Autenticar e Autorizar Usuários do Microsoft Azure Active Directory para o Autonomous Database
OAuth2
.Sobre a Integração do Oracle Autonomous Database on Dedicated Exadata Infrastructure com o Microsoft Azure AD
O Oracle Autonomous Database on Dedicated Exadata Infrastructure e o Microsoft Azure AD podem ser configurados para permitir que usuários e aplicativos se conectem ao banco de dados usando suas credenciais do Azure AD.
Os usuários e aplicativos do Azure AD podem fazer log-in com as credenciais de SSO (Sign On Único) do Azure AD para acessar o banco de dados. Isso é feito com um token de acesso OAuth2
do Azure AD que o usuário ou o aplicativo primeiro solicita do Azure AD. Esse token de acesso OAuth2
contém a identidade do usuário e as informações de acesso ao banco de dados e, em seguida, é enviado ao banco de dados. Consulte o artigo da Microsoft Opções de autenticação sem senha para o Azure Active Directory para obter informações sobre como configurar a autenticação multifator e sem senha.
Você pode executar essa integração nos seguintes ambientes do Oracle Database:
- Oracle Database Local release 19.18 e mais recente
- Oracle Autonomous Database on Shared Exadata Infrastructure
- Oracle Autonomous Database na Infraestrutura Dedicada do Exadata
- Oracle Base Database Service
- Oracle Exadata Cloud Service (Oracle ExaCS)
As instruções para configurar o Azure AD usam o termo "Oracle Database" para abranger esses ambientes.
Esse tipo de integração permite que o usuário do Azure AD acesse uma instância do Oracle Autonomous Database on Dedicated Exadata Infrastructure. Os usuários e aplicativos do Azure AD podem fazer log-in com as credenciais de SSO (Sign On Único) do Azure AD para obter um token de acesso OAuth2
do Azure AD para enviar ao banco de dados.
O administrador do Azure AD cria e registra o Oracle Autonomous Database on Dedicated Exadata Infrastructure no Azure AD. No Azure AD, isso é chamado de registro de aplicativo, que é a abreviação de registro de aplicativo. Esta é a informação digital que o Azure AD deve saber sobre o software que está usando o Azure AD. O administrador do Azure AD também cria atribuições de aplicativo (app) para o registro do aplicativo de banco de dados no Azure AD. As atribuições de aplicativo conectam usuários, grupos e aplicativos do Azure a esquemas e atribuições de banco de dados. O administrador do Azure AD designa usuários, grupos ou aplicativos do Azure AD às atribuições de aplicativo. Essas atribuições de aplicativo são mapeadas para um esquema global de banco de dados ou uma atribuição global ou para um esquema e uma atribuição. Um usuário, grupo ou aplicativo do Azure AD designado a uma atribuição de aplicativo será mapeado para um esquema global de banco de dados ou para um esquema e uma atribuição. Um esquema global Oracle também pode ser mapeado exclusivamente para um usuário do Azure AD. Um usuário convidado do Azure AD (usuário não organizacional) ou um controlador de serviços (aplicativo) do Azure AD só podem ser mapeados para um esquema global de banco de dados por meio de uma atribuição de aplicativo do Azure AD. Uma atribuição global Oracle só pode ser mapeada de uma atribuição de aplicativo do Azure e não pode ser mapeada de um usuário do Azure.
Ferramentas do Oracle Autonomous Database on Dedicated Exadata Infrastructure, incluindo Oracle APEX, Database Actions, Oracle Graph Studio e Oracle Database API para MongoDB, não são compatíveis com o uso de tokens do Azure AD para conexão com o banco de dados.
