Autenticar em recursos do Azure a partir de aplicações Go alojadas no local

Artigo
12/21/2024

As aplicações hospedadas fora do Azure (por exemplo, no local ou num centro de dados de terceiros) devem utilizar um principal de serviço de aplicação para se autenticar no Azure ao aceder a recursos do Azure. Os objetos principais do serviço de aplicativo são criados usando o processo de registro do aplicativo no Azure. Quando uma entidade de serviço de aplicativo é criada, um ID de cliente e uma chave secreta de cliente serão gerados para seu aplicativo. A ID do cliente, o segredo do cliente e a ID do locatário são armazenados em variáveis de ambiente para que possam ser usados pelo SDK do Azure para Go para autenticar seu aplicativo no Azure em tempo de execução.

Um registro de aplicativo diferente deve ser criado para cada ambiente em que o aplicativo está hospedado. Isso permite que permissões de recursos específicos do ambiente sejam configuradas para cada entidade de serviço e garante que um aplicativo implantado em um ambiente não converse com os recursos do Azure que fazem parte de outro ambiente.

1 - Registar a aplicação no Azure

Um aplicativo pode ser registrado no Azure usando o portal do Azure ou a CLI do Azure.

da CLI do Azure
Portal do Azure

az ad sp create-for-rbac --name <app-name>

A saída do comando será semelhante à seguinte. Anote esses valores ou mantenha essa janela aberta, pois você precisará desses valores nas próximas etapas e não poderá visualizar o valor da senha (segredo do cliente) novamente.

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

Entre no portal do Azure e siga estas etapas.

Instruções	Captura de tela
No portal do Azure: Insira de registros de aplicativo na barra de pesquisa na parte superior do portal do Azure. Selecione o item rotulado Registos de aplicações sob o título Serviços no menu que aparece abaixo da barra de pesquisa.
Na página de registo de aplicação , selecione + Novo registo.
Na página Registar uma candidatura, preencha o formulário conforme indicado a seguir. Nome → Insira um nome para o registro do aplicativo no Azure. Recomenda-se que esse nome inclua o nome do aplicativo e o ambiente (teste, prod) para o qual o registro do aplicativo se destina. Tipos de conta suportados → Contas neste diretório organizacional somente. Selecione Registrar para registrar seu aplicativo e criar a entidade de serviço do aplicativo.
Na página de Registo da sua aplicação: ID do aplicativo (cliente) → Esta é a ID do aplicativo que seu aplicativo usará para acessar o Azure durante o desenvolvimento local. Copie esse valor para um local temporário em um editor de texto, pois você precisará dele em uma etapa futura. ID do diretório (locatário) → Este valor também será necessário para a sua aplicação quando se autenticar no Azure. Copie esse valor para um local temporário em um editor de texto, ele também será necessário em uma etapa futura. Credenciais do Cliente → Deve definir as credenciais do cliente para a aplicação antes que ela possa autenticar-se no Azure e utilizar os serviços do Azure. Selecione Adicionar um certificado ou secreto para adicionar credenciais ao seu aplicativo.
Na página de Certificados e Segredos &, selecione + Novo segredo do cliente.
A caixa de diálogo Adicionar um segredo do cliente aparecerá no lado direito da página. Nesta caixa de diálogo: Descrição → Insira um valor de Atual. Expira → Selecione um valor de 24 meses. Selecione Adicionar para adicionar o segredo. IMPORTANTE: Defina um lembrete no seu calendário antes da data de expiração do segredo. Dessa forma, você pode adicionar um novo segredo antes e atualizar seus aplicativos antes da expiração desse segredo e evitar uma interrupção do serviço em seu aplicativo.
A página Certificados & segredos mostra o valor do segredo do cliente. Copie esse valor para um local temporário em um editor de texto porque você precisa dele em uma etapa futura. IMPORTANTE: Esta é a única vez que você verá esse valor. Depois de sair ou atualizar esta página, você não poderá ver esse valor novamente. Você pode adicionar outro segredo do cliente sem invalidar esse segredo do cliente, mas não verá esse valor novamente.

2 - Atribuir funções à entidade de serviço do aplicativo

Em seguida, você precisa determinar quais funções (permissões) seu aplicativo precisa em quais recursos e atribuir essas funções ao seu aplicativo. As funções podem ser atribuídas num recurso, grupo de recursos ou no âmbito de uma subscrição. Este exemplo mostra como atribuir funções para a entidade de serviço no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os seus recursos do Azure em um único grupo de recursos.

da CLI do Azure
portal do Azure

Uma principal de serviço recebe uma função no Azure usando o comando az role assignment create.

