Segredos de autenticação segura no Cofre da Chave do Azure para Aplicativos Web Estáticos do Azure

  • Artigo

Ao configurar provedores de autenticação personalizados, convém armazenar segredos de conexão no Cofre da Chave do Azure. Este artigo demonstra como usar uma identidade gerenciada para conceder aos Aplicativos Web Estáticos do Azure acesso ao Cofre da Chave para segredos de autenticação personalizados.

Nota

O Azure Serverless Functions não oferece suporte à integração direta do Cofre de Chaves. Se você precisar de integração do Cofre da Chave com seu aplicativo Function gerenciado, precisará implementar o acesso ao Cofre da Chave no código do seu aplicativo.

Os segredos de segurança exigem que os seguintes itens estejam no lugar.

  • Crie uma identidade atribuída pelo sistema em seu aplicativo Web estático.
  • Conceda à identidade acesso a um segredo do Cofre da Chave.
  • Faça referência ao segredo do Cofre da Chave nas configurações do aplicativo Static Web Apps.

Este artigo demonstra como configurar cada um desses itens em produção para trazer seus próprios aplicativos de funções.

A integração com o Key Vault não está disponível para:

Nota

O uso da identidade gerenciada só está disponível no plano Padrão de Aplicativos Web Estáticos do Azure.

Pré-requisitos

  • Site existente de Aplicativos Web Estáticos do Azure usando suas próprias funções.
  • Recurso existente do Cofre da Chave com um valor secreto.

Criar identidade

  1. Abra seus aplicativos Web estáticos no portal do Azure.

  2. Em Configurações, selecione Identidade.

  3. Selecione o separador Sistema atribuído .

  4. No rótulo Status, selecione Ativado.

  5. Selecione Guardar.

    Adicionar identidade atribuída ao sistema

  6. Quando a caixa de diálogo de confirmação for exibida, selecione Sim.

    Confirme a atribuição de identidade.

Agora você pode adicionar uma política de acesso para permitir que seu aplicativo Web estático leia os segredos do Cofre da Chave.

Adicionar uma política de acesso ao Cofre da Chave

  1. Abra o recurso Cofre da Chave no portal do Azure.

  2. No menu Configurações, selecione Políticas de acesso.

  3. Selecione o link, Adicionar Política de Acesso.

  4. Na lista suspensa Permissões secretas, selecione Obter.

  5. Ao lado de Selecionar rótulo principal, selecione o link Nenhum selecionado.

  6. Na caixa de pesquisa, procure o nome do aplicativo Web estático.

  7. Selecione o item de lista que corresponde ao nome do aplicativo.

  8. Selecione Selecionar.

  9. Selecione Adicionar.

  10. Selecione Guardar.

    Política de acesso ao Save Key Vault

A política de acesso agora é salva no Cofre da Chave. Em seguida, acesse o URI do segredo para usar ao associar seu aplicativo Web estático ao recurso Cofre da Chave.

  1. No menu Configurações, selecione Segredos.

  2. Selecione o segredo desejado na lista.

  3. Selecione a versão secreta desejada na lista.

  4. Selecione copiar no final da caixa de texto Identificador Secreto para copiar o valor de URI secreto para a área de transferência.

  5. Cole esse valor em um editor de texto para uso posterior.

Adicionar configuração do aplicativo

  1. Abra seu site de Aplicativos Web estáticos no portal do Azure.

  2. No menu Configurações, selecione Configuração.

  3. Na seção Configurações do aplicativo , selecione Adicionar.

  4. Insira um nome na caixa de texto do campo Nome .

  5. Determine o valor secreto na caixa de texto para o campo Valor .

    O valor secreto é um composto de alguns valores diferentes. O modelo a seguir mostra como a cadeia de caracteres final é construída.

    @Microsoft.KeyVault(SecretUri=<YOUR_KEY_VAULT_SECRET_URI>)

    Por exemplo, uma cadeia de caracteres final seria semelhante ao exemplo a seguir:

    @Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/mysecret/)

    Em alternativa:

    @Microsoft.KeyVault(VaultName=myvault;SecretName=mysecret)

    Use as etapas a seguir para criar o valor secreto completo.

  6. Copie o modelo de cima e cole-o em um editor de texto.

  7. Substitua <YOUR_KEY_VAULT_SECRET_URI> pelo valor de URI do Cofre da Chave reservado anteriormente.

  8. Copie o novo valor de cadeia de caracteres completa.

  9. Cole o valor na caixa de texto do campo Valor .

  10. Selecione OK.

  11. Selecione Salvar na parte superior da barra de ferramentas Configurações do aplicativo.

    Salvar configurações do aplicativo

Agora, quando sua configuração de autenticação personalizada faz referência à configuração do aplicativo recém-criado, o valor é extraído do Cofre de Chaves do Azure usando a identidade do seu aplicativo Web estático.

Passos Seguintes

Autenticação personalizada