Az erőforrásokhoz hozzáférő Azure AD-alkalmazás és -szolgáltatásnév létrehozása a portálon

Ez a cikk bemutatja, hogyan hozhat létre új Azure Active Directory (Azure AD) alkalmazást és szolgáltatásnevet, amely a szerepköralapú hozzáférés-vezérléssel használható. Ha olyan alkalmazásokkal, üzemeltetett szolgáltatásokkal vagy automatizált eszközökkel rendelkezik, amelyeknek erőforrásokhoz kell hozzáférniük vagy módosítaniuk, létrehozhat egy identitást az alkalmazáshoz. Ezt az identitást szolgáltatásnévnek nevezzük. Az erőforrásokhoz való hozzáférést a szolgáltatásnévhez rendelt szerepkörök korlátozzák, így ön szabályozhatja, hogy mely erőforrások érhetők el, és melyik szinten. Biztonsági okokból az automatizált eszközök esetében minden esetben ajánlott a szolgáltatásnevek használata a felhasználói identitással való bejelentkezés helyett.

Ez a cikk bemutatja, hogyan hozhatja létre a szolgáltatásnevet a portálon a Azure Portal. Egy egybérlős alkalmazásra összpontosít, ahol az alkalmazásnak csak egy szervezeten belül kell futnia. Általában egybérlős alkalmazásokat használ a szervezeten belül futó üzletági alkalmazásokhoz. Szolgáltatásnév létrehozásához Azure PowerShell is használhat.

Fontos

Szolgáltatásnév létrehozása helyett érdemes lehet felügyelt identitásokat használni az Azure-erőforrásokhoz az alkalmazás identitásához. Ha a kód olyan szolgáltatáson fut, amely támogatja a felügyelt identitásokat, és hozzáfér az Azure AD-hitelesítést támogató erőforrásokhoz, a felügyelt identitások jobb megoldást jelentenek. Ha többet szeretne megtudni az Azure-erőforrások felügyelt identitásairól, beleértve azt is, hogy mely szolgáltatások támogatják azt, olvassa el a Mi az Azure-erőforrások felügyelt identitásai?

Alkalmazásregisztráció, alkalmazásobjektumok és szolgáltatásnevek

A szolgáltatásnév közvetlenül nem hozható létre a Azure Portal használatával. Amikor az Azure Portal keresztül regisztrál egy alkalmazást, a rendszer automatikusan létrehoz egy alkalmazásobjektumot és szolgáltatásnevet a kezdőkönyvtárban vagy a bérlőben. Az alkalmazásregisztráció, az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolatról a Azure Active Directory alkalmazás- és szolgáltatásnév-objektumait ismertető cikkben talál további információt.

Az alkalmazás regisztrálásához szükséges engedélyek

Megfelelő engedélyekkel kell rendelkeznie ahhoz, hogy regisztráljon egy alkalmazást az Azure AD-bérlőben, és szerepkört rendeljen az alkalmazáshoz az Azure-előfizetésében.

Azure AD-engedélyek ellenőrzése

  1. Válassza a Azure Active Directory lehetőséget.

  2. Keresse meg a szerepkörét az Áttekintés ->Saját hírcsatornában. Ha rendelkezik felhasználói szerepkörrel, meg kell győződnie arról, hogy a nem rendszergazdák regisztrálhatnak alkalmazásokat.

    Screenshot showing how to find your role.

  3. A bal oldali panelen válassza a Felhasználók , majd a Felhasználói beállítások lehetőséget.

  4. Ellenőrizze a Alkalmazásregisztrációk beállítást. Ezt az értéket csak rendszergazda állíthatja be. Ha igen értékre van állítva, az Azure AD-bérlő bármely felhasználója regisztrálhat egy alkalmazást.

