Autenticar o acesso e as conexões aos recursos do Azure usando identidades gerenciadas nos Aplicativos Lógicos do Azure

Aplica-se a: Aplicativos Lógicos do Azure (Consumo + Padrão)

Se você quiser evitar fornecer, armazenar e gerenciar credenciais, segredos ou tokens do Microsoft Entra, poderá usar uma identidade gerenciada para autenticar o acesso ou conexões do fluxo de trabalho do aplicativo lógico para recursos protegidos do Microsoft Entra. Nos Aplicativos Lógicos do Azure, algumas operações de conector dão suporte ao uso de uma identidade gerenciada quando você deve autenticar o acesso aos recursos protegidos pelo Microsoft Entra ID. O Azure gerencia esta identidade e ajuda a manter as informações de autenticação seguras para que você não precise gerenciar essas informações confidenciais. Para obter mais informações, confira O que são as identidades gerenciadas para recursos do Azure?

Os Aplicativos Lógicos do Azure dão suporte aos seguintes tipos de identidade gerenciada:

• Identidade gerenciada atribuída pelo sistema

• Identidade gerenciada atribuída pelo usuário

A lista a seguir descreve algumas diferenças entre esses tipos de identidade gerenciada:

• Um recurso de aplicativo lógico pode habilitar e usar apenas uma identidade exclusiva atribuída pelo sistema.

• Um recurso de aplicativo lógico pode compartilhar a mesma identidade atribuída pelo usuário em um grupo de outros recursos do aplicativo lógico.

Este guia mostra como é possível realizar as seguintes tarefas:

• Habilite e configure a identidade atribuída pelo sistema para o recurso de aplicativo lógico. Este guia fornece um exemplo que mostra como usar a identidade para autenticação.

• Crie e configure uma identidade atribuída pelo usuário. Este guia mostra como criar essa identidade usando o portal do Azure ou um modelo do Azure Resource Manager (modelo do ARM) e como usar a identidade para autenticação. Para o Azure PowerShell, a CLI do Azure e a API REST do Azure, confira a seguinte documentação:

  Ferramenta	Documentação
  Azure PowerShell	Criar identidade atribuída ao usuário
  CLI do Azure	Criar identidade atribuída ao usuário
  API REST do Azure	Criar identidade atribuída ao usuário

Pré-requisitos

• Uma conta e uma assinatura do Azure. Se você não tem uma assinatura, inscreva-se em uma conta gratuita do Azure. A identidade gerenciada e o recurso do Azure de destino em que você precisa de acesso devem usar a mesma assinatura do Azure.

• O recurso do Azure de destino que você deseja acessar. Neste recurso, você deve adicionar a função necessária para que a identidade gerenciada acesse este recurso em nome do aplicativo lógico ou da conexão. Para adicionar uma função a uma identidade gerenciada, você precisa de permissões de administrador do Microsoft Entra que possam atribuir funções às identidades no locatário correspondente do Microsoft Entra.

• O fluxo de trabalho e o recurso do aplicativo lógico em que você deseja usar o gatilho ou as ações que dão suporte a identidades gerenciadas.

Diferenças de identidade gerenciada entre os aplicativos lógicos Standard e de Consumo

Com base no tipo de recurso do aplicativo lógico, você pode habilitar a identidade atribuída pelo sistema, a identidade atribuída pelo usuário, ou ambas ao mesmo tempo:

Aplicativo lógico	Ambiente	Suporte de identidade gerenciada
Consumo	– Aplicativos Lógicos multilocatário do Azure - Ambiente do serviço de integração (ISE)	– Você pode habilitar a identidade atribuída pelo sistema ou a identidade atribuída pelo usuário, mas não ambas, no aplicativo lógico. – Você pode usar a identidade gerenciada no nível do recurso do aplicativo lógico e no nível de conexão. – Se você criar e habilitar a identidade atribuída pelo usuário, seu aplicativo lógico poderá ter apenas uma identidade atribuída pelo usuário por vez.
Padrão	- Aplicativos Lógicos do Azure de locatário único - Ambiente do Serviço de Aplicativo v3 (ASEv3) - Aplicativos Lógicos habilitados para o Azure Arc	– Você pode habilitar a identidade atribuída pelo sistema, que está habilitada por padrão, e a identidade atribuída pelo usuário ao mesmo tempo. Você também pode adicionar várias identidades atribuídas pelo usuário ao seu aplicativo lógico. No entanto, o seu aplicativo lógico pode usar apenas uma identidade gerenciada por vez. – Você pode usar a identidade gerenciada no nível do recurso do aplicativo lógico e no nível de conexão.

Para obter informações sobre os limites de identidade gerenciada nos Aplicativos Lógicos do Azure, confira Limites de identidades gerenciadas para aplicativos lógicos. Para obter mais informações sobre os tipos e ambientes de recursos de aplicativo lógico Standard e de Consumo, confira a seguinte documentação:

• Diferenças do ambiente de recursos

• Aplicativos Lógicos habilitados para o Azure Arc

Onde você pode usar uma identidade gerenciada

Nos Aplicativos Lógicos do Azure, somente operações de conector internas e gerenciadas específicas que dão suporte ao OAuth com o Microsoft Entra ID podem usar uma identidade gerenciada para autenticação. As tabelas a seguir fornecem apenas uma seleção de exemplo. Para obter uma lista mais completa, confira a seguinte documentação:

• Tipos de autenticação para gatilhos e ações que dão suporte à autenticação

• Serviços do Azure que dão suporte a identidades gerenciadas para recursos do Azure

• Serviços do Azure que dão suporte à autenticação do Microsoft Entra

Consumo

Para um fluxo de trabalho de aplicativo lógico de Consumo, a tabela a seguir lista conectores de exemplo que dão suporte à autenticação de identidade gerenciada:

Tipo de conector	Conectores com suporte
Interno	- Azure API Management - Serviços de Aplicativo do Azure - Azure Functions - HTTP - HTTP + Webhook Observação: as operações HTTP podem autenticar conexões com contas do Armazenamento do Azure por trás de firewalls do Azure com a identidade atribuída pelo sistema. No entanto, as operações HTTP não dão suporte à identidade atribuída pelo usuário para autenticar as mesmas conexões.
Gerenciado	– Serviço de Aplicativo do Azure - Automação do Azure - Armazenamento de Blobs do Azure – Instância de Contêiner do Azure – Azure Cosmos DB - Azure Data Explorer – Azure Data Factory – Azure Data Lake – Gêmeos Digitais do Azure - Grade de Eventos do Azure - Hubs de eventos do Azure – Azure IoT Central V2 – Azure Key Vault – Logs do Azure Monitor – Filas do Azure - Azure Resource Manager - Barramento de Serviço do Azure – Azure Sentinel – Armazenamento de Tabelas do Azure – VM do Azure - SQL Server

Standard

Para um fluxo de trabalho de aplicativo lógico Standard, a tabela a seguir lista conectores de exemplo que dão suporte à autenticação de identidade gerenciada:

Tipo de conector	Conectores com suporte
Interno	- Automação do Azure - Armazenamento de Blobs do Azure - Hubs de eventos do Azure - Barramento de Serviço do Azure – Filas do Azure – Tabelas do Azure - HTTP - HTTP + Webhook - SQL Server Observação: com exceção dos conectores DO SQL Server e HTTP, a maioria dos conectores internos baseados no provedor de serviços atualmente não dá suporte à seleção de identidades atribuídas pelo usuário para autenticação. Em vez disso, você deve usar a identidade atribuída pelo sistema. As operações HTTP podem autenticar conexões com contas de Armazenamento do Azure por trás dos firewalls do Azure com a identidade atribuída pelo sistema.
Gerenciado	– Serviço de Aplicativo do Azure - Automação do Azure - Armazenamento de Blobs do Azure – Instância de Contêiner do Azure – Azure Cosmos DB - Azure Data Explorer – Azure Data Factory – Azure Data Lake – Gêmeos Digitais do Azure - Grade de Eventos do Azure - Hubs de eventos do Azure – Azure IoT Central V2 – Azure Key Vault – Logs do Azure Monitor – Filas do Azure - Azure Resource Manager - Barramento de Serviço do Azure – Azure Sentinel – Armazenamento de Tabelas do Azure – VM do Azure - SQL Server

Habilitar a identidade atribuída pelo sistema no portal do Azure

Consumo

Em um recurso de aplicativo lógico de Consumo, você deve habilitar manualmente a identidade atribuída pelo sistema.

