Registrar um aplicativo para solicitar tokens de autorização e trabalhar com APIs

Para acessar as APIs REST do Azure, como a API do Log Analytics, ou para enviar métricas personalizadas, você pode gerar um token de autorização com base em uma ID do cliente e em um segredo. Em seguida, o token é passado em sua solicitação à API REST. Este artigo mostra como registrar um aplicativo cliente e criar um segredo do cliente para que você possa gerar um token.

Registrar um Aplicativo

Crie uma entidade de serviço e registre um aplicativo usando o portal do Azure, a CLI do Azure ou o PowerShell.

Azure portal

1. Para registrar um aplicativo, abra a página “Visão geral” do Active Directory no portal do Azure.

2. Selecione Registros de aplicativo na barra lateral.

3. Selecione Novo registro.

4. Na página “Registrar um aplicativo”, insira um Nome para o aplicativo.

5. Escolha Registrar

6. Na página de visão geral do aplicativo, selecione Certificados e segredos

7. Observe a ID do aplicativo (cliente). Ela é usada na solicitação HTTP para um token.

8. Na guia “Segredos do cliente”, selecione Novo segredo do cliente

9. Insira uma Descrição e selecione Adicionar

10. Copie e salve o Valor do segredo do cliente.

    Observação

    Os valores de segredo do cliente só podem ser visualizados imediatamente após a criação. Salve o segredo antes de sair da página.

    

CLI do Azure

Execute o script a seguir para criar uma entidade de serviço e um aplicativo.

az ad sp create-for-rbac -n <Service principal display name> 

A resposta é a seguinte:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Importante

A saída inclui credenciais que você deve proteger. Lembre-se de não incluir essas credenciais em seu código ou de verificar as credenciais em seu controle do código-fonte.

Adicionar uma função e um escopo para os recursos que você deseja acessar usando a API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

O exemplo a seguir da CLI atribui a Reader função à entidade de serviço para todos os recursos no rg-001grupo de recursos:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Para obter mais informações sobre como criar as entidade de serviço usando a CLI do Azure, consulte Criar uma entidade de serviço do Azure com a CLI do Azure.

PowerShell

O script de exemplo a seguir demonstra a criação de uma entidade de serviço do Microsoft Entra por meio do PowerShell. Para obter instruções mais detalhadas, consulte usando o Azure PowerShell para criar uma entidade de serviço para acessar recursos

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Próximas etapas

Antes de gerar um token usando o aplicativo, a ID do cliente e o segredo, atribua o aplicativo a uma função usando o controle de acesso (IAM) para o recurso que deseja acessar. A função dependerá do tipo de recurso e da API que você deseja usar.
Por exemplo,

• Para conceder ao aplicativo a leitura de um Workspace do Log Analytics, adicione-o como membro à função Leitor usando o controle de acesso (IAM) para seu Workspace do Log Analytics. Para saber mais, veja Acessar a API.

• Para conceder acesso para o envio de métricas personalizadas para um recurso, adicione o aplicativo como membro à função Editor de Métricas de Monitoramento usando o controle de acesso (IAM) para seu recurso. Para obter mais informações, consulte Enviar métricas para o banco de dados de métricas do Azure Monitor usando a API REST

Para obter mais informações, consulte Atribuir funções do Azure usando o portal do Azure

Depois de atribuir uma função, você poderá usar o aplicativo, a ID do cliente e o segredo do cliente para gerar um token de portador para acessar a API REST.

Observação

Ao usar a autenticação do Microsoft Entra, pode levar até 60 minutos para que a API REST do Azure Application Insights reconheça novas permissões de RBAC (controle de acesso baseado em função). Enquanto as permissões são propagadas, chamadas à API REST poderão falhar com o código de erro 403.