Autentique aplicações Java em serviços Azure durante o desenvolvimento local usando contas de programador

Durante o desenvolvimento local, as aplicações precisam de se autenticar no Azure para aceder a vários serviços do Azure. Pode autenticar localmente utilizando uma das seguintes abordagens:

Use uma conta de programador com uma das ferramentas suportadas pela biblioteca Azure Identity.
Use um princípio de serviço. Para mais informações, consulte Autenticar aplicações de Java para Azure serviços durante o desenvolvimento local utilizando princípios de serviço.

Este artigo explica como autenticar-se usando uma conta de programador com ferramentas suportadas pela biblioteca Azure Identity. Neste artigo, vai aprender a:

Como usar grupos Microsoft Entra para gerir de forma eficiente permissões para múltiplas contas de programadores.
Como atribuir funções a contas de desenvolvedor para definir o escopo das permissões.
Como iniciar sessão nas ferramentas de desenvolvimento local suportadas.
Como autenticar-se usando uma conta de programador a partir do código da sua aplicação.

Ferramentas de desenvolvedor suportadas para autenticação

Durante o desenvolvimento local, uma aplicação pode autenticar-se no Azure usando as suas credenciais do Azure. Para que esta autenticação funcione, deve estar conectado ao Azure através de uma ferramenta de desenvolvimento, como uma das seguintes:

Azure CLI
Azure Developer CLI (Interface de Linha de Comando do Azure para Desenvolvedores)
Azure PowerShell
Visual Studio Code
IntelliJ IDEIA

A biblioteca Azure Identity consegue detetar que o programador está iniciado sessão através de uma destas ferramentas. A biblioteca pode então obter o token de acesso Microsoft Entra através da ferramenta para autenticar a aplicação no Azure como utilizador autenticado.

Esta abordagem aproveita as contas Azure existentes do programador para simplificar o processo de autenticação. No entanto, a conta de um programador provavelmente tem mais permissões do que a aplicação exige, excedendo assim as permissões com que a aplicação funciona em produção. Como alternativa, pode-se criar principais de serviço de aplicação para usar durante o desenvolvimento local, que podem ser limitados apenas ao acesso necessário para a aplicação.

Crie um grupo Microsoft Entra para desenvolvimento local

Crie um grupo Microsoft Entra para encapsular os papéis (permissões) que a aplicação necessita no desenvolvimento local, em vez de atribuir os papéis a objetos principais de serviço individuais. Esta abordagem oferece as seguintes vantagens:

Cada desenvolvedor tem as mesmas funções atribuídas no nível do grupo.
Se uma nova função for necessária para o aplicativo, ela só precisará ser adicionada ao grupo do aplicativo.
Se um novo programador ingressar na equipa, um novo principal de serviço da aplicação será criado para o programador e adicionado ao grupo, garantindo que o programador tenha as permissões certas para trabalhar na aplicação.

Portal do Azure
Azure CLI

Navegue até à página de visão geral Microsoft Entra ID no portal Azure.
Selecione Todos os grupos no menu à esquerda.
Na página Grupos , selecione Novo grupo.
Na página Novo de grupo, preencha os seguintes campos de formulário:
- Tipo de grupo: Selecione Segurança.
- Nome do grupo: insira um nome para o grupo que inclua uma referência ao nome do aplicativo ou ambiente.
- Descrição do grupo: insira uma descrição que explique a finalidade do grupo.
Selecione o link Sem membros selecionados em Membros para adicionar membros ao grupo.
No painel suspenso que se abre, procure o principal de serviço que criou anteriormente e selecione-o nos resultados filtrados. Escolha o botão Selecionar na parte inferior do painel para confirmar sua seleção.
Selecione Criar na parte inferior da página Novo grupo para criar o grupo e retornar à página Todos os grupos . Se não vir o novo grupo listado, aguarde um momento e atualize a página.

Use o comando az ad group create para criar grupos em Microsoft Entra ID.
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
Os parâmetros --display-name e --mail-nickname são necessários. O nome dado ao grupo deve ser baseado no nome e no ambiente do aplicativo para indicar a finalidade do grupo.
Para adicionar membros ao grupo, precisas do ID do objeto do principal de serviço da aplicação, que é diferente do ID da aplicação. Utilize o comando az ad sp list para enumerar as entidades de serviço disponíveis.
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
O --filter parâmetro aceita filtros no estilo OData e pode ser usado para filtrar a lista conforme mostrado. O --query parâmetro limita a saída apenas às colunas de interesse.