1. No portal do Azure, abra o recurso de aplicativo lógico de Consumo.

2. No menu do aplicativo lógico, em Configurações, selecione Identidade.

3. Na página Identidade, em Sistema atribuído, selecione Ativado>Salvar. Quando o Azure solicitar que você confirme, selecione Sim.

   

   Observação

   Se você receber o erro de que só é possível ter uma identidade gerenciada, seu aplicativo lógico já estará associado à identidade atribuída ao usuário. Antes de adicionar a identidade atribuída pelo sistema, primeiro você deve remover a identidade atribuída pelo usuário do recurso de aplicativo lógico.

   O recurso de aplicativo lógico agora pode usar a identidade atribuída pelo sistema. Essa identidade é registrada no Microsoft Entra ID e é representada por uma ID de objeto.

   

   Propriedade	Valor	Descrição
   ID do objeto (principal)	<identity-resource-ID>	Um GUID (Identificador Global exclusivo) que representa a identidade atribuída pelo sistema para seu aplicativo lógico em um locatário do Microsoft Entra.

4. Agora, siga as etapas que dão acesso à identidade atribuída pelo sistema ao recurso mais adiante neste guia.

Standard

Em um recurso de aplicativo lógico Standard, a identidade atribuída pelo sistema é habilitada automaticamente. Se você precisar habilitar a identidade, siga estas etapas:

1. No portal do Azure, abra seu recurso de aplicativo lógico Padrão.

2. No menu do aplicativo lógico, em Configurações, selecione Identidade.

3. Na página Identidade, em Sistema atribuído, selecione Ativado>Salvar. Quando o Azure solicitar que você confirme, selecione Sim.

   

   O recurso do seu aplicativo lógico agora pode usar a identidade atribuída pelo sistema, que está registrada no Microsoft Entra ID e é representada por uma ID de objeto.

   

   Propriedade	Valor	Descrição
   ID do objeto (principal)	<identity-resource-ID>	Um GUID (Identificador Global exclusivo) que representa a identidade atribuída pelo sistema para seu aplicativo lógico em um locatário do Microsoft Entra.

4. Agora, siga as etapas que dão a essa identidade acesso ao recurso mais adiante neste guia.

Habilitar a identidade atribuída ao sistema no modelo do ARM

Para automatizar a criação e a de recursos de aplicativo lógico, como os aplicativos lógicos, você pode usar modelos do ARM. Para habilitar a identidade atribuída pelo sistema para o recurso de aplicativo lógico no modelo, adicione o objeto de identidade e a propriedade filho de tipo à definição de recurso do aplicativo lógico no modelo, por exemplo:

Consumo

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Standard

{
   "apiVersion": "2021-01-15",
   "type": "Microsoft.Web/sites",
   "name": "[variables('sites_<logic-app-resource-name>_name')]",
   "location": "[resourceGroup().location]",
   "kind": "functionapp,workflowapp",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {},
   <...>
}

Quando o Azure cria sua definição de recurso de aplicativo lógico, o objeto de identidade obtém as seguintes outras propriedades:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Entra-tenant-ID>"
}

Propriedade (JSON)	Valor	Descrição
principalId	<principal-ID>	O GUID (Identificador Global exclusivo) do objeto da entidade de serviço para a identidade gerenciada que representa seu aplicativo lógico no locatário do Microsoft Entra. Este GUID às vezes aparece como uma "ID de objeto" ou objectID.
tenantId	<Microsoft-Entra-ID-tenant-ID>	O GUID (Identificador Global exclusivo) que representa o locatário do Microsoft Entra no qual o aplicativo lógico é agora um membro. No locatário do Microsoft Entra, a entidade de serviço tem o mesmo nome da instância do aplicativo lógico.

Criar identidade atribuída ao usuário no portal do Azure

Antes de habilitar a identidade atribuída pelo usuário em um recurso de aplicativo lógico de Consumo ou no recurso de aplicativo lógico Standard, você deve criar essa identidade como um recurso separado do Azure.

1. Na caixa de pesquisa do portal do Azure, insira identidades gerenciadas. Na lista de resultados, selecione Identidades gerenciadas.

   

2. Na barra de ferramentas da página Identidades gerenciadas, selecione Criar.

3. Forneça informações sobre sua identidade gerenciada e selecione Examinar + Criar, por exemplo:

   

   Propriedade	Obrigatório	Valor	Descrição
   Assinatura	Sim	<Azure-subscription-name>	O nome da assinatura do Azure
   Grupo de recursos	Sim	<Azure-resource-group-name>	O nome do grupo de recursos do Azure. Crie um grupo ou selecione um existente. Este exemplo cria um novo grupo chamado fabrikam-managed-identities-RG.
   Região	Sim	<Azure-region>	A região do Azure na qual armazenar informações sobre seu recurso. Este exemplo usa Oeste dos EUA.
   Nome	Sim	<user-assigned-identity-name>	O nome a ser dado à sua identidade atribuída ao usuário. Este exemplo usa Fabrikam-user-assigned-identity.

   Depois que o Azure validar as informações, o Azure criará sua identidade gerenciada. Agora você pode adicionar a identidade atribuída pelo usuário ao recurso do aplicativo lógico.

Adicionar identidade atribuída pelo usuário ao aplicativo lógico no portal do Azure

Consumo

1. No portal do Azure, abra o recurso de aplicativo lógico de Consumo.

2. No menu do aplicativo lógico, em Configurações, selecione Identidade.

3. Na página Identidade, selecione Usuário atribuído e, em seguida, selecione Adicionar.

   

4. No painel Adicionar identidade gerenciada atribuída pelo usuário, siga estas etapas:

   1. Na lista Selecionar uma assinatura, selecione a sua assinatura do Azure.

   2. Na lista que tem todas as identidades gerenciadas em sua assinatura, selecione a identidade atribuída pelo usuário desejada. Para filtrar a lista, na caixa de pesquisa Identidades gerenciadas atribuídas ao usuário, insira o nome da identidade ou do grupo de recursos.

      

   3. Quando terminar, selecione Adicionar.

      Observação

      Se você receber um erro de que você pode ter apenas uma identidade gerenciada, seu aplicativo lógico já estará associado à identidade atribuída ao sistema. Para adicionar a identidade atribuída ao usuário, primeiro desabilite a identidade atribuída ao sistema.

   Seu aplicativo lógico agora está associado à identidade atribuída pelo usuário.

   

5. Agora, siga as etapas que dão acesso à identidade ao recurso mais adiante neste guia.

Standard

1. No portal do Azure, abra seu recurso de aplicativo lógico Padrão.

2. No menu do aplicativo lógico, em Configurações, selecione Identidade.

3. Na página Identidade, selecione Usuário atribuído e, em seguida, selecione Adicionar.

   

4. No painel Adicionar identidade gerenciada atribuída pelo usuário, siga estas etapas:

   1. Na lista Selecionar uma assinatura, selecione a sua assinatura do Azure.

   2. Na lista com todas as identidades gerenciadas em sua assinatura, selecione a identidade atribuída pelo usuário desejada. Para filtrar a lista, na caixa de pesquisa Identidades gerenciadas atribuídas ao usuário, insira o nome da identidade ou do grupo de recursos.

      

   3. Quando terminar, selecione Adicionar.

      Seu aplicativo lógico agora está associado à identidade atribuída pelo usuário.

      

   4. Para ter várias identidades atribuídas pelo usuário, repita as mesmas etapas para adicionar essas identidades.

5. Agora, siga as etapas que dão acesso à identidade ao recurso mais adiante neste guia.

Criar a identidade atribuída ao usuário no modelo do ARM

Para automatizar a criação e a de recursos de aplicativo lógico, como os aplicativos lógicos, você pode usar modelos do ARM. Esses modelos dão suporte a identidades atribuídas pelo usuário para autenticação.

