Como usar o portal para criar um aplicativo e uma entidade de serviço do Azure AD que possa acessar recursos

Esse artigo mostra como criar um novo aplicativo e uma nova entidade de serviço do Azure Active Directory (Azure AD), que possam ser usados com o controle de acesso baseado em função. Se tiver aplicativos, serviços hospedados ou ferramentas automatizadas que precisem acessar ou modificar recursos, poderá criar uma identidade para o aplicativo. Essa identidade é conhecida como uma entidade de serviço. O acesso aos recursos é restrito pelas funções atribuídas à entidade de serviço, oferecendo controle sobre quais recursos poderão ser acessados e em qual nível. Por motivos de segurança, é sempre recomendado usar entidades de serviço com ferramentas automatizadas em vez de permitir a entrada com uma identidade de usuário.

Este artigo mostra como usar o portal para criar a entidade de serviço no portal do Azure. Ele se concentra em um aplicativo de locatário único que se destina a ser executado dentro de uma única organização. Você normalmente usa os aplicativos com um único locatário para os aplicativos da linha de negócios executados em sua organização. Também é possível usar o Azure PowerShell para criar uma entidade de serviço.

Importante

Em vez de criar uma entidade de serviço, considere o uso de identidades gerenciadas para recursos do Azure para a identidade do aplicativo. Se o código for executado em um serviço que dá suporte a identidades gerenciadas e acessa recursos que dão suporte à autenticação do Azure AD, as identidades gerenciadas serão uma opção melhor. Para saber mais sobre identidades gerenciadas dos recursos do Azure, incluindo os serviços atualmente com suporte, consulte O que são identidades gerenciadas para recursos do Azure?.

Registro de aplicativo, objetos de aplicativo e entidades de serviço

Não há como criar uma entidade de serviço diretamente usando o portal do Azure. Ao registrar um aplicativo por meio do portal do Azure, um objeto de aplicativo e uma entidade de serviço são criados automaticamente em seu diretório ou locatário base. Para obter mais informações sobre a relação entre registro de aplicativos, objetos de aplicativo e entidades de serviço, leia Objetos de aplicativos e entidades de serviço no Azure Active Directory.

Permissões necessárias para registrar um aplicativo

É necessário ter as permissões suficientes para registrar um aplicativo com o locatário do Azure AD e atribuir ao aplicativo uma função na assinatura do Azure.

Verifique as permissões do Azure AD

  1. Selecione Azure Active Directory.

  2. Anote sua função. Se você tiver a função Usuário, garanta que não administradores possam registrar aplicativos.

    Encontrar sua função. Se você for um usuário, verifique se os não administradores podem registrar aplicativos

  3. No painel esquerdo, selecione Configurações de usuário.

  4. Verifique a configuração Registros do Aplicativo. Esse valor só pode ser definido por um administrador. Se for definido como Sim, qualquer usuário no locatário do Azure AD poderá registrar um aplicativo.

Se a configuração de registros de aplicativo está definida como Não, somente os usuários com uma função de administrador podem registrar esses tipos de aplicativos. Confira as funções internas do Azure AD para saber mais sobre as funções de administrador disponíveis e as permissões específicas no Azure AD fornecidas para cada função. Se sua conta está atribuída à função Usuário, mas a configuração de registro de aplicativo está limitada a usuários administradores, peça a seu administrador para atribuir a você uma das funções de administrador que podem criar e gerenciar todos os aspectos de registros do aplicativo ou para permitir que os usuários registrem aplicativos.

Verificar permissões de assinatura do Azure

Na assinatura do Azure, sua conta deve ter acesso de Microsoft.Authorization/*/Write para atribuir uma função a um aplicativo do AD. Esta ação deve ser concedida pela função Proprietário ou pela função Administrador de Acesso do Usuário. Se sua conta tiver a função Colaborador, você não terá a permissão adequada. Receberá um erro ao tentar atribuir uma função à entidade de serviço.

Para verificar suas permissões de assinatura:

  1. Pesquise e selecione Assinaturas, ou selecione Assinaturas na Home Page.

    Search

  2. Na lista suspensa, selecione a assinatura na qual deseja criar a entidade de serviço.

    Selecione a assinatura para atribuição

    Se você não vir a assinatura que está procurando, selecione filtro de assinaturas globais. Garanta que a assinatura desejada seja selecionada para o portal.