Ferramentas e aplicativos atualizados para suportar tokens do Azure AD podem autenticar usuários diretamente no Azure AD e transmitir o token de acesso do Oracle Autonomous Database on Dedicated Exadata Infrastructure. Você pode configurar ferramentas de banco de dados existentes, como o SQL*Plus, para usar um token do Azure AD de um local de arquivo. Nesses casos, os tokens do Azure AD podem ser recuperados usando ferramentas como Microsoft PowerShell ou CLI do Azure e colocados em um local de arquivo. Um token de acesso ao banco de dados OAuth2
do Azure AD é emitido com um tempo de expiração. O driver do cliente Oracle Database garantirá que o token esteja em um formato válido e que ele não tenha expirado antes de transmiti-lo ao banco de dados. O token tem escopo no banco de dados, o que significa que há informações no token sobre o banco de dados em que o token será usado. As atribuições de aplicativo às quais o controlador do Azure AD foi designado no registro de aplicativo do Azure AD do banco de dados são incluídas como parte do token de acesso. O local do diretório do token do Azure AD só deve ter permissão suficiente para que o usuário grave o arquivo de token no local e o cliente de banco de dados recupere esses arquivos (por exemplo, basta ler e gravar pelo usuário). Como o token permite o acesso ao banco de dados, ele deve ser protegido dentro do sistema de arquivos.
Os usuários do Azure AD podem solicitar um token do Azure AD usando vários métodos para abrir uma janela de log-in do Azure para informar suas credenciais do Azure AD.
O Oracle Autonomous Database on Dedicated Exadata Infrastructure aceita tokens que representam os seguintes controladores do Azure AD:
- Usuário do Azure AD, que é o usuário registrado na tenancy do Azure AD
- Usuário convidado, que é registrado como usuário convidado na tenancy do Azure AD
- Serviço, que é o aplicativo registrado que se conecta ao banco de dados como ele mesmo com o fluxo de credenciais do cliente (caso de uso do pool de conexões)
O Oracle Autonomous Database on Dedicated Exadata Infrastructure suporta os seguintes fluxos de autenticação do Azure AD:
- Código de autorização, mais comumente usado para usuários humanos (não aplicativos) para autenticação no Azure AD em um ambiente cliente com um navegador
- Credenciais do cliente, que são para aplicativos de banco de dados que se conectam como eles mesmos (e não como o usuário final)
- Em Nome de (OBO), em que um aplicativo solicita um token de acesso em nome de um usuário conectado para envio ao banco de dados
- Credencial de senha do proprietário do recurso (ROPC), que não é recomendada para uso em produção, mas pode ser usada em ambientes de teste nos quais uma autenticação de usuário de navegador pop-up seria difícil de incorporar. O ROPC precisa que o nome de usuário e a credencial de senha do Azure AD façam parte da chamada de solicitação de token.
Arquitetura da Integração do Microsoft Azure AD com um Autonomous Database
Os tokens do Microsoft Azure Active Directory seguem o padrão OAuth2 com extensões. O uso de um token do Azure AD para acessar um banco de dados Oracle é semelhante ao uso de tokens do OCI IAM. Consulte Arquitetura da Integração do Microsoft Azure AD com um Oracle Database no Guia de Segurança para obter uma explicação detalhada.
Mapeamento de Usuários do Azure AD para o Autonomous Database
Os usuários do Microsoft Azure devem ser mapeados para um esquema do Autonomous Database e ter os privilégios necessários (por meio de atribuições) para que possam se autenticar na instância do Autonomous Database. Consulte Mapeamento de Usuários do Azure AD para o Oracle Database no Guia de Segurança para obter informações sobre as diferentes maneiras de mapear usuários, grupos e aplicativos no Microsoft Azure.
casos de uso para estabelecer conexão com um Autonomous Database usando o Azure AD
O Oracle Database suporta três tipos de casos de uso para conexão com uma instância do Autonomous Database usando o Microsoft Azure Active Directory. Consulte Casos de Uso para Conexão com um Oracle Database Usando o Azure AD para obter mais detalhes.
Processo Geral de Autenticação de Identidades do Microsoft Azure AD com o Oracle Autonomous Database on Dedicated Exadata Infrastructure
O administrador do Oracle Database e o administrador do Microsoft Azure AD executam atribuições para permitir que os usuários do Azure AD se conectem ao banco de dados usando tokens de acesso OAuth2 do Azure AD.
Este é o processo geral:
- O administrador do Oracle Database garante que o ambiente do Oracle Database atenda aos requisitos para a integração do Microsoft Azure AD. Consulte Requisitos do Oracle Database para Integração do Microsoft Azure AD.
- O administrador do Azure AD cria um registro de aplicativo do Azure AD para o banco de dados e o administrador do Oracle Database permite que o banco de dados use tokens do Azure AD para acesso ao banco de dados.
