Registrar um aplicativo para solicitar tokens de autorização e trabalhar com APIs

Artigo
10/15/2024

Para acessar as APIs REST do Azure, como a API do Log Analytics, ou para enviar métricas personalizadas, você pode gerar um token de autorização com base em uma ID do cliente e em um segredo. Em seguida, o token é passado em sua solicitação à API REST. Este artigo mostra como registrar um aplicativo cliente e criar um segredo do cliente para que você possa gerar um token.

Registrar um Aplicativo

Crie uma entidade de serviço e registre um aplicativo usando o portal do Azure, a CLI do Azure ou o PowerShell.

Para registrar um aplicativo, abra a página “Visão geral” do Active Directory no portal do Azure.
Selecione Registros de aplicativo na barra lateral.
Selecione Novo registro.
Na página “Registrar um aplicativo”, insira um Nome para o aplicativo.
Escolha Registrar
Na página de visão geral do aplicativo, selecione Certificados e segredos
Observe a ID do aplicativo (cliente). Ela é usada na solicitação HTTP para um token.
Na guia “Segredos do cliente”, selecione Novo segredo do cliente
Insira uma Descrição e selecione Adicionar
Copie e salve o Valor do segredo do cliente.

Observação

Os valores de segredo do cliente só podem ser visualizados imediatamente após a criação. Salve o segredo antes de sair da página.

Execute o script a seguir para criar uma entidade de serviço e um aplicativo.

az ad sp create-for-rbac -n <Service principal display name>

A resposta é a seguinte:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Importante

A saída inclui credenciais que você deve proteger. Lembre-se de não incluir essas credenciais em seu código ou de verificar as credenciais em seu controle do código-fonte.

Adicionar uma função e um escopo para os recursos que você deseja acessar usando a API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

O exemplo a seguir da CLI atribui a Reader função à entidade de serviço para todos os recursos no rg-001grupo de recursos:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Para obter mais informações sobre como criar as entidade de serviço usando a CLI do Azure, consulte Criar uma entidade de serviço do Azure com a CLI do Azure.

O script de exemplo a seguir demonstra a criação de uma entidade de serviço do Microsoft Entra por meio do PowerShell. Para obter instruções mais detalhadas, consulte usando o Azure PowerShell para criar uma entidade de serviço para acessar recursos

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Próximas etapas

Antes de gerar um token usando o aplicativo, a ID do cliente e o segredo, atribua o aplicativo a uma função usando o controle de acesso (IAM) para o recurso que deseja acessar. A função dependerá do tipo de recurso e da API que você deseja usar.
Por exemplo,

Para conceder ao aplicativo a leitura de um Workspace do Log Analytics, adicione-o como membro à função Leitor usando o controle de acesso (IAM) para seu Workspace do Log Analytics. Para saber mais, veja Acessar a API.
Para conceder acesso para o envio de métricas personalizadas para um recurso, adicione o aplicativo como membro à função Editor de Métricas de Monitoramento usando o controle de acesso (IAM) para seu recurso. Para obter mais informações, consulte Enviar métricas para o banco de dados de métricas do Azure Monitor usando a API REST

Para obter mais informações, consulte Atribuir funções do Azure usando o portal do Azure

Depois de atribuir uma função, você poderá usar o aplicativo, a ID do cliente e o segredo do cliente para gerar um token de portador para acessar a API REST.

Observação

Ao usar a autenticação do Microsoft Entra, pode levar até 60 minutos para que a API REST do Azure Application Insights reconheça novas permissões de RBAC (controle de acesso baseado em função). Enquanto as permissões são propagadas, chamadas à API REST poderão falhar com o código de erro 403.

Compartilhar via

Registrar um aplicativo para solicitar tokens de autorização e trabalhar com APIs

Registrar um Aplicativo

Próximas etapas

Comentários

Recursos adicionais