Autenticar aplicativos Python nos serviços Azure durante o desenvolvimento local usando princípios de serviço

Durante o desenvolvimento local, os aplicativos precisam se autenticar para Azure para acessar vários serviços Azure. Este artigo explica como usar um principal de serviço de aplicativo como uma das duas abordagens mais comuns para autenticação local.

Como registrar um aplicativo no Microsoft Entra para criar um principal de serviço
Como usar grupos de Microsoft Entra para gerenciar permissões com eficiência
Como atribuir as funções às permissões de escopo
Como autenticar-se usando uma entidade de serviço direto do código do seu aplicativo

O uso de entidades de serviço de aplicativo dedicadas permite que você aderir ao princípio de privilégio mínimo ao acessar recursos do Azure. As permissões são limitadas aos requisitos específicos do aplicativo durante o desenvolvimento, impedindo o acesso acidental a recursos Azure destinados a outros aplicativos ou serviços. Essa abordagem também ajuda a evitar problemas quando o aplicativo é movido para produção, garantindo que ele não seja super privilegiado no ambiente de desenvolvimento.

A diagrama mostrando como um aplicativo em execução no desenvolvedor local obtém a entidade de serviço de aplicativo de um arquivo .env e, em seguida, usa essa identidade para se conectar a Azure resources.

Quando o aplicativo é registrado no Azure, um principal de serviço do aplicativo é criado. Para desenvolvimento local:

Crie um registro de aplicativo separado para cada desenvolvedor que trabalha no aplicativo para garantir que cada desenvolvedor tenha sua própria entidade de serviço de aplicativo, evitando a necessidade de compartilhar credenciais.
Crie um registro de aplicativo separado para cada aplicativo para limitar as permissões do aplicativo apenas ao que é necessário.

Durante o desenvolvimento local, as variáveis de ambiente são definidas com a identidade da entidade de serviço de aplicativo. A biblioteca Azure Identity lê essas variáveis de ambiente para autenticar o aplicativo nos recursos de Azure necessários.

Registrar o aplicativo no Azure

Os objetos do service principal do aplicativo são criados por meio de um registro no Azure usando o portal do Azure ou o Azure CLI.

Azure portal
Azure CLI

No portal Azure, use a barra de pesquisa para navegar até a página App registrations.
Na página App registrations, selecione + Novo registro.
Na página Registrar um aplicativo:
- Para o campo Nome, insira um valor descritivo que inclui o nome do aplicativo e o ambiente de destino.
- Para os Tipos de conta com suporte, selecione Contas somente neste diretório organizacional (somente cliente da Microsoft – Locatário único) ou qualquer opção que melhor atenda às suas necessidades.
Selecione Registrar para registrar seu aplicativo e criar a entidade de serviço.

Uma captura de tela mostrando como criar um registro de aplicativo no portal do Azure.
Na página Registro do aplicativo , copie a ID do aplicativo (cliente) e a ID do diretório (locatário) e cole-as em um local temporário para uso posterior nas configurações do código do aplicativo.
Selecione Adicionar um certificado ou um secreto para configurar credenciais para seu aplicativo.
Na página Certificados e segredos, selecione + Novo segredo do cliente.
No painel de submenu Adicionar um segredo do cliente que se abre:
- Para a Descrição, insira um valor para Atual.
- Para o valor de expiração , deixe o valor padrão recomendado de 180 dias.
- Selecione Adicionar para adicionar o segredo.
Na página Certificados e segredos, copie a propriedade Value do segredo do cliente para uso em uma etapa futura.

Observação

O valor do segredo do cliente só é exibido uma vez depois que o registro do aplicativo é criado. Você pode adicionar mais segredos do cliente sem invalidar esse segredo do cliente, mas não há como exibir esse valor novamente.

Azure CLI comandos podem ser executados no Azure Cloud Shell ou em uma estação de trabalho com o Azure CLI instalado.

Use o comando az ad sp create-for-rbac para criar um registro de aplicativos e a entidade de serviço do aplicativo.

az ad sp create-for-rbac --name <service-principal-name>

A saída desse comando é semelhante ao seguinte JSON:

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

Copie essa saída em um arquivo temporário em um editor de texto, pois você precisará desses valores em uma etapa futura.

Observação

O valor do segredo do cliente só é exibido uma vez depois que o registro do aplicativo é criado. Você pode adicionar mais segredos do cliente sem invalidar esse segredo do cliente, mas não há como exibir esse valor novamente.

