Usar identidades gerenciadas para o Serviço de Aplicativo e o Azure Functions

Este artigo mostra como criar uma identidade gerenciada para o Serviço de Aplicativo do Azure e aplicativos do Azure Functions e como usá-la para acessar outros recursos.

Uma identidade gerenciada do Microsoft Entra ID permite que seu aplicativo acesse facilmente outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault. A plataforma Azure gere a identidade, portanto, não precisa de provisionar ou rodar quaisquer segredos. Para obter mais informações sobre identidades gerenciadas no Microsoft Entra ID, consulte Identidades gerenciadas para recursos do Azure.

Você pode conceder dois tipos de identidades ao seu aplicativo:

Uma identidade atribuída ao sistema é vinculada ao aplicativo e é excluída se o aplicativo for excluído. Um aplicativo pode ter apenas uma identidade atribuída ao sistema.
Uma identidade atribuída pelo utilizador é um recurso autónomo do Azure que pode ser atribuído à aplicação. Um aplicativo pode ter várias identidades atribuídas pelo usuário. Uma identidade atribuída pelo usuário pode ser atribuída a vários recursos do Azure, como dois aplicativos do Serviço de Aplicativo.

A configuração de identidade gerenciada é específica para o slot. Para configurar uma identidade gerenciada para um slot de implantação no portal, vá primeiro para o slot. Para localizar a identidade gerenciada para seu aplicativo Web ou slot de implantação em seu locatário do Microsoft Entra no portal do Azure, pesquise-a diretamente na página Visão geral do seu locatário.

Observação

As identidades gerenciadas não estão disponíveis para aplicativos implantados no Azure Arc.

Como as identidades geridas não suportam cenários entre diretórios, elas não se comportam como esperado se a sua aplicação for migrada entre assinaturas ou inquilinos. Para recriar as identidades gerenciadas após essa mudança, consulte As identidades gerenciadas serão recriadas automaticamente se eu mover uma assinatura para outro diretório?. Os recursos a jusante também precisam de ter as políticas de acesso atualizadas para utilizar a nova identidade.

Pré-requisitos

Para executar as etapas neste artigo, você deve ter um conjunto mínimo de permissões sobre seus recursos do Azure. As permissões específicas de que você precisa variam de acordo com o seu cenário. A tabela a seguir resume os cenários mais comuns:

Cenário	Permissão necessária	Exemplo de funções internas
Criar uma identidade atribuída ao sistema	`Microsoft.Web/sites/write` sobre o aplicativo ou `Microsoft.Web/sites/slots/write` sobre o slot	Colaborador do site
Criar uma identidade atribuída pelo usuário	`Microsoft.ManagedIdentity/userAssignedIdentities/write` sobre o grupo de recursos no qual criar a identidade	Contribuidor de identidade gerenciada
Atribuir uma identidade atribuída pelo utilizador à sua aplicação	`Microsoft.Web/sites/write` sobre a aplicação, `Microsoft.Web/sites/slots/write` sobre a ranhura ou `Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action` sobre a identidade	Colaborador do Sítio Web e Operador de Identidade Gerida
Criar atribuições de função do Azure	`Microsoft.Authorization/roleAssignments/write` sobre o escopo do recurso de destino	Administrador de Controle de Acesso Baseado em Função ou Administrador de Acesso de Usuário

Adicionar uma identidade atribuída ao sistema

Para habilitar uma identidade gerenciada atribuída ao sistema, use as instruções a seguir.

No portal do Azure, vá para a página do seu aplicativo.
No menu à esquerda, selecione Configurações>Identidade.
Na guia Sistema atribuído, alterne Estado para Ativado. Em seguida, selecione Guardar.

Execute o az webapp identity assign comando:

az webapp identity assign --resource-group <group-name> --name <app-name>

Para o Serviço de Aplicações

Execute o Set-AzWebApp -AssignIdentity comando:

Set-AzWebApp -AssignIdentity $true -ResourceGroupName <group-name>  -Name <app-name>

Para funções

Execute o Update-AzFunctionApp -IdentityType comando:

Update-AzFunctionApp -ResourceGroupName <group-name> -Name <function-app-name>  -IdentityType SystemAssigned

Você pode usar um modelo do Azure Resource Manager para automatizar a implantação de seus recursos do Azure. Para saber mais, consulte Automatizar a implantação de recursos no Serviço de Aplicativo e Automatizar a implantação de recursos no Azure Functions.

Você pode criar qualquer recurso do tipo Microsoft.Web/sites com uma identidade incluindo a seguinte propriedade na definição de recurso:

"identity": {
    "type": "SystemAssigned"
}

Adicionar o tipo atribuído pelo sistema informa ao Azure para criar e gerenciar a identidade para seu aplicativo.

