Uso del portal para crear una aplicación de Azure Active Directory y una entidad de servicio con acceso a los recursosUse portal to create an Azure Active Directory application and service principal that can access resources

Si tiene código que necesita tener acceso a ciertos recursos o modificarlos, debe configurar una aplicación de Azure Active Directory (AD).When you have code that needs to access or modify resources, you must set up an Azure Active Directory (AD) application. Asigne los permisos necesarios a la aplicación de AD.You assign the required permissions to AD application. Se prefiere este enfoque a la ejecución de la aplicación con credenciales propias, porque así se pueden asignar permisos a la identidad de la aplicación que difieran de los propios permisos.This approach is preferable to running the app under your own credentials because you can assign permissions to the app identity that are different than your own permissions. Normalmente, estos permisos están restringidos a exactamente aquello que la aplicación debe hacer.Typically, these permissions are restricted to exactly what the app needs to do.

En este artículo se muestra cómo realizar esos pasos en el portal.This article shows you how to perform those steps through the portal. Se centra en una aplicación de un único inquilino donde la aplicación está diseñada para ejecutarse en una sola organización.It focuses on a single-tenant application where the application is intended to run within only one organization. Normalmente, utiliza aplicaciones de inquilino único para aplicaciones de línea de negocio que se ejecutan dentro de su organización.You typically use single-tenant applications for line-of-business applications that run within your organization.

Importante

En lugar de crear una entidad de servicio, considere el uso de la identidad de servicio administrada de Azure AD para la identidad de la aplicación.Instead of creating a service principal, consider using Azure AD Managed Service Identity for your application identity. La identidad de servicio administrada de Azure AD es una característica pública en versión preliminar de Azure Active Directory que simplifica la creación de una identidad para el código.Azure AD MSI is a public preview feature of Azure Active Directory that simplifies creating an identity for code. Si el código se ejecuta en un servicio que admite la a identidad de servicio administrada de Azure AD y tiene acceso a recursos que admiten la autenticación de Azure Active Directory, la identidad de servicio administrada de Azure AD es una opción mejor para usted.If your code runs on a service that supports Azure AD MSI and accesses resources that support Azure Active Directory authentication, Azure AD MSI is a better option for you. Para obtener más información sobre la identidad de servicio administrada de Azure AD, incluidos los servicios que actualmente lo admiten, consulte Managed Service Identity for Azure resources (Identidad de servicio administrada para recursos de Azure).To learn more about Azure AD MSI, including which services currently support it, see Managed Service Identity for Azure resources.

Permisos necesariosRequired permissions

Para completar este artículo, debe tener permisos suficientes para registrar una aplicación en su inquilino de Azure AD y asignar la aplicación a un rol en su suscripción de Azure.To complete this article, you must have sufficient permissions to register an application with your Azure AD tenant, and assign the application to a role in your Azure subscription. Vamos a asegurarnos de que tiene los permisos adecuados para realizar esos pasos.Let's make sure you have the right permissions to perform those steps.

Comprobación de los permisos de Azure Active DirectoryCheck Azure Active Directory permissions

  1. Seleccione Azure Active Directory.Select Azure Active Directory.

    seleccionar azure active directory

  2. En su instancia de Azure Active Directory, seleccione Configuración de usuario.In Azure Active Directory, select User settings.

    seleccionar configuración de usuario

  3. Compruebe la configuración de App registrations (Registros de aplicaciones).Check the App registrations setting. Si está establecida en , los usuarios que no sean administradores pueden registrar aplicaciones de AD.If set to Yes, non-admin users can register AD apps. Esta configuración significa que ningún usuario en el inquilino de Azure Active Directory puede registrar una aplicación.This setting means any user in the Azure AD tenant can register an app. Puede continuar con Check Azure subscription permissions (Comprobar permisos de suscripción de Azure).You can proceed to Check Azure subscription permissions.