Use o comando az ad group member add para adicionar membros ao grupo:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Atribuir funções ao grupo

De seguida, determina que funções (permissões) a tua aplicação precisa sobre que recursos e atribui esses papéis ao grupo Microsoft Entra que criaste. Os grupos podem receber uma função em um recurso, num grupo de recursos ou no âmbito de uma assinatura. Este exemplo mostra como atribuir papéis no âmbito do grupo de recursos, uma vez que a maioria das aplicações agrupa todos os seus recursos do Azure num único grupo de recursos.

Portal do Azure
Azure CLI

No portal Azure, navegue até à página Overview do grupo de recursos que contém a sua aplicação.
Selecione Controle de acesso (IAM) na navegação à esquerda.
Na página Controle de acesso (IAM), selecione + Adicionar e escolha Adicionar atribuição de função no menu suspenso. A página Adicionar atribuição de função fornece várias guias para configurar e atribuir funções.
Na guia Função , use a caixa de pesquisa para localizar a função que você deseja atribuir. Selecione a função e, em seguida, escolha Avançar.
Na aba Membros
- Para o valor Atribuir acesso a , selecione Usuário, grupo ou entidade de serviço .
- Para o valor Membros, escolha + Selecionar membros para abrir o painel flutuante Selecionar membros.
- Procura o grupo Microsoft Entra que criaste anteriormente e seleciona-o nos resultados filtrados. Escolha e depois selecione para selecionar o grupo e fechar o painel de pop-up.
- Selecione Revisar + atribuir no fundo do separador Membros.
No separador Rever + atribuir, selecione Rever + atribuir na parte de baixo da página.

Use o comando az role definition list para obter os nomes das funções a que um grupo de Microsoft Entra ou um principal de serviço pode ser atribuído:
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Use o comando az role assignment create para atribuir um role ao grupo de Microsoft Entra que criou:
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Para informações sobre a atribuição de permissões ao nível do recurso ou subscrição usando o Azure CLI, veja Atribuir Azure funções usando o Azure CLI.

De seguida, inicia sessão no Azure usando uma das ferramentas de desenvolvimento que podes usar para realizar autenticação no teu ambiente de desenvolvimento. A conta que autentica também deve existir no grupo Microsoft Entra que criou e configurou anteriormente.

Os programadores que usam Visual Studio Code podem autenticar-se diretamente com a sua conta de programador através do editor através do broker. Aplicativos que usam DefaultAzureCredential ou VisualStudioCodeCredential podem usar essa conta para autenticar solicitações de aplicativos por meio de uma experiência de logon único perfeita.

No Visual Studio Code, vai ao painel Extensões e instala a extensão Azure Resources. Esta extensão permite-lhe visualizar e gerir recursos do Azure diretamente a partir do Visual Studio Code. Também utiliza o fornecedor de autenticação Microsoft incorporado Visual Studio Code para autenticar com o Azure.
Abra a Paleta de Comandos em Visual Studio Code, depois procure e selecione Azure: Iniciar sessão.

Sugestão

Abra a Paleta de Comandos usando Ctrl+Shift+P no Windows/Linux ou Cmd+Shift+P no macOS.

Um programador que utiliza IntelliJ pode autenticar-se usando o plugin Azure Toolkit for IntelliJ. Use as seguintes etapas para entrar:

Na sua janela do IntelliJ, abra Ficheiro > Definições > Plugins.
Procure por "Azure Toolkit for IntelliJ" na loja. Instala e reinicia o IDE.
Encontre o novo item do menu Ferramentas > Azure > Azure Iniciar sessão.
O Login de Dispositivo ajuda-te a iniciar sessão como conta de utilizador. Siga as instruções para iniciar sessão no login.microsoftonline.com site usando o código do dispositivo. O IntelliJ pede-lhe para selecionar as suas subscrições. Selecione a subscrição com os recursos que pretende aceder.

Os programadores podem usar Azure CLI para autenticar. Aplicações que usam DefaultAzureCredential ou AzureCLICredential podem depois usar esta conta para autenticar pedidos de aplicação.

Para autenticar com o Azure CLI, execute o comando az login. Num sistema com navegador web predefinido, a Azure CLI inicia o navegador para autenticar o utilizador.

az login

Para sistemas sem um navegador da Web padrão, o comando az login usa o fluxo de autenticação do código do dispositivo. Também podes forçar o Azure CLI a usar o fluxo de código do dispositivo em vez de lançar um navegador, especificando o argumento --use-device-code.

az login --use-device-code

Os programadores podem usar Azure Developer CLI para autenticar em Microsoft Entra ID. Aplicativos que usam DefaultAzureCredential ou AzureDeveloperCliCredential podem usar essa conta para autenticar solicitações de aplicativos quando executados localmente.

