Erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása

  • Cikk

Ebben a cikkben megtudhatja, hogyan hozhat létre egy Microsoft Entra-alkalmazást és szolgáltatásnevet, amely a szerepköralapú hozzáférés-vezérléssel használható. Amikor új alkalmazást regisztrál a Microsoft Entra-azonosítóban, a rendszer automatikusan létrehoz egy egyszerű szolgáltatást az alkalmazásregisztrációhoz. A szolgáltatásnév az alkalmazás identitása a Microsoft Entra-bérlőben. Az erőforrásokhoz való hozzáférést a szolgáltatásnévhez rendelt szerepkörök korlátozzák, így szabályozhatja, hogy mely erőforrások érhetők el, és mely szinten. Biztonsági okokból mindig ajánlott a szolgáltatásnevek használata automatizált eszközökkel ahelyett, hogy lehetővé tenné számukra a felhasználói identitással való bejelentkezést.

Ebben a cikkben egyetlen bérlői alkalmazást fog létrehozni az Azure Portalon. Ez a példa egy vállalaton belül használt üzletági alkalmazásokra vonatkozik. Szolgáltatásnév létrehozásához használhatja az Azure PowerShellt vagy az Azure CLI-t is.

Fontos

Szolgáltatásnév létrehozása helyett érdemes lehet felügyelt identitásokat használni az Azure-erőforrásokhoz az alkalmazás-identitáshoz. Ha a kód olyan szolgáltatáson fut, amely támogatja a felügyelt identitásokat, és olyan erőforrásokhoz fér hozzá, amelyek támogatják a Microsoft Entra-hitelesítést, a felügyelt identitások jobb választásnak számítanak. Ha többet szeretne megtudni az Azure-erőforrások felügyelt identitásairól, beleértve azt is, hogy mely szolgáltatások támogatják azt, olvassa el az Azure-erőforrások felügyelt identitásainak ismertetése című témakört.

Az alkalmazásregisztráció, az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolatról további információt a Microsoft Entra ID alkalmazás- és szolgáltatásnév-objektumaiban talál.

Előfeltételek

Ha regisztrálni szeretne egy alkalmazást a Microsoft Entra-bérlőben, a következőkre van szüksége:

  • Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.

Az alkalmazás regisztrálásához szükséges engedélyek

Megfelelő engedélyekkel kell rendelkeznie ahhoz, hogy regisztráljon egy alkalmazást a Microsoft Entra-bérlőjénél, és szerepkört rendeljen az alkalmazáshoz az Azure-előfizetésében. A feladatok elvégzéséhez engedélyre van szükség Application.ReadWrite.All.

Alkalmazás regisztrálása a Microsoft Entra-azonosítóval, és szolgáltatásnév létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk majd válassza az Új regisztráció lehetőséget.

  3. Nevezze el az alkalmazást, például "example-app".

  4. Válasszon egy támogatott fióktípust, amely meghatározza, hogy ki használhatja az alkalmazást.

  5. Az Átirányítási URI területen válassza a Web lehetőséget a létrehozni kívánt alkalmazástípushoz. Adja meg azt az URI-t, ahová a hozzáférési jogkivonatot elküldi.

  6. Válassza ki a pénztárgépet.

    Type a name for your application.

Létrehozta a Microsoft Entra-alkalmazást és a szolgáltatásnevet.

Szerepkör hozzárendelése az alkalmazáshoz

Az előfizetés erőforrásainak eléréséhez szerepkört kell hozzárendelnie az alkalmazáshoz. Döntse el, hogy melyik szerepkör nyújtja a megfelelő engedélyeket az alkalmazáshoz. Az elérhető szerepkörökről az Azure beépített szerepköreiből tájékozódhat.

A hatókört az előfizetés, az erőforráscsoport vagy az erőforrás szintjén állíthatja be. Az engedélyek a hatókör alacsonyabb szintjeire öröklődnek.

