Vytvoření aplikace Azure AD a instančního objektu s přístupem k prostředkům pomocí portálu

  • Článek
  • 7 min ke čtení

Tento článek ukazuje, jak vytvořit novou aplikaci Azure Active Directory (Azure AD) a objekt služby, které je možné použít s řízením přístupu na základě role. Pokud máte aplikace, hostované služby nebo automatizované nástroje, které potřebují přístup k prostředkům nebo jejich úpravy, můžete pro aplikaci vytvořit identitu. Tato identita se označuje jako instanční objekt. Přístup k prostředkům jsou omezené rolemi přiřazenými k objektu služby, což vám dává kontrolu nad tím, ke kterým prostředkům je možné přistupovat a na jaké úrovni. Z bezpečnostních důvodů se v automatizovaných nástrojích vždy doporučuje používat instanční objekty, a neumožňovat jim připojení pomocí identity uživatele.

Tento článek popisuje, jak pomocí portálu vytvořit instanční objekt v Azure Portal. Zaměřuje se na aplikaci s jedním tenantem, ve které má aplikace běžet pouze v rámci jedné organizace. Aplikace s jedním tenantem se obvykle používají pro obchodní aplikace, které běží ve vaší organizaci. Můžete také použít Azure PowerShell k vytvoření objektu služby.

Důležité

Místo vytváření objektu služby zvažte použití spravovaných identit pro prostředky Azure pro identitu vaší aplikace. Pokud váš kód běží ve službě, která podporuje spravované identity a přistupuje k prostředkům, které podporují ověřování Azure AD, jsou pro vás spravované identity lepší volbou. Další informace o spravovaných identitách pro prostředky Azure, včetně služeb, které je aktuálně podporují, najdete v tématu Co jsou spravované identity pro prostředky Azure?.

Registrace aplikací, objekty aplikací a objekty služby

Neexistuje žádný způsob, jak přímo vytvořit objekt služby pomocí Azure Portal. Když zaregistrujete aplikaci prostřednictvím Azure Portal, objekt aplikace a instanční objekt se automaticky vytvoří v domovském adresáři nebo tenantovi. Další informace o vztahu mezi registrací aplikace, objekty aplikací a instančními objekty najdete v části Aplikace a instanční objekty v Azure Active Directory.

Oprávnění požadovaná k registraci aplikace

Musíte mít dostatečná oprávnění k registraci aplikace v tenantovi Azure AD a přiřazení role k aplikaci ve vašem předplatném Azure.

Kontrola oprávnění Azure AD

  1. Vyberte Azure Active Directory.

  2. Najděte svou roli v části Přehled Můj -> informační kanál. Pokud máte roli Uživatel, musíte zajistit, aby aplikace mohli registrovat uživatelé bez oprávnění správce.

    Snímek obrazovky, který znázorňuje, jak najít roli

  3. V levém podokně vyberte Uživatelé a pak Nastavení uživatele.

  4. Zkontrolujte Registrace aplikací nastavení. Tuto hodnotu může nastavit pouze správce. Pokud je nastavená na Ano, může aplikaci zaregistrovat libovolný uživatel v tenantovi Azure AD.

Pokud je nastavení registrace aplikací nastaveno na Ne, mohou tyto typy aplikací registrovat pouze uživatelé s rolí správce. Informace o dostupných rolích správce a konkrétních oprávněních v Azure AD udělených jednotlivým rolím najdete v tématu Předdefinované role Azure AD. Pokud má váš účet přiřazenou roli Uživatel, ale nastavení registrace aplikace je omezené na uživatele s právy pro správu, požádejte správce, aby vám buď přiřadil jednu z rolí správce, která může vytvářet a spravovat všechny aspekty registrace aplikací, nebo aby uživatelům umožnil registrovat aplikace.

Kontrola oprávnění předplatného Azure

V předplatném Azure musí mít váš účet přístup Microsoft.Authorization/*/Write k přiřazení role k aplikaci AD. Tato akce se povoluje prostřednictvím role vlastníka nebo správce uživatelských přístupů. Pokud má váš účet přiřazenou roli Přispěvatel, nemáte odpovídající oprávnění. Při pokusu o přiřazení role objektu služby se zobrazí chyba.

Kontrola oprávnění předplatného:

  1. Vyhledejte a vyberte Předplatná nebo vyberte Předplatná na domovské stránce.

    Hledat

  2. Vyberte předplatné, ve které chcete instanční objekt vytvořit.

    Výběr předplatného pro přiřazení

    Pokud nevidíte předplatné, které hledáte, vyberte filtr globálních předplatných. Ujistěte se, že je pro portál vybrané předplatné, které chcete mít.

  3. Vyberte Moje oprávnění. Pak vyberte Kliknutím sem zobrazíte úplné podrobnosti o přístupu k tomuto předplatnému.

    Vyberte předplatné, ve které chcete instanční objekt vytvořit.

  4. Pokud chcete zobrazit přiřazené role a určit, jestli máte dostatečná oprávnění k přiřazení role k aplikaci AD, vyberte Přiřazení rolí. Pokud ne, požádejte správce předplatného o přidání do role Správce uživatelských přístupů. Na následujícím obrázku je uživateli přiřazena role Vlastník, což znamená, že uživatel má dostatečná oprávnění.

    Snímek obrazovky uživatele s přiřazenou rolí Vlastník

Registrace aplikace v Azure AD a vytvoření objektu služby

Pojďme rovnou vytvořit identitu. Pokud nastane problém, zkontrolujte požadovaná oprávnění a ujistěte se, že váš účet může vytvořit identitu.

  1. Přihlaste se ke svému účtu Azure prostřednictvím Azure Portal.

  2. Vyberte Azure Active Directory.

  3. Vyberte Registrace aplikací.

  4. Vyberte New registration (Nová registrace).

  5. Pojmete aplikaci. Vyberte podporovaný typ účtu, který určuje, kdo může aplikaci používat. V části Identifikátor URI pro přesměrování jako typ aplikace, kterou chcete vytvořit, vyberte Web. Zadejte identifikátor URI, na který se přístupový token odesílá. Nemůžete vytvořit přihlašovací údaje pro nativní aplikaci. Tento typ nelze použít pro automatizovanou aplikaci. Po nastavení hodnot vyberte Zaregistrovat.

    Zadejte název aplikace.

Vytvořili jste aplikaci Azure AD a objekt služby.

Poznámka

Ve službě Azure AD můžete zaregistrovat více aplikací se stejným názvem, ale aplikace musí mít různá ID aplikací (klientů).

Přiřazení role k aplikaci

Pokud chcete získat přístup k prostředkům ve vašem předplatném, musíte aplikaci přiřadit roli. Rozhodněte se, která role nabízí pro aplikaci správné oprávnění. Další informace o dostupných rolích najdete v tématu Předdefinované role Azure.

Rozsah můžete nastavit na úrovni předplatného, skupiny prostředků nebo prostředku. Oprávnění se dědí do nižších úrovní oboru. Například přidání aplikace do role Čtenář pro skupinu prostředků znamená, že může číst skupinu prostředků a všechny prostředky, které obsahuje.

  1. V Azure Portal vyberte úroveň oboru, ke které chcete aplikaci přiřadit. Pokud například chcete přiřadit roli v oboru předplatného, vyhledejte a vyberte Předplatná nebo vyberte Předplatná na domovské stránce.

    Můžete například přiřadit roli v oboru předplatného.

  2. Vyberte konkrétní předplatné, ke které chcete aplikaci přiřadit.

    Výběr předplatného pro přiřazení

    Pokud nevidíte předplatné, které hledáte, vyberte filtr globálních předplatných. Ujistěte se, že je pro portál vybrané předplatné, které chcete mít.

  3. Vyberte Řízení přístupu (IAM) .

  4. Výběrem možnosti > Vybrat přidat přidat přiřazení role otevřete stránku Přidat přiřazení role.

  5. Vyberte roli, kterou chcete přiřadit k aplikaci. Pokud například chcete aplikaci povolit provádění akcí, jako je restartování, spuštění a zastavení instancí, vyberte roli Přispěvatel. Další informace o dostupných rolích se ve výchozím nastavení v dostupných možnostech nezobrazují aplikace Azure AD. Pokud chcete najít aplikaci, vyhledejte název a vyberte ji.

    Přiřaďte aplikaci roli Přispěvatel v oboru předplatného. Podrobný postup najdete v tématu Přiřazení rolí Azure pomocí Azure Portal.

Váš objekt služby je nastavený. Můžete ji začít používat ke spouštění skriptů nebo aplikací. Pokud chcete spravovat instanční objekt (oprávnění, oprávnění odsoulaná uživatelem, informace o tom, kteří uživatelé odsoul souhlas, zkontrolovat oprávnění, zobrazit přihlašovací údaje a další), přejděte na Enterprise aplikace.

Další část ukazuje, jak získat hodnoty, které jsou potřeba při přihlašování prostřednictvím kódu programu.

Získání hodnot ID tenanta a aplikace pro přihlášení

Při programovém přihlášení předejte ID tenanta s vaší žádostí o ověření a ID aplikace. Potřebujete také certifikát nebo ověřovací klíč (popsaný v následující části). K získání těchto hodnot použijte následující postup:

  1. Vyberte Azure Active Directory.

  2. V Registrace aplikací Azure AD vyberte svou aplikaci.

  3. Zkopírujte ID adresáře (tenanta) a uložte ho do kódu aplikace.

    Zkopírujte adresář (ID tenanta) a uložte ho do kódu aplikace.

    ID adresáře (tenanta) najdete také na stránce přehledu výchozího adresáře.

  4. Zkopírujte ID aplikace a uložte ho v kódu aplikace.

    Zkopírování ID aplikace (klienta)

Ověřování: Dvě možnosti

Pro instanční objekty jsou k dispozici dva typy ověřování: ověřování pomocí hesla (tajný klíč aplikace) a ověřování pomocí certifikátů. Doporučujeme použít certifikát, ale můžete také vytvořit tajný kód aplikace.

Možnost 1: Upload certifikátu

Můžete použít existující certifikát, pokud ho máte. Volitelně můžete vytvořit certifikát podepsaný svým držitelem pouze pro účely testování. Pokud chcete vytvořit certifikát podepsaný svým držitelem, otevřete PowerShell a spusťte rutinu New-SelfSignedCertificate s následujícími parametry, které vytvoří certifikát v uživatelském úložiště certifikátů ve vašem počítači:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportujte tento certifikát do souboru pomocí modulu snap-in Spravovat certifikát uživatele konzoly MMC, který je přístupný z Windows Ovládací panely.

  1. V nabídce Start vyberte Spustit a zadejte certmgr.msc.

    Zobrazí se nástroj Správce certifikátů pro aktuálního uživatele.

  2. Pokud chcete zobrazit certifikáty, rozbalte v části Certifikáty – aktuální uživatel v levém podokně osobní adresář.

  3. Klikněte pravým tlačítkem na certifikát, který jste vytvořili, a vyberte Všechny úlohy ->Export.

  4. Postupujte podle průvodce exportem certifikátu. Privátní klíč neexportujte a exportujte do . Soubor CER.

Nahrání certifikátu:

  1. Vyberte Azure Active Directory.

  2. V Registrace aplikací Azure AD vyberte svou aplikaci.

  3. Vyberte Certifikáty a & tajné kódy.

  4. Vyberte Certifikáty Upload certifikátu a vyberte certifikát (existující certifikát nebo certifikát podepsaný svým > držitelem, který jste exportoval).

    Vyberte Upload certifikátu a vyberte certifikát, který chcete přidat.

  5. Vyberte Přidat.

Po registraci certifikátu ve vaší aplikaci na portálu pro registraci aplikací povolte kódu klientské aplikace používání certifikátu.

Možnost 2: Vytvoření nového tajného klíče aplikace

Pokud se rozhodnete certifikát nepouovat, můžete vytvořit nový tajný kód aplikace.

  1. Vyberte Azure Active Directory.

  2. V Registrace aplikací Azure AD vyberte svou aplikaci.

  3. Vyberte Certifikáty a & tajné kódy.

  4. Vyberte Tajné kódy klienta -> Nový tajný klíč klienta.

  5. Zadejte popis tajného klíče a dobu trvání. Až to bude hotové, vyberte Přidat.

    Po uložení tajného klíče klienta se zobrazí hodnota tajného klíče klienta. Zkopírujte tuto hodnotu, protože později nebudete moct načíst klíč. Hodnotu klíče poskytnete s ID aplikace pro přihlášení jako aplikaci. Hodnotu klíče uložte na místo, odkud ji aplikace může načíst.

    Zkopírujte hodnotu tajného klíče, protože ji později nemůžete načíst.

Konfigurace zásad přístupu k prostředkům

Mějte na paměti, že možná budete muset nakonfigurovat další oprávnění k prostředkům, ke které vaše aplikace potřebuje přístup. Musíte například také aktualizovat zásady přístupu trezoru klíčů, aby aplikace získá přístup ke klíčům, tajným kódům nebo certifikátům.

  1. V části Azure Portalpřejděte do svého trezoru klíčů a vyberte Zásady přístupu.
  2. Vyberte Přidat zásady přístupu a pak vyberte oprávnění ke klíči, tajnému klíči a certifikátu, kterým chcete aplikaci udělit. Vyberte dříve vytvořený objekt služby.
  3. Výběrem možnosti Přidat přidejte zásady přístupu a pak Uložit potvrďte změny. Přidání zásad přístupu

Další kroky