Alkalmazás regisztrálása engedélyezési jogkivonatok lekéréséhez és API-k használatához

Az Azure REST API-k, például a Log Analytics API eléréséhez vagy egyéni metrikák küldéséhez létrehozhat egy engedélyezési jogkivonatot egy ügyfélazonosító és titkos kód alapján. A jogkivonat ezután a REST API-kérésben lesz átadva. Ez a cikk bemutatja, hogyan regisztrálhat egy ügyfélalkalmazást, és hogyan hozhat létre ügyfélkulcsot, hogy jogkivonatot hozhasson létre.

Alkalmazás regisztrálása

Hozzon létre egy egyszerű szolgáltatást, és regisztráljon egy alkalmazást az Azure Portal, az Azure CLI vagy a PowerShell használatával.

Azure Portal

1. Alkalmazás regisztrálásához nyissa meg az Active Directory áttekintési oldalát az Azure Portalon.

2. Válassza Alkalmazásregisztrációk az oldalsávon.

3. Új regisztráció kiválasztása

4. Az Alkalmazás regisztrálása lapon adja meg az alkalmazás nevét .

5. Regisztráció kiválasztása

6. Az alkalmazás áttekintő lapján válassza a Tanúsítványok és titkos kódok lehetőséget

7. Jegyezze fel az alkalmazás (ügyfél) azonosítóját. A jogkivonat HTTP-kérésében használatos.

8. Az Ügyfélkódok lapon Válassza ki az Új ügyfélkulcsot

9. Adjon meg egy leírást, és válassza a Hozzáadás lehetőséget

10. Másolja és mentse az ügyfél titkos kódjának értékét.

    Megjegyzés:

    Az ügyfél titkos értékei csak közvetlenül a létrehozás után tekinthetők meg. A lap elhagyása előtt mindenképpen mentse a titkos kulcsot.

    

Azure CLI

Futtassa a következő szkriptet egy szolgáltatásnév és alkalmazás létrehozásához.

az ad sp create-for-rbac -n <Service principal display name> 

A válasz a következőképpen néz ki:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Fontos

A kimenet olyan hitelesítő adatokat tartalmaz, amelyeket védenie kell. Ügyeljen arra, hogy ne adja meg ezeket a hitelesítő adatokat a kódban, és ne adja be a hitelesítő adatokat a verziókövetésbe.

Szerepkör és hatókör hozzáadása az API-val elérni kívánt erőforrásokhoz

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Az alábbi CLI-példa hozzárendeli a szerepkört a Reader szolgáltatásnévhez az rg-001erőforráscsoport összes erőforrásához:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

További információ a szolgáltatásnév Azure CLI-vel történő létrehozásáról: Azure-szolgáltatásnév létrehozása az Azure CLI-vel.

PowerShell

Az alábbi példaszkript bemutatja, hogyan hozhat létre Microsoft Entra-szolgáltatásnevet a PowerShell használatával. Részletesebb útmutatót az Azure PowerShell használatával hozhat létre egyszerű szolgáltatásnévvel az erőforrások eléréséhez

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Következő lépések

Mielőtt jogkivonatot hozna létre az alkalmazás, az ügyfélazonosító és a titkos kód használatával, rendelje hozzá az alkalmazást egy szerepkörhöz a hozzáférés-vezérlés (IAM) használatával az elérni kívánt erőforráshoz. A szerepkör az erőforrás típusától és a használni kívánt API-tól függ.
Például:

• Ha egy Log Analytics-munkaterületről szeretné biztosítani az alkalmazás olvasását, adja hozzá az alkalmazást tagként az Olvasó szerepkörhöz a Log Analytics-munkaterület Hozzáférés-vezérlés (IAM) használatával. További információ: