Adicionar autenticação ao chamar APIs personalizadas dos Aplicativos Lógicos do Azure
Para melhorar a segurança das chamadas para as suas APIs, pode configurar a autenticação do Microsoft Entra através do portal do Azure para não ter de atualizar o seu código. Pode, também, pedir e impor a autenticação através do código da API.
Você pode adicionar autenticação das seguintes maneiras:
Sem alterações de código: proteja sua API com o Microsoft Entra ID por meio do portal do Azure, para que você não precise atualizar seu código ou reimplantar sua API.
Nota
Por padrão, a autenticação do Microsoft Entra selecionada no portal do Azure não fornece autorização refinada. Por exemplo, essa autenticação bloqueia sua API apenas para um locatário específico, não para um usuário ou aplicativo específico.
Atualize o código da API: proteja sua API impondo autenticação de certificado, autenticação básica ou autenticação do Microsoft Entra por meio de código.
Autentique chamadas para sua API sem alterar o código
Aqui estão as etapas gerais para este método:
Crie duas identidades de aplicativo Microsoft Entra: uma para seu recurso de aplicativo lógico e outra para seu aplicativo Web (ou aplicativo de API).
Para autenticar chamadas para sua API, use as credenciais (ID do cliente e segredo) para a entidade de serviço associada à identidade do aplicativo Microsoft Entra para seu aplicativo lógico.
Inclua as IDs do aplicativo na definição de fluxo de trabalho do seu aplicativo lógico.
Parte 1: Criar uma identidade de aplicativo Microsoft Entra para seu aplicativo lógico
Seu recurso de aplicativo lógico usa essa identidade de aplicativo do Microsoft Entra para autenticar na ID do Microsoft Entra. Você só precisa configurar essa identidade uma vez para o seu diretório. Por exemplo, você pode optar por usar a mesma identidade para todos os seus aplicativos lógicos, mesmo que possa criar identidades exclusivas para cada aplicativo lógico. Você pode configurar essas identidades no portal do Azure ou usar o PowerShell.
No portal do Azure, selecione Microsoft Entra ID.
Confirme se você está no mesmo diretório que seu aplicativo Web ou aplicativo de API.
Gorjeta
Para mudar de diretório, escolha seu perfil e selecione outro diretório. Ou selecione Visão geral>do diretório Switch.
No menu do diretório, em Gerenciar, selecione Registros de>aplicativos Novo registro.
A lista Todos os registros mostra todos os registros de aplicativos em seu diretório. Para ver apenas os registos da sua aplicação, selecione Aplicações próprias.
Forneça um nome voltado para o usuário para a identidade do aplicativo lógico. Selecione os tipos de conta suportados. Para URI de redirecionamento, selecione Web, forneça uma URL exclusiva onde retornar a resposta de autenticação e selecione Registrar.
A lista Aplicativos próprios agora inclui a identidade do aplicativo criado. Se essa identidade não aparecer, na barra de ferramentas, selecione Atualizar.
Na lista de registros de aplicativos, selecione sua nova identidade de aplicativo.
No menu de navegação de identidade do aplicativo, selecione Visão geral.
No painel Visão geral, em Essentials, copie e salve a ID do aplicativo para usar como a "ID do cliente" para seu aplicativo lógico na Parte 3.
No menu de navegação de identidade do aplicativo, selecione Certificados & segredos.
Na guia Segredos do cliente, selecione Novo segredo do cliente.
Para Descrição, forneça um nome para o seu segredo. Em Expira, selecione uma duração para o seu segredo. Quando terminar, selecione Adicionar.
O segredo que você cria atua como o "segredo" ou senha da identidade do aplicativo para seu aplicativo lógico.
No painel Certificados & segredos, em Segredos do cliente, seu segredo agora aparece junto com um valor secreto e uma ID secreta.
Copie o valor secreto para uso posterior. Ao configurar seu aplicativo lógico na Parte 3, você especifica esse valor como "segredo" ou senha.