Criar um grupo de Microsoft Entra para desenvolvimento local

Crie um grupo do Microsoft Entra para encapsular as funções (permissões) que o aplicativo precisa no desenvolvimento local, em vez de atribuir as funções a objetos principal de serviço individuais. Essa abordagem oferece as seguintes vantagens:

Cada desenvolvedor tem as mesmas funções atribuídas no nível do grupo.
Se uma nova função for necessária para o aplicativo, ela só precisará ser adicionada ao grupo do aplicativo.
Se um novo desenvolvedor ingressar na equipe, um novo principal de serviço de aplicativo será criado para o desenvolvedor e adicionado ao grupo, garantindo que o desenvolvedor tenha as permissões corretas para trabalhar no aplicativo.

Azure portal
Azure CLI

Navegue até a página de visão geral Microsoft Entra ID no portal Azure.
Selecione Todos os grupos no menu à esquerda.
Na página Grupos , selecione Novo grupo.
Na página Novo grupo , preencha os seguintes campos de formulário:
- Tipo de grupo: Selecione Segurança.
- Nome do grupo: insira um nome para o grupo que inclui uma referência ao nome do aplicativo ou do ambiente.
- Descrição do grupo: insira uma descrição que explique a finalidade do grupo.
Selecione o link Nenhum membro selecionado em Membros para adicionar membros ao grupo.
No painel de submenu que é aberto, procure a entidade de serviço que você criou anteriormente e selecione-a nos resultados filtrados. Escolha o botão Selecionar na parte inferior do painel para confirmar sua seleção.
Selecione Criar na parte inferior da página Novo grupo para criar o grupo e retornar à página Todos os grupos . Se você não vir o novo grupo listado, aguarde um momento e atualize a página.

Use o comando az ad group create para criar grupos no Microsoft Entra ID.
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
Os parâmetros --display-name e --mail-nickname são obrigatórios. O nome dado ao grupo deve ser baseado no nome e no ambiente do aplicativo para indicar a finalidade do grupo.
Para adicionar membros ao grupo, você precisará da ID do objeto da entidade de serviço do aplicativo, que é diferente da ID do aplicativo. Utilize o comando az ad sp list para listar as entidades de serviço disponíveis.
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
O parâmetro --filter aceita filtros no estilo OData e pode ser usado para filtrar a lista, conforme mostrado. O --query parâmetro limita a saída apenas às colunas de interesse.

Use o comando adicionar membros do grupo az ad para adicionar membros ao grupo:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Atribuir funções ao grupo

Em seguida, determine quais funções (permissões) seu aplicativo precisa em quais recursos e atribua essas funções ao grupo de Microsoft Entra criado. Os grupos podem ser atribuídos a uma função no nível do recurso, do grupo de recursos ou da assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos Azure em um único grupo de recursos.

Azure portal
Azure CLI

No portal Azure, navegue até a página Overview do grupo de recursos que contém seu aplicativo.
Selecione Controle de acesso (IAM) na navegação à esquerda.
Na página controle de acesso (IAM), selecione + Adicionar e escolha Adicionar atribuição de função no menu suspenso. A página Adicionar atribuição de função fornece várias guias para configurar e atribuir funções.
Na guia Função , use a caixa de pesquisa para localizar a função que você deseja atribuir. Selecione a função e escolha Avançar.
Na guia Membros :
- Para atribuir acesso ao valor, selecione Usuário, grupo ou entidade de serviço .
- Para o valor Membros, escolha + Selecionar membros para abrir o painel de seleção Selecionar membros.
- Pesquise o grupo de Microsoft Entra criado anteriormente e selecione-o nos resultados filtrados. Escolha Selecionar para escolher o grupo e fechar o painel de menu.
- Selecione Examinar + atribuir na parte inferior da guia Membros .
Na guia Revisão + atribuição , selecione Examinar + atribuir na parte inferior da página.

Use o comando az role definition list para obter os nomes das funções às quais um grupo Microsoft Entra ou entidade de serviço pode ser atribuído a:
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Use o comando az role assignment create para atribuir uma função ao grupo de Microsoft Entra que você criou:
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Para obter informações sobre como atribuir permissões no nível do recurso ou da assinatura usando o Azure CLI, consulte atribuir funções do Azure usando o Azure CLI.

