Autorize o acesso à Configuração do Aplicativo do Azure usando o ID do Microsoft Entra

Além de usar o HMAC (Hash-based Message Authentication Code), a Configuração de Aplicativos do Azure dá suporte ao uso do Microsoft Entra ID para autorizar as solicitações às instâncias da Configuração de Aplicativos. O Microsoft Entra ID permite usar o RBAC do Azure (controle de acesso baseado em função) para conceder permissões a uma entidade de segurança. Uma entidade de segurança pode ser um usuário, uma identidade gerenciada ou uma entidade de serviço de aplicativo. Para saber mais sobre as funções e atribuições de função, confira Noções básicas sobre funções diferentes.

Visão geral

As solicitações feitas por uma entidade de segurança para acessar um recurso de Configuração de Aplicativos devem ser autorizadas. Com o Microsoft Entra ID, o acesso a um recurso é um processo de duas etapas:

  1. A identidade da entidade de segurança é autenticada e um token OAuth 2.0 é retornado. O nome do recurso para solicitar um token é https://login.microsoftonline.com/{tenantID}, em que {tenantID} corresponde ao Microsoft Entra ID ao qual a entidade de serviço pertence.
  2. O token é passado como parte de uma solicitação para o serviço de Configuração de Aplicativos para autorizar o acesso ao recurso especificado.

A etapa de autenticação requer que uma solicitação do aplicativo contenha um token de acesso OAuth 2.0 no runtime. Se um aplicativo estiver em execução em uma entidade do Azure, como um aplicativo Azure Functions, um aplicativo Web do Azure ou uma VM do Azure, ele pode usar uma identidade gerenciada para acessar os recursos. Para saber como autenticar solicitações feitas por uma identidade gerenciada para a Configuração de Aplicativos do Azure, confira Autenticar o acesso aos recursos da Configuração de Aplicativos do Azure com o Microsoft Entra ID e as identidades gerenciadas para os Recursos do Azure.

A etapa de autorização requer que uma ou mais funções do Azure sejam atribuídas à entidade de segurança. A Configuração de Aplicativos do Azure fornece as funções do Azure que abrangem os conjuntos de permissões para os recursos da Configuração de Aplicativos. As funções atribuídas a uma entidade de segurança determinam as permissões fornecidas à entidade. Para obter mais informações sobre as funções do Azure, confira Funções internas do Azure para Configuração de Aplicativos do Azure.

Atribuir funções do Azure para direitos de acesso

O Microsoft Entra autoriza os direitos de acesso aos recursos protegidos por meio do RBAC do Azure (controle de acesso baseado em função).

Quando uma função do Azure é atribuída a uma entidade de segurança do Microsoft Entra, o Azure permite que essa entidade de segurança tenha acesso a esses recursos. O acesso é definido para o recurso de Configuração de Aplicativos. Uma entidade de segurança do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure.

Funções internas do Azure da Configuração de Aplicativos do Azure

O Azure fornece as seguintes funções internas para autorizar o acesso aos dados da Configuração de Aplicativos usando o Microsoft Entra ID:

  • Proprietário de Dados da Configuração de Aplicativos: Use essa função para conceder acesso de leitura/gravação/exclusão aos dados da Configuração de Aplicativos. Essa função não concede acesso ao recurso de Configuração de Aplicativos.
  • Leitor de Dados da Configuração de Aplicativos: Use essa função para conceder acesso de leitura aos dados da Configuração de Aplicativos. Essa função não concede acesso ao recurso de Configuração de Aplicativos.
  • Colaborador e Proprietário: use essa função para gerenciar o recurso de Configuração de Aplicativos. Ele concede acesso às chaves de acesso do recurso. Embora os dados de Configuração de Aplicativos possam ser acessados usando chaves de acesso, essa função não concede acesso direto aos dados com o Microsoft Entra ID. Essa função será necessária se você acessar os dados da Configuração de Aplicativos por meio do modelo do ARM, do Bicep ou do Terraform durante a implantação. Para saber mais, confira implantação.
  • Leitor: Use essa função para conceder acesso de leitura ao recurso de Configuração de Aplicativos. Essa função não concede acesso às chaves de acesso do recurso nem aos dados armazenados na Configuração de Aplicativos.

Observação

Depois que uma atribuição de função for feita para uma identidade, aguarde até 15 minutos para que a permissão seja propagada antes de acessar os dados armazenados na Configuração de Aplicativos usando essa identidade.

Próximas etapas

Saiba mais sobre o uso de identidades gerenciadas para administrar o serviço de Configuração de Aplicativos.