Na seção de recursos do modelo, a definição de recursos do aplicativo lógico requer os seguintes itens:

• Um objeto de identidade com a propriedade tipo definida como UserAssigned

• Um objeto userAssignedIdentities filho que especifica o nome e o recurso atribuídos pelo usuário

Consumo

Este exemplo mostra um recurso de aplicativo lógico de Consumo e uma definição de fluxo de trabalho para uma solicitação HTTP PUT com um objeto de identidade não parameterizado. A resposta à solicitação PUT e à operação GET subsequente também inclui este objeto de identidade:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Se o modelo também incluir a definição de recurso da identidade gerenciada, você poderá parametrizar o objeto de identidade. O exemplo a seguir mostra como o objeto userAssignedIdentities filho faz referência a uma variável userAssignedIdentityName que você define na seção de variáveis do modelo. Essa variável referencia a ID de recurso para sua identidade atribuída ao usuário.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Standard

Um recurso de aplicativo lógico Standard pode habilitar e ter tanto a identidade atribuída pelo sistema quanto várias identidades atribuídas pelo usuário definidas. A definição de recurso do aplicativo lógico padrão baseia-se na definição de recurso do aplicativo de funções padrão Azure Functions.

Este exemplo mostra um recurso de aplicativo lógico Standard e uma definição de fluxo de trabalho que inclui um objeto de identidade não parameterizado:

{
   "$schema": "https://schema.management.azure.com/schemas/2019-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2021-02-01",
         "type": "Microsoft.Web/sites/functions",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            },
         },
         "properties": {
            "name": "[variables('appName')]",
            "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
            "hostingEnvironment": "",
            "clientAffinityEnabled": false,
            "alwaysOn": true
         },
         "parameters": {},
         "dependsOn": []
      }
   ],
   "outputs": {}
}

Se o modelo também incluir a definição de recurso da identidade gerenciada, você poderá parametrizar o objeto de identidade. O exemplo a seguir mostra como o objeto userAssignedIdentities filho faz referência a uma variável userAssignedIdentityName que você define na seção de variáveis do modelo. Essa variável referencia a ID de recurso para sua identidade atribuída ao usuário.

{
   "$schema": "https://schema.management.azure.com/schemas/2019-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2021-02-01",
         "type": "Microsoft.Web/sites/functions",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId(Microsoft.ManagedIdentity/userAssignedIdentities', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "name": "[variables('appName')]",
            "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
            "hostingEnvironment": "",
            "clientAffinityEnabled": false,
            "alwaysOn": true
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      },
   ],
   "outputs": {}
}

Quando o modelo cria um recurso de aplicativo lógico, o objeto de identidade inclui as seguintes propriedades:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-ID>": {
            "principalId": "<principal-ID>",
            "clientId": "<client-ID>"
        }
    }
}

O valor da propriedade principalId é um identificador exclusivo para a identidade usada para a administração do Microsoft Entra. O valor da propriedade clientId é um identificador exclusivo para a nova identidade do aplicativo lógico que é usada para especificar qual identidade usar durante chamadas de runtime. Para obter mais informações sobre modelos do Azure Resource Manager e identidades gerenciadas para o Azure Functions, confira a seguinte documentação:

• Modelo do ARM – Azure Functions

• Adicione uma identidade atribuída pelo usuário usando um modelo do ARM para o Azure Functions.

Conceder à identidade acesso aos recursos

Antes de poder usar a identidade gerenciada do aplicativo lógico para autenticação, você precisa configurar o acesso à identidade no recurso do Azure de destino em que deseja usar a identidade. A maneira como você configurou o acesso varia de acordo com o recurso de destino.

Observação

Quando uma identidade gerenciada tem acesso a um recurso do Azure na mesma assinatura, a identidade pode acessar somente esse recurso. No entanto, em alguns gatilhos e ações que dão suporte a identidades gerenciadas, primeiro você precisa selecionar o grupo de recursos do Azure que contém o recurso de destino. Se a identidade não tiver acesso no nível do grupo de recursos, nenhum recurso nesse grupo será listado, apesar de ter acesso ao recurso de destino.

Para lidar com esse comportamento, você também deve conceder acesso de identidade ao grupo de recursos, não apenas ao recurso. Da mesma forma, se for necessário selecionar sua assinatura antes de selecionar o recurso de destino, você deverá conceder acesso de identidade à assinatura.

Em alguns casos, talvez seja necessário ter a identidade para obter acesso ao recurso associado. Por exemplo, suponha que você tenha uma identidade gerenciada para um aplicativo lógico que precisa de acesso para atualizar as configurações do aplicativo para esse mesmo aplicativo lógico de um fluxo de trabalho. Você deve fornecer a essa identidade acesso ao aplicativo lógico associado.

Por exemplo, para acessar uma conta de Armazenamento de Blobs do Azure ou um cofre de chaves do Azure com sua identidade gerenciada, é necessário configurar o controle de acesso baseado em função do Azure (RBAC do Azure) e atribuir a função apropriada para essa identidade à conta de armazenamento ou ao cofre de chaves, respectivamente.

As etapas desta seção descrevem como atribuir o acesso baseado em função usando o portal do Microsoft Azure e o Modelo do Azure Resource Manager (modelo do ARM). Para o Azure PowerShell, a CLI do Azure e a API REST do Azure, confira a seguinte documentação:

Ferramenta	Documentação
Azure PowerShell	Adicionar atribuição de função
CLI do Azure	Adicionar atribuição de função
API REST do Azure	Adicionar atribuição de função

Para um cofre de chaves do Azure, você também tem a opção de criar uma política de acesso para sua identidade gerenciada no cofre de chaves e atribuir as permissões apropriadas para essa identidade nesse cofre de chaves. As etapas posteriores nesta seção descrevem como concluir essa tarefa usando o portal do Azure. Para modelos do Resource Manager, PowerShell e CLI do Azure, confira a seguinte documentação:

Ferramenta	Documentação
Modelo do Azure Resource Manager (modelo do ARM)	Definição de recursos da política de acesso do Key Vault
Azure PowerShell	Atribuir uma política de acesso do Key Vault
CLI do Azure	Atribuir uma política de acesso do Key Vault

Atribuir o acesso baseado em função a uma identidade gerenciada usando o portal do Azure

Para usar uma identidade gerenciada para autenticação, alguns recursos do Azure, como contas de armazenamento do Azure, exigem que você atribua essa identidade a uma função que tenha as permissões apropriadas no recurso de destino. Outros recursos do Azure, como os cofres de chaves do Azure, dão suporte a várias opções, de modo que você pode escolher o acesso baseado em função ou uma política de acesso que tenha as permissões apropriadas no recurso de destino para essa identidade.

1. No portal do Azure, abra o recurso em que você deseja usar a identidade.

2. No menu de recursos, selecione Controle de acesso (IAM)>Adicionar>Adicionar atribuição de função.

   Observação

   Se a opção Adicionar atribuição de função estiver desativada, você não terá permissões para atribuir funções. Para obter mais informações, confira Funções internas do Microsoft Entra.

3. Atribua a função necessária à sua identidade gerenciada. Na guia Função, atribua uma função que dê à sua identidade o acesso necessário ao recurso atual.

   Para este exemplo, atribua a função chamada Colaborador de dados do armazenamento de blob, que inclui acesso de gravação para blobs em um contêiner de Armazenamento do Azure. Para obter mais informações sobre funções de contêiner de armazenamento específicas, confira Funções que podem acessar blobs em um contêiner do Armazenamento do Microsoft Azure.

4. Em seguida, escolha a identidade gerenciada na qual você deseja atribuir a função. Em Atribuir acesso a, escolha Identidade gerenciada>Adicionar membros.

5. Com base no tipo de identidade gerenciada, escolha ou informe os seguintes valores:

   Tipo	Criar instância de serviço	Assinatura	Membro
   System-assigned	Aplicativo Lógico	<Azure-subscription-name>	<your-logic-app-name>
   Atribuída pelo usuário	Não aplicável	<Azure-subscription-name>	<your-user-assigned-identity-name>

   Para obter mais informações sobre como atribuir funções, confira Atribuir funções usando o portal do Azure.