Como parte do processo de registro do aplicativo, o administrador do Azure AD cria atribuições de aplicativo do Azure a serem usadas para os mapeamentos entre os usuários, grupos e aplicativos do Azure para os esquemas e atribuições do Oracle Database.
- O administrador do Oracle Database cria e mapeia esquemas globais para um usuário do Azure AD ( mapeamento de esquema exclusivo) ou para uma atribuição de aplicativo do Azure ( mapeamento de esquema compartilhado). O usuário ou aplicativo do Azure AD deve ser mapeado para um esquema.
- Opcionalmente, o administrador do sistema Oracle cria e mapeia atribuições globais do Oracle Database para atribuições de aplicativo do Azure.
- O usuário final do Azure AD que deseja estabelecer conexão com a instância do Oracle Autonomous Database on Dedicated Exadata Infrastructure registra o aplicativo cliente como cliente Azure AD (como o banco de dados Oracle é registrado).
O cliente Azure AD terá uma identificação de cliente e um segredo de cliente, a menos que o cliente do aplicativo seja público. Se o cliente do aplicativo for público, somente a identificação do cliente do aplicativo será necessária.
- O usuário final do Azure AD (que pode ser um administrador de banco de dados) se conecta usando um utilitário como PowerShell ou a interface de linha de comando do Azure para recuperar o token de acesso ao banco de dados
OAuth2
e armazená-lo em um diretório de arquivos local. Um aplicativo também pode solicitar um token de acessoOAuth2
do Azure AD diretamente do Azure AD e transmiti-lo por meio de uma API cliente de banco de dados. Consulte a seguinte documentação do cliente Oracle Database para obter informações sobre a transmissão de tokensOAuth2
do Azure AD:- Clientes JDBC-thin: Oracle Database JDBC Developer's Guide
- OCI (Oracle Call Interface): Oracle Call Interface Programmer's Guide
- Oracle Data Provider for .NET (ODP): Oracle Data Provider for .NET Developer's Guide for Microsoft WindowsEstabelecendo Conexão com o Oracle Database
- Uma vez conectado à instância do Oracle Autonomous Database on Dedicated Exadata Infrastructure, o usuário final do Azure AD executa operações de banco de dados conforme necessário.
Ativar Autenticação do Azure AD no Autonomous Database
Um administrador do Azure AD e um administrador do Autonomous Database executam etapas para configurar a autenticação do Azure AD no Autonomous Database.
Pré-requisitos
-
O Autonomous Database a ser a versão 19.18 ou mais recente.
-
Conectividade com o banco de dados na porta TLS 2484. Não há suporte para conexões não TLS.
-
Conectividade de rede de saída com o Azure AD para que o banco de dados possa solicitar a chave pública do Azure AD.
-
O Autonomous Database registrado no Azure AD.
-
Para implantações do Exadata Cloud@Customer, as definições de Proxy HTTP em seu ambiente devem permitir que o banco de dados use o Azure AD.
Essas definições são definidas pelo administrador da frota ao criar a infraestrutura do Exadata Cloud@Customer, conforme descrito em Usando a Console para Provisionar o Exadata Database Service on Cloud@Customer.Observação:
A configuração de rede, incluindo o Proxy HTTP, só poderá ser editada até que o Exadata Infrastructure esteja no estado Exige Ativação. Depois de ativado, você não poderá editar essas configurações.A configuração de um Proxy HTTP para uma Infraestrutura do Exadata já provisionada precisa de uma Solicitação de Serviço (SR) no My Oracle Support. Consulte Criar uma Solicitação de Serviço no My Oracle Support para obter detalhes.
Procedimento
Implemente as tarefas a seguir para configurar seu Autonomous Database para integração do Microsoft Azure AD.
-
Registrar a instância do Autonomous Database em uma tenancy do Microsoft Azure AD: Um usuário com privilégios de administrador do Azure AD usa o Microsoft Azure AD para registrar a instância do Oracle Database na tenancy do Microsoft Azure AD. Consulte Register the Oracle Autonomous Database Instance with a Microsoft Azure AD Tenancy no Security Guide.
