Métodos de autenticación mediante Azure Active Directory
La API Azure Sphere Pública de aplicaciones (AZURE SPHERE) admite varios métodos de autenticación y autorización de usuario en Azure Active Directory (AAD).
Con Azure Active Directory, se puede usar un token de aplicación para autenticar y conceder acceso a recursos específicos de Azure desde una aplicación de usuario, servicio o herramienta de automatización mediante la entidad de servicio o el método de identidad administrada para la autenticación.
Importante
Al crear una entidad de servicio, debe proteger las credenciales de aplicación generadas, como secretos de cliente o certificados de cliente. Asegúrese de que no incluye las credenciales de la aplicación en el código o compruebe las credenciales en el control de código fuente. Como alternativa, considere la posibilidad de usar la identidad administrada para evitar la necesidad de usar credenciales.
En la ilustración siguiente se muestran los métodos de autenticación admitidos mediante Azure Active Directory:
Método de entidad de servicio
Se puede configurar una entidad de servicio de Azure para usar un secreto de cliente o un certificado de cliente para la autenticación. Las entidades de servicio son cuentas que no están vinculadas a ningún usuario determinado, pero pueden tener permisos asignados a través de roles predefinidos. La autenticación con una entidad de servicio es la mejor manera de escribir scripts o programas seguros, lo que le permite aplicar restricciones de permisos e información de credenciales estáticas almacenadas localmente. Para más información, consulte Entidad de servicio de Azure.
Hay dos opciones disponibles para las entidades de servicio: secretos de cliente y certificados de cliente. Para obtener más información, vea Método de autenticación de entidad de servicio.
Método de identidad administrada
La identidad administrada de Azure también se puede usar para comunicarse con Azure Sphere servicio de API pública. La identidad administrada se admite en varios servicios de Azure. La ventaja de usar una identidad administrada para el método de autenticación de recursos de Azure es que no tiene que administrar secretos de cliente ni certificados de cliente. Para obtener más información, consulte Identidad administrada para el método de recursos.
Método de identidad de usuario
Con este método no es necesario autenticarse mediante Azure Sphere inquilino. Puede iniciar sesión con la identidad Azure Active Directory usuario. Para obtener más información, vea Método de autenticación de usuario.
Agregue el identificador Azure Sphere aplicación de API pública al inquilino de Azure.
En primer lugar, debe agregar el identificador Azure Sphere aplicación de API pública al inquilino de Azure mediante una configuración única:
Nota
- Use una cuenta de administrador global para que el Azure Active Directory (Azure AD) ejecute este comando.
- El valor del
AppIdparámetro es estático. - Se recomienda usar para para que se pueda usar un nombre para mostrar común
Azure Sphere Public API-DisplayNameentre inquilinos.
Abra una ventana Windows PowerShell símbolo del sistema con privilegios elevados (ejecute Windows PowerShell como administrador) y ejecute el siguiente comando para instalar el módulo Azure AD PowerShell:
Install-Module AzureADInicie sesión en Azure AD PowerShell con una cuenta de administrador. Especifique el
-TenantIdparámetro para autenticarse como entidad de servicio:Connect-AzureAD -TenantId <<3rd Party Tenant Id>>Cree la entidad de servicio y conéctela a la aplicación especificando el Azure Sphere de aplicación de API pública como
Azure Sphere Public APIse describe a continuación:New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"