Registrar um aplicativo do Microsoft Entra e criar uma entidade de serviço
Neste artigo, você aprenderá a criar um aplicativo do Microsoft Entra e uma entidade de serviço que podem ser usados com o controle de acesso baseado em função (RBAC). Quando você registra um novo aplicativo na ID do Microsoft Entra, uma entidade de serviço é criada automaticamente para o registro do aplicativo. A entidade de serviço é a identidade do aplicativo no locatário do Microsoft Entra. O acesso aos recursos é restrito pelas funções atribuídas à entidade de serviço, oferecendo controle sobre quais recursos poderão ser acessados e em qual nível. Por motivos de segurança, é sempre recomendado usar entidades de serviço com ferramentas automatizadas em vez de permitir a entrada delas com uma identidade de usuário.
Este exemplo é aplicável a aplicativos de linha de negócios usados em uma organização. Você também pode usar o Azure PowerShell ou a CLI do Azure para criar uma entidade de serviço.
Importante
Em vez de criar uma entidade de serviço, considere o uso de identidades gerenciadas para recursos do Azure para a identidade do aplicativo. Se o código for executado em um serviço que dá suporte a identidades gerenciadas e acessa recursos que dão suporte à autenticação do Microsoft Entra, as identidades gerenciadas serão uma opção melhor. Para saber mais sobre identidades gerenciadas dos recursos do Azure, incluindo os serviços atualmente com suporte, consulte O que são identidades gerenciadas para recursos do Azure?.
Para obter mais informações sobre a relação entre registro de aplicativos, objetos de aplicativo e entidades de serviço, leia Objetos de aplicativos e entidades de serviço na ID do Microsoft Entra.
Pré-requisitos
Para registrar um aplicativo no seu locatário do Microsoft Entra, você precisa ter:
- Uma conta de usuário do Microsoft Entra. Se ainda não tem uma, crie uma conta gratuita.
- Permissões suficientes para registrar um aplicativo no seu locatário do Microsoft Entra e atribuir ao aplicativo uma função na sua assinatura do Azure. Para concluir essas tarefas, você precisará da permissão
Application.ReadWrite.All
.
Registrar um aplicativo na ID do Microsoft Entra e criar uma entidade de serviço
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Registros de aplicativo e, em seguida, selecione Novo registro.
Nomeie o aplicativo, por exemplo, example-app.
Em Tipos de contas com suporte, selecione Contas somente neste diretório organizacional.
Em URI de redirecionamento, selecione Web para o tipo de aplicativo que deseja criar. Insira o URI para o qual o token de acesso será enviado.
Selecione Registrar.
Atribuir uma função ao aplicativo
Para acessar recursos em sua assinatura, deverá atribuir uma função ao aplicativo. Decida qual função oferece as permissões corretas para o aplicativo. Para saber mais sobre as funções disponíveis, consulte Funções internas do Azure.
Você pode definir o escopo no nível da assinatura, do grupo de recursos ou do recurso. As permissão são herdadas para níveis inferiores do escopo.
Entre no portal do Azure.
Selecione o nível do escopo ao qual deseja atribuir o aplicativo. Por exemplo, para atribuir uma função no escopo da assinatura, procure a opção Assinaturas e selecione-a. Se você não vir a assinatura que está procurando, selecione filtro de assinaturas globais. Verifique se a assinatura desejada está selecionada para o locatário.
Selecione IAM (Controle de acesso) .
Selecione Adicionar e Adicionar atribuição de função.
Na guia Função, selecione a função que deseja atribuir ao aplicativo na lista.
Selecione Avançar.
Na guia Membros, para Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço.
Selecione Selecionar membros. Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar seu aplicativo, procure-o pelo nome.
Escolha o botão Selecionar e Revisar + atribuir.
A entidade de serviço está configurada. Você pode começar a usá-lo para executar seus scripts ou aplicativos. Para gerenciar sua entidade de serviço (permissões, permissões de usuário consentidas, consulte quais usuários consentiram, revise as permissões, consulte informações de entrada e muito mais), vá para Aplicativos empresariais.
A próxima seção mostra como obter valores necessários ao entrar de modo programático.
Entrar no aplicativo
Ao fazer login de forma programática, você passa a ID do diretório (locatário) e a ID do aplicativo (cliente) na sua solicitação de autenticação. Você também precisará ter um certificado ou uma chave de autenticação. Para obter a ID do diretório e a ID do aplicativo:
- Abra a página Centro de administração do Microsoft Entra Página Inicial.
- Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
- Na página de visão geral do aplicativo, copie o valor da ID do Diretório (locatário) e armazene-o no código do aplicativo.
- Copie o valor da ID do Aplicativo (cliente) e armazene-o no código do aplicativo.
Configurar a autenticação
Há dois tipos de autenticação disponíveis para as entidades de serviço: autenticação baseada em senha (segredo do aplicativo) e em certificado. Recomendamos o uso de um certificado confiável emitido por uma autoridade de certificação, mas você também pode criar um segredo do aplicativo ou criar um certificado autoassinado para fins de teste.
Opção 1 (recomendada): Carregar um certificado confiável emitido por uma autoridade de certificação
Para carregar o arquivo do certificado:
- Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
- Selecione Certificados e segredos.
- Selecione Certificados, a seguir selecione Carregar certificado e, para terminar, selecione o arquivo do certificado a ser carregado.
- Selecione Adicionar. Após o carregamento do certificado, os valores de impressão digital, data de início e expiração são exibidos.
Após registrar o certificado com seu aplicativo no portal de registro de aplicativos, ative o código do aplicativo cliente confidencial para usar o certificado.
Opção 2: somente teste: criar e carregar um certificado autoassinado
Opcionalmente, poderá criar um certificado autoassinado somente para fins de teste. Para criar um certificado autoassinado, abra o Windows PowerShell e execute New-SelfSignedCertificate com os seguintes parâmetros para criar o certificado no repositório de certificados do usuário no computador:
$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature
Exporte esse certificado para um arquivo usando o snap-in Gerenciar certificado do usuário do MMC, acessível no painel de controle do Windows.
- Selecione Executar no menu Iniciar e digite certmgr. msc. A ferramenta Certificate Manager para o dispositivo local será exibida.
- Para exibir seus certificados, em Certificados – usuário atual no painel esquerdo, expanda o diretório Pessoal.
- Clique com o botão direito do mouse no certificado criado e selecione Todas as tarefas->Exportar.
- Siga o assistente para exportação de certificados.
Para carregar o certificado:
- Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
- Selecione Certificados e segredos.
- Selecione Certificados, Carregar certificado e escolha o certificado (um certificado existente ou o certificado autoassinado que você exportou).
- Selecione Adicionar.
Após registrar o certificado com seu aplicativo no portal de registro de aplicativos, ative o código do aplicativo cliente confidencial para usar o certificado.
Opção 3: criar um novo segredo do cliente
Se optar por não usar um certificado, poderá criar um novo segredo do cliente.
- Navegue até Identidade>Aplicativos>Registros de aplicativo, e selecione seu aplicativo.
- Selecione Certificados e segredos.
- Selecione Segredos do cliente e selecione Novo segredo do cliente.
- Forneça uma descrição do segredo e uma duração.
- Selecione Adicionar.
Depois que você salvar o segredo do cliente, o valor do segredo do cliente será exibido. Isso é exibido apenas uma vez, portanto, copie esse valor e armazene-o onde seu aplicativo pode recuperá-lo, geralmente onde seu aplicativo mantém valores como clientId
ou authority
no código-fonte. Você fornecerá o valor secreto junto com a ID do cliente do aplicativo para entrar como o aplicativo.
Configurar políticas de acessos para recursos
Talvez seja necessário configurar permissões extras para os recursos que o seu aplicativo precisa acessar. Por exemplo, também deverá atualizar as políticas de acesso de um cofre de chaves para dar ao aplicativo acesso a chaves, segredos ou certificados.
Para configurar políticas de acesso:
Entre no portal do Azure.
Selecione seu cofre de chaves e escolha Acessar políticas.
Selecione Adicionar política de acessoe, em seguida, selecione as permissões de chave, segredo e certificado que deseja conceder ao aplicativo. Selecione a entidade de serviço criada anteriormente.
Selecione Adicionar para adicionar a política de acesso e selecione Salvar.
Conteúdo relacionado
- Saiba como usar o Azure PowerShell ou CLI do Azure para criar uma entidade de serviço.
- Para aprender a especificar as políticas de segurança, consulte Controle de Acesso baseado em função do Azure (Azure RBAC).
- Para obter uma lista de ações disponíveis que podem ser concedidas ou negadas a usuários, consulte Operações do Provedor de Recursos do Azure Resource Manager.
- Para obter informações sobre como trabalhar com registros de aplicativo usando Microsoft Graph, consulte a referência de API de Aplicativos.