de aplicativos Java hospedados localmente

Os aplicativos hospedados fora do Azure, como em um ambiente local ou em um data center de terceiros, devem usar uma entidade de serviço de aplicativo por meio de Microsoft Entra ID para autenticar nos serviços do Azure. Nas seções a seguir, você aprenderá:

Como registrar um aplicativo na Microsoft Entra para criar um principal de serviço.
Como atribuir funções a permissões dentro de um escopo.
Como autenticar usando um principal de serviço a partir do código do seu aplicativo.

Usando entidades de serviço de aplicativo dedicadas, você pode seguir o princípio do privilégio mínimo ao acessar recursos Azure. Limite as permissões aos requisitos específicos do aplicativo durante o desenvolvimento para impedir o acesso acidental a Azure recursos destinados a outros aplicativos ou serviços. Essa abordagem também ajuda você a evitar problemas ao mover o aplicativo para produção, garantindo que o aplicativo não tenha privilégios excessivos no ambiente de desenvolvimento.

Crie um registro de aplicativo diferente para cada ambiente em que você hospeda o aplicativo. Você pode configurar permissões de recursos específicas do ambiente para cada principal de serviço e garantir que um aplicativo desdobrado em um ambiente não acesse recursos do Azure em outro ambiente.

Registrar o aplicativo no Azure

Os objetos do service principal do aplicativo são criados por meio de um registro no Azure usando o portal do Azure ou o Azure CLI.

Azure portal
Azure CLI

No portal Azure, use a barra de pesquisa para navegar até a página App registrations.
Na página App registrations, selecione + Novo registro.
Na página Registrar um aplicativo:
- Para o campo Nome, insira um valor descritivo que inclui o nome do aplicativo e o ambiente de destino.
- Para os Tipos de conta com suporte, selecione Contas somente neste diretório organizacional (somente cliente da Microsoft – Locatário único) ou qualquer opção que melhor atenda às suas necessidades.
Selecione Registrar para registrar seu aplicativo e criar a entidade de serviço.

Uma captura de tela mostrando como criar um registro de aplicativo no portal do Azure.
Na página Registro do aplicativo , copie a ID do aplicativo (cliente) e a ID do diretório (locatário) e cole-as em um local temporário para uso posterior nas configurações do código do aplicativo.
Selecione Adicionar um certificado ou um secreto para configurar credenciais para seu aplicativo.
Na página Certificados e segredos, selecione + Novo segredo do cliente.
No painel de submenu Adicionar um segredo do cliente que se abre:
- Para a Descrição, insira um valor de Current.
- Para o valor Expira, deixe o valor padrão recomendado como 180 days.
- Selecione Adicionar para adicionar o segredo.
Na página Certificados e segredos, copie a propriedade Value do segredo do cliente para uso em uma etapa futura.

Observação

O valor do segredo do cliente só é exibido uma vez depois que o registro do aplicativo é criado. Você pode adicionar mais segredos do cliente sem invalidar esse segredo do cliente, mas não há como exibir esse valor novamente.

Azure CLI comandos podem ser executados no Azure Cloud Shell ou em uma estação de trabalho com o Azure CLI instalado.

Use o comando az ad sp create-for-rbac para criar um registro de aplicativos e a entidade de serviço do aplicativo.

az ad sp create-for-rbac --name <service-principal-name>

A saída desse comando é semelhante ao seguinte JSON:

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

Copie essa saída em um arquivo temporário em um editor de texto, pois você precisará desses valores em uma etapa futura.

Observação

O valor do segredo do cliente só é exibido uma vez depois que o registro do aplicativo é criado. Você pode adicionar mais segredos do cliente sem invalidar esse segredo do cliente, mas não há como exibir esse valor novamente.

Atribuir funções ao principal de serviço do aplicativo

Em seguida, determine quais funções (permissões) seu aplicativo precisa em quais recursos e atribua essas funções à entidade de serviço que você criou. As funções podem ser atribuídas no escopo de um recurso, de um grupo de recursos ou de uma assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos Azure em um único grupo de recursos.

Azure portal
Azure CLI

No portal Azure, navegue até a página Overview do grupo de recursos que contém seu aplicativo.
Selecione Controle de acesso (IAM) na navegação à esquerda.
Na página controle de acesso (IAM), selecione + Adicionar e escolha Adicionar atribuição de função no menu suspenso. A página Adicionar atribuição de função fornece várias guias para configurar e atribuir funções.
Na guia Função , use a caixa de pesquisa para localizar a função que você deseja atribuir. Selecione a função e escolha Avançar.
Na guia Membros :
- Para atribuir acesso ao valor, selecione Usuário, grupo ou entidade de serviço .
- Para o valor Membros, escolha + Selecionar membros para abrir o painel de seleção Selecionar membros.
- Pesquise a entidade de serviço que você criou anteriormente e selecione-a nos resultados filtrados. Escolha Selecionar para escolher o grupo e fechar o painel de menu.
- Selecione Examinar + atribuir na parte inferior da guia Membros .
Na guia Revisão + atribuição , selecione Examinar + atribuir na parte inferior da página.