Depois de terminar, você pode usar a identidade para autenticar o acesso para gatilhos e ações que dão suporte a identidades gerenciadas.

Para obter informações mais gerais sobre esta tarefa, confira Atribuir um acesso de identidade gerenciada a outro recurso usando o RBAC do Azure.

Criar uma política de acesso usando o portal do Azure

Para usar uma identidade gerenciada para autenticação, outros recursos do Azure também dão suporte ou exigem que você crie uma política de acesso que tenha as permissões apropriadas no recurso de destino para essa identidade. Outros recursos do Azure, como contas de armazenamento do Azure, exigem que você atribua essa identidade a uma função que tenha as permissões apropriadas no recurso de destino.

1. No portal do Azure, abra o recurso de destino em que você deseja usar a identidade. Este exemplo usa um cofre de chaves do Azure como o recurso de destino.

2. No menu de recursos, selecione Políticas de acesso>Criar, o que abre o painel Criar uma política de acesso.

   Observação

   Se o recurso não tiver a opção Políticas de acesso, tente atribuir uma atribuição de função.

   

3. Na guia Permissões, selecione as permissões necessárias que a identidade precisa para acessar o recurso de destino.

   Por exemplo, para usar a identidade com a operação Listar segredos do conector gerenciado do Azure Key Vault, a identidade precisa de permissões de Lista. Portanto, na coluna Permissões secretas, selecione Lista.

   

4. Quando estiver pronto, selecione Próximo. Na guia Entidade de segurança, encontre e selecione a identidade gerenciada, que é uma identidade atribuída pelo usuário neste exemplo.

5. Ignore a etapa opcional Aplicativo, selecione Próximo e termine de criar a política de acesso.

A próxima seção mostra como usar uma identidade gerenciada com um gatilho ou ação para autenticar o acesso. O exemplo continua com as etapas de uma seção anterior em que você configurou o acesso para uma identidade gerenciada usando RBAC e uma conta de armazenamento do Azure como exemplo. No entanto, as etapas gerais para usar uma identidade gerenciada para autenticação são as mesmas.

Autenticar o acesso com a identidade gerenciada

Depois de habilitar a identidade gerenciada para o recurso de aplicativo lógico e dar a essa identidade acesso ao recurso ou serviço de destino do Azure, você pode usar essa identidade em gatilhos e ações que dão suporte a identidades gerenciadas.

Importante

Se você tiver uma função do Azure em que deseja usar a identidade atribuída pelo sistema, primeiro habilite a autenticação para o Azure Functions.

As etapas a seguir mostram como usar a identidade gerenciada com um gatilho ou ação usando o portal do Azure. Para especificar a identidade gerenciada em uma definição de JSON subjacente de um gatilho ou uma ação, confira Autenticação de identidade gerenciada.

Consumo

1. No portal do Azure, abra o recurso de aplicativo lógico de Consumo.

2. Se você ainda não tiver feito isso, adicione o gatilho ou a ação que dá suporte a identidades gerenciadas.

   Observação

   Nem todas as operações de conector dão suporte para permitir que você adicione um tipo de autenticação. Para saber mais, consulte Tipos de autenticação para gatilhos e ações que dão suporte à autenticação.

3. No gatilho ou ação que você adicionou, siga estas etapas:

   • Operações de conector internas que dão suporte à autenticação de identidade gerenciada

     Essas etapas continuam usando a ação HTTP como exemplo.

     1. Na lista Parâmetros avançados, adicione a propriedade Autenticação, se a propriedade ainda não aparecer.

        

        Agora, a propriedade Autenticação e a lista Tipo de autenticação aparecem na ação.

        

     2. Na lista Tipo de autenticação, selecione Identidade gerenciada.

        

        A seção Autenticação agora mostra as seguintes opções:

        • Uma lista de identidades gerenciadas de onde você pode selecionar uma identidade gerenciada específica

        • A propriedade Audiência aparece em gatilhos e ações específicos para que você possa definir a ID do recurso para o recurso ou serviço de destino do Azure. Caso contrário, por padrão, a propriedade Público-alvo usa a ID de recurso https://management.azure.com/, que é a ID de recurso para o Azure Resource Manager.

     3. Na lista Identidade gerenciada, selecione a identidade que você deseja usar, por exemplo:

        

        Observação

        A opção selecionada padrão é a Identidade gerenciada atribuída pelo sistema, mesmo quando você não tem nenhuma identidade gerenciada habilitada.

        Para usar com êxito uma identidade gerenciada, você deve primeiro habilitar essa identidade em seu aplicativo lógico. Em um aplicativo lógico de Consumo, você pode ter a identidade gerenciada atribuída pelo sistema ou atribuída pelo usuário, mas não ambas.

     Para saber mais, consulte Exemplo: autenticar gatilho ou ação interno com uma identidade gerenciada.

   • Operações de conector gerenciado que dão suporte à autenticação de identidade gerenciada

     1. No painel Criar conexão, na lista Autenticação, selecione Identidade gerenciada, por exemplo:

        

     2. No próximo painel, para Nome da conexão, forneça um nome a ser usado para a conexão.

     3. Para o tipo de autenticação, escolha uma das seguintes opções com base em seu conector gerenciado:

        • Autenticação única: esses conectores dão suporte apenas a um tipo de autenticação, que é a identidade gerenciada neste caso.

          1. Na lista Identidade gerenciada, selecione a identidade gerenciada atualmente habilitada.

          2. Quando estiver pronto, selecione Criar novo.

        • Autenticação múltipla: esses conectores dão suporte a vários tipos de autenticação, mas você pode selecionar e usar apenas um tipo por vez.

          Essas etapas continuam usando uma ação do Armazenamento de Blobs do Azure como exemplo.

          1. Na lista Tipo de autenticação, selecione Identidade gerenciada dos Aplicativos Lógicos.

             

          2. Quando estiver pronto, selecione Criar novo.

        Para saber mais, consulte Exemplo: autenticar gatilho ou ação do conector gerenciado com uma identidade gerenciada.

Standard

1. No portal do Azure, abra seu recurso de aplicativo lógico Padrão.

2. Se você ainda não tiver feito isso, adicione o gatilho ou a ação que dá suporte a identidades gerenciadas.

   Observação

   Nem todos os gatilhos e ações dão suporte para permitir que você adicione um tipo de autenticação. Para saber mais, consulte Tipos de autenticação para gatilhos e ações que dão suporte à autenticação.

3. No gatilho ou ação que você adicionou, siga estas etapas:

   • Operações internas que dão suporte à autenticação de identidade gerenciada

     Essas etapas continuam usando a ação HTTP como exemplo.

     1. Na lista Parâmetros avançados, adicione a propriedade Autenticação, se a propriedade ainda não aparecer.

        

        Agora, a propriedade Autenticação e a lista Tipo de autenticação aparecem na ação.

        

     2. Na lista Tipo de autenticação, selecione Identidade gerenciada.

        

        A seção Autenticação agora mostra as seguintes opções:

        • Uma lista de identidades gerenciadas de onde você pode selecionar uma identidade gerenciada específica

        • A propriedade Audiência aparece em gatilhos e ações específicos para que você possa definir a ID do recurso para o recurso ou serviço de destino do Azure. Caso contrário, por padrão, a propriedade Público-alvo usa a ID de recurso https://management.azure.com/, que é a ID de recurso para o Azure Resource Manager.

        

     3. Na lista Identidade gerenciada, selecione a identidade que você deseja usar, por exemplo:

        

        Observação

        A opção selecionada padrão é a Identidade gerenciada atribuída pelo sistema, mesmo quando você não tem nenhuma identidade gerenciada habilitada.

        Para usar com êxito uma identidade gerenciada, você deve primeiro habilitar essa identidade em seu aplicativo lógico. Em um aplicativo lógico Standard, você pode ter tanto a identidade gerenciada atribuída pelo sistema quanto a identidade gerenciada atribuída pelo usuário definidas e habilitadas. No entanto, o seu aplicativo lógico deve usar apenas uma identidade gerenciada por vez.

