Registrace aplikace k vyžádání autorizačních tokenů a práci s rozhraními API

Pokud chcete získat přístup k rozhraním AZURE REST API, jako je rozhraní API služby Log Analytics nebo odesílat vlastní metriky, můžete vygenerovat autorizační token na základě ID klienta a tajného klíče. Token se pak předá v požadavku rozhraní REST API. V tomto článku se dozvíte, jak zaregistrovat klientskou aplikaci a vytvořit tajný klíč klienta, abyste mohli vygenerovat token.

Registrace aplikace

Vytvořte instanční objekt a zaregistrujte aplikaci pomocí webu Azure Portal, Azure CLI nebo PowerShellu.

Azure Portal

1. Pokud chcete zaregistrovat aplikaci, otevřete na webu Azure Portal stránku Přehled služby Active Directory.

2. Na bočním panelu vyberte Registrace aplikací.

3. Výběr možnosti Nová registrace

4. Na stránce Registrace aplikace zadejte název aplikace.

5. Výběr možnosti Zaregistrovat

6. Na stránce s přehledem aplikace vyberte Certifikáty a tajné kódy.

7. Poznamenejte si ID aplikace (klienta). Používá se v požadavku HTTP na token.

8. Na kartě Tajné kódy klienta vyberte Nový tajný klíč klienta.

9. Zadejte popis a vyberte Přidat.

10. Zkopírujte a uložte hodnotu tajného klíče klienta.

    Poznámka:

    Hodnoty tajných kódů klienta lze zobrazit pouze okamžitě po vytvoření. Před opuštěním stránky nezapomeňte tajný kód uložit.

    

Azure CLI

Spuštěním následujícího skriptu vytvořte instanční objekt a aplikaci.

az ad sp create-for-rbac -n <Service principal display name> 

Odpověď vypadá takto:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Důležité

Výstup obsahuje přihlašovací údaje, které musíte chránit. Ujistěte se, že jste tyto přihlašovací údaje nezahrnuli do kódu, nebo je zaregistrujte ve správě zdrojového kódu.

Přidání role a oboru pro prostředky, ke kterým chcete získat přístup pomocí rozhraní API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Následující příklad rozhraní příkazového řádku přiřadí Reader roli instančnímu objektu pro všechny prostředky ve rg-001skupině prostředků:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Další informace o vytvoření instančního objektu pomocí Azure CLI najdete v tématu Vytvoření instančního objektu Azure pomocí Azure CLI.

PowerShell

Následující ukázkový skript ukazuje vytvoření instančního objektu Microsoft Entra prostřednictvím PowerShellu. Podrobnější návod najdete v tématu Použití Azure PowerShellu k vytvoření instančního objektu pro přístup k prostředkům.

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Další kroky

Než budete moct vygenerovat token pomocí aplikace, ID klienta a tajného kódu, přiřaďte aplikaci k roli pomocí řízení přístupu (IAM) pro prostředek, ke kterému chcete získat přístup. Role bude záviset na typu prostředku a rozhraní API, které chcete použít.
Příklad:

• Pokud chcete aplikaci udělit čtení z pracovního prostoru služby Log Analytics, přidejte aplikaci jako člena do role Čtenář pomocí řízení přístupu (IAM) pro váš pracovní prostor služby Log Analytics. Další informace najdete v tématu Přístup k rozhraní API

• Pokud chcete udělit přístup k odesílání vlastních metrik pro prostředek, přidejte aplikaci jako člena do role Vydavatele metrik monitorování pomocí řízení přístupu (IAM) pro váš prostředek. Další informace najdete v tématu Odesílání metrik do databáze metrik služby Azure Monitor pomocí rozhraní REST API.

Další informace najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

Jakmile přiřadíte roli, můžete pomocí aplikace, ID klienta a tajného klíče klienta vygenerovat nosný token pro přístup k rozhraní REST API.

Poznámka:

Při použití ověřování Microsoft Entra může trvat až 60 minut, než rozhraní REST API Aplikace Azure Přehledy rozpozná nové oprávnění řízení přístupu na základě role (RBAC). Při šíření oprávnění může volání rozhraní REST API selhat s kódem chyby 403.