-
Ativar Tokens de Acesso v2 do Microsoft Azure AD: Se sua organização usar o token de acesso v2 do Microsoft Azure AD (em vez de tokens v1), talvez você precise fazer alterações adicionais no Azure AD para suportar a reivindicação
upn:
em seu token. Consulte Ativando Tokens de Acesso v2 do Microsoft Azure AD e Verificando a Versão do Token de Acesso do Azure AD no Guia de Segurança. -
Gerenciar atribuições de aplicativo no Microsoft Azure AD: No Azure AD, você pode criar e gerenciar atribuições de aplicativo que serão designadas aos usuários e grupos do Azure AD e também serão mapeadas para esquemas e atribuições globais do Oracle Database. Consulte Manage App Roles in Microsoft Azure AD no Security Guide.
-
Configure a conectividade de saída com o Microsoft Azure AD usando um gateway NAT:
Crie um gateway NAT na Rede Virtual na Nuvem (VCN) em que seus recursos do Autonomous Database residem seguindo as instruções em Criar um Gateway NAT na Documentação do Oracle Cloud Infrastructure.
Após criar o gateway NAT, adicione uma regra de roteamento e uma regra de segurança de saída a cada sub-rede (na VCN) na qual os recursos do Autonomous Database residem para que esses recursos possam usar o gateway para obter uma chave pública da sua instância do Azure AD:
-
Vá para a página Detalhes da Sub-rede da sub-rede.
-
Na guia Informações da Sub-rede, clique no nome da Tabela de Rota da sub-rede para exibir sua respectiva página Detalhes da Tabela de Rota.
-
Na tabela de Regras de Roteamento existentes, verifique se já existe uma regra com as seguintes características:
- Destino: 0.0.0.0/0
- Tipo de Destino: Gateway NAT
- Alvo: O nome do gateway NAT recém-criado na VCN
Se essa regra não existir, clique em Adicionar Regras de Rota e adicione uma regra de roteamento com essas características.
-
Retorne à página Detalhes da Sub-rede da sub-rede.
-
Na tabela Listas de Segurança da sub-rede, clique no nome da lista de segurança da sub-rede para exibir a página Detalhes da Lista de Segurança.
-
No menu lateral, em Recursos, clique em Regras de Saída.
-
Na tabela de Regras de Saída existentes, verifique se já existe uma regra com as seguintes características:
- Tipo de Destino: CIDR
- Destino: 0.0.0.0/0
- Protocolo IP: TCP
- Faixa de Portas de Origem: 443
- Faixa de Portas de Destino: Todas
Se essa regra não existir, clique em Adicionar Regras de Saída e adicione uma regra de saída com essas características.
-
-
Testar a Acessibilidade do Ponto Final do ID Entra
Certifique-se de que sua instância do Oracle Database possa acessar o ponto final Entra ID seguindo as etapas descritas em Testando a Acessibilidade do Ponto Final do Azure no Guia de Segurança.
Se o banco de dados não puder estabelecer conexão com o ponto final do Microsoft Entra ID, mesmo depois de definir a política de ACL, verifique os pré-requisitos listados acima para confirmar que você configurou a rede corretamente de acordo com os pré-requisitos. Se o problema persistir, revise sua rede para garantir que a instância do banco de dados possa se conectar ao ponto final do MS Entra ID.
-
Configurar o Azure AD como provedor de identidades externo para o Autonomous Database:
Por padrão, os Autonomous Databases e Autonomous Container Databases são configurados para conectar usuários com autenticação e autorização do Oracle Cloud Infrastructure (IAM). Um DBA de aplicativo também pode alterar isso para outro esquema de autenticação externo, como Usuários Gerenciados Centralmente com Active Directory (CMU-AD) ou Kerberos. No entanto, um Autonomous Database pode ativar apenas um esquema de autenticação externo por vez.