    ver registros de aplicaciones

  4. Si la opción Registros de aplicaciones está establecida en No, los administradores globales serán los únicos que podrán registrar aplicaciones.If the app registrations setting is set to No, only global administrators can register apps. Compruebe si la cuenta es un administrador del inquilino de Active Directory.Check whether your account is an admin for the Azure AD tenant. Seleccione Información general y eche un vistazo a la información del usuario.Select Overview and look at your user information. Si la cuenta está asignada al rol Usuario pero la opción Registros de aplicaciones (del paso anterior) está limitada a los usuarios administradores, pida al administrador que le asigne un rol de administrador global o que permita a los usuarios registrar las aplicaciones.If your account is assigned to the User role, but the app registration setting (from the preceding step) is limited to admin users, ask your administrator to either assign you to the global administrator role, or to enable users to register apps.

    encontrar usuario

Comprobación de los permisos de suscripción de AzureCheck Azure subscription permissions

En su suscripción de Azure, su cuenta debe tener acceso a Microsoft.Authorization/*/Write para asignar una aplicación de AD a un rol.In your Azure subscription, your account must have Microsoft.Authorization/*/Write access to assign an AD app to a role. Esta acción se concede mediante el rol Propietario o el rol Administrador de acceso de usuario.This action is granted through the Owner role or User Access Administrator role. Si su cuenta está asignada al rol Colaborador, no tiene los permisos adecuados.If your account is assigned to the Contributor role, you do not have adequate permission. Al intentar asignar la entidad de servicio a un rol, se muestra un error.You receive an error when attempting to assign the service principal to a role.

Para comprobar los permisos de su suscripción:To check your subscription permissions:

  1. Seleccione su cuenta en la esquina superior derecha y luego seleccione Mis permisos.Select your account in the upper right corner, and select My permissions.

    Seleccionar permisos de usuario

  2. Seleccione una suscripción en la lista desplegable.From the drop-down list, select the subscription. Seleccione Click here to view complete access details for this subscription (Haga clic aquí para ver los detalles de acceso completos para esta suscripción).Select Click here to view complete access details for this subscription.

    encontrar usuario

  3. Vea los roles asignados y determine si tiene los permisos adecuados para asignar una aplicación de AD a un rol.View your assigned roles, and determine if you have adequate permissions to assign an AD app to a role. En caso contrario, pida al administrador de suscripciones que le agregue al rol Administrador de acceso de usuario.If not, ask your subscription administrator to add you to User Access Administrator role. En la siguiente imagen, el usuario está asignado al rol Propietario, lo que significa que el usuario tiene los permisos adecuados.In the following image, the user is assigned to the Owner role, which means that user has adequate permissions.

    mostrar permisos

Creación de una aplicación de Azure Active DirectoryCreate an Azure Active Directory application

  1. Inicie sesión en su cuenta de Azure mediante Azure Portal.Log in to your Azure Account through the Azure portal.
  2. Seleccione Azure Active Directory.Select Azure Active Directory.

    seleccionar azure active directory

  3. Seleccione App registrations (Registros de aplicaciones).Select App registrations.

    seleccionar registros de aplicaciones

  4. Seleccione Nuevo registro de aplicaciones.Select New application registration.

    agregar aplicación

  5. Proporcione un nombre y una dirección URL para la aplicación.Provide a name and URL for the application. Seleccione Aplicación web o API para indicar el tipo de aplicación que desea crear.Select Web app / API for the type of application you want to create. No se pueden crear credenciales para una aplicación nativa; por consiguiente, ese tipo no funciona en una aplicación automatizada.You cannot create credentials for a Native application; therefore, that type does not work for an automated application. Después de configurar los valores, seleccione Crear.After setting the values, select Create.

    aplicación de nombre

Ha creado la aplicación.You have created your application.

Obtención del id. y la clave de autenticación de la aplicaciónGet application ID and authentication key

Al iniciar sesión mediante programación, necesitará el identificador de la aplicación y una clave de autenticación.When programmatically logging in, you need the ID for your application and an authentication key. Para obtener estos valores, use los pasos siguientes:To get those values, use the following steps:

  1. En Registros de aplicaciones, en Azure Active Directory, seleccione su aplicación.From App registrations in Azure Active Directory, select your application.

    seleccionar aplicación

  2. Copie el id. de aplicación y almacénelo en el código de la aplicación.Copy the Application ID and store it in your application code. En algunas aplicaciones de ejemplo, este valor se conoce como identificador de cliente.Some sample applications refer to this value as the client ID.