Por exemplo, o modelo de um aplicativo Web pode se parecer com o seguinte JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Quando o site é criado, ele inclui as seguintes propriedades:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

A tenantId propriedade identifica a qual locatário do Microsoft Entra a identidade pertence. A principalId propriedade é um identificador exclusivo para a nova identidade do aplicativo. Na Microsoft Entra ID, o principal de serviço tem os mesmos nomes que você deu à sua instância do App Service ou do Azure Functions.

Se você precisar fazer referência a essas propriedades em um estágio posterior no modelo, use a reference() função de modelo com a 'Full' opção, como neste exemplo:

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Adicionar uma identidade atribuída pelo usuário

Para criar um aplicativo com uma identidade atribuída pelo usuário, crie a identidade e adicione seu identificador de recurso à configuração do aplicativo.

Crie um recurso de identidade gerenciado atribuído pelo usuário de acordo com estas instruções.
No menu esquerdo da página do seu aplicativo, selecione Configurações>Identidade.
Selecione Usuário atribuído e, em seguida, selecione Adicionar.
Procure a identidade que criou anteriormente, selecione-a e, em seguida, selecione Adicionar.

Depois de concluir estas etapas, o aplicativo é reiniciado.

Crie uma identidade atribuída pelo usuário:

az identity create --resource-group <group-name> --name <identity-name>

Execute o az webapp identity assign comando para atribuir a identidade ao aplicativo:

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>

Para o Serviço de Aplicações

Atualmente, não há suporte para a adição de uma identidade atribuída pelo usuário no Serviço de Aplicativo usando o Azure PowerShell.

Para funções

Crie uma identidade atribuída pelo usuário:

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name <identity-name> -ResourceGroupName <group-name> -Location <region>

Execute o Update-AzFunctionApp -IdentityType UserAssigned -IdentityId comando para atribuir a identidade no Functions:

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Você pode criar qualquer recurso do tipo Microsoft.Web/sites com uma identidade incluindo o seguinte bloco na definição de recurso. Substitua <resource-id> pelo ID de recurso da identidade desejada.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Observação

Um aplicativo pode ter identidades atribuídas ao sistema e ao usuário ao mesmo tempo. Nesse caso, a type propriedade é SystemAssigned,UserAssigned.

Ao adicionar o tipo atribuído pelo utilizador, indica ao Azure para usar a identidade atribuída pelo utilizador que especificou para a sua aplicação.

Por exemplo, o modelo de um aplicativo Web pode se parecer com o seguinte JSON:

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Quando o site é criado, ele inclui as seguintes propriedades:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

A principalId propriedade é um identificador exclusivo para a identidade usada para a administração do Microsoft Entra. A clientId propriedade é um identificador exclusivo para a nova identidade do aplicativo. Usa-se para especificar qual identidade usar durante as chamadas em tempo de execução.

Configurar o recurso de destino

Você precisa configurar o recurso de destino para permitir o acesso do seu aplicativo. Para a maioria dos serviços do Azure, você configura o recurso de destino criando uma atribuição de função.

Alguns serviços usam mecanismos diferentes do controle de acesso baseado em função do Azure. Para entender como configurar o acesso usando uma identidade, consulte a documentação de cada recurso de destino. Para saber mais sobre quais recursos oferecem suporte a tokens do Microsoft Entra, consulte Serviços do Azure que oferecem suporte à autenticação do Microsoft Entra.

Por exemplo, se você solicitar um token para acessar um segredo no Cofre de Chaves do Azure, também deverá criar uma atribuição de função que permita que a identidade gerenciada trabalhe com segredos no cofre de destino. Caso contrário, o Azure Key Vault rejeitará as suas solicitações, mesmo que utilize um token válido. O mesmo vale para o Banco de Dados SQL do Azure e outros serviços.

Importante

Os serviços de back-end para identidades gerenciadas mantêm um cache por URI de recurso por cerca de 24 horas e podem levar até esse período de tempo para que as alterações na associação de grupo ou função de uma identidade gerenciada entrem em vigor. Atualmente, não é possível forçar a atualização do token de uma identidade gerenciada antes de sua expiração. Se você alterar a associação de grupo ou função de uma identidade gerenciada para adicionar ou remover permissões, talvez seja necessário aguardar até cerca de 24 horas para que o recurso do Azure que está usando a identidade tenha o acesso correto.

Para obter alternativas a grupos ou associações de função, consulte Limitação do uso de identidades gerenciadas para autorização.