Use o comando az role definition list para obter os nomes das funções às quais uma entidade de serviço pode ser atribuída:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Use o comando az role assignment create para atribuir uma função a um principal do serviço de aplicativo.
```
az role assignment create \
    --assignee "<app-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Para obter informações sobre como atribuir permissões no nível do recurso ou da assinatura usando o Azure CLI, consulte atribuir funções do Azure usando o Azure CLI.

Definir as variáveis de ambiente do aplicativo

Durante a execução, determinadas credenciais da biblioteca Azure Identity, como DefaultAzureCredential, EnvironmentCredential e ClientSecretCredential, pesquisam informações do principal de serviço por convenção nas variáveis de ambiente. Ao trabalhar com Java, você pode configurar variáveis de ambiente de várias maneiras, dependendo de suas ferramentas e ambiente.

Independentemente da abordagem escolhida, configure as seguintes variáveis de ambiente para uma entidade de serviço:

AZURE_CLIENT_ID: usado para identificar o aplicativo registrado no Azure.
AZURE_TENANT_ID: O ID do locatário do Microsoft Entra.
AZURE_CLIENT_SECRET: a credencial secreta que foi gerada para o aplicativo.

Defina as variáveis de ambiente a seguir. Substitua os valores de placeholder pelos valores reais do cadastro do aplicativo:

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Para um aplicativo Java em execução como um serviço sistemado em um servidor de produção, defina as variáveis de ambiente em um arquivo e faça referência a ele com a diretiva EnvironmentFile no arquivo de unidade de serviço:

[Unit]
Description=Java application service
After=network.target

[Service]
User=app-user
WorkingDirectory=/path/to/java-app
EnvironmentFile=/path/to/java-app/app-environment-variables
ExecStart=/usr/bin/java -jar app.jar

[Install]
WantedBy=multi-user.target

O arquivo de ambiente deve conter uma lista de variáveis de ambiente com seus valores:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Em Visual Studio Code, defina variáveis de ambiente no arquivo .vscode/launch.json do seu projeto. O aplicativo usa automaticamente esses valores quando é iniciado. No entanto, essas configurações não viajam com seu aplicativo durante a implantação, portanto, você precisa configurar variáveis de ambiente em seu ambiente de hospedagem de destino.

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Configurar variáveis de ambiente na configuração de execução:

Selecione Executar > Editar Configurações....
Selecione a configuração do aplicativo.

No campo Variáveis de ambiente , adicione suas variáveis:

AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>

Selecione Aplicar e, em seguida, OK.

Você pode definir variáveis de ambiente para Windows da linha de comando. No entanto, todos os aplicativos em execução nesse sistema operacional podem acessar os valores, o que pode causar conflitos. Tenha cuidado com essa abordagem. Você pode definir variáveis de ambiente no nível do usuário ou do sistema.

# Set user environment variables
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

Você também pode usar o PowerShell para definir variáveis de ambiente no nível do usuário ou do sistema:

# Set user environment variables
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Autenticar nos serviços do Azure a partir do seu aplicativo

A biblioteca Azure Identity fornece várias credenciais - implementações de TokenCredential que dão suporte a diferentes cenários e fluxos de autenticação do Microsoft Entra. As etapas a seguir mostram como usar ClientSecretCredential ao trabalhar com entidades de serviço tanto localmente quanto em produção.

Implementar o código

Adicione a dependência azure-identity ao arquivo pom.xml:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Você acessa Azure serviços usando classes de cliente especializadas das várias bibliotecas de cliente Azure SDK. Para qualquer código Java que crie um objeto cliente Azure SDK em seu aplicativo, siga estas etapas:

Importe a ClientSecretCredentialBuilder classe do com.azure.identity pacote.
Crie um ClientSecretCredential objeto usando ClientSecretCredentialBuilder com o tenantId, clientIde clientSecret.
Passe a instância de ClientSecretCredential para o método credential do construtor de objetos do cliente Azure SDK.

Um exemplo dessa abordagem é mostrado no seguinte segmento de código:

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();

Comentários

Esta página foi útil?

Last updated on 2026-03-11