Definir as variáveis de ambiente do aplicativo

Durante a execução, determinadas credenciais da biblioteca Azure Identity, como DefaultAzureCredential, EnvironmentCredential e ClientSecretCredential, pesquisam informações do principal de serviço por convenção nas variáveis de ambiente. Há várias maneiras de configurar variáveis de ambiente ao trabalhar com Python, dependendo de suas ferramentas e ambiente.

Independentemente da abordagem escolhida, configure as seguintes variáveis de ambiente para uma entidade de serviço:

AZURE_CLIENT_ID: a ID do aplicativo registrado no Azure.
AZURE_TENANT_ID: O ID do locatário do Microsoft Entra.
AZURE_CLIENT_SECRET: credencial de cliente secreta para o app.

Como a maioria dos desenvolvedores trabalha em vários aplicativos, é recomendável usar um pacote como python-dotenv para acessar variáveis de ambiente de um .env arquivo armazenado no diretório do aplicativo durante o desenvolvimento. Essa abordagem define o escopo das variáveis de ambiente para que somente este aplicativo possa usá-las.

O arquivo .env nunca é verificado no controle do código-fonte, pois contém a chave secreta do aplicativo para Azure. O arquivo .gitignore padrão para Python exclui automaticamente o arquivo .env do check-in.

Para usar o python-dotenv pacote, primeiro instale o pacote em seu aplicativo:

pip install python-dotenv

Em seguida, crie um arquivo .env no diretório raiz do aplicativo. Defina os valores da variável de ambiente com valores obtidos do processo de registro do aplicativo:

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

Por fim, no código de inicialização do aplicativo, use a python-dotenv biblioteca para ler as variáveis de ambiente do .env arquivo na inicialização:

from dotenv import load_dotenv

load_dotenv()

Em Visual Studio Code, as variáveis de ambiente podem ser definidas no arquivo launch.json do seu projeto. Esses valores são extraídos automaticamente quando o aplicativo é iniciado. No entanto, essas configurações não viajam com seu aplicativo durante a implantação, portanto, você precisa configurar variáveis de ambiente em seu ambiente de hospedagem de destino.

{
    "version": "0.2.0",
    "configurations": [
        {
            "name": "Python: Current File",
            "type": "debugpy",
            "request": "launch",
            "program": "${file}",
            "console": "integratedTerminal",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Você pode definir variáveis de ambiente para Windows da linha de comando. No entanto, os valores são acessíveis a todos os aplicativos em execução nesse sistema operacional e podem causar conflitos, portanto, tenha cuidado com essa abordagem. As variáveis de ambiente podem ser definidas no nível do usuário ou do sistema.

setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

O PowerShell também pode ser usado para definir variáveis de ambiente no nível do usuário ou do sistema:

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

Depois de executar esses comandos, reinicie todos os terminais ou aplicativos abertos para selecionar as novas variáveis de ambiente.

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Para tornar essas variáveis de ambiente persistentes entre sessões de terminal, adicione essas linhas ao arquivo de perfil do shell (como ~/.bashrc, ~/.zshrcou ~/.bash_profile).

Autenticar nos serviços do Azure a partir do seu aplicativo

A biblioteca azure-identity fornece várias credenciais—implementações de TokenCredential adaptadas para dar suporte a diferentes cenários e fluxos de autenticação do Microsoft Entra. As etapas a seguir demonstram como usar ClientSecretCredential ao trabalhar com entidades de serviço localmente e em produção.

Implementar o código

Comece adicionando o pacote ao seu aplicativo.

pip install azure-identity

Em seguida, para qualquer código Python que crie um objeto cliente Azure SDK em seu aplicativo, você deve:

Importar a classe ClientSecretCredential do módulo azure.identity.
Importe o os módulo para ler variáveis de ambiente.
Leia as variáveis de ambiente para obter a ID do cliente, a ID do locatário e o segredo do cliente.
Crie um ClientSecretCredential objeto passando a ID do locatário, a ID do cliente e o segredo do cliente.
Passe o objeto ClientSecretCredential para o construtor do objeto cliente Azure SDK.

Um exemplo dessa abordagem é mostrado no segmento de código a seguir.

import os
from azure.identity import ClientSecretCredential
from azure.storage.blob import BlobServiceClient

tenant_id = os.environ.get("AZURE_TENANT_ID")
client_id = os.environ.get("AZURE_CLIENT_ID")
client_secret = os.environ.get("AZURE_CLIENT_SECRET")

credential = ClientSecretCredential(tenant_id, client_id, client_secret)

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential)

Comentários

Esta página foi útil?

Last updated on 2026-03-12