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza ki azt a hatókörszintet, amelyhez hozzá szeretné rendelni az alkalmazást. Ha például egy szerepkört szeretne hozzárendelni az előfizetés hatóköréhez, keresse meg és válassza ki az Előfizetések lehetőséget. Ha nem látja a keresett előfizetést, válassza a globális előfizetések szűrőt. Győződjön meg arról, hogy a bérlőhöz a kívánt előfizetés van kiválasztva.

  3. Select Access control (IAM).

  4. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  5. A Szerepkör lapon válassza ki a listában az alkalmazáshoz hozzárendelni kívánt szerepkört. Ha például engedélyezni szeretné az alkalmazás számára az újraindításhoz, a példányok elindításához és leállításához hasonló műveletek végrehajtását, válassza ki a Közreműködő szerepkört.

  6. Válassza a Következő lehetőséget.

  7. A Tagok lapon válassza a Hozzáférés hozzárendelése, majd a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.

  8. Select Select members. Alapértelmezés szerint a Microsoft Entra-alkalmazások nem jelennek meg az elérhető lehetőségek között. Az alkalmazás megkereséséhez keresse meg a nevét.

  9. Válassza a Kiválasztás gombot, majd a Véleményezés + hozzárendelés lehetőséget.

    Screenshot showing role assignment.

A szolgáltatásnév be van állítva. Elkezdheti használni a szkriptek vagy alkalmazások futtatásához. A szolgáltatásnév (engedélyek, a felhasználó által hozzájárulást kapó engedélyek, az engedélyek áttekintése, a bejelentkezési adatok megtekintése stb.) kezeléséhez lépjen a Nagyvállalati alkalmazásokba.

A következő szakasz bemutatja, hogyan kérhet le olyan értékeket, amelyekre a programozott bejelentkezéskor szükség van.

Bejelentkezés az alkalmazásba

Amikor programozott módon jelentkezik be, adja meg a bérlőazonosítót és az alkalmazásazonosítót a hitelesítési kérelemben. Tanúsítványra vagy hitelesítési kulcsra is szüksége van. A címtár (bérlő) azonosítójának és alkalmazásazonosítójának beszerzése:

  1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  2. Az alkalmazás áttekintő lapján másolja ki a címtár (bérlő) azonosítóját, és tárolja az alkalmazás kódjában.
  3. Másolja ki az alkalmazás (ügyfél) azonosítóját, és tárolja az alkalmazás kódjában.

Hitelesítés beállítása

A szolgáltatásnevek esetében kétféle hitelesítési típus érhető el: Jelszóalapú hitelesítés (alkalmazáskulcs) és tanúsítványalapú hitelesítés. Javasoljuk, hogy egy hitelesítésszolgáltató által kiadott megbízható tanúsítványt használjon, de létrehozhat alkalmazáskulcsot, vagy létrehozhat egy önaláírt tanúsítványt a teszteléshez.

A tanúsítványfájl feltöltése:

  1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos kulcsok lehetőséget.
  3. Válassza a Tanúsítványok lehetőséget, majd a Tanúsítvány feltöltése lehetőséget, majd válassza ki a feltölteni kívánt tanúsítványfájlt.
  4. Válassza a Hozzáadás lehetőséget. A tanúsítvány feltöltése után megjelenik az ujjlenyomat, a kezdő dátum és a lejárati érték.

Miután regisztrálta a tanúsítványt az alkalmazással az alkalmazásregisztrációs portálon, engedélyezze a bizalmas ügyfélalkalmazás-kód használatát.

2. lehetőség: Csak tesztelés– önaláírt tanúsítvány létrehozása és feltöltése

Önaláírt tanúsítványt is létrehozhat tesztelési célokra. Önaláírt tanúsítvány létrehozásához nyissa meg a Windows PowerShellt, és futtassa a New-SelfSignedCertificate parancsot a következő paraméterekkel a tanúsítvány létrehozásához a számítógép felhasználói tanúsítványtárolójában:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportálja ezt a tanúsítványt egy fájlba a Windows Vezérlőpult elérhető Felhasználói tanúsítvány kezelése MMC beépülő modullal.

