استخدام المدخل لإنشاء تطبيق Microsoft Azure AD وأساسيات الخدمة التي يمكنها الوصول إلى الموارد

  • مقالة
  • قراءة خلال 7 دقائق

توضح لك هذه المقالة كيفية إنشاء تطبيق Microsoft Azure Active Directory الجديد وكيان الخدمة اللذين يمكن استخدامهما مع عنصر التحكم في الوصول المستند إلى الدور. عندما يكون لديك تطبيقات أو خدمات مستضافة أو أدوات آلية تحتاج إلى الوصول إلى الموارد أو تعديلها، يمكنك إنشاء هوية للتطبيق. تُعرف هذه الهوية باسم مدير الخدمة. الوصول إلى الموارد مقيد بالأدوار المعينة لمدير الخدمة، مما يمنحك التحكم في الموارد التي يمكن الوصول إليها وفي أي مستوى. لأسباب أمنية، يوصى دائمًا باستخدام أساسيات الخدمة مع الأدوات الآلية بدلًا من السماح لهم بتسجيل الدخول بهوية مستخدم.

توضح لك هذه المقالة كيفية استخدام المدخل لإنشاء كيان الخدمة في مدخل Microsoft Azure. إنه يركز على تطبيق مستأجر واحد حيث يُشَغّل التطبيق داخل مؤسسة واحدة فقط. عادةً ما تستخدم تطبيقات المستأجر الفردي لتطبيقات الأعمال التي يتم تشغيلها داخل مؤسستك. يمكنك أيضًا استخدام Azure PowerShell لإنشاء كيان خدمة.

هام

بدلًا من إنشاء مدير خدمة، ضع في اعتبارك استخدام الهويات المُدارة لموارد Azure لهوية التطبيق الخاص بك. إذا شُغِّلت التعليمات البرمجية الخاصة بك على خدمة تدعم الهويات المدارة وتصل إلى الموارد التي تدعم مصادقة Microsoft Azure AD، فإن الهويات المدارة هي خيار أفضل بالنسبة لك. لمعرفة المزيد حول الهويات المُدارة لموارد Azure، بما في ذلك الخدمات التي تدعمها حاليًا، راجع ما هي الهويات المُدارة لموارد Azure؟.

تسجيل التطبيق وكائنات التطبيق وكيانات الخدمة

لا توجد طريقة لإنشاء مدير خدمة بشكل مباشر باستخدام مدخل Microsoft Azure. عند تسجيل تطبيق من خلال مدخل Microsoft Azure، يُنشأ عنصر التطبيق وكيان الخدمة تلقائيًا في الدليل الرئيسي أو المستأجر. لمزيد من المعلومات حول العلاقة بين تسجيل التطبيق وكائنات التطبيق وأساسيات الخدمة، اقرأ عناصر التطبيق والخدمة الرئيسية في Microsoft Azure Active Directory.

الأذونات المطلوبة لتسجيل التطبيق

يجب أن يكون لديك أذونات كافية لتسجيل تطبيق مع مستأجر Microsoft Azure AD الخاص بك، وتعيين دور للتطبيق في اشتراك Azure الخاص بك.

تحقق من أذونات Microsoft Azure AD

  1. حدد "Azure Active Directory".

  2. ابحث عن دورك ضمن نظرة عامة->موجزي. إذا كان لديك دور المستخدم، فيجب أن تتأكد من أنه يمكن لغير المسؤولين تسجيل التطبيقات.

    Screenshot showing how to find your role..

  3. في الجزء الأيمن، حدد Users ثم User settings.

  4. تحقق من إعداد App registrations. لا يمكن تعيين هذه القيمة إلا من قِبل المسؤول. إذا تم التعيين على Yes، يمكن لأي مستخدم في مستأجر Microsoft Azure AD تسجيل تطبيق.

إذا تم تعيين إعداد تسجيلات التطبيق على No، يمكن فقط للمستخدمين الذين لديهم دور مسؤول تسجيل هذه الأنواع من التطبيقات. راجع الأدوار المضمنة في Microsoft Azure AD للتعرف على أدوار المسؤول المتاحة والأذونات المحددة في Azure AD التي يتم منحها لكل دور. إذا عُيِّن دور المستخدم لحسابك، ولكن إعداد تسجيل التطبيق يقتصر على المستخدمين المسؤولين، فاطلب من المسؤول إما أن يعين لك أحد أدوار المسؤول التي يمكنها إنشاء وإدارة جميع جوانب تسجيلات التطبيق، أو لتمكين المستخدمين من تسجيل التطبيقات.

التحقق من أذونات اشتراك Azure

في اشتراكك في Azure، يجب أن يتمتع حسابك بإمكانية وصول Microsoft.Authorization/*/Write لتعيين دور لتطبيق AD. يتم منح هذا الإجراء من خلال دور المالك أو دور مسؤول وصول المستخدم. إذا تَعَيَّن دور المساهم لحسابك، فلن يكون لديك الإذن الكافي. ستتلقى خطأ عند محاولة تعيين دور لمدير الخدمة.

للتحقق من أذونات الاشتراك الخاصة بك:

  1. ابحث عن Subscriptionsوحددها، أو حدد Subscriptions في الصفحة الرئيسية.

    Search

  2. حدد الاشتراك الذي تريد إنشاء أساس الخدمة فيه.

    Select subscription for assignment

    إذا كنت لا ترى الاشتراك الذي تبحث عنه، فحدد global subscriptions filter. تأكد من تحديد الاشتراك الذي تريده للبوابة.

  3. حدد My permissions. بعد ذلك، حدد Click here to view complete access details for this subscription.

    Select the subscription you want to create the service principal in

  4. حدد Role assignments لعرض الأدوار المخصصة لك، وتحديد ما إذا كان لديك أذونات كافية لتعيين دور لتطبيق AD. إذا لم يكن الأمر كذلك، فاطلب من مسؤول الاشتراك الخاص بك إضافتك إلى دور مسؤول وصول المستخدم. في الصورة التالية، يتم تعيين دور المالك للمستخدم، مما يعني أن المستخدم لديه أذونات كافية.

    Screenshot showing the user is assigned the Owner role.

سجّل تطبيقًا باستخدام Microsoft Azure AD وأنشئ مدير خدمة

دعنا نقفز مباشرة إلى إنشاء الهوية. إذا واجهت مشكلة، فتحقق من الأذونات المطلوبة للتأكد من أن حسابك يمكنه إنشاء الهوية.

  1. سجّل الدخول إلى حسابك في Azure من خلال مدخل Microsoft Azure.

  2. حدد "Azure Active Directory".

  3. حدد ⁧⁩تسجيلات التطبيقات⁧⁩.

  4. اختر "New registration".

  5. اسم التطبيق. حدد نوع الحساب المدعوم، والذي يحدد من يمكنه استخدام التطبيق. ضمن إعادة توجيه URI، حدد Web لنوع التطبيق الذي تريد إنشاءه. أدخل عنوان URL الذي تم إرسال الرمز المميز للوصول إليه. لا يمكنك إنشاء بيانات اعتماد من أجل تطبيق محلي. لا يمكنك استخدام هذا النوع لتطبيق آلي. بعد تعيين القيم، حدد Register.

    Type a name for your application

لقد أنشأت تطبيق Microsoft Azure AD وكيان الخدمة.

ملاحظة

يمكنك تسجيل تطبيقات متعددة بنفس الاسم في Microsoft Azure AD، ولكن يجب أن تحتوي التطبيقات على معرّفات تطبيق (عميل) مختلفة.

تعيين دور للتطبيق

للوصول إلى الموارد في اشتراكك، يجب عليك تعيين دور للتطبيق. حدد الدور الذي يوفر الأذونات الصحيحة للتطبيق. للتعرف على الأدوار المتاحة، راجع الأدوار المضمنة في Azure.

يمكنك تعيين النطاق على مستوى الاشتراك أو مجموعة الموارد أو المورد. يتم توريث الأذونات لمستويات أقل من النطاق. على سبيل المثال، فإن إضافة تطبيق إلى دور القارئ لمجموعة موارد يعني أنه يمكنه قراءة مجموعة الموارد وأي موارد تحتوي عليها.

  1. في مدخل Microsoft Azure، حدد مستوى النطاق الذي ترغب في تعيين التطبيق إليه. على سبيل المثال، لتعيين دور في نطاق الاشتراك، ابحث عن Subscriptionsوحددها، أو حدد Subscriptions في الصفحة الرئيسية.

    For example, assign a role at the subscription scope

  2. حدد الاشتراك المعين لتعيين التطبيق إليه.

    Select subscription for assignment

    إذا كنت لا ترى الاشتراك الذي تبحث عنه، فحدد global subscriptions filter. تأكد من تحديد الاشتراك الذي تريده للبوابة.

  3. حدد Access control (IAM).

  4. حدد Add>Add role assignment لفتح صفحة Add role assignment.

  5. حدد الدور الذي ترغب في تعيينه للتطبيق. على سبيل المثال، للسماح للتطبيق بتنفيذ إجراءات مثل حالات إعادة التشغيلو بدء وإيقاف، حدد دور Contributor. اقرأ المزيد حول الأدوار المتاحة بشكل افتراضي، لا يتم عرض تطبيقات Microsoft Azure AD في الخيارات المتاحة. للعثور على التطبيق الخاص بك، ابحث عن الاسم وحدده.

    عَيِّن دور المساهم للتطبيق في نطاق الاشتراك. للحصول على خطوات تفصيلية، راجع ⁧⁩تعيين أدوار Azure باستخدام مدخل Microsoft Azure⁧⁩.

تم إعداد مدير الخدمة الخاص بك. يمكنك البدء في استخدامه لتشغيل البرامج النصية أو التطبيقات. لإدارة مدير الخدمة (الأذونات، الأذونات التي وافق عليها المستخدم، معرفة المستخدمين الذين وافقوا، ومراجعة الأذونات، والاطلاع على معلومات تسجيل الدخول، والمزيد)، انتقل إلى Enterprise applications.

