Autenticar aplicativos .NET nos serviços do Azure durante o desenvolvimento local usando contas de desenvolvedor

Durante o desenvolvimento local, os aplicativos precisam se autenticar no Azure para usar diferentes serviços do Azure. Autentique-se localmente usando uma destas abordagens:

Use uma conta de desenvolvedor com uma das ferramentas de desenvolvedor compatíveis com a biblioteca de Identidade do Azure.
Use um broker para gerenciar credenciais.
Use uma entidade de serviço.

Este artigo explica como autenticar usando uma conta de desenvolvedor com ferramentas compatíveis com a biblioteca de Identidades do Azure. Nas seções a seguir, você aprenderá:

Como usar grupos do Microsoft Entra para gerenciar com eficiência permissões para várias contas de desenvolvedor.
Como atribuir funções a contas de desenvolvedor para definir o escopo das permissões.
Como fazer login em ferramentas de desenvolvimento locais compatíveis.
Como autenticar usando uma conta de desenvolvedor do código do aplicativo.

Ferramentas de desenvolvedor com suporte para autenticação

Para que um aplicativo se autentique no Azure durante o desenvolvimento local usando as credenciais do desenvolvedor do Azure, o desenvolvedor deve estar conectado ao Azure de uma das seguintes ferramentas de desenvolvedor:

CLI do Azure
Azure Developer CLI
Azure PowerShell
Visual Studio
Visual Studio Code

A biblioteca de Identidades do Azure pode detectar que o desenvolvedor está conectado a partir de uma dessas ferramentas. Assim, a biblioteca pode obter o token de acesso do Microsoft Entra pela ferramenta para autenticar o aplicativo no Azure como o usuário conectado.

Essa abordagem aproveita as contas existentes do Azure do desenvolvedor para simplificar o processo de autenticação. Porém, é provável que a conta de um desenvolvedor tenha mais permissões do que as exigidas pelo aplicativo, excedendo, portanto, as permissões com as quais o aplicativo é executado na produção. Como alternativa, você pode criar entidades de serviço de aplicativo para usar durante o desenvolvimento local, que podem ter o escopo para terem apenas o acesso necessário pelo aplicativo.

Criar um grupo do Microsoft Entra para desenvolvimento local

Crie um grupo do Microsoft Entra para encapsular as funções (permissões) de que o aplicativo precisa no desenvolvimento local, em vez de atribuir as funções a objetos de entidade de serviço individuais. Essa abordagem oferece as seguintes vantagens:

Cada desenvolvedor tem as mesmas funções atribuídas no nível do grupo.
Se for necessária uma nova função para o aplicativo, ela só precisará ser adicionada ao grupo do aplicativo.
Se um novo desenvolvedor ingressar na equipe, um novo principal de serviço de aplicativo será criado para o desenvolvedor e adicionado ao grupo, garantindo que o desenvolvedor tenha as permissões corretas para trabalhar no aplicativo.

Portal do Azure
CLI do Azure

Navegue até a página de visão geral do Microsoft Entra ID no portal do Azure.
Selecione Todos os grupos no menu à esquerda.
Na página Grupos , selecione Novo grupo.
Na página Novo grupo , preencha os seguintes campos de formulário:
- Tipo de grupo: Selecione Segurança.
- Nome do grupo: insira um nome para o grupo que inclui uma referência ao nome do aplicativo ou do ambiente.
- Descrição do grupo: insira uma descrição que explique a finalidade do grupo.
Selecione o link Nenhum membro selecionado em Membros para adicionar membros ao grupo.
No painel de submenu que é aberto, pesquise a entidade de serviço que você criou anteriormente e selecione-a nos resultados filtrados. Escolha o botão Selecionar na parte inferior do painel para confirmar sua seleção.
Selecione Criar na parte inferior da página Novo grupo para criar o grupo e retornar à página Todos os grupos . Se você não vir o novo grupo listado, aguarde um momento e atualize a página.

Use o comando az ad group create para criar grupos na ID do Microsoft Entra.
```
az ad group create \
    --display-name <group-name> \
    --mail-nickname <group-mail-nickname> \
    --description <group-description>
```
Os parâmetros --display-name e --mail-nickname são obrigatórios. O nome dado ao grupo deve ser baseado no nome e no ambiente do aplicativo para indicar a finalidade do grupo.
Para adicionar membros ao grupo, você precisa da ID do objeto da entidade de serviço de aplicativo, que é diferente da ID do aplicativo. Utilize o comando az ad sp list para listar as entidades de serviço disponíveis.
```
az ad sp list \
    --filter "startswith(displayName, '<group-name>')" \
    --query "[].{objectId:id, displayName:displayName}"
```
O --filter parâmetro aceita filtros no estilo OData e pode ser usado para filtrar a lista, conforme mostrado. O --query parâmetro limita a saída apenas às colunas de interesse.