  1. Válassza a Start menü Futtatás elemét, majd írja be a certmgr.msc parancsot. Megjelenik az aktuális felhasználó Tanúsítványkezelő eszköze.
  2. A tanúsítványok megtekintéséhez bontsa ki a Személyes könyvtárat a bal oldali panelEn a Tanúsítványok – Aktuális felhasználó területen.
  3. Kattintson a jobb gombbal a létrehozott tanúsítványra, és válassza az Összes tevékenység exportálása> lehetőséget.
  4. Kövesse a Tanúsítvány exportálása varázslót.

A tanúsítvány feltöltése:

  1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos kulcsok lehetőséget.
  3. Válassza a Tanúsítványok lehetőséget, majd a Tanúsítvány feltöltése lehetőséget, majd válassza ki a tanúsítványt (egy meglévő tanúsítványt vagy az exportált önaláírt tanúsítványt).
  4. Válassza a Hozzáadás lehetőséget.

Miután regisztrálta a tanúsítványt az alkalmazással az alkalmazásregisztrációs portálon, engedélyezze a bizalmas ügyfélalkalmazás-kód használatát.

3. lehetőség: Új ügyfélkód létrehozása

Ha úgy dönt, hogy nem használ tanúsítványt, létrehozhat egy új titkos ügyfélkulcsot.

  1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos kulcsok lehetőséget.
  3. Válassza ki az Ügyfél titkos kulcsok lehetőséget, majd válassza az Új ügyfélkulcs lehetőséget.
  4. Adja meg a titkos kód leírását és időtartamát.
  5. Válassza a Hozzáadás lehetőséget.

Miután mentette az ügyfél titkos kódját, megjelenik az ügyfélkulcs értéke. Ez csak egyszer jelenik meg, ezért másolja ki ezt az értéket, és tárolja ott, ahol az alkalmazás lekérheti, általában ott, ahol az alkalmazás megtartja az értékeket, például clientIda forráskódban.authoruty Meg kell adnia a titkos értéket és az alkalmazás ügyfél-azonosítóját, hogy alkalmazásként jelentkezzen be.

Screenshot showing the client secret.

Hozzáférési szabályzatok konfigurálása erőforrásokon

Előfordulhat, hogy további engedélyeket kell konfigurálnia az alkalmazás által elérni kívánt erőforrásokhoz. Frissítenie kell például a kulcstartó hozzáférési szabályzatait is, hogy az alkalmazás hozzáférjen a kulcsokhoz, titkos kulcsokhoz vagy tanúsítványokhoz.

Hozzáférési szabályzatok konfigurálása:

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza ki a kulcstartót, és válassza az Access-szabályzatokat.

  3. Válassza a Hozzáférési szabályzat hozzáadása lehetőséget, majd válassza ki az alkalmazásnak adni kívánt kulcs-, titkos kód- és tanúsítványengedélyeket. Válassza ki a korábban létrehozott szolgáltatásnevet.

  4. Válassza a Hozzáadás lehetőséget a hozzáférési szabályzat hozzáadásához.

  5. Mentés.

    Add access policy

További lépések

  • Megtudhatja, hogyan hozhat létre szolgáltatásnevet az Azure PowerShell vagy az Azure CLI használatával.
  • A biztonsági szabályzatok megadásáról az Azure szerepköralapú hozzáférés-vezérléséről (Azure RBAC) olvashat.
  • A felhasználók számára megadható vagy elutasítható műveletek listáját az Azure Resource Manager erőforrás-szolgáltatói műveleteiben találja.
  • Az alkalmazásregisztrációk Microsoft Graph használatával történő használatáról az Applications API-referencia nyújt tájékoztatást.