    Identificador de cliente

  3. Para generar una clave de autenticación, seleccione Configuración.To generate an authentication key, select Settings.

    Seleccionar Configuración

  4. Para generar una clave de autenticación, seleccione Claves.To generate an authentication key, select Keys.

    seleccionar claves

  5. Proporcione una descripción de la clave y una duración.Provide a description of the key, and a duration for the key. Cuando haya terminado, seleccione Guardar.When done, select Save.

    guardar clave

    Después de guardar la clave, se muestra el valor de la clave.After saving the key, the value of the key is displayed. Copie este valor porque no podrá recuperarlo más adelante.Copy this value because you are not able to retrieve the key later. Proporcione el valor de clave junto con el id. de aplicación para iniciar sesión con la aplicación.You provide the key value with the application ID to log in as the application. Guarde el valor de clave donde la aplicación pueda recuperarlo.Store the key value where your application can retrieve it.

    clave guardada

Obtención del identificador de inquilinoGet tenant ID

Al iniciar sesión mediante programación, deberá pasar el id. de inquilino con la solicitud de autenticación.When programmatically logging in, you need to pass the tenant ID with your authentication request.

  1. Seleccione Azure Active Directory.Select Azure Active Directory.

    seleccionar azure active directory

  2. Para obtener el identificador de inquilino, seleccione Propiedades en el inquilino de Azure AD.To get the tenant ID, select Properties for your Azure AD tenant.

    Selección de las propiedades de Azure AD

  3. Copie el id. de directorio.Copy the Directory ID. Este valor es el id. de inquilino.This value is your tenant ID.

    tenant ID

Asignación de aplicación a un rolAssign application to role

Para acceder a los recursos de la suscripción, debe asignarle a la aplicación un rol.To access resources in your subscription, you must assign the application to a role. Decida qué rol representa los permisos adecuados para la aplicación.Decide which role represents the right permissions for the application. Para obtener más información sobre los roles disponibles, vea RBAC: Roles integrados.To learn about the available roles, see RBAC: Built in Roles.

Puede establecer el ámbito en el nivel de suscripción, grupo de recursos o recurso.You can set the scope at the level of the subscription, resource group, or resource. Los permisos se heredan en los niveles inferiores del ámbito.Permissions are inherited to lower levels of scope. Por ejemplo, el hecho de agregar una aplicación al rol Lector para un grupo de recursos significa que esta puede leer el grupo de recursos y los recursos que contenga.For example, adding an application to the Reader role for a resource group means it can read the resource group and any resources it contains.

  1. Desplácese hasta el nivel de ámbito al que desea asignar la aplicación.Navigate to the level of scope you wish to assign the application to. Por ejemplo, para asignar un rol en el ámbito de suscripción, seleccione Suscripciones.For example, to assign a role at the subscription scope, select Subscriptions. También puede seleccionar un grupo de recursos o un recurso.You could instead select a resource group or resource.

    seleccionar suscripción

  2. Seleccione la suscripción específica (grupo de recursos o recurso) a la que quiere asignar la aplicación.Select the particular subscription (resource group or resource) to assign the application to.

    seleccionar suscripción para la asignación

  3. Seleccione Access Control (IAM).Select Access Control (IAM).

    seleccionar acceso

  4. Seleccione Agregar.Select Add.

    seleccionar agregar

  5. Seleccione el rol que quiere asignar a la aplicación.Select the role you wish to assign to the application. En la imagen siguiente se muestra el rol Lector.The following image shows the Reader role.

    seleccionar rol

  6. De manera predeterminada, las aplicaciones de Azure Active Directory no se muestran en las opciones disponibles.By default, Azure Active Directory applications aren't displayed in the available options. Para buscar la aplicación, debe proporcionar su nombre en el campo de búsqueda.To find your application, you must provide the name of it in the search field. Selecciónelo.Select it.

    buscar aplicación

  7. Haga clic en Guardar para finalizar la asignación del rol.Select Save to finish assigning the role. Verá la aplicación en la lista de usuarios asignados a un rol para ese ámbito.You see your application in the list of users assigned to a role for that scope.

Pasos siguientesNext steps