Use o comando adicionar membros do grupo az ad para adicionar membros ao grupo:

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Atribuir funções ao grupo

Em seguida, determine quais funções (permissões) seu aplicativo precisa em quais recursos e atribua essas funções ao grupo Microsoft Entra que você criou. Os grupos podem receber uma função no escopo do recurso, do grupo de recursos ou da assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os recursos do Azure em um único grupo de recursos.

Portal do Azure
CLI do Azure

No portal do Azure, navegue até a página Visão geral do grupo de recursos que contém seu aplicativo.
Selecione Controle de acesso (IAM) na navegação à esquerda.
Na página controle de acesso (IAM), selecione + Adicionar e escolha Adicionar atribuição de função no menu suspenso. A página Adicionar atribuição de função fornece várias guias para configurar e atribuir funções.
Na guia Função , use a caixa de pesquisa para localizar a função que você deseja atribuir. Selecione a função e escolha Avançar.
Na guia Membros :
- Para atribuir acesso ao valor, selecione Usuário, grupo ou entidade de serviço .
- Para o valor Membros, escolha + Selecionar membros para abrir o painel de seleção Selecionar membros.
- Pesquise o grupo do Microsoft Entra criado anteriormente e selecione-o nos resultados filtrados. Escolha Selecionar para selecionar o grupo e fechar o painel de submenu.
- Selecione Examinar + atribuir na parte inferior da guia Membros .
Na guia Revisão + atribuição , selecione Examinar + atribuir na parte inferior da página.