Ha az alkalmazásregisztráció nem értékre van állítva, csak rendszergazdai szerepkörrel rendelkező felhasználók regisztrálhatják az ilyen típusú alkalmazásokat. A beépített Azure AD-szerepkörökben megismerheti az elérhető rendszergazdai szerepköröket és az egyes szerepkörökhöz adott Azure AD-engedélyeket. Ha a fiókjához felhasználói szerepkör van rendelve, de az alkalmazásregisztrációs beállítás rendszergazdai felhasználókra korlátozódik, kérje meg a rendszergazdát, hogy rendeljen Önhöz egy rendszergazdai szerepkört, amely képes az alkalmazásregisztrációk minden aspektusának létrehozására és kezelésére, vagy engedélyezze a felhasználóknak az alkalmazások regisztrálását.

Az Azure-előfizetés engedélyeinek ellenőrzése

Az Azure-előfizetésben a fióknak hozzáféréssel kell rendelkeznie Microsoft.Authorization/*/Write ahhoz, hogy szerepkört rendeljen egy AD-alkalmazáshoz. Ezt a műveletet a Tulajdonos szerepkör vagy a Felhasználói hozzáférés rendszergazdája szerepkör végezheti el. Ha fiókjához közreműködői szerepkör van hozzárendelve, nem rendelkezik megfelelő engedéllyel. Hibaüzenet jelenik meg, amikor megpróbál szerepkört hozzárendelni a szolgáltatásnévhez.

Az előfizetési engedélyek ellenőrzése:

  1. Keresse meg és válassza ki az Előfizetések elemet, vagy válassza az Előfizetések lehetőséget a kezdőlapon .

    Search

  2. Válassza ki azt az előfizetést, amelyben létre szeretné hozni a szolgáltatásnevet.

    Select subscription for assignment

    Ha nem látja a keresett előfizetést, válassza a globális előfizetések szűrőt. Győződjön meg arról, hogy a portálhoz a kívánt előfizetés van kiválasztva.

  3. Válassza a Saját engedélyek lehetőséget. Ezután válassza a Kattintson ide lehetőséget az előfizetés teljes hozzáférési részleteinek megtekintéséhez.

    Select the subscription you want to create the service principal in

  4. Válassza ki a szerepkör-hozzárendeléseket a hozzárendelt szerepkörök megtekintéséhez, és állapítsa meg, hogy rendelkezik-e megfelelő engedélyekkel ahhoz, hogy szerepkört rendeljen egy AD-alkalmazáshoz. Ha nem, kérje meg az előfizetés rendszergazdáját, hogy vegye fel Önt a felhasználói hozzáférés-rendszergazdai szerepkörbe. Az alábbi képen a felhasználóhoz tulajdonosi szerepkör van rendelve, ami azt jelenti, hogy a felhasználó megfelelő engedélyekkel rendelkezik.

    Screenshot showing the user is assigned the Owner role.

Alkalmazás regisztrálása az Azure AD-ben és szolgáltatásnév létrehozása

Lássunk egyből az identitás létrehozásába. Ha problémába ütközik, ellenőrizze a szükséges engedélyeket , hogy a fiókja létre tudja-e hozni az identitást.

  1. Jelentkezzen be Azure-fiókjába a Azure Portal keresztül.

  2. Válassza a Azure Active Directory lehetőséget.

  3. Válassza az Alkalmazásregisztrációk lehetőséget.

  4. Válassza az Új regisztráció lehetőséget.

  5. Nevezze el az alkalmazást. Válasszon egy támogatott fióktípust, amely meghatározza, hogy ki használhatja az alkalmazást. Az Átirányítási URI területen válassza a web lehetőséget a létrehozni kívánt alkalmazástípushoz. Adja meg azt az URI-t, ahová a hozzáférési jogkivonatot elküldi a rendszer. Natív alkalmazáshoz nem hozhat létre hitelesítő adatokat. Ezt a típust nem használhatja automatizált alkalmazásokhoz. Az értékek beállítása után válassza a Regisztráció lehetőséget.

    Type a name for your application

Létrehozta az Azure AD-alkalmazást és -szolgáltatásnevet.

Megjegyzés

Több, azonos nevű alkalmazást is regisztrálhat az Azure AD-ben, de az alkalmazásoknak eltérő alkalmazásazonosítóval (ügyfél-) azonosítóval kell rendelkezniük.

