Autenticar recursos do Azure a partir de aplicativos JavaScript locais

  • Artigo

Os aplicativos executados fora do Azure (por exemplo, no local ou em um data center de terceiro) devem usar uma entidade de serviço de aplicativo para se autenticar no Azure ao acessar os recursos do Azure. Os objetos da entidade de serviço de aplicativo são criados com um processo de registro de aplicativo no Azure. Quando uma entidade de serviço de aplicativo é criada, uma ID de cliente e um segredo de cliente são gerados para seu aplicativo. Você armazena a ID do cliente, o segredo do cliente e a ID do locatário em variáveis de ambiente para que o SDK do Azure para JavaScript use as variáveis de ambiente para autenticar seu aplicativo no Azure em tempo de execução.

Um registro de aplicativo diferente deve ser criado para cada ambiente (como teste, etapa, produção) em que o aplicativo está sendo executado. Isso possibilita a configuração de permissões de recursos específicas do ambiente para cada entidade de serviço e garante que um aplicativo implantado em um ambiente não se comunique com os recursos do Azure que fazem parte de outro ambiente.

1 – Registrar o aplicativo no Azure

Um aplicativo pode ser registrado no Azure usando o portal do Azure ou a CLI do Azure.

Entre no portal do Azure e siga estas etapas.

Instruções Captura de tela
No portal do Azure:
  1. Insira registros de aplicativos na caixa de pesquisa na parte superior do portal do Azure.
  2. Selecione o item rotulado Registros de aplicativo sob o título Serviços no menu que aparece abaixo da barra de pesquisa.
 Uma captura de tela mostrando como usar a barra de pesquisa superior no portal do Azure para localizar e navegar até a página Registros de aplicativo.
Na página Registros de aplicativo, selecione + Novo registro. Uma captura de tela mostrando a localização do botão Novo registro na página Registros de aplicativo.
Na página Registrar um aplicativo, preencha o formulário conforme segue.
  1. Nome → Insira um nome para o registro de aplicativo no Azure. Recomendamos que esse nome inclua o nome do aplicativo e o ambiente (teste, prod) referente ao registro do aplicativo.
  2. Tipos de conta compatíveisContas somente neste diretório organizacional.
Selecione Registrar para registrar seu aplicativo e criar a entidade de serviço de aplicativo.		 Uma captura de tela para preencher o Registro, dando um nome ao aplicativo e especificando os tipos de conta compatíveis como contas somente neste diretório organizacional.
Na página Registro de aplicativo do seu aplicativo:
  1. ID do aplicativo (cliente) → Essa é a ID do aplicativo que seu aplicativo usará para acessar o Azure durante o desenvolvimento local. Copie esse valor para um local temporário em um editor de texto, pois você precisará dele em uma etapa futura.
  2. ID do diretório (locatário) → Esse valor também será necessário para seu aplicativo quando ele se autenticar no Azure. Copie esse valor para um local temporário em um editor de texto, pois ele será necessário em uma etapa futura.
  3. Credenciais do cliente → Você deve definir as credenciais do cliente para o aplicativo antes que seu aplicativo possa se autenticar no Azure e usar os serviços do Azure. Selecione Adicionar um certificado ou segredo para adicionar credenciais ao seu aplicativo.
 Uma captura de tela de Registros de aplicativo após a conclusão. Essa captura de tela mostra as IDs do aplicativo e do locatário, que serão necessárias em uma etapa futura.
Na página Certificados e segredos, selecione + Novo segredo do cliente. Uma captura de tela mostrando o local do link a ser usado para criar um novo segredo do cliente na página de certificados e segredos.
A caixa de diálogo Adicionar um segredo de cliente será exibida do lado direito da página. Nesta caixa de diálogo:
  1. Descrição → Inserir um valor de Atual.
  2. Expira → Selecione um valor de 24 meses.
Selecione Adicionar para adicionar o segredo.

IMPORTANTE: defina um lembrete em seu calendário antes da data de validade do segredo. Dessa forma, você pode adicionar um novo segredo antes e atualizar seus aplicativos antes da expiração desse segredo e evitar uma interrupção de serviço em seu aplicativo.		 Uma captura de tela mostrando a página em que um novo segredo do cliente é adicionado para a entidade de serviço de aplicativo criada pelo processo de registro de aplicativo.
A página Certificados e segredos mostra o valor do segredo do cliente.

Copie esse valor para um local temporário em um editor de texto, pois você precisará dele em uma etapa futura.

IMPORTANTE: esta é a única vez que você verá esse valor. Depois de sair ou atualizar esta página, você não poderá ver esse valor novamente. Você pode adicionar outro segredo de cliente sem invalidar o segredo anterior, mas não verá esse valor novamente.		 Uma captura de tela mostrando a página com o segredo do cliente gerado.