Para autenticar com a CLI do Azure Developer, execute o comando azd auth login. Num sistema com navegador web predefinido, a CLI do Azure Developer inicia o navegador para autenticar o utilizador.

azd auth login

Para sistemas sem um navegador da Web padrão, o azd auth login --use-device-code usa o fluxo de autenticação do código do dispositivo. O utilizador pode também forçar a CLI Azure Developer a usar o fluxo de código do dispositivo em vez de lançar um navegador, especificando o argumento --use-device-code.

azd auth login --use-device-code

Os programadores podem usar Azure PowerShell para autenticar a Microsoft Entra ID. Aplicativos que usam DefaultAzureCredential ou AzurePowerShellCredential podem usar essa conta para autenticar solicitações de aplicativos quando executados localmente.

Para autenticar com Azure PowerShell, execute o comando Connect-AzAccount. Num sistema com navegador web predefinido e versão 5.0.0 ou posterior do Azure PowerShell, o navegador é iniciado para autenticar o utilizador.

Connect-AzAccount

Para sistemas sem um navegador da Web padrão, o comando Connect-AzAccount usa o fluxo de autenticação do código do dispositivo. O utilizador pode também forçar Azure PowerShell a usar o fluxo de código do dispositivo em vez de lançar um navegador, especificando o argumento UseDeviceAuthentication.

Connect-AzAccount -UseDeviceAuthentication

Autenticar os serviços do Azure a partir da sua aplicação

A biblioteca de identidade Azure fornece implementações do TokenCredential que suportam vários cenários e fluxos de autenticação Microsoft Entra. Os passos seguintes mostram-lhe como usar o DefaultAzureCredential ou uma credencial específica de ferramenta de desenvolvimento ao trabalhar com contas de utilizador localmente.

Implementar o código

Adicione a azure-identity dependência ao seu pom.xml ficheiro:

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Escolha uma das implementações de credenciais com base no seu cenário.
- Use uma credencial específica para a sua ferramenta de desenvolvimento: esta opção é melhor para situações de uma só pessoa ou de uma única ferramenta.
- Use uma credencial disponível para utilização em qualquer ferramenta de desenvolvimento: esta opção é melhor para projetos open-source e equipas de ferramentas diversificadas.

Use uma credencial específica para a sua ferramenta de desenvolvimento

Passe uma instância TokenCredential correspondente a uma ferramenta de desenvolvimento específica para o construtor do cliente de serviço do Azure, como AzureCliCredential.

import com.azure.identity.AzureCliCredential;
import com.azure.identity.AzureCliCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

AzureCliCredential credential = new AzureCliCredentialBuilder().build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Cada credencial de ferramenta segue o mesmo padrão. Substitua o tipo de credencial e o respetivo construtor conforme necessário:

AzureCliCredential / AzureCliCredentialBuilder
AzureDeveloperCliCredential / AzureDeveloperCliCredentialBuilder
AzurePowerShellCredential / AzurePowerShellCredentialBuilder
IntelliJCredential / IntelliJCredentialBuilder
VisualStudioCodeCredential / VisualStudioCodeCredentialBuilder

Use uma credencial disponível para uso em qualquer ferramenta de desenvolvimento

Use uma DefaultAzureCredential instância otimizada para todas as ferramentas de desenvolvimento local. Este exemplo requer que a variável AZURE_TOKEN_CREDENTIALS de ambiente seja definida por dev. Para obter mais informações, consulte Excluir uma categoria de tipo de credencial.

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .requireEnvVars(AzureIdentityEnvVars.AZURE_TOKEN_CREDENTIALS)
    .build();

SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Próximos passos

Este artigo abordou a autenticação durante o desenvolvimento, utilizando credenciais disponíveis no seu computador. Esta forma de autenticação é uma das várias formas de autenticar no Azure SDK para Java. Os artigos seguintes descrevem outras formas:

Se tiver problemas relacionados com a autenticação do ambiente de desenvolvimento, consulte Resolução de problemas com autenticação do ambiente de desenvolvimento.

Depois de dominar a autenticação, consulte Configure o registo no Azure SDK para Java para informações sobre a funcionalidade de registo fornecida pelo SDK.

Comentários

Esta página foi útil?

Last updated on 2026-03-11