Parte 2: Criar uma identidade de aplicativo Microsoft Entra para seu aplicativo Web ou aplicativo de API
Se seu aplicativo Web ou aplicativo de API já estiver implantado, você poderá ativar a autenticação e criar a identidade do aplicativo no portal do Azure. Caso contrário, você pode ativar a autenticação ao implantar com um modelo do Azure Resource Manager.
Criar a identidade do aplicativo para um aplicativo Web implantado ou aplicativo de API no portal do Azure
No portal do Azure, localize e selecione seu aplicativo Web ou aplicativo de API.
Em Configurações, selecione Autenticação>Adicionar provedor de identidade.
Depois que o painel Adicionar um provedor de identidade for aberto, na guia Noções básicas, na lista Provedor de identidade, selecione Microsoft para usar identidades do Microsoft Entra e selecione Adicionar.
Agora, crie uma identidade de aplicativo para seu aplicativo Web ou aplicativo de API da seguinte maneira:
Em Tipo de registro de aplicativo, selecione Criar novo registro de aplicativo.
Em Name, forneça um nome para a identidade do aplicativo.
Em Tipos de conta suportados, selecione os tipos de conta apropriados para o seu cenário.
Em Restringir acesso, selecione Exigir autenticação.
Para solicitações não autenticadas, selecione a opção com base no seu cenário.
Quando terminar, selecione Adicionar.
A identidade do aplicativo que você acabou de criar para seu aplicativo Web ou aplicativo de API agora aparece na seção Provedor de identidade :
Gorjeta
Se a identidade do aplicativo não aparecer, na barra de ferramentas, selecione Atualizar.
Agora você deve encontrar a ID do aplicativo (cliente) e a ID do locatário para a identidade do aplicativo que você acabou de criar para seu aplicativo Web ou aplicativo de API. Você usa esses IDs na Parte 3. Portanto, continue com as etapas a seguir para o portal do Azure.
Encontre a ID do cliente e a ID do locatário da identidade do aplicativo para seu aplicativo Web ou aplicativo de API no portal do Azure
No menu de navegação do seu aplicativo Web, selecione Autenticação.
Na seção Provedor de identidade, localize a identidade do aplicativo que você criou anteriormente. Selecione o nome para a identidade do seu aplicativo.
Depois que o painel Visão geral da identidade do aplicativo for aberto, localize os valores para ID do aplicativo (cliente) e ID do diretório (locatário). Copie e salve os valores para uso na Parte 3.
Você também pode usar o GUID de ID do locatário no modelo de implantação do seu aplicativo Web ou aplicativo de API, se necessário. Este GUID é o GUID do seu inquilino específico ("ID do inquilino") e deve aparecer neste URL:
https://sts.windows.net/{GUID}
Configurar a autenticação ao implantar com um modelo do Azure Resource Manager
Se você estiver usando um modelo do Azure Resource Manager (modelo ARM), ainda precisará criar uma identidade de aplicativo Microsoft Entra para seu aplicativo Web ou aplicativo de API que seja diferente da identidade do aplicativo para seu aplicativo lógico. Para criar a identidade do aplicativo e, em seguida, localizar a ID do cliente e a ID do locatário, siga as etapas anteriores na Parte 2 para o portal do Azure. Você usará a ID do cliente e a ID do locatário no modelo de implantação do seu aplicativo e também para a Parte 3.
Importante
Ao criar a identidade do aplicativo Microsoft Entra para seu aplicativo Web ou aplicativo de API, você deve usar o portal do Azure, não o PowerShell. O commandlet do PowerShell não configura as permissões necessárias para entrar usuários em um site.
Depois de obter a ID do cliente e a ID do locatário, inclua essas IDs como um subrecurso do seu aplicativo Web ou aplicativo de API em seu modelo de implantação:
"resources": [
{
"apiVersion": "2015-08-01",
"name": "web",
"type": "config",
"dependsOn": ["[concat('Microsoft.Web/sites/','parameters('webAppName'))]"],
"properties": {
"siteAuthEnabled": true,
"siteAuthSettings": {
"clientId": "<client-ID>",
"issuer": "https://sts.windows.net/<tenant-ID>/"
}
}
}
]
Para implantar automaticamente um aplicativo Web em branco e um aplicativo lógico junto com a autenticação do Microsoft Entra, exiba o modelo completo aqui ou selecione o seguinte botão Implantar no Azure :
Parte 3: Preencher a seção Autorização em seu aplicativo lógico
O modelo anterior já tem essa seção de autorização configurada, mas se você estiver criando diretamente sua definição de aplicativo lógico, deverá incluir a seção de autorização completa.