Szerepkör hozzárendelése az alkalmazáshoz

Az előfizetés erőforrásainak eléréséhez szerepkört kell hozzárendelnie az alkalmazáshoz. Döntse el, hogy melyik szerepkör kínálja a megfelelő engedélyeket az alkalmazáshoz. Az elérhető szerepkörökről az Azure beépített szerepköreiből tájékozódhat.

A hatókört az előfizetés, az erőforráscsoport vagy az erőforrás szintjén állíthatja be. Az engedélyek a hatókör alacsonyabb szintjeire öröklődnek. Ha például hozzáad egy alkalmazást az Olvasó szerepkörhöz egy erőforráscsoporthoz, az azt jelenti, hogy képes olvasni az erőforráscsoportot és a benne lévő erőforrásokat.

  1. A Azure Portal válassza ki azt a hatókörszintet, amelyhez hozzá szeretné rendelni az alkalmazást. Ha például egy szerepkört szeretne hozzárendelni az előfizetés hatókörében, keresse meg és válassza ki az Előfizetések elemet, vagy válassza az Előfizetések lehetőséget a kezdőlapon .

    For example, assign a role at the subscription scope

  2. Válassza ki azt az előfizetést, amelyhez hozzá szeretné rendelni az alkalmazást.

    Select subscription for assignment

    Ha nem látja a keresett előfizetést, válassza a globális előfizetések szűrőt. Győződjön meg arról, hogy a portálhoz a kívánt előfizetés van kiválasztva.

  3. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  4. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget> a Szerepkör-hozzárendelés hozzáadása lap megnyitásához.

  5. Válassza ki az alkalmazáshoz hozzárendelni kívánt szerepkört. Ha például engedélyezni szeretné az alkalmazás számára az olyan műveletek végrehajtását, mint az újraindítás, a példányok elindítása és leállítása , válassza a Közreműködő szerepkört. További információ az elérhető szerepkörökről : Alapértelmezés szerint az Azure AD-alkalmazások nem jelennek meg az elérhető lehetőségek között. Az alkalmazás megkereséséhez keresse meg a nevet, és válassza ki.

    Rendelje hozzá a Közreműködő szerepkört az alkalmazáshoz az előfizetés hatókörében. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.

A szolgáltatásnév be van állítva. Elkezdheti használni a szkriptek vagy alkalmazások futtatásához. A szolgáltatásnév (engedélyek, felhasználó által hozzájárulást adó engedélyek, a felhasználók hozzájárulásának megtekintése, engedélyek áttekintése, bejelentkezési adatok stb.) kezeléséhez nyissa meg a Vállalati alkalmazásokat.

A következő szakasz bemutatja, hogyan kérhet le olyan értékeket, amelyek a programozott bejelentkezéshez szükségesek.

Bérlői és alkalmazásazonosító-értékek lekérése bejelentkezéshez

Amikor programozott módon jelentkezik be, adja meg a bérlőazonosítót a hitelesítési kérelemmel és az alkalmazásazonosítóval. Tanúsítványra vagy hitelesítési kulcsra is szüksége lesz (ezt a következő szakaszban ismertetjük). Az értékek beszerzéséhez kövesse az alábbi lépéseket:

  1. Válassza a Azure Active Directory lehetőséget.

  2. Az Azure AD Alkalmazásregisztrációk válassza ki az alkalmazást.

  3. Másolja ki a címtár (bérlő) azonosítóját, és tárolja az alkalmazás kódjában.

    Copy the directory (tenant ID) and store it in your app code

    A címtár (bérlő) azonosítója az alapértelmezett címtáráttekintő lapon is megtalálható.

  4. Másolja ki az Alkalmazásazonosítót, és tárolja az alkalmazás kódjában.

    Copy the application (client) ID

Hitelesítés: Két lehetőség

A szolgáltatásnevek esetében kétféle hitelesítési típus érhető el: Jelszóalapú hitelesítés (alkalmazáskulcs) és tanúsítványalapú hitelesítés. Javasoljuk, hogy használjon tanúsítványt, de létrehozhat egy titkos alkalmazáskulcsot is.