2 – Atribuir funções à entidade de serviço de aplicativo

Em seguida, você precisa determinar as funções (permissões) de que seu aplicativo precisa em quais recursos e atribuir essas funções ao seu aplicativo. As funções podem ser atribuídas a uma função em um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostra como atribuir funções para a entidade de serviço no escopo do grupo de recursos, uma vez que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.

Instruções Captura de tela
Localize o grupo de recursos do aplicativo pesquisando pelo nome do grupo de recursos e usando a caixa de pesquisa na parte superior do portal do Azure.

Navegue até o grupo de recursos selecionando o nome do grupo de recursos no título Grupos de recursos na caixa de diálogo.		 Uma captura de tela mostrando a caixa de pesquisa superior no portal do Azure para localizar e navegar até o grupo de recursos ao qual você deseja atribuir funções (permissões).
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda. Uma captura de tela da página do grupo de recursos que mostra a localização do item de menu Controle de acesso (IAM).
Na página Controle de acesso (IAM):
  1. Selecione a guia Atribuições de função.
  2. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
 Uma captura de tela que mostra como navegar até a guia de atribuições de função e o local do botão usado para adicionar atribuições de função a um grupo de recursos.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas ao grupo de recursos.
  1. Use a caixa de pesquisa para filtrar a lista para obter um tamanho mais gerenciável. Este exemplo mostra como filtrar as funções do Blob de Armazenamento.
  2. Selecione a função que você deseja atribuir.
    Selecione Avançar para ir para a próxima tela.
 Uma captura de tela que mostra como filtrar e selecionar atribuições de função a serem adicionadas ao grupo de recursos.
A próxima página Adicionar atribuição de função permite especificar a qual usuário atribuir a função.
  1. Selecione Usuário, grupo ou entidade de serviço em Atribuir acesso a.
  2. Selecionar + Selecionar membros em Membros
Uma caixa de diálogo é aberta no lado direito do portal do Azure.		 Uma captura de tela mostrando o botão de opção a ser selecionado para atribuir uma função a um grupo do Microsoft Entra e o link usado para selecionar o grupo ao qual atribuir a função.
Na caixa de diálogo Selecionar membros:
  1. A caixa de texto Selecionar pode ser usada para filtrar a lista de usuários e grupos em sua assinatura. Se necessário, digite os primeiros caracteres da entidade de serviço que você criou para o aplicativo para filtrar a lista.
  2. Selecione a entidade de serviço associada ao aplicativo.
Para continuar, selecione Selecionar na parte inferior da caixa de diálogo.		 Uma captura de tela mostrando como filtrar e selecionar o grupo do Microsoft Entra do aplicativo na caixa de diálogo Selecionar membros.
A entidade de serviço aparece como selecionada na tela Adicionar atribuição de função.

Selecione Revisar + atribuir para ir para a página final e, em seguida, Revisar + atribuir novamente para concluir o processo.		 Uma captura de tela que mostra a página Adicionar atribuição de função concluída e o local do botão Revisar + atribuir usado para concluir o processo.

3 – Configurar variáveis de ambiente para o aplicativo

Você deve definir as variáveis de ambiente AZURE_CLIENT_ID, AZURE_TENANT_ID e AZURE_CLIENT_SECRET para o processo que executa o aplicativo JavaScript a fim de disponibilizar as credenciais principais do serviço de aplicativos para o aplicativo em tempo de execução. O objeto DefaultAzureCredential procura as informações principais do serviço nessas variáveis de ambiente.

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

4 – Implementar DefaultAzureCredential no aplicativo

Para autenticar objetos clientes do SDK do Azure no Azure, seu aplicativo deve usar a classe DefaultAzureCredential do pacote @azure/identity.

Primeiro, adicione o pacote @azure/identity ao seu aplicativo.

npm install @azure/identity

Em seguida, para qualquer código JavaScript que crie um objeto cliente do SDK do Azure em seu aplicativo, você deverá:

  1. Importar a classe DefaultAzureCredential do módulo @azure/identity.
  2. Crie um objeto DefaultAzureCredential.
  3. Passar o objeto DefaultAzureCredential para o construtor do objeto do cliente do SDK do Azure.

Um exemplo disso é mostrado na ilustração a seguir.

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

Quando o código acima instanciar o objeto DefaultAzureCredential, o DefaultAzureCredential lê as variáveis de ambiente AZURE_SUBSCRIPTION_ID, AZURE_TENANT_ID, AZURE_CLIENT_ID e AZURE_CLIENT_SECRET para obter as informações principais do serviço de aplicativo com as quais deve se conectar ao Azure.