  3. Selecionar Minhas permissões. Em seguida, selecione Clique aqui para exibir o acesso completo detalhes para essa assinatura.

    Selecione a assinatura na qual deseja criar a entidade de serviço

  4. Selecione Exibir em Atribuições de função para ver suas atribuições de função e determinar se tem as permissões adequadas para atribuir uma função a um aplicativo AD. Caso contrário, peça ao administrador da assinatura para adicioná-lo à função Administrador de Acesso do Usuário. Na imagem a seguir, o usuário é atribuído à função Proprietário, o que significa que ele tem as permissões adequadas.

    Este exemplo mostra que o usuário tem a função de proprietário atribuída

Registrar um aplicativo com o Azure AD e criar uma entidade de serviço

Vamos diretamente para a criação da identidade. Se você encontrar um problema, verifique as permissões necessárias para garantir que sua conta possa criar a identidade.

  1. Entre sua conta do Azure através do portal do Microsoft Azure.

  2. Selecione Azure Active Directory.

  3. Selecione Registros do Aplicativo.

  4. Selecione Novo registro.

  5. Dê um nome ao aplicativo. Selecione um tipo de conta com suporte, que determina quem poderá usar o aplicativo. Em URI de redirecionamento, selecione Web para o tipo de aplicativo que deseja criar. Insira o URI para o qual o token de acesso será enviado. Não é possível criar as credenciais para um Aplicativo nativo. Não é possível usar esse tipo para um aplicativo automatizado. Depois de definir os valores, selecione Registrar.

    Insira um nome para seu aplicativo

Você criou o aplicativo e a entidade de serviço do Azure AD.

Observação

É possível registrar vários aplicativos com o mesmo nome no Azure AD, mas os aplicativos devem ter IDs de aplicativo (cliente) diferentes.

Atribuir uma função ao aplicativo

Para acessar recursos em sua assinatura, deverá atribuir uma função ao aplicativo. Decida qual função oferece as permissões corretas para o aplicativo. Para saber mais sobre as funções disponíveis, consulte Funções internas do Azure.

Você pode definir o escopo no nível da assinatura, do grupo de recursos ou do recurso. As permissão são herdadas para níveis inferiores do escopo. Por exemplo, adicionar um aplicativo à função Leitor de um grupo de recursos significa que ele pode ler o grupo de recursos e todos os recursos que o grupo contiver.

  1. No portal do Azure, selecione o nível de escopo que deseja atribuir ao aplicativo. Por exemplo, para atribuir uma função no escopo da assinatura, procure e selecione Assinaturas, ou selecione Assinaturas na Home Page.

    Por exemplo, atribuir uma função no escopo da assinatura

  2. Escolha a assinatura específica à qual atribuir o aplicativo.

    Selecione a assinatura para atribuição

    Se você não vir a assinatura que está procurando, selecione filtro de assinaturas globais. Garanta que a assinatura desejada seja selecionada para o portal.

  3. Selecione IAM (Controle de acesso) .

  4. Selecione Adicionar atribuição de função.

  5. Selecione a função que deseja atribuir ao aplicativo. Por exemplo, para permitir que o aplicativo execute ações como reinicializar, iniciar e parar instâncias, selecione a função de Colaborador. Leia mais sobre as funções disponíveis. Por padrão, os aplicativos do Azure AD não são exibidos nas opções disponíveis. Para localizar seu aplicativo, pesquise o nome e selecione-o.

    Selecione a função para atribuir ao aplicativo

  6. Selecione Salvar para finalizar a atribuição da função. Agora você verá o aplicativo na lista de usuários atribuídos a uma função para o escopo.

A entidade de serviço está configurada. Você pode começar a usá-lo para executar seus scripts ou aplicativos. Para gerenciar sua entidade de serviço (permissões, permissões de usuário consentidas, consulte quais usuários consentiram, revise as permissões, consulte informações de entrada e muito mais), vá para Aplicativos empresariais.

A próxima seção mostra como obter valores necessários ao entrar de modo programático.