Use o comando az role definition list para obter os nomes das funções às quais um grupo ou entidade de serviço do Microsoft Entra pode ser atribuído:
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
Use o comando az role assignment create para atribuir uma função ao grupo do Microsoft Entra que você criou:
```
az role assignment create \
    --assignee "<group-object-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Para obter informações sobre como atribuir as permissões no nível do recurso ou da assinatura usando a CLI do Azure, consulte Atribuir funções do Azure usando a CLI do Azure.

Em seguida, entre no Azure usando uma das várias ferramentas de desenvolvedor que podem ser usadas para executar a autenticação em seu ambiente de desenvolvimento. A conta autenticada também deve existir no grupo do Microsoft Entra que você criou e configurou anteriormente.

Os desenvolvedores que usam o Visual Studio 2017 ou posterior podem se autenticar usando sua conta de desenvolvedor por meio do IDE. Aplicativos que usam DefaultAzureCredential ou VisualStudioCredential podem descobrir e usar essa conta para autenticar solicitações de aplicativo ao serem executados localmente. Essa conta também é usada quando você publica aplicativos diretamente do Visual Studio para o Azure.

Importante

Você precisará instalar a carga de trabalho de desenvolvimento do Azure para habilitar as ferramentas do Visual Studio para autenticação, desenvolvimento e implantação do Azure.

No Visual Studio, navegue até Ferramentas>Opções para abrir a caixa de diálogo de opções.
Na caixa Opções de Pesquisa na parte superior, digite Azure para filtrar as opções disponíveis.
Em Autenticação de Serviço do Azure, escolha Seleção da Conta.
Selecione o menu suspenso em Escolher uma conta e escolha adicionar uma conta da Microsoft.
Na janela que é aberta, insira as credenciais para sua conta desejada do Azure e confirme suas entradas.
Selecione OK para fechar a caixa de diálogo de opções.

Desenvolvedores que utilizam o Visual Studio Code podem se autenticar com sua conta de desenvolvedor diretamente através do editor usando o intermediário. Os aplicativos que usam DefaultAzureCredential ou VisualStudioCodeCredential podem usar essa conta para autenticar solicitações de aplicativo por meio de uma experiência de logon único contínuo.

No Visual Studio Code, vá para o painel Extensões e instale a extensão de Recursos do Azure . Essa extensão permite exibir e gerenciar recursos do Azure diretamente do Visual Studio Code. Ele também usa o provedor interno de autenticação do Microsoft Visual Studio Code para autenticação com o Azure.
Abra a Paleta de Comandos no Visual Studio Code e, em seguida, pesquise e selecione Azure: Entrar.

Dica

Abra a Paleta de Comandos usando Ctrl+Shift+P no Windows/Linux ou Cmd+Shift+P no macOS.
Adicione o pacote NuGet do Azure.Identity.Broker ao seu aplicativo:
```
dotnet add package Azure.Identity.Broker
```

Os desenvolvedores podem usar a CLI do Azure para autenticar. Os aplicativos que usam DefaultAzureCredential ou AzureCliCredential podem usar essa conta para autenticar solicitações de aplicativo.

Para autenticar com a CLI do Azure, execute o az login comando. Em um sistema com um navegador da Web padrão, a CLI do Azure inicia o navegador para autenticar o usuário.

az login

Para sistemas sem um navegador da Web padrão, o comando az login usa o fluxo de autenticação de código do dispositivo. O usuário também pode forçar a CLI do Azure a usar o fluxo de código do dispositivo em vez de iniciar um navegador especificando o argumento --use-device-code.

az login --use-device-code

Os desenvolvedores podem usar a CLI do Desenvolvedor do Azure para autenticar. Os aplicativos que usam DefaultAzureCredential ou AzureDeveloperCliCredential podem usar essa conta para autenticar solicitações de aplicativo.

Para autenticar com a CLI do Desenvolvedor do Azure, execute o azd auth login comando. Em um sistema com um navegador da Web padrão, a CLI do Desenvolvedor do Azure inicia o navegador para autenticar o usuário.

azd auth login

Para sistemas sem um navegador da web padrão, o azd auth login --use-device-code utiliza o fluxo de autenticação por código do dispositivo. O usuário também pode forçar a CLI do Desenvolvedor do Azure a usar o fluxo de código do dispositivo em vez de iniciar um navegador especificando o --use-device-code argumento.

azd auth login --use-device-code

Os desenvolvedores podem usar o Azure PowerShell para autenticar. Os aplicativos que usam DefaultAzureCredential ou AzurePowerShellCredential podem usar essa conta para autenticar solicitações de aplicativo.

Para autenticar com o Azure PowerShell, execute o comando Connect-AzAccount. Em um sistema com um navegador da Web padrão e versão 5.0.0 ou posterior do Azure PowerShell, ele inicia o navegador para autenticar o usuário.

Connect-AzAccount

Para sistemas sem um navegador da Web padrão, o comando Connect-AzAccount usa o fluxo de autenticação de código do dispositivo. O usuário também pode forçar o Azure PowerShell a usar o fluxo de código do dispositivo em vez de iniciar um navegador especificando o UseDeviceAuthentication argumento.

Connect-AzAccount -UseDeviceAuthentication

Autenticar nos serviços do Azure em seu aplicativo

A biblioteca Azure Identity oferece várias credenciais — implementações TokenCredential adaptadas para dar suporte a diferentes cenários e fluxos de autenticação do Microsoft Entra. As etapas a seguir demonstram como usar DefaultAzureCredential ao trabalhar com contas de usuário localmente.

Implementar o código

DefaultAzureCredential é uma sequência padronizada e ordenada de mecanismos para autenticação no Microsoft Entra ID. Cada mecanismo de autenticação é uma classe derivada da classe TokenCredential e é conhecida como credenciais. No runtime, DefaultAzureCredential tenta autenticar usando a primeira credencial. Se essa credencial não conseguir adquirir um token de acesso, a próxima credencial na sequência será tentada e assim por diante, até que um token de acesso seja obtido com êxito. Dessa forma, seu aplicativo pode usar credenciais diferentes em ambientes diferentes sem escrever código específico para cada ambiente.

Para usar DefaultAzureCredential, adicione os pacotes Azure.Identity e, opcionalmente, os pacotes Microsoft.Extensions.Azure ao seu aplicativo:

Linha de comando
Gerenciador de Pacotes NuGet

Em um terminal da sua escolha, navegue até o diretório do projeto de aplicativo e execute os seguintes comandos:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Os serviços do Azure são acessados usando classes de cliente especializadas das várias bibliotecas de clientes do SDK do Azure. Essas classes e seus próprios serviços personalizados devem ser registrados para que possam ser acessados pela injeção de dependência no aplicativo. Em Program.cs, conclua as seguintes etapas para registrar uma classe cliente e DefaultAzureCredential:

Inclua os namespaces Azure.Identity e Microsoft.Extensions.Azure com pelas diretivas using.
Registre o cliente de serviço do Azure usando o método de extensão com prefixo Addcorrespondente.
Passe uma instância do DefaultAzureCredential para o método UseCredential.

builder.Services.AddAzureClients(clientBuilder =>
{
    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new DefaultAzureCredential());
});

Uma alternativa ao UseCredential método é fornecer a credencial diretamente ao cliente de serviço:

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

Comentários

Esta página foi útil?

Last updated on 2025-09-25