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}"

Para obter o nome de função ao qual uma entidade de serviço pode ser atribuída, use o comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por exemplo, para permitir que a entidade de serviço com o appId de leia, escreva e elimine o acesso a contentores e dados de blob de Armazenamento do Azure em todas as contas de armazenamento no grupo de recursos de msdocs-go-sdk-auth-example na subscrição com ID , deve atribuir a entidade de serviço de aplicação à função de Contribuidor de Dados de Blob de Armazenamento utilizando o comando seguinte.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-go-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Para obter informações sobre como atribuir permissões no nível de recurso ou assinatura usando a CLI do Azure, consulte o artigo Atribuir funções do Azure usando a CLI do Azure.

Instruções	Captura de tela
Localize o grupo de recursos para seu aplicativo pesquisando o nome do grupo de recursos usando a caixa de pesquisa na parte superior do portal do Azure. Navegue até o grupo de recursos selecionando o nome do grupo de recursos no título Grupos de Recursos na caixa de diálogo.
Na página do grupo de recursos, selecione Controle de acesso (IAM) no menu à esquerda.
Na página Controle de acesso (IAM): Selecione o separador Atribuições de função. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
A página Adicionar atribuição de função lista todas as funções que podem ser atribuídas para o grupo de recursos. Use a caixa de pesquisa para filtrar a lista para um tamanho mais gerenciável. Este exemplo mostra como filtrar funções de Armazenamento Blob. Selecione a função que deseja atribuir. Selecione Avançar para ir para a próxima tela.
A próxima página de Adicionar atribuição de função permite especificar a que utilizador atribuir a função. Selecione de usuário, grupo ou entidade de serviço em Atribuir acesso a. Selecione + Selecionar membros em Membros Uma caixa de diálogo é aberta no lado direito do portal do Azure.
Na caixa de diálogo Selecionar membros: A caixa de texto Selecionar pode ser usada para filtrar a lista de usuários e grupos em sua assinatura. Se necessário, digite os primeiros caracteres da entidade de serviço que você criou para o aplicativo filtrar a lista. Selecione a entidade de serviço associada ao seu aplicativo. Selecione Selecionar na parte inferior da caixa de diálogo para continuar.
A entidade de serviço aparece como selecionada no ecrã Adicionar atribuição de função. Selecione Rever e atribuir para aceder à página final e, em seguida, Rever e atribuir novamente para concluir o processo.

3 - Configurar variáveis de ambiente para aplicação

Você deve definir as variáveis de ambiente AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_CLIENT_SECRET para o processo que executa seu aplicativo Go, a fim de disponibilizar as credenciais de serviço ao seu aplicativo em tempo de execução. O objeto DefaultAzureCredential procura as informações do principal do serviço nessas variáveis de ambiente.

Nome da variável	Valor
`AZURE_CLIENT_ID`	ID do aplicativo de uma entidade de serviço do Azure
`AZURE_TENANT_ID`	ID do inquilino da aplicação do Microsoft Entra
`AZURE_CLIENT_SECRET`	Senha da entidade de serviço do Azure

Bash
PowerShell

export AZURE_TENANT_ID="<active_directory_tenant_id>"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_SECRET="<service_principal_password>"

$env:AZURE_TENANT_ID="<active_directory_tenant_id>"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_SECRET="<service_principal_password>"

4 - Implementar DefaultAzureCredential no aplicativo

Para autenticar objetos de cliente do SDK do Azure para o Azure, a sua aplicação deve usar o tipo de DefaultAzureCredential do pacote azidentity.

Comece adicionando o pacote azidentity ao seu aplicativo.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Em seguida, para qualquer código Go que instancie um cliente SDK do Azure em seu aplicativo, você deseja:

Importe o pacote azidentity.
Crie uma instância do tipo DefaultAzureCredential.
Passe a instância do tipo DefaultAzureCredential para o construtor do cliente do SDK do Azure.

Um exemplo disso é mostrado no segmento de código a seguir.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Quando o código acima instancia DefaultAzureCredential, DefaultAzureCredential lê as variáveis de ambiente AZURE_TENANT_ID, AZURE_CLIENT_IDe AZURE_CLIENT_SECRET para obter as informações do principal de serviço da aplicação necessárias para conectar-se ao Azure.

Compartilhar via

Autenticar em recursos do Azure a partir de aplicações Go alojadas no local

1 - Registar a aplicação no Azure

2 - Atribuir funções à entidade de serviço do aplicativo

3 - Configurar variáveis de ambiente para aplicação

4 - Implementar DefaultAzureCredential no aplicativo

Comentários

Recursos adicionais