Obter valores de ID do aplicativo e locatário para entrar

Ao entrar de modo programático, passe a ID de locatário com a solicitação de autenticação e a ID do aplicativo. Também será necessário um certificado ou de uma chave de autenticação (descrita na seção a seguir). Para obter esses valores, use as seguintes etapas:

  1. Selecione Azure Active Directory.

  2. Em Registros de aplicativo no Azure AD, selecione seu aplicativo.

  3. Copiar a ID do diretório (locatário) e armazene-a no código do aplicativo.

    Copiar o diretório (ID do locatário) e armazene-o no código do aplicativo

    A ID do diretório (locatário) também pode ser encontrada na página Visão geral do diretório padrão.

  4. Copie a ID do aplicativo e armazene-a no código do aplicativo.

    Copiar a ID (de cliente) do aplicativo

Autenticação: duas opções

Há dois tipos de autenticação disponíveis para as entidades de serviço: autenticação baseada em senha (segredo do aplicativo) e em certificado. É recomendável usar um certificado, mas também poderá ser criado um segredo do aplicativo.

Opção 1: Carregar um certificado

É possível usar um certificado existente, caso tenha um. Opcionalmente, poderá criar um certificado autoassinado somente para fins de teste. Para criar um certificado autoassinado, abra o PowerShell e execute New-SelfSignedCertificate com os seguintes parâmetros para criar o certificado no repositório de certificados do usuário em seu computador:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporte esse certificado para um arquivo usando o snap-in Gerenciar certificado do usuário do MMC, acessível no painel de controle do Windows.

  1. Selecione Executar no menu Iniciar e digite certmgr. msc.

    A ferramenta Certificate Manager para o dispositivo local será exibida.

  2. Para exibir seus certificados, em Certificados – usuário atual no painel esquerdo, expanda o diretório Pessoal.

  3. Clique com o botão direito do mouse no certificado criado, selecione Todas as tarefas->Exportar.

  4. Siga o assistente para exportação de certificados. Não exporte a chave privada e exporte para um arquivo .CER.

Para carregar o certificado:

  1. Selecione Azure Active Directory.

  2. Em Registros de aplicativo no Azure AD, selecione seu aplicativo.

  3. Selecione Certificados e segredos.

  4. Selecione Carregar certificado e selecione o certificado (um certificado existente ou o certificado autoassinado que você exportou).

    Selecione Carregar certificado e selecione aquele que deseja adicionar

  5. Selecione Adicionar.

Depois de registrar o certificado com seu aplicativo no portal de registro de aplicativos, habilite o código do aplicativo cliente para usar o certificado.

Opção 2: Criar um novo segredo do aplicativo

Se optar por não usar um certificado, poderá criar um novo segredo do aplicativo.

  1. Selecione Azure Active Directory.

  2. Em Registros de aplicativo no Azure AD, selecione seu aplicativo.

  3. Selecione Certificados e segredos.

  4. Selecione Segredos do cliente > Novo segredo do cliente.

  5. Forneça uma descrição do segredo e uma duração. Ao terminar, selecione Adicionar.

    Depois de salvar o segredo do cliente, o valor do segredo do cliente é exibido. Copie este valor, pois não será possível recuperar a chave posteriormente. Forneça o valor da chave com a ID do aplicativo para fazer logon como o aplicativo. Armazene o valor da chave onde seu aplicativo possa recuperá-lo.

    Copiar o valor do segredo porque você não pode recuperá-lo mais tarde

Configurar políticas de acessos para recursos

Tenha em mente que talvez seja necessário configurar permissões adicionais para os recursos que seu aplicativo precisa acessar. Por exemplo, também deverá atualizar as políticas de acesso de um cofre de chaves para dar ao aplicativo acesso a chaves, segredos ou certificados.

  1. No portal do Azure, navegue até o cofre de chaves e selecione Políticas de acesso.
  2. Selecione Adicionar política de acesso e, em seguida, selecione as permissões de chave, segredo e certificado que deseja conceder ao aplicativo. Selecione a entidade de serviço criada anteriormente.
  3. Selecione Adicionar para adicionar a política de acesso e, em seguida, Salvar para confirmar as alterações. Adicionar política de acesso

Próximas etapas