يوضح القسم التالي كيفية الحصول على القيم المطلوبة عند تسجيل الدخول برمجيًا.

الحصول على قيم معرّف المستأجر والتطبيق لتسجيل الدخول

عند تسجيل الدخول برمجيًا، قم بتمرير معرف المستأجر مع طلب المصادقة ومعرف التطبيق. تحتاج أيضًا إلى شهادة أو مفتاح مصادقة (موضح في القسم التالي). للحصول على هذه القيم، استخدم الخطوات التالية:

  1. حدد "Azure Active Directory".

  2. من تسجيلات التطبيق في Microsoft Azure AD، حدد التطبيق الخاص بك.

  3. انسخ معرف الدليل (المستأجر) وقم بتخزينه في رمز التطبيق الخاص بك.

    Copy the directory (tenant ID) and store it in your app code

    يمكن أيضًا العثور على معرف الدليل (المستأجر) في صفحة نظرة عامة على الدليل الافتراضي.

  4. انسخ Application ID وخزِّنه في رمز التطبيق الخاص بك.

    Copy the application (client) ID

المصادقة: خياران

هناك نوعان من المصادقة متاحان لكيانات الخدمة: المصادقة القائمة على كلمة المرور (سر التطبيق) والمصادقة القائمة على الشهادة. نوصي باستخدام شهادة، ولكن يمكنك أيضًا إنشاء سر للتطبيق.

الخيار 1: تحميل شهادة

يمكنك استخدام شهادة موجودة إذا كان لديك واحدة. اختياريًا، يمكنك إنشاء شهادة موقعة ذاتيًا لأغراض الاختبار فقط. لإنشاء شهادة موقعة ذاتيًا، افتح PowerShell وشغّل New-SelfSignedCertificate باستخدام المعلمات التالية لإنشاء الشهادة في مخزن شهادات المستخدم على جهاز الكمبيوتر الخاص بك:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

صدِّر هذه الشهادة إلى ملف باستخدام الأداة الإضافية إدارة شهادة المستخدم MMC التي يمكن الوصول إليها من لوحة تحكم Windows.

  1. حدد Run من قائمة Start، ثم أدخل certmgr.msc.

    تظهر أداة "إدارة الشهادات" للمستخدم الحالي.

  2. لعرض الشهادات الخاصة بك، ضمن الشهادات - المستخدم الحالي في الجزء الأيمن، وسِّع الدليل شخصي.

  3. انقر بزر الماوس الأيمن فوق الشهادة التي أنشأتها، وحدد جميع المهام->تصدير.

  4. اتبع معالج "تصدير الشهادة". لا تقم بتصدير المفتاح الخاص، ولا تقم بالتصدير إلى ملف .CER.

لتحميل الشهادة:

  1. حدد "Azure Active Directory".

  2. من تسجيلات التطبيق في Microsoft Azure AD، حدد التطبيق الخاص بك.

  3. حدد Certificates & secrets.

  4. حدد Certificates>Upload certificate وحدد الشهادة (شهادة حالية أو شهادة موقعة ذاتيًا قمت بتصديرها).

    Select Upload certificate and select the one you want to add

  5. حدد ⁧⁩إضافة⁧⁩.

بعد تسجيل الشهادة مع التطبيق الخاص بك في بوابة تسجيل التطبيق، مكِّن رمز تطبيق العميل لاستخدام الشهادة.

الخيار 2: إنشاء سر جديد للتطبيق

إذا اخترت عدم استخدام شهادة، يمكنك إنشاء سر تطبيق جديد.

  1. حدد "Azure Active Directory".

  2. من تسجيلات التطبيق في Microsoft Azure AD، حدد التطبيق الخاص بك.

  3. حدد Certificates & secrets.

  4. حدد Client secrets -> New client secret.

  5. تقديم وصف للسر، ومدة. عند الانتهاء، حدد إضافة.

    بعد حفظ سر العميل، يتم عرض قيمة سر العميل. انسخ هذه القيمة لأنك لن تتمكن من استرداد المفتاح لاحقًا. ستقدم قيمة المفتاح مع معرف التطبيق لتسجيل الدخول باعتباره التطبيق. خَزِّن القيمة الرئيسية حيث يمكن لتطبيقك استردادها.

    Copy the secret value because you can't retrieve this later

تكوين نُهج الوصول على الموارد

ضع في اعتبارك أنك قد تحتاج إلى تكوين أذونات إضافية على الموارد التي يحتاج التطبيق الخاص بك للوصول إليها. على سبيل المثال، يجب عليك أيضًا تحديث نُهج الوصول لمخزن المفاتيح لمنح تطبيقك حق الوصول إلى المفاتيح أو الأسرار أو الشهادات.

  1. في مدخل Microsoft Azure، انتقل إلى مخزن المفاتيح وحدد Access policies.
  2. حدد Add access policy، ثم حدد أذونات المفتاح والسر والشهادة التي تريد منحها لتطبيقك. حدد مدير الخدمة الذي قمت بإنشائه مسبقًا.
  3. حدد Add لإضافة نهج الوصول، ثم Save لتنفيذ التغييرات. Add access policy

الخطوات التالية