Conectar-se aos serviços do Azure no código do aplicativo

Com sua identidade gerenciada, um aplicativo pode obter tokens para recursos do Azure que o Microsoft Entra ID ajuda a proteger, como o Banco de Dados SQL do Azure, o Cofre da Chave do Azure e o Armazenamento do Azure. Esses tokens representam o aplicativo que acessa o recurso, e não qualquer usuário específico do aplicativo.

O Serviço de Aplicativo e o Azure Functions fornecem um ponto de extremidade REST acessível internamente para recuperação de tokens. Você pode acessar o ponto de extremidade REST de dentro do aplicativo usando uma solicitação HTTP GET padrão. Você pode implementar a solicitação com um cliente HTTP genérico em todos os idiomas.

Para .NET, JavaScript, Java e Python, a biblioteca de cliente do Azure Identity fornece uma abstração sobre esse ponto de extremidade REST e simplifica a experiência de desenvolvimento. Conectar-se a outros serviços do Azure é tão simples quanto adicionar um objeto de credencial ao cliente específico do serviço.

Uma solicitação HTTP GET bruta usa as duas variáveis de ambiente fornecidas e se parece com o exemplo a seguir:

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: <ip-address-:-port-in-IDENTITY_ENDPOINT>
X-IDENTITY-HEADER: <value-of-IDENTITY_HEADER>

Um exemplo de resposta pode ser semelhante ao exemplo a seguir:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "00001111-aaaa-2222-bbbb-3333cccc4444"
}

Esta resposta é a mesma que a resposta para a solicitação de token de acesso de serviço a serviço do Microsoft Entra. Para aceder ao Cofre de Chaves, adicione o valor de access_token a uma ligação de cliente com o cofre.

Para aplicativos e funções Java, a maneira mais simples de trabalhar com uma identidade gerenciada é por meio da biblioteca de cliente do Azure Identity para Java. Para obter mais informações, consulte Tutorial: Conectar-se a bancos de dados do Azure a partir do Serviço de Aplicativo sem segredos usando uma identidade gerenciada.

Para obter mais informações, consulte os respetivos títulos de documentação da biblioteca do cliente:

Os exemplos vinculados usam DefaultAzureCredential. O mesmo padrão funciona no Azure com identidades gerenciadas e em sua máquina local sem identidades gerenciadas.

Para obter mais exemplos de código da biblioteca de cliente do Azure Identity para Java, consulte Exemplos de Identidade do Azure.

Use o script a seguir para recuperar um token do ponto de extremidade local especificando um URI de recurso de um serviço do Azure:

$resourceURI = "https://<Entra-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Para obter mais informações sobre o ponto de extremidade REST, consulte Referência do ponto de extremidade REST mais adiante neste artigo.

Remover uma identidade

Quando você remove uma identidade atribuída ao sistema, ela é excluída da ID do Microsoft Entra. As identidades atribuídas ao sistema também são removidas automaticamente do Microsoft Entra ID quando você exclui o próprio recurso do aplicativo.

No menu esquerdo da página do seu aplicativo, selecione Configurações>Identidade.
Siga as etapas com base no tipo de identidade:
- Para uma identidade atribuída pelo sistema: na guia Sistema atribuído , alterne Status para Desativado. Em seguida, selecione Guardar.
- Para uma identidade atribuída pelo usuário: selecione a guia Usuário atribuído , marque a caixa de seleção da identidade e selecione Remover. Selecione Sim para confirmar.

Para remover a identidade atribuída ao sistema, use este comando:

az webapp identity remove --resource-group <group-name> --name <app-name>

Para remover uma ou mais identidades atribuídas pelo usuário, use este comando:

az webapp identity remove --resource-group <group-name> --name <app-name> --identities <identity-id1> <identity-id2> ...

Você também pode remover a identidade atribuída ao sistema especificando [system] em --identities.

Para o Serviço de Aplicações

Para remover uma identidade atribuída pelo sistema para o Serviço de Aplicativo, execute o Set-AzWebApp -AssignIdentity comando:

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

Para funções

Para remover todas as identidades no Azure PowerShell (somente Azure Functions), execute este comando:

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name <function-app-name> -ResourceGroupName <group-name> -IdentityType None

Para remover todas as identidades em um modelo ARM, use este código:

"identity": {
    "type": "None"
}

Observação

Você também pode definir uma configuração de aplicativo que desative apenas o serviço de token local: WEBSITE_DISABLE_MSI. No entanto, deixa a identidade no lugar. As ferramentas ainda mostram a identidade gerenciada como ativada ou habilitada. Como resultado, não recomendamos que você use essa configuração.

Referência do endpoint REST

Um aplicativo com uma identidade gerenciada disponibiliza esse ponto de extremidade definindo duas variáveis de ambiente:

IDENTITY_ENDPOINT: A URL para o serviço de token local.
IDENTITY_HEADER: Um cabeçalho que pode ajudar a mitigar ataques de falsificação de solicitação do lado do servidor (SSRF). A plataforma altera o valor.