        Por exemplo, um fluxo de trabalho que acessa diferentes entidades de mensagens do Barramento de Serviço do Azure deve usar apenas uma identidade gerenciada. Confira Conectar-se ao Barramento de Serviço do Azure a partir de fluxos de trabalho.

     Para saber mais, consulte Exemplo: autenticar gatilho ou ação interno com uma identidade gerenciada.

   • Operações de conector gerenciado que dão suporte à autenticação de identidade gerenciada

     1. No painel Criar conexão, na lista Autenticação, selecione Identidade gerenciada, por exemplo:

        

     2. No próximo painel, para Nome da conexão, forneça um nome a ser usado para a conexão.

     3. Para o tipo de autenticação, escolha uma das seguintes opções com base em seu conector gerenciado:

        • Autenticação única: esses conectores dão suporte apenas a um tipo de autenticação, que é a identidade gerenciada neste caso.

          1. Na lista Identidade gerenciada, selecione a identidade gerenciada atualmente habilitada.

          2. Quando estiver pronto, selecione Criar novo.

        • Autenticação múltipla: esses conectores dão suporte a vários tipos de autenticação, mas você pode selecionar e usar apenas um tipo por vez.

          Essas etapas continuam usando uma ação do Armazenamento de Blobs do Azure como exemplo.

          1. Na lista Tipo de autenticação, selecione Identidade gerenciada dos Aplicativos Lógicos.

             

          2. Na lista Identidade gerenciada, selecione a identidade que você deseja usar.

             

          3. Quando estiver pronto, selecione Criar novo.

        Para saber mais, consulte Exemplo: autenticar gatilho ou ação do conector gerenciado com uma identidade gerenciada.

Exemplo: autenticar um gatilho ou ação interno com uma identidade gerenciada

O gatilho ou a ação HTTP pode usar a identidade atribuída pelo sistema que você habilitou para o recurso de aplicativo lógico. No geral, o gatilho ou a ação HTTP usa essas propriedades para especificar o recurso ou a entidade que você deseja acessar:

Propriedade	Obrigatório	Descrição
Método	Sim	O método HTTP usado pela operação que você deseja executar
URI	Sim	A URL do ponto de extremidade para acessar a entidade ou o recurso do Azure de destino. A sintaxe de URI geralmente inclui a ID do recurso para o recurso ou serviço do Azure de destino.
Cabeçalhos	Não	Todos os valores de cabeçalho que você precisa ou deseja incluir na solicitação de saída, como o tipo de conteúdo
Consultas	Não	Os parâmetros de consulta que você deseja incluir na solicitação. Por exemplo, consulte parâmetros para uma operação específica ou para a versão da API da operação que você deseja executar.
Autenticação	Yes	O tipo de autenticação a ser usado para autenticar o acesso ao serviço ou recurso de destino do Azure

Como um exemplo específico, suponha que você queira executar a operação Blob de Instantâneo em um blob na conta de Armazenamento do Azure em que você configurou o acesso para sua identidade anteriormente. No entanto, o conector do Armazenamento de Blobs do Azure não oferece essa operação no momento. Em vez disso, você pode executar essa operação usando a ação HTTP ou outra operação da API REST de Serviço Blob.

Importante

Para acessar contas de armazenamento do Azure por trás de firewalls usando o conector do Armazenamento de Blobs do Azure e identidades gerenciadas, certifique-se de que você também tenha configurado a sua conta de armazenamento com a exceção que permite o acesso por serviços confiáveis da Microsoft.

Para executar a operação de blob de instantâneo, a ação HTTP especifica as seguintes propriedades:

Propriedade	Obrigatório	Valor de exemplo	Descrição
URI	Sim	https://<storage-account-name>/<folder-name>/{name}	A ID de recurso para um arquivo do Armazenamento de Blobs do Azure no ambiente do Azure Global (público), que usa essa sintaxe
Método	Sim	PUT	O método HTTP usado pela operação Blob de Instantâneo
Cabeçalhos	Para o Armazenamento do Azure	x-ms-blob-type = BlockBlob x-ms-version = 2024-05-05 x-ms-date = formatDateTime(utcNow(),'r')	Os valores de cabeçalho x-ms-blob-type, x-ms-version e x-ms-date são necessários para operações do Armazenamento do Azure. Importante: no gatilho HTTP de saída e nas solicitações de ação para o Armazenamento do Azure, o cabeçalho requer a propriedade x-ms-version e a versão da API para a operação que você deseja executar. A data atual deve ser x-ms-date. Caso contrário, seu fluxo de trabalho falhará com um erro 403 FORBIDDEN. Para obter a data atual no formato necessário, use a expressão no valor de exemplo. Para saber mais, confira a seguinte documentação: - Cabeçalhos de solicitação – Blob de Instantâneo - Controle de versão para serviços de Armazenamento do Azure
Consultas	Somente para a operação de blob de instantâneo	comp = snapshot	O nome e o valor do parâmetro de consulta da operação.

Consumo

1. No designer de fluxo de trabalho, adicione qualquer gatilho desejado e adicione a ação HTTP.

   O exemplo a seguir mostra uma ação HTTP de exemplo com todos os valores de propriedade descritos anteriormente para uso em uma operação de Blob de Instantâneos:

   

2. Na ação HTTP, adicione a propriedade Autenticação. Na lista de Parâmetros avançados, selecione Autenticação.

   

   A seção Autenticação agora aparece em sua ação HTTP.

   Observação

   Nem todos os gatilhos e ações dão suporte para permitir que você adicione um tipo de autenticação. Para saber mais, consulte Tipos de autenticação para gatilhos e ações que dão suporte à autenticação.

3. Na lista Tipo de autenticação, selecione Identidade gerenciada.

   

4. Na lista Identidade gerenciada, selecione entre as opções disponíveis com base em seu cenário.

   • Se você configurar a identidade atribuída pelo sistema, selecione Identidade gerenciada atribuída pelo sistema.

     

   • Se você configurar a identidade atribuída pelo usuário, selecione essa identidade.

     

   Este exemplo continua com a Identidade Gerenciada Atribuída pelo Sistema.

5. Em alguns gatilhos e ações, a propriedade Audiência é exibida para que você possa definir a ID do recurso para o recurso ou serviço do Azure de destino.

   Por exemplo, para autenticar o acesso a um recurso do Key Vault na nuvem global do Azure, defina a propriedade Audiência como exatamente a seguinte ID de recurso: https://vault.azure.net

   Se você não definir a propriedade Audiência, por padrão, a propriedade Audiência usará a ID do recurso https://management.azure.com/, que é a ID do recurso do Azure Resource Manager.

   Importante

   Certifique-se de que a ID do recurso de destino corresponda exatamente ao valor esperado pelo Microsoft Entra ID. Caso contrário, você poderá receber um erro 400 Bad Request ou um erro 401 Unauthorized. Portanto, se a ID do recurso incluir barras à direita, certifique-se de incluí-las. Caso contrário, não as inclua.

   Por exemplo, a ID de recurso para todas as contas de Armazenamento de Blobs do Azure requer uma barra à direita. No entanto, a ID de recurso para uma conta de armazenamento específica não requer uma barra à direita. Verifique as IDs do recurso para os serviços do Azure que dão suporte ao Microsoft Entra ID.

   Este exemplo define a propriedade Público-alvo como https://storage.azure.com/ para que os tokens de acesso usados para autenticação sejam válidos para todas as contas de armazenamento. No entanto, você também pode especificar uma URL de serviço raiz, https://<your-storage-account>.blob.core.windows.net, para uma conta de armazenamento específica.

   

   Para obter mais informações sobre como autorizar o acesso com o Microsoft Entra ID para o Armazenamento do Microsoft Azure, confira a seguinte documentação:

   • Autorizar o acesso a blobs e filas do Azure usando o Microsoft Entra ID

   • Autorizar o acesso ao Armazenamento do Microsoft Azure com o OAuth

6. Continue criando o fluxo de trabalho da maneira desejada.

Standard

1. No designer de fluxo de trabalho, adicione qualquer gatilho desejado e adicione a ação HTTP.

   O exemplo a seguir mostra uma ação HTTP de exemplo com todos os valores de propriedade descritos anteriormente para uso em uma operação de Blob de Instantâneos:

   

2. Na ação HTTP, adicione a propriedade Autenticação. Na lista de Parâmetros avançados, selecione Autenticação.

   

   A seção Autenticação agora aparece em sua ação HTTP.