Abra sua definição de aplicativo lógico na visualização de código.
Vá para a definição de ação HTTP, localize a seção Autorização e inclua as seguintes propriedades:
{
"tenant": "<tenant-ID>",
"audience": "<client-ID-from-Part-2-web-app-or-API app>",
"clientId": "<client-ID-from-Part-1-logic-app>",
"secret": "<secret-from-Part-1-logic-app>",
"type": "ActiveDirectoryOAuth"
}
| Property | Obrigatório | Descrição |
|---|---|---|
tenant |
Sim | O GUID para o locatário do Microsoft Entra |
audience |
Sim | O GUID do recurso de destino que você deseja acessar, que é a ID do cliente da identidade do aplicativo para seu aplicativo Web ou aplicativo de API |
clientId |
Sim | O GUID do cliente que solicita acesso, que é o ID do cliente da identidade do aplicativo para seu aplicativo lógico |
secret |
Sim | O segredo ou senha da identidade do aplicativo para o cliente que está solicitando o token de acesso |
type |
Sim | O tipo de autenticação. Para autenticação ActiveDirectoryOAuth, o valor é ActiveDirectoryOAuth. |
Por exemplo:
{
"actions": {
"HTTP": {
"inputs": {
"method": "POST",
"uri": "https://your-api-azurewebsites.net/api/your-method",
"authentication": {
"tenant": "tenant-ID",
"audience": "client-ID-from-azure-ad-app-for-web-app-or-api-app",
"clientId": "client-ID-from-azure-ad-app-for-logic-app",
"secret": "key-from-azure-ad-app-for-logic-app",
"type": "ActiveDirectoryOAuth"
}
}
}
}
}
Chamadas de API seguras através de código
Autenticação de certificados
Para validar as solicitações de entrada do fluxo de trabalho do aplicativo lógico para o aplicativo Web ou aplicativo de API, você pode usar certificados de cliente. Para configurar seu código, saiba como configurar a autenticação mútua TLS.
Na seção Autorização, inclua as seguintes propriedades:
{
"type": "ClientCertificate",
"password": "<password>",
"pfx": "<long-pfx-key>"
}
| Property | Obrigatório | Descrição |
|---|---|---|
type |
Sim | O tipo de autenticação. Para certificados de cliente TLS/SSL, o valor deve ser ClientCertificate. |
password |
Não | A senha para acessar o certificado do cliente (arquivo PFX) |
pfx |
Sim | O conteúdo codificado em base64 do certificado do cliente (arquivo PFX) |
Autenticação básica
Para validar solicitações de entrada do seu aplicativo lógico para seu aplicativo Web ou aplicativo de API, você pode usar a autenticação básica, como um nome de usuário e senha. A autenticação básica é um padrão comum e você pode usar essa autenticação em qualquer idioma usado para criar seu aplicativo Web ou aplicativo de API.
Na seção Autorização, inclua as seguintes propriedades:
{
"type": "Basic",
"username": "<username>",
"password": "<password>"
}
| Property | Obrigatório | Descrição |
|---|---|---|
type |
Sim | O tipo de autenticação que você deseja usar. Para autenticação básica, o valor deve ser Basic. |
username |
Sim | O nome de usuário que você deseja usar para autenticação |
password |
Sim | A palavra-passe que pretende utilizar para autenticação |
Autenticação do Microsoft Entra através de código
Por padrão, a autenticação do Microsoft Entra que você ativa no portal do Azure não fornece autorização refinada. Por exemplo, essa autenticação bloqueia sua API apenas para um locatário específico, não para um usuário ou aplicativo específico.
Para restringir o acesso da API ao seu aplicativo lógico por meio de código, extraia o cabeçalho que tem o token da Web JSON (JWT). Verifique a identidade do chamador e rejeite solicitações que não correspondem.