Microsoft Azure: Alterações de API interromperão aplicativos e scripts do PowerShell

A Microsoft fez alterações em duas APIs de autenticação antiga de chaves para o Azure Active Directory que interromperão muitos aplicativos e scripts do PowerShell. Eles deixarão de funcionar a partir do dia 30 de junho de 2022, incluindo versões mais antigas de utilitários oficiais. O fim do suporte para a Biblioteca de Autenticação do Active Directory (ADAL) e a API do Azure AD Graph são as mais problemáticas, embora já tenham sido anunciadas há mais de um ano, segundo informações do site The Register.

A API do Azure AD Graph é uma API REST para gerenciar usuários (criar, ler, atualizar, excluir) e grupos no Azure AD, diretório usado pelo Microsoft 365. ADAL é uma biblioteca .NET que emite tokens de autenticação que permitem o acesso às APIs da Microsoft ou a aplicativos personalizados que exigem um logon do Azure AD. A ADAL foi atualizada pela última vez em junho de 2020 e a substituta da ADAL é a Microsoft Authentication Library (MSAL).

“Os aplicativos que usam o Azure AD Graph após esse período [30 de junho de 2022] não receberão mais respostas do ponto de extremidade do Azure AD Graph. Os aplicativos que usam ADAL nas versões existentes do sistema operacional continuarão a funcionar após esse período, mas não receberão nenhum suporte técnico ou segurança atualizações”, disse a Microsoft.

A mensagem direta, no entanto, tem consequências mais complexas. O artigo ressalta que o uso dessas APIs geralmente fica oculto, às vezes até mesmo para os desenvolvedores. Um desenvolvedor pode ter marcado uma opção em um modelo de projeto do Visual Studio para “Autenticação com o Azure Active Directory” e terminado com um aplicativo que usa essas APIs. O aplicativo talvez tenha sido implantado no Serviço de Aplicativo do Azure com outro assistente, e em um momento ele estará funcionando normalmente e, em outro, não mais, diz o site.

Além disso, a própria Microsoft usou essas APIs em suas próprias ferramentas e utilitários, como o módulo MSOnline para PowerShell, usado por administradores para fazer scripts de operações de gerenciamento de usuários.

“Os clientes são incentivados a usar o módulo mais recente do Azure Active Directory V2 PowerShell em vez deste módulo”, dizem os documentos. No entanto, um usuário reclamou esta semana que “quando eu visito o novo módulo, não há nada perto do nível de funcionalidade em torno do gerenciamento de domínio que existe com o módulo da versão 1.0”, instanciando APIs que não existem mais.

Em resposta, a Microsoft disse: “Não temos um equivalente para Set-MsolDomainAuthentication ou Get-MsolDomainAuthentication agora, mas eventualmente eles farão parte do módulo MS Graph. O módulo Azure AD morrerá com o encerramento do gráfico AAD em 2022.”

Os usuários começaram, então, a responder o comunicado. Um deles dizia: “Minha preocupação é que atualmente estou desenvolvendo scripts para clientes que precisarão ser substituídos pelas APIs do Graph. Enquanto estou implementando o máximo que posso com o Graph, é frustrante saber que alguns dos scripts precisarão ser modificados, mas eu estou incapaz de dar aos clientes um cronograma de quando isso precisará ser feito”.

O problema se torna substancial ao pensar em escala. A biblioteca ADAL no Nuget tem, até hoje, 160.772.485 downloads – milhares de scripts em uso podem parar de funcionar ou ficar sem suporte em nove meses.

As organizações que usam o Azure AD Connect para sincronizar o AD local com o Azure AD devem observar que a Microsoft lançou o AD Connect 2.0, informando que “as versões anteriores do Azure AD Connect foram fornecidas com a biblioteca de autenticação ADAL. Essa biblioteca será preterida em junho de 2022, destaca a publicação do The Register. A versão V2.0 vem com a biblioteca MSAL mais recente”.

Segundo a Microsoft, orientações já estão disponíveis para os administradores identificarem se e como essas APIs obsoletas estão em uso e apps afetados. A empresa também está enviando e-mails aos administradores com listas de aplicativos que podem detectar e é possível obter relatórios do portal do Azure.

Com informações de The Register.