Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os aplicativos podem usar a biblioteca de Identidade do Azure para autenticar na ID do Microsoft Entra, que permite que os aplicativos acessem os serviços e recursos do Azure. Este requisito de autenticação aplica-se quer a aplicação seja implementada no Azure, alojada no local ou executada localmente numa estação de trabalho de programador. As secções seguintes descrevem as abordagens recomendadas para autenticar uma aplicação para o Microsoft Entra ID em diferentes ambientes ao utilizar o Azure SDK para JavaScript.
Abordagem recomendada para autenticação de aplicativos
A autenticação baseada em token por meio do Microsoft Entra ID é a abordagem recomendada para autenticar aplicativos no Azure, em vez de usar cadeias de conexão ou opções baseadas em chave. A biblioteca de Identidade do Azure fornece classes que dão suporte à autenticação baseada em token e permitem que os aplicativos se autentiquem nos recursos do Azure, independentemente de o aplicativo ser executado localmente, no Azure ou em um servidor local.
Vantagens da autenticação baseada em tokens
A autenticação baseada em tokens oferece as seguintes vantagens em relação às cadeias de conexão:
- A autenticação baseada em tokens garante que apenas as aplicações específicas destinadas a aceder ao recurso Azure podem aceder a ele, enquanto qualquer pessoa ou qualquer aplicação com uma string de ligação pode ligar-se a um recurso Azure.
- A autenticação baseada em tokens permite-lhe limitar o acesso aos recursos do Azure apenas às permissões específicas necessárias pela aplicação. Esta abordagem segue o princípio do menor privilégio. Por outro lado, uma cadeia de conexão concede direitos completos ao recurso do Azure.
- Quando usa uma identidade gerida para autenticação baseada em tokens, o Azure trata das funções administrativas por si, por isso não precisa de se preocupar com tarefas como proteger ou rodar segredos. Esta abordagem torna a aplicação mais segura porque não existe cadeia de ligação ou segredo de aplicação que possa ser comprometido.
- A biblioteca de Identidade do Azure adquire e gerencia tokens do Microsoft Entra para você.
Limitar o uso de cadeias de ligação a cenários onde a autenticação baseada em token não seja uma opção, aplicações iniciais de prova de conceito ou protótipos de desenvolvimento que não acedam a dados de produção ou sensíveis. Quando possível, use as classes de autenticação baseada em token disponíveis na biblioteca de Identidade do Azure para autenticar nos recursos do Azure.
Autenticação em diferentes ambientes
O tipo específico de autenticação baseada em token que um aplicativo deve usar para autenticar nos recursos do Azure depende de onde o aplicativo é executado. O diagrama a seguir fornece orientação para diferentes cenários e ambientes:
Quando uma aplicação é:
- Hospedado no Azure: o aplicativo deve se autenticar nos recursos do Azure usando uma identidade gerenciada. Essa opção é discutida com mais detalhes em autenticação em ambientes de servidor.
- Em execução local durante o desenvolvimento: o aplicativo pode se autenticar no Azure usando uma conta de desenvolvedor, um agente ou uma entidade de serviço. Cada opção é discutida com mais detalhes na seção sobre autenticação durante o desenvolvimento local.
- Alojado no local: A aplicação deve autenticar-se em recursos do Azure usando um principal de serviço de aplicação. Os fluxos de trabalho on-premises são discutidos com mais detalhe em Autenticação para aplicações alojadas on-premises.
Autenticação para aplicativos hospedados no Azure
Quando seu aplicativo é hospedado no Azure, ele pode usar identidades gerenciadas para autenticar recursos do Azure sem precisar gerenciar credenciais. Existem dois tipos de identidades gerenciadas: atribuídas pelo usuário e atribuídas pelo sistema.
Usar uma identidade gerenciada atribuída pelo usuário
Uma identidade gerida atribuída pelo utilizador é criada como um recurso autónomo do Azure. Ele pode ser atribuído a um ou mais recursos do Azure, permitindo que esses recursos compartilhem a mesma identidade e permissões. Para autenticar usando uma identidade gerida atribuída pelo utilizador, crie a identidade, atribua-a ao seu recurso Azure e depois configure a sua aplicação para usar essa identidade para autenticação, especificando o seu ID de cliente.
Usar uma identidade gerenciada atribuída ao sistema
Uma identidade gerenciada atribuída ao sistema é habilitada diretamente em um recurso do Azure. A identidade está vinculada ao ciclo de vida desse recurso e é excluída automaticamente quando o recurso é excluído. Para autenticar usando uma identidade gerenciada atribuída ao sistema, habilite a identidade em seu recurso do Azure e configure seu aplicativo para usar essa identidade para autenticação.
Autenticação durante o desenvolvimento local
Durante o desenvolvimento local, pode autenticar-se nos recursos do Azure usando as suas credenciais de programador, um corretor ou um principal de serviço. Isso permite que você teste a lógica de autenticação do seu aplicativo sem implantá-la no Azure.
Usar credenciais de desenvolvedor
Você pode usar suas próprias credenciais do Azure para autenticar recursos do Azure durante o desenvolvimento local. Isso geralmente é feito usando uma ferramenta de desenvolvimento, como a CLI do Azure, que pode fornecer ao seu aplicativo os tokens necessários para acessar os serviços do Azure. Este método é conveniente, mas só deve ser usado para fins de desenvolvimento.
Use um intermediário
A autenticação intermediada coleta credenciais de usuário usando o agente de autenticação do sistema para autenticar um aplicativo. Um broker de autenticação do sistema funciona no computador de um utilizador e gere os processos de verificação de autenticação e a manutenção de tokens para todas as contas associadas.
Usar uma entidade de serviço
Um principal de serviço é criado num inquilino do Microsoft Entra para representar um aplicativo, sendo utilizada para autenticar-se em recursos do Azure. Você pode configurar seu aplicativo para usar credenciais da entidade de serviço durante o desenvolvimento local. Esse método é mais seguro do que usar credenciais de desenvolvedor e está mais próximo de como seu aplicativo será autenticado na produção. No entanto, ainda é menos ideal do que usar uma identidade gerenciada devido à necessidade de segredos.
Autenticação para aplicativos hospedados no local
Para aplicativos hospedados localmente, você pode usar uma entidade de serviço para autenticar recursos do Azure. Isso envolve a criação de uma entidade de serviço no Microsoft Entra ID, atribuindo-lhe as permissões necessárias e configurando seu aplicativo para usar suas credenciais. Esse método permite que seu aplicativo local acesse com segurança os serviços do Azure.