A IDENTITY_ENDPOINT variável é uma URL local a partir da qual seu aplicativo pode solicitar tokens. Para obter um token para um recurso, faça uma solicitação HTTP GET para esse ponto de extremidade. Inclua os seguintes parâmetros:

Nome do parâmetro Em Descrição

resource Pergunta O URI do recurso do Microsoft Entra para o recurso para o qual um token deve ser obtido. Este recurso pode ser um dos serviços do Azure que suportam a autenticação do Microsoft Entra ou qualquer outro URI de recurso.

api-version Pergunta A versão da API de token a ser usada. Utilize 2019-08-01.

X-IDENTITY-HEADER Cabeçalho O valor da variável de ambiente IDENTITY_HEADER. Esse cabeçalho é usado para ajudar a mitigar ataques SSRF.

client_id Pergunta (Opcional) O ID de cliente da identidade atribuída ao utilizador a ser usada. Ele não pode ser usado em uma solicitação que inclua principal_id, mi_res_idou object_id. Se todos os parâmetros de ID (client_id, principal_id, object_id, e mi_res_id) forem omitidos, a identidade atribuída ao sistema será usada.

principal_id Pergunta (Opcional) O ID principal da identidade atribuída pelo usuário a ser usada. O object_id parâmetro é um alias que pode ser usado em vez disso. Ele não pode ser usado em uma solicitação que inclua client_id, mi_res_idou object_id. Se todos os parâmetros de ID (client_id, principal_id, object_id, e mi_res_id) forem omitidos, a identidade atribuída ao sistema será usada.

mi_res_id Pergunta (Opcional) O identificador de recurso do Azure da identidade atribuída pelo utilizador a ser usada. Ele não pode ser usado em uma solicitação que inclua principal_id, client_idou object_id. Se todos os parâmetros de ID (client_id, principal_id, object_id, e mi_res_id) forem omitidos, a identidade atribuída ao sistema será usada.

Nome do parâmetro	Em	Descrição
`resource`	Pergunta	O URI do recurso do Microsoft Entra para o recurso para o qual um token deve ser obtido. Este recurso pode ser um dos serviços do Azure que suportam a autenticação do Microsoft Entra ou qualquer outro URI de recurso.
`api-version`	Pergunta	A versão da API de token a ser usada. Utilize `2019-08-01`.
`X-IDENTITY-HEADER`	Cabeçalho	O valor da variável de ambiente `IDENTITY_HEADER`. Esse cabeçalho é usado para ajudar a mitigar ataques SSRF.
`client_id`	Pergunta	(Opcional) O ID de cliente da identidade atribuída ao utilizador a ser usada. Ele não pode ser usado em uma solicitação que inclua `principal_id`, `mi_res_id`ou `object_id`. Se todos os parâmetros de ID (`client_id`, `principal_id`, `object_id`, e `mi_res_id`) forem omitidos, a identidade atribuída ao sistema será usada.
`principal_id`	Pergunta	(Opcional) O ID principal da identidade atribuída pelo usuário a ser usada. O `object_id` parâmetro é um alias que pode ser usado em vez disso. Ele não pode ser usado em uma solicitação que inclua `client_id`, `mi_res_id`ou `object_id`. Se todos os parâmetros de ID (`client_id`, `principal_id`, `object_id`, e `mi_res_id`) forem omitidos, a identidade atribuída ao sistema será usada.
`mi_res_id`	Pergunta	(Opcional) O identificador de recurso do Azure da identidade atribuída pelo utilizador a ser usada. Ele não pode ser usado em uma solicitação que inclua `principal_id`, `client_id`ou `object_id`. Se todos os parâmetros de ID (`client_id`, `principal_id`, `object_id`, e `mi_res_id`) forem omitidos, a identidade atribuída ao sistema será usada.

Importante

Se você estiver tentando obter tokens para identidades atribuídas pelo usuário, inclua uma das propriedades opcionais. Caso contrário, o serviço de token tenta obter um token para uma identidade atribuída ao sistema, que pode ou não existir.

Considere os seguintes tutoriais:

Feedback

Esta página foi útil?

Last updated on 2025-06-05

Partilhar via

Usar identidades gerenciadas para o Serviço de Aplicativo e o Azure Functions

Pré-requisitos

Adicionar uma identidade atribuída ao sistema

Adicionar uma identidade atribuída pelo usuário

Configurar o recurso de destino

Conectar-se aos serviços do Azure no código do aplicativo

Remover uma identidade

Referência do endpoint REST

Conteúdo relacionado

Feedback

Recursos adicionais