   Observação

   Nem todos os gatilhos e ações dão suporte para permitir que você adicione um tipo de autenticação. Para saber mais, consulte Tipos de autenticação para gatilhos e ações que dão suporte à autenticação.

3. Na lista Tipo de autenticação, selecione Identidade Gerenciada.

   

4. Na lista Identidade gerenciada, selecione entre as opções disponíveis com base em seu cenário.

   • Se você configurar a identidade atribuída pelo sistema, selecione Identidade gerenciada atribuída pelo sistema.

     

   • Se você configurar uma identidade atribuída pelo usuário, selecione essa identidade.

     

   Este exemplo continua com a Identidade Gerenciada Atribuída pelo Sistema.

5. Em alguns gatilhos e ações, a propriedade Audiência é exibida para que você possa definir a ID do recurso para o recurso ou serviço do Azure de destino.

   Por exemplo, para autenticar o acesso a um recurso do Key Vault na nuvem global do Azure, defina a propriedade Audiência como exatamente a seguinte ID de recurso: https://vault.azure.net

   Se você não definir a propriedade Audiência, por padrão, a propriedade Audiência usará a ID do recurso https://management.azure.com/, que é a ID do recurso do Azure Resource Manager.

   Importante

   Certifique-se de que a ID do recurso de destino corresponda exatamente ao valor esperado pelo Microsoft Entra ID. Caso contrário, você poderá receber um erro 400 Bad Request ou um erro 401 Unauthorized. Portanto, se a ID do recurso incluir barras à direita, certifique-se de incluí-las. Caso contrário, não as inclua.

   Por exemplo, a ID de recurso para todas as contas de Armazenamento de Blobs do Azure requer uma barra à direita. No entanto, a ID de recurso para uma conta de armazenamento específica não requer uma barra à direita. Verifique as IDs do recurso para os serviços do Azure que dão suporte ao Microsoft Entra ID.

   Este exemplo define a propriedade Público-alvo como https://storage.azure.com/ para que os tokens de acesso usados para autenticação sejam válidos para todas as contas de armazenamento. No entanto, você também pode especificar uma URL de serviço raiz, https://<your-storage-account>.blob.core.windows.net, para uma conta de armazenamento específica.

   

   Para obter mais informações sobre como autorizar o acesso com o Microsoft Entra ID para o Armazenamento do Microsoft Azure, confira a seguinte documentação:

   • Autorizar o acesso a blobs e filas do Azure usando o Microsoft Entra ID

   • Autorizar o acesso ao Armazenamento do Microsoft Azure com o OAuth

6. Continue criando o fluxo de trabalho da maneira desejada.

Exemplo: autenticar gatilho ou ação do conector gerenciado com uma identidade gerenciada

O conector gerenciado do Azure Resource Manager tem uma ação chamada Ler um recurso, que pode usar a identidade gerenciada que você habilita no recurso de aplicativo lógico. Este exemplo mostra como usar a identidade gerenciada atribuída pelo sistema com um conector gerenciado.

Consumo

1. No designer de fluxo de trabalho, adicione a ação do Azure Resource Manager chamada Ler um recurso.

2. No painel Criar conexão, na lista Autenticação, selecione Identidade gerenciada e, em seguida, selecione Entrar.

   Observação

   Em outros conectores, a lista Tipo de autenticação mostra Identidade gerenciada dos Aplicativos Lógicos em vez disso, portanto, selecione essa opção.

   

3. Forneça um nome para a conexão e selecione a identidade gerenciada que você deseja usar.

   Se você habilitou a identidade atribuída pelo sistema, a lista Identidade gerenciada selecionará automaticamente a Identidade gerenciada atribuída pelo sistema. Se você habilitou uma identidade atribuída pelo usuário, a lista selecionará automaticamente a identidade atribuída pelo usuário.

   Neste exemplo, a Identidade gerenciada atribuída pelo sistema é a única seleção disponível.

   

   Observação

   Se a identidade gerenciada não estiver habilitada quando você tentar criar ou alterar a conexão ou se a identidade gerenciada tiver sido removida enquanto uma conexão habilitada para identidade gerenciada ainda existir, você receberá um erro que diz que você deve habilitar a identidade e conceder acesso ao recurso de destino.

4. Quando estiver pronto, selecione Criar novo.

5. Depois que o designer cria a conexão com êxito, ele pode buscar quaisquer valores dinâmicos, conteúdo ou esquema usando a autenticação de identidade gerenciada.

6. Continue criando o fluxo de trabalho da maneira desejada.

Standard

1. No designer de fluxo de trabalho, adicione a ação do Azure Resource Manager chamada Ler um recurso.

2. No painel Criar conexão, na lista Autenticação, selecione Identidade gerenciada e, em seguida, selecione Entrar.

   Observação

   Em outros conectores, a lista Tipo de autenticação mostra Identidade gerenciada dos Aplicativos Lógicos em vez disso, portanto, selecione essa opção.

   

3. Forneça um nome para a conexão e selecione a identidade gerenciada que você deseja usar.

   Por padrão, os recursos do aplicativo lógico Standard têm automaticamente a identidade atribuída pelo sistema habilitada. Portanto, a lista Identidade gerenciada seleciona automaticamente a Identidade gerenciada atribuída pelo sistema. Se você também habilitou uma ou mais identidades atribuídas pelo usuário, a lista Identidade gerenciada mostra todas as identidades gerenciadas atualmente habilitadas, por exemplo:

   

   Observação

   Se a identidade gerenciada não estiver habilitada quando você tentar criar ou alterar a conexão ou se a identidade gerenciada tiver sido removida enquanto uma conexão habilitada para identidade gerenciada ainda existir, você receberá um erro que diz que você deve habilitar a identidade e conceder acesso ao recurso de destino.

4. Quando estiver pronto, selecione Criar novo.

5. Depois que o designer cria a conexão com êxito, ele pode buscar quaisquer valores dinâmicos, conteúdo ou esquema usando a autenticação de identidade gerenciada.

6. Continue criando o fluxo de trabalho da maneira desejada.

Conexões e definição de recurso de aplicativo lógico que usam uma identidade gerenciada

Uma conexão que habilita e usa uma identidade gerenciada é um tipo de conexão especial que funciona apenas com uma identidade gerenciada. No tempo de execução, a conexão usa a identidade gerenciada habilitada no recurso do aplicativo lógico. Os Aplicativos Lógicos do Azure verificam se alguma operação de conector gerenciado no fluxo de trabalho está configurada para usar a identidade gerenciada e se todas as permissões necessárias existem para usar a identidade gerenciada para acessar os recursos de destino especificados pelas operações do conector. Se essa verificação for bem-sucedida, os Aplicativos Lógicos do Azure recuperarão o token do Microsoft Entra associado à identidade gerenciada, usarão essa identidade para autenticar o acesso ao recurso do Azure de destino e executarão as operações configuradas no fluxo de trabalho.

Consumo

Em um recurso de aplicativo lógico de Consumo, a configuração de conexão é salva no objeto parameters da definição de recurso, que contém o objeto $connections que inclui ponteiros para a ID de recurso da conexão, juntamente com a ID de recurso da identidade gerenciada quando a identidade atribuída pelo usuário está habilitada.

Este exemplo mostra a configuração do objeto parameters quando o aplicativo lógico habilita a identidade atribuída pelo sistema:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Este exemplo mostra a configuração do objeto parameters quando o aplicativo lógico habilita a identidade gerenciada atribuída pelo usuário:

"parameters": {
   "$connections": {
      "value": {
         "<action-name>": {
            "connectionId": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>",
            "connectionName": "<connector-name>",
            "connectionProperties": {
               "authentication": {
                  "type": "ManagedServiceIdentity",
                  "identity": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/microsoft.managedidentity/userassignedidentities/<managed-identity-name>"
               }
            },
            "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<managed-connector-type>"
         }
      }
   }
}

Standard

Em um recurso de aplicativo lógico Standard, a configuração de conexão é salva no recurso do aplicativo lógico ou no arquivo connections.json do projeto, que contém um objeto managedApiConnections que inclui informações de configuração de conexão para cada conector gerenciado usado em um fluxo de trabalho. Essas informações de conexão incluem ponteiros para a ID de recurso da conexão juntamente com as propriedades de identidade gerenciada, como a ID do recurso quando a identidade atribuída pelo usuário está habilitada.