Para ativar o Azure AD como provedor de identidades externo em uma instância do Autonomous Database:
- Faça log-in na instância do Autonomous Database como usuário que tem o privilégio
EXECUTE
no pacote PL/SQLDBMS_CLOUD_ADMIN
. O usuário ADMIN tem esse privilégio. - Como só pode haver um esquema de autenticação externo ativado para um Autonomous Database a qualquer momento, execute o procedimento
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
para desativar qualquer esquema de autenticação externo que já esteja ativado para seu banco de dados.Para executar o procedimento, você deve fazer log-in como usuário ADMIN ou ter o privilégioEXECUTE
emDBMS_CLOUD_ADMIN
.BEGIN DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION; END; /
- Execute o procedimento
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
com os parâmetros obrigatórios do Azure AD.BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type =>'AZURE_AD', params => JSON_OBJECT('tenant_id' VALUE 'tenant_id', 'application_id' VALUE 'application_id', 'application_id_uri' VALUE 'application_id_uri'), force => TRUE ); END;
Nesse procedimento, os parâmetros do Azure AD são:
type
: Especifica o provedor de autenticação externa. Para o Azure AD, conforme mostrado, use'AZURE_AD'
.params
: Os valores dos parâmetros obrigatórios do Azure AD estão disponíveis no portal do Azure, no painel Visão Geral do registro do aplicativo do Azure Active Directory. O valor obrigatórioparams
para o Azure AD é:tenant_id
: ID do Tenant da Conta do Azure. O Id do Tenant especifica o registro do aplicativo Azure AD da instância do Autonomous Database.application_id
: ID do Aplicativo Azure criado no Azure AD para designar mapeamentos de atribuições/esquema para autenticação externa na instância do Autonomous Database.application_id_uri
: URI exclusivo designado ao Aplicativo Azure.Esse é o identificador da instância do Autonomous Database. O nome deve ser um de domínio qualificado (isso suporta acesso a recursos de tenancy cruzada).
O tamanho máximo desse parâmetro é de 256 caracteres.
force
: Defina esse parâmetro paraTRUE
se outro métodoEXTERNAL AUTHENTICATION
estiver configurado para a instância do Autonomous Database e você quiser desativá-lo.
Por exemplo:BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type =>'AZURE_AD', params => JSON_OBJECT('tenant_id' VALUE '29981886-6fb3-44e3-82', 'application_id' VALUE '11aa1a11-aaa', 'application_id_uri' VALUE 'https://example.com/111aa1aa'), force => TRUE ); END;
Isso define o parâmetro de sistema
IDENTITY_PROVIDER_TYPE
.Por exemplo, você pode usar o seguinte para verificarIDENTITY_PROVIDER_TYPE
:SELECT NAME, VALUE FROM V$PARAMETER WHERE NAME='identity_provider_type'; NAME VALUE ---------------------- -------- identity_provider_type AZURE_AD
- Faça log-in na instância do Autonomous Database como usuário que tem o privilégio
Mapear Esquemas e Atribuições do Oracle Database
Os usuários do Azure AD serão mapeados para um esquema de banco de dados e, opcionalmente, para uma ou mais atribuições de banco de dados.
-
Mapear Exclusivamente um Esquema do Oracle Database para um Usuário do Microsoft Azure AD: Consulte Mapeando Exclusivamente um Esquema do Oracle Database para um Usuário do Microsoft Azure AD no Guia de Segurança.
-
Mapear um Esquema Oracle Compartilhado para uma Atribuição de Aplicativo: Consulte Mapeando um Esquema Oracle Compartilhado para uma Atribuição de Aplicativo no Guia de Segurança.
-
Mapear uma Atribuição Global do Oracle Database para uma Atribuição de Aplicativo: Consulte Mapear uma Atribuição Global do Oracle Database para uma Atribuição de Aplicativo no Guia de Segurança.
Configurar Conexões de Cliente para ADs do Azure
Há várias maneiras de configurar um cliente para estabelecer conexão com uma instância do Oracle Autonomous Database on Dedicated Exadata Infrastructure usando tokens do Azure AD.
Escolha o método de conexão do cliente que funcione melhor com seu ambiente. Este guia fornece exemplos de conexão do SQL*Plus com diferentes métodos de obtenção de um token de acesso OAuth2 do Azure AD. Todos os clientes do Oracle Database release 19c podem aceitar um token transmitido como arquivo. Os drivers JDBC-thin, Instant Client e ODP.net também aceitam o token por meio da API cliente do banco de dados de um aplicativo. As ferramentas do Oracle Database, como o SQL*Plus, não podem recuperar os tokens diretamente; portanto, ferramentas como PowerShell ou CLI do Azure devem ser usadas para recuperar o token de acesso OAuth2
do Azure AD. Para recuperar um token do Azure AD, o cliente deve ser registrado por meio do processo de registro de aplicativo do Azure AD. O registro do cliente é semelhante ao registro do servidor do Oracle Autonomous Database on Dedicated Exadata Infrastructure no Azure AD usando o registro de aplicativo. O banco de dados e o cliente devem estar registrados no Azure AD.
