Criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar recursos

  • Artigo

Neste artigo, você aprenderá a criar um aplicativo do Microsoft Entra e uma entidade de serviço que podem ser usados com o controle de acesso baseado em função. Quando você registra um novo aplicativo na ID do Microsoft Entra, uma entidade de serviço é criada automaticamente para o registro do aplicativo. A entidade de serviço é a identidade do aplicativo no locatário do Microsoft Entra. O acesso aos recursos é restrito pelas funções atribuídas à entidade de serviço, oferecendo controle sobre quais recursos poderão ser acessados e em qual nível. Por motivos de segurança, é sempre recomendado usar entidades de serviço com ferramentas automatizadas em vez de permitir a entrada delas com uma identidade de usuário.

Neste artigo, você criará um aplicativo de locatário individual no portal do Azure. Este exemplo é aplicável a aplicativos de linha de negócios usados em uma organização. Você também pode usar o Azure PowerShell ou a CLI do Azure para criar uma entidade de serviço.

Importante

Em vez de criar uma entidade de serviço, considere o uso de identidades gerenciadas para recursos do Azure para a identidade do aplicativo. Se o código for executado em um serviço que dá suporte a identidades gerenciadas e acessa recursos que dão suporte à autenticação do Microsoft Entra, as identidades gerenciadas serão uma opção melhor. Para saber mais sobre identidades gerenciadas dos recursos do Azure, incluindo os serviços atualmente com suporte, consulte O que são identidades gerenciadas para recursos do Azure?.

Para obter mais informações sobre a relação entre registro de aplicativos, objetos de aplicativo e entidades de serviço, leia Objetos de aplicativos e entidades de serviço na ID do Microsoft Entra.

Pré-requisitos

Para registrar um aplicativo no seu locatário do Microsoft Entra, você precisa ter:

Permissões necessárias para registrar um aplicativo

É necessário ter as permissões suficientes para registrar um aplicativo no locatário do Microsoft Entra e atribuir ao aplicativo uma função na assinatura do Azure. Para concluir essas tarefas, você precisará ter a permissão Application.ReadWrite.All.

Registrar um aplicativo na ID do Microsoft Entra e criar uma entidade de serviço

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Registros de aplicativo e, em seguida, selecione Novo registro.

  3. Nomeie o aplicativo, por exemplo, "example-app".

  4. Selecione um tipo de conta com suporte, que determina quem poderá usar o aplicativo.

  5. Em URI de redirecionamento, selecione Web para o tipo de aplicativo que deseja criar. Insira o URI para o qual o token de acesso será enviado.

  6. Selecione Registrar.

    Type a name for your application.

Você criou o aplicativo do Microsoft Entra e a entidade de serviço.

Atribuir uma função ao aplicativo

Para acessar recursos em sua assinatura, deverá atribuir uma função ao aplicativo. Decida qual função oferece as permissões corretas para o aplicativo. Para saber mais sobre as funções disponíveis, consulte Funções internas do Azure.

Você pode definir o escopo no nível da assinatura, do grupo de recursos ou do recurso. As permissão são herdadas para níveis inferiores do escopo.

  1. Entre no portal do Azure.

  2. Selecione o nível do escopo ao qual deseja atribuir o aplicativo. Por exemplo, para atribuir uma função no escopo da assinatura, procure a opção Assinaturas e selecione-a. Se você não vir a assinatura que está procurando, selecione filtro de assinaturas globais. Verifique se a assinatura desejada está selecionada para o locatário.

  3. Selecione IAM (Controle de acesso) .

  4. Selecione Adicionar e Adicionar atribuição de função.

  5. Na guia Função, selecione a função que deseja atribuir ao aplicativo na lista. Por exemplo, para permitir que o aplicativo execute ações como reinicializar, iniciar e interromper instâncias, selecione a função Colaborador.

  6. Escolha Avançar.

  7. Na guia Membros, selecione Atribuir acesso a e escolha Usuário, grupo ou entidade de serviço

  8. Selecione Selecionar membros. Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar seu aplicativo, procure-o pelo nome.

  9. Escolha o botão Selecionar e Revisar + atribuir.

    Screenshot showing role assignment.

A entidade de serviço está configurada. Você pode começar a usá-lo para executar seus scripts ou aplicativos. Para gerenciar sua entidade de serviço (permissões, permissões de usuário consentidas, consulte quais usuários consentiram, revise as permissões, consulte informações de entrada e muito mais), vá para Aplicativos empresariais.

A próxima seção mostra como obter valores necessários ao entrar de modo programático.

Entrar no aplicativo

Ao se conectar por meio de programação, transmita a ID do locatário e a ID do aplicativo na solicitação de autenticação. Você também precisará ter um certificado ou uma chave de autenticação. Para obter a ID do diretório (locatário) e a ID do aplicativo:

  1. Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
  2. Na página de visão geral do aplicativo, copie o valor da ID do Diretório (locatário) e armazene-o no código do aplicativo.
  3. Copie o valor da ID do Aplicativo (cliente) e armazene-o no código do aplicativo.

Configurar a autenticação

Há dois tipos de autenticação disponíveis para as entidades de serviço: autenticação baseada em senha (segredo do aplicativo) e em certificado. Recomendamos o uso de um certificado confiável emitido por uma autoridade de certificação, mas você também pode criar um segredo do aplicativo ou criar um certificado autoassinado para fins de teste.

Para carregar o arquivo do certificado:

  1. Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
  2. Selecione Certificados e segredos.
  3. Selecione Certificados, a seguir selecione Carregar certificado e, para terminar, selecione o arquivo do certificado a ser carregado.
  4. Selecione Adicionar. Após o carregamento do certificado, os valores de impressão digital, data de início e expiração são exibidos.

Após registrar o certificado com seu aplicativo no portal de registro de aplicativos, ative o código do aplicativo cliente confidencial para usar o certificado.

Opção 2: Somente teste — criar e carregar um certificado autoassinado

Opcionalmente, poderá criar um certificado autoassinado somente para fins de teste. Para criar um certificado autoassinado, abra o Windows PowerShell e execute New-SelfSignedCertificate com os seguintes parâmetros para criar o certificado no repositório de certificados do usuário no computador:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporte esse certificado para um arquivo usando o snap-in Gerenciar certificado do usuário do MMC, acessível no painel de controle do Windows.

  1. Selecione Executar no menu Iniciar e digite certmgr. msc. A ferramenta Certificate Manager para o dispositivo local será exibida.
  2. Para exibir seus certificados, em Certificados – usuário atual no painel esquerdo, expanda o diretório Pessoal.
  3. Clique com o botão direito do mouse no certificado criado e selecione Todas as tarefas->Exportar.
  4. Siga o assistente para exportação de certificados.

Para carregar o certificado:

  1. Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
  2. Selecione Certificados e segredos.
  3. Selecione Certificados, Carregar certificado e escolha o certificado (um certificado existente ou o certificado autoassinado que você exportou).
  4. Selecione Adicionar.

Após registrar o certificado com seu aplicativo no portal de registro de aplicativos, ative o código do aplicativo cliente confidencial para usar o certificado.

Opção 3: criar um novo segredo do cliente

Se optar por não usar um certificado, poderá criar um novo segredo do cliente.

  1. Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
  2. Selecione Certificados e segredos.
  3. Selecione Segredos do cliente e Novo segredo do cliente.
  4. Forneça uma descrição do segredo e uma duração.
  5. Selecione Adicionar.

Depois que você salvar o segredo do cliente, o valor do segredo do cliente será exibido. Isso é exibido apenas uma vez, portanto, copie esse valor e armazene-o onde seu aplicativo pode recuperá-lo, geralmente onde seu aplicativo mantém valores como clientIdou authoruty no código-fonte. Você fornecerá o valor da chave com a ID do aplicativo para se conectar como o aplicativo.

Screenshot showing the client secret.

Configurar políticas de acessos para recursos

Talvez seja necessário configurar permissões extras para os recursos que o seu aplicativo precisa acessar. Por exemplo, também deverá atualizar as políticas de acesso de um cofre de chaves para dar ao aplicativo acesso a chaves, segredos ou certificados.

Para configurar políticas de acesso:

  1. Entre no portal do Azure.

  2. Selecione seu cofre de chaves e escolha Acessar políticas.

  3. Selecione Adicionar política de acessoe, em seguida, selecione as permissões de chave, segredo e certificado que deseja conceder ao aplicativo. Selecione a entidade de serviço criada anteriormente.

  4. Selecione Adicionar para adicionar a política de acesso.

  5. Salvar.

    Add access policy

Próximas etapas