Este exemplo mostra a configuração do objeto managedApiConnections quando o aplicativo lógico habilita a identidade atribuída pelo sistema:

{
    "managedApiConnections": {
        "<connector-name>": {
            "api": {
                "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<connector-name>"
            },
            "authentication": { // Authentication for the internal token store
                "type": "ManagedServiceIdentity"
            },
            "connection": {
                "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
            },
            "connectionProperties": {
                "authentication": { // Authentication for the target resource
                    "audience": "<resource-URL>",
                    "type": "ManagedServiceIdentity"
                }
            },
            "connectionRuntimeUrl": "<connection-runtime-URL>"
        }
    }
}

Este exemplo mostra a configuração do objeto managedApiConnections quando o aplicativo lógico habilita a identidade atribuída pelo usuário:

{
    "managedApiConnections": {
        "<connector-name>": {
            "api": {
                "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/<connector-name>"
            },
            "authentication": { // Authentication for the internal token store
                "type": "ManagedServiceIdentity"
            },
            "connection": {
                "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
            },
            "connectionProperties": {
                "authentication": { // Authentication for the target resource
                    "audience": "<resource-URL>",
                    "type": "ManagedServiceIdentity",
                    "identity": "<user-assigned-identity>" // Optional
                }
            },
            "connectionRuntimeUrl": "<connection-runtime-URL>"
        }
    }
}

Modelo ARM para conexões de API e identidades gerenciadas

Se você usar um modelo do ARM para automatizar a implantação e o seu fluxo de trabalho incluir uma conexão de API, que é criada por um conector gerenciado que usa uma identidade gerenciada, você precisará executar uma etapa extra.

Em um modelo do ARM, a definição de recurso do conector subjacente difere com base em se você tem um recurso de aplicativo lógico de Consumo ou Standard e se o conector mostra opções de autenticação única ou múltipla.

Consumo

Os exemplos a seguir se aplicam aos recursos do aplicativo lógico de Consumo e mostram como a definição de recurso do conector subjacente difere entre um conector de autenticação única e um conector de autenticação múltipla.

Autenticação única

Este exemplo mostra a definição de recurso de conexão subjacente para uma ação de conector que dá suporte apenas a um tipo de autenticação e usa uma identidade gerenciada em um fluxo de trabalho de aplicativo lógico de Consumo em que a definição inclui os seguintes atributos:

• A propriedade kind é definida como V1 para um aplicativo lógico de consumo.

• A propriedade parameterValueType está definida como Alternative.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureautomation')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Autenticação múltipla

Este exemplo mostra a definição de recurso de conexão subjacente para uma ação de conector que dá suporte a vários tipos de autenticação e usa uma identidade gerenciada em um fluxo de trabalho de aplicativo lógico de Consumo em que a definição inclui os seguintes atributos:

• A propriedade kind é definida como V1 para um aplicativo lógico de consumo.

• O objeto parameterValueSet inclui uma propriedade name que é definida como managedIdentityAuth e uma propriedade values que é definida como um objeto vazio.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), 'azureblob')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        },
        "parameterValueType": "Alternative"
    }
}

Standard

Os exemplos a seguir se aplicam aos recursos do aplicativo lógico Standard e mostram como a definição de recurso do conector subjacente difere entre um conector de autenticação única e um conector de autenticação múltipla.

Autenticação única

Este exemplo mostra a definição de recurso de conexão subjacente para uma ação de conector que dá suporte a apenas um tipo de autenticação e usa uma identidade gerenciada em um fluxo de trabalho do aplicativo lógico Standard em que a definição inclui os seguintes atributos:

• A propriedade kind é definida como V2 para um aplicativo lógico padrão.

• A propriedade parameterValueType está definida como Alternative.

{
    "type": "Microsoft.Web/connections",
    "name": "[variables('connections_<connector-name>_name')]",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "location": "[parameters('location')]",
    "kind": "V2",
    "properties": {
        "alternativeParameterValues": {},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet": {},
        "parameterValueType": "Alternative"
    }
},

Autenticação múltipla

Este exemplo mostra a definição de recurso de conexão subjacente para uma ação de conector que dá suporte a vários tipos de autenticação e usa uma identidade gerenciada em um fluxo de trabalho do aplicativo lógico Standard em que a definição inclui os seguintes atributos:

• A propriedade kind é definida como V2 para um aplicativo lógico padrão.

• O objeto parameterValueSet inclui uma propriedade name que é definida como managedIdentityAuth e uma propriedade values que é definida como um objeto vazio.

{
    "type": "Microsoft.Web/connections",
    "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
    "name": "[variables('connections_<connector-name>_name')]",
    "location": "[parameters('location')]",
    "kind": "V1",
    "properties": {
        "alternativeParameterValues":{},
        "api": {
            "id": "[subscriptionResourceId('Microsoft.Web/locations/managedApis', parameters('location'), '<connector-name>')]"
        },
        "authenticatedUser": {},
        "connectionState": "Enabled",
        "customParameterValues": {},
        "displayName": "[variables('connections_<connector-name>_name')]",
        "parameterValueSet":{
            "name": "managedIdentityAuth",
            "values": {}
        },
        "parameterValueType": "Alternative"
    }
}

Na definição de recurso Microsoft.Web/connections subsequente, certifique-se de adicionar uma política de acesso que especifique uma definição de recurso para cada conexão de API e fornecer as seguintes informações:

Parâmetro	Descrição
<connection-name>	O nome da conexão de API; por exemplo, azureblob
<object-ID>	A ID de objeto da identidade do Microsoft Entra, salva anteriormente durante o registro do aplicativo
<tenant-ID>	A ID de locatário da identidade do Microsoft Entra, salva anteriormente durante o registro do aplicativo

{
   "type": "Microsoft.Web/connections/accessPolicies",
   "apiVersion": "[providers('Microsoft.Web','connections').apiVersions[0]]",
   "name": "[concat('<connector-name>','/','<object-ID>')]",
   "location": "<location>",
   "dependsOn": [
      "[resourceId('Microsoft.Web/connections', parameters('<connector-name>'))]"
   ],
   "properties": {
      "principal": {
         "type": "ActiveDirectory",
         "identity": {
            "objectId": "<object-ID>",
            "tenantId": "<tenant-ID>"
         }
      }
   }
}

Para obter mais informações, confira Microsoft.Web/connections/accesspolicies (modelo do ARM).

Configurar o controle avançado sobre a autenticação de conexão de API

Quando o fluxo de trabalho do aplicativo lógico Standard usa uma conexão de API, que é criada por um conector gerenciado, os Aplicativos Lógicos do Azure se comunicam com o recurso de destino, como sua conta de email, cofre de chaves e assim por diante, usando duas conexões:

• A conexão nº 1 é configurada com autenticação para o armazenamento de token interno.

• A conexão nº 2 é configurada com autenticação para o recurso de destino.

No entanto, quando um fluxo de trabalho de aplicativo lógico de Consumo usa uma conexão de API, a conexão nº 1 é abstraída de você sem nenhuma opção de configuração. Com o recurso de aplicativo lógico Standard, você tem mais controle sobre o seu aplicativo lógico e fluxos de trabalho. Por padrão, a conexão nº 1 é configurada automaticamente a usar a identidade atribuída pelo sistema.

Se o seu cenário exigir um controle mais fino sobre a autenticação de conexões de API, você poderá, opcionalmente, alterar a autenticação da conexão nº 1 da identidade atribuída pelo sistema padrão para qualquer identidade atribuída pelo usuário que você tenha adicionado ao aplicativo lógico. Essa autenticação se aplica a cada conexão de API, para que você possa combinar identidades atribuídas pelo sistema e atribuídas pelo usuário entre diferentes conexões com o mesmo recurso de destino.