O banco de dados deve ser registrado para que o cliente possa ter permissão para obter um token de acesso para o banco de dados. O cliente deve ser registrado para que o Azure AD possa reconhecer que um cliente confiável está solicitando um token de acesso.
Observação:
No cliente, você deve definir os parâmetrosTOKEN_AUTH
e TOKEN_LOCATION
no arquivo sqlnet.ora
para recuperar o token de acesso ao banco de dados do Azure AD de um local e usá-lo quando o log-in com barra /
for usado. Detalhes exatos são discutidos em Configurar o SQL*Plus para Tokens de Acesso do Azure AD.
Consulte os seguintes artigos do Microsoft Azure para obter mais informações sobre como conectar clientes ao Azure AD:
- Início Rápido: Configurar um aplicativo cliente para acessar uma API Web
- Escolha a ferramenta certa de linha de comando do Azure
- Obtenha tokens do Azure AD usando a Biblioteca de Autenticação da Microsoft
- Instale a CLI do Azure no Linux
Conexão de Cliente do Operational Flow for SQL*Plus em PowerShell com o Autonomous Database
A conexão entre o usuário do Azure, o Azure AD e a instância do Autonomous Database depende da transmissão do token OAuth2
por meio desses componentes.
Consulte Operational Flow for SQL*Plus Client Connection em PowerShell to Oracle Database no Security Guide para obter um exemplo que mostre o uso do fluxo de Credencial de Senha do Proprietário do Recurso (ROPC) com um cliente público.
Registrando um Cliente no Registro de Aplicativo do Azure AD
-
Registre o cliente de banco de dados no Azure como confidencial ou público, dependendo do seu caso de uso: Registro de Cliente Confidencial e Público
-
Registrar um Aplicativo Cliente de Banco de Dados no Azure AD: Registrando um Aplicativo Cliente de Banco de Dados no Azure AD
Exemplos de Recuperação de Tokens OAuth2 do Azure AD
Para obter exemplos que mostram as diferentes maneiras de recuperar tokens OAuth2
do Azure AD, consulte Exemplos de Recuperação de Tokens OAuth2 do Azure AD no Guia de Segurança.
Configurar o SQL*Plus para Tokens de Acesso do Azure AD
Configure o SQL*Plus para recuperar o token de acesso ao banco de dados do Azure AD de um local e usá-lo quando o log-in na / barra for usado. Consulte Configuring SQL*Plus for Azure AD Access Tokens no Security Guide para obter instruções detalhadas.
Diagnosticando e Solucionando Problemas de Conexões do Microsoft Entra ID
Você pode usar arquivos de rastreamento para diagnosticar problemas com conexões do Microsoft Entra ID. Você também pode corrigir facilmente erros ORA-12599
e ORA-03114
.
-
Você pode usar arquivos de rastreamento para solucionar problemas de integração do Oracle Database com o Microsoft Azure AD. Consulte Trace Arquivos para Diagnóstico e Solução de Problemas de Conexões de Cliente do Oracle Database com o Azure AD no Database Security Guide para obter orientação.
-
Os erros
ORA-12599: TNS: cryptographic checksum mismatch
eORA-03114: not connected to ORACLE
indicam que o banco de dados ao qual você está tentando se conectar é protegido pela criptografia de rede nativa.Quando os tokens estão sendo usados para acessar um banco de dados Oracle, uma conexão TLS (Transport Layer Security) deve ser estabelecida, e não criptografia nativa da rede. Para corrigir esses erros, certifique-se de que o TLS esteja configurado corretamente para o seu banco de dados. Você deve testar a configuração com um nome de usuário e uma senha do banco de dados local e verificar os seguintes parâmetros
SYSCONTEXT USERENV
:NETWORK_PROTOCOL
TLS_VERSION
-
Você pode verificar a versão do token de acesso do Microsoft Azure AD que seu site usa usando o site JSON Web Tokens. Consulte Verificando a Versão do Token de Acesso do Azure AD no Guia de Segurança do Banco de Dados para obter orientação.