1. lehetőség: Tanúsítvány feltöltése

Meglévő tanúsítványt akkor használhat, ha rendelkezik ilyen tanúsítvánnyal. Önaláírt tanúsítványt is létrehozhat tesztelési célokra. Önaláírt tanúsítvány létrehozásához nyissa meg a PowerShellt, és futtassa a New-SelfSignedCertificate parancsot a következő paraméterekkel a tanúsítvány létrehozásához a számítógép felhasználói tanúsítványtárolójában:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportálja ezt a tanúsítványt egy fájlba a felhasználói tanúsítvány kezelése MMC beépülő modullal, amely elérhető a Windows Vezérlőpult.

  1. Válassza a Start menü Futtatás parancsát, majd írja be a certmgr.msc parancsot.

    Megjelenik az aktuális felhasználó Tanúsítványkezelő eszköze.

  2. A tanúsítványok megtekintéséhez bontsa ki a Személyes könyvtárat a tanúsítványok – Aktuális felhasználó elem alatt a bal oldali panelen.

  3. Kattintson a jobb gombbal a létrehozott tanúsítványra, és válassza a Minden tevékenység> exportálása parancsot.

  4. Kövesse a Tanúsítványexportáló varázsló lépéseit. Ne exportálja a titkos kulcsot, és ne exportálja azt . CER-fájl.

A tanúsítvány feltöltése:

  1. Válassza a Azure Active Directory lehetőséget.

  2. Az Azure AD Alkalmazásregisztrációk válassza ki az alkalmazást.

  3. Válassza a Tanúsítványok titkos kódja lehetőséget&.

  4. Válassza a CertificatesUpload>tanúsítványt, és válassza ki a tanúsítványt (egy meglévő tanúsítványt vagy az exportált önaláírt tanúsítványt).

    Select Upload certificate and select the one you want to add

  5. Válassza a Hozzáadás lehetőséget.

Miután regisztrálta a tanúsítványt az alkalmazással az alkalmazásregisztrációs portálon, engedélyezze az ügyfélalkalmazás kódjának a tanúsítvány használatát.

2. lehetőség: Új titkos alkalmazáskód létrehozása

Ha úgy dönt, hogy nem használ tanúsítványt, létrehozhat egy új titkos alkalmazást.

  1. Válassza a Azure Active Directory lehetőséget.

  2. Az Azure AD Alkalmazásregisztrációk válassza ki az alkalmazást.

  3. Válassza a Tanúsítványok titkos kódja lehetőséget&.

  4. Titkos ügyfélkulcsok kiválasztása –> Új titkos ügyfélkód.

  5. Adja meg a titkos kód leírását és időtartamát. Ha elkészült, válassza a Hozzáadás lehetőséget.

    Az ügyfélkód mentése után megjelenik az ügyfélkulcs értéke. Másolja ezt az értéket, mert később nem fogja tudni lekérni a kulcsot. Meg kell adnia a kulcs értékét az alkalmazásazonosítóval, hogy alkalmazásként jelentkezzen be. A kulcsértéket olyan helyen tárolja, ahonnan az alkalmazás le tudja kérni.

    Copy the secret value because you can't retrieve this later

Hozzáférési szabályzatok konfigurálása erőforrásokon

Vegye figyelembe, hogy előfordulhat, hogy további engedélyeket kell konfigurálnia az alkalmazás számára szükséges erőforrásokhoz. Frissítenie kell például egy kulcstartó hozzáférési szabályzatait is, hogy az alkalmazás hozzáférjen a kulcsokhoz, titkos kódokhoz vagy tanúsítványokhoz.

  1. A Azure Portal keresse meg a kulcstartót, és válassza a Hozzáférési szabályzatok lehetőséget.
  2. Válassza a Hozzáférési szabályzat hozzáadása lehetőséget, majd válassza ki az alkalmazást megadó kulcs-, titkos kód- és tanúsítványengedélyeket. Válassza ki a korábban létrehozott szolgáltatásnevet.
  3. Válassza a Hozzáadás lehetőséget a hozzáférési szabályzat hozzáadásához, majd mentse a módosításokat. Add access policy

Következő lépések