No arquivo connections.json do aplicativo lógico Standard, que armazena informações sobre cada conexão de API, cada definição de conexão tem duas seções authentication, por exemplo:

"keyvault": {
   "api": {
      "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
   },
   "authentication": {
      "type": "ManagedServiceIdentity",
   },
   "connection": {
      "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
   },
   "connectionProperties": {
      "authentication": {
         "audience": "https://vault.azure.net",
         "type": "ManagedServiceIdentity"
      }
   },
   "connectionRuntimeUrl": "<connection-runtime-URL>"
}

• A primeira seção authentication mapeia para a conexão nº 1.

  Essa a seção descreve a autenticação usada para se comunicar com o armazenamento de token interno. No passado, esta seção sempre foi definida como ManagedServiceIdentity para um aplicativo implantado no Azure e não tinha opções configuráveis.

• A segunda seção authentication mapeia para a conexão nº 2.

  Essa seção descreve a autenticação usada para se comunicar com o recurso de destino e pode variar, com base no tipo de autenticação selecionado para essa conexão.

Por que alterar a autenticação para o armazenamento de tokens?

Em alguns cenários, talvez você queira compartilhar e usar a mesma conexão de API em vários recursos de aplicativo lógico, mas não adicionar a identidade atribuída pelo sistema para cada recurso de aplicativo lógico à política de acesso do recurso de destino.

Em outros cenários, talvez você não queira que a identidade atribuída pelo sistema seja totalmente configurada em seu aplicativo lógico, para que você possa alterar a autenticação para uma identidade atribuída pelo usuário e desabilitar completamente a identidade atribuída pelo sistema.

Alterar a autenticação para o armazenamento de tokens

1. No portal do Azure, abra seu recurso de aplicativo lógico Padrão.

2. No menu de recursos, em Fluxos de Trabalho, selecione Conexões.

3. No painel Conexões, selecione Exibição JSON.

   

4. No editor JSON, encontre a seção managedApiConnections, que contém as conexões de API em todos os fluxos de trabalho em seu recurso de aplicativo lógico.

5. Encontre a conexão na qual você deseja adicionar uma identidade gerenciada atribuída pelo usuário.

   Por exemplo, suponha que seu fluxo de trabalho tenha uma conexão do Azure Key Vault:

   "keyvault": {
      "api": {
         "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
      },
      "authentication": {
         "type": "ManagedServiceIdentity"
      },
      "connection": {
         "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
      },
      "connectionProperties": {
         "authentication": {
            "audience": "https://vault.azure.net",
            "type": "ManagedServiceIdentity"
         }
      },
      "connectionRuntimeUrl": "<connection-runtime-URL>"
   }
   

6. Na definição de conexão, conclua as seguintes etapas:

   1. Encontre a primeira seção authentication. Se nenhuma propriedade identity existir nesta seção authentication, o aplicativo lógico usará implicitamente a identidade atribuída pelo sistema.

   2. Adicione uma propriedade identity usando o exemplo nesta etapa.

   3. Defina o valor da propriedade como a ID do recurso para a identidade atribuída pelo usuário.

   "keyvault": {
      "api": {
         "id": "/subscriptions/<Azure-subscription-ID>/providers/Microsoft.Web/locations/<Azure-region>/managedApis/keyvault"
      },
      "authentication": {
         "type": "ManagedServiceIdentity",
         // Add "identity" property here
         "identity": "/subscriptions/<Azure-subscription-ID>/resourcegroups/<resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-resource-ID>"
      },
      "connection": {
         "id": "/subscriptions/<Azure-subscription-ID>/resourceGroups/<resource-group-name>/providers/Microsoft.Web/connections/<connector-name>"
      },
      "connectionProperties": {
         "authentication": {
            "audience": "https://vault.azure.net",
            "type": "ManagedServiceIdentity"
         }
      },
      "connectionRuntimeUrl": "<connection-runtime-URL>"
   }
   

7. No portal do Azure, acesse o recurso de destino e dê acesso à identidade gerenciada atribuída pelo usuário, com base nas necessidades do recurso de destino.

   Por exemplo, para o Azure Key Vault, adicione a identidade às políticas de acesso do cofre de chaves. Para o Armazenamento de Blobs do Azure, atribua a função necessária para a identidade à conta de armazenamento.

Desabilitar identidade gerenciada

Para deixar de usar a identidade gerenciada para autenticação, primeiro remova o acesso da identidade ao recurso de destino. Em seguida, desative a identidade atribuída pelo sistema ou remova a identidade atribuída pelo usuário do seu aplicativo lógico.

Quando você desabilita a identidade gerenciada em seu recurso de aplicativo lógico, você remove a capacidade dessa identidade de solicitar acesso aos recursos do Azure em que a identidade tinha acesso.

Observação

Se você desabilitar a identidade atribuída pelo sistema, qualquer e todas as conexões usadas pelos fluxos de trabalho no fluxo de trabalho do aplicativo lógico não funcionarão durante o tempo de execução, mesmo que você habilite a identidade imediatamente. Este comportamento ocorre porque desabilitar a identidade exclui sua ID de objeto. Cada vez que você habilita a identidade, o Azure gera a identidade com uma ID de objeto diferente e exclusiva. Para resolver esse problema, você precisa recriar as conexões para que elas usem a ID de objeto atual para a identidade atual atribuída pelo sistema.

Tente evitar desabilitar a identidade atribuída pelo sistema o máximo possível. Se você quiser remover o acesso da identidade aos recursos do Azure, remova a atribuição de função da identidade do recurso de destino. Se você excluir seu recurso de aplicativo lógico, o Azure automaticamente removerá a identidade gerenciada do Microsoft Entra ID.

As etapas nesta seção abrangem o uso do portal do Azure e do modelo do Azure Resource Manager (modelo de ARM). Para o Azure PowerShell, a CLI do Azure e a API REST do Azure, confira a seguinte documentação:

Ferramenta	Documentação
Azure PowerShell	1. Remover atribuição de função. 2. Excluir identidade atribuída pelo usuário.
CLI do Azure	1. Remover atribuição de função. 2. Excluir identidade atribuída pelo usuário.
API REST do Azure	1. Remover atribuição de função. 2. Excluir identidade atribuída pelo usuário.

Para saber mais, confira Remover atribuições de função do Azure.

Desabilitar a identidade gerenciada no portal do Azure

Para remover o acesso para a identidade gerenciada, remova a atribuição de função da identidade do recurso de destino e, em seguida, desabilite a identidade gerenciada.

Remover atribuição de função

As etapas a seguir removem o acesso ao recurso de destino da identidade gerenciada:

1. No portal do Azure, acesse o recurso do Azure de destino em que você deseja remover o acesso para a identidade gerenciada.

2. No menu do recurso de destino, selecione Controle de acesso (IAM) . Na barra de ferramentas, selecione Atribuições de função.

3. Na lista de funções, selecione as identidades gerenciadas que você deseja remover. Na barra de ferramentas, selecione Remover.

   Dica

   Se a opção Remover estiver desabilitada, provavelmente você não terá permissões. Para obter mais informações sobre as permissões que permitem gerenciar funções para recursos, confira Permissões de função de administrador no Microsoft Entra ID.

Desabilitar a identidade gerenciada no recurso do aplicativo lógico

1. Abra o recurso de aplicativo lógico no portal do Azure.

2. No menu de recursos do aplicativo lógico, em Configurações, selecione Identidadee siga as etapas para a sua identidade:

   • Selecione Atribuída ao sistema>Ativada>Salvar. Quando o Azure solicitar que você confirme, selecione Sim.

   • Selecione Atribuído ao usuário e a identidade gerenciada e, em seguida, selecione Remover. Quando o Azure solicitar que você confirme, selecione Sim.

Desabilitar a identidade gerenciada em um modelo do ARM

Se você tiver criado a identidade gerenciada do aplicativo lógico usando um modelo do ARM, defina o a propriedade filha type de identity do objeto como None.

"identity": {
   "type": "None"
}

Conteúdo relacionado

• Proteger o acesso e os dados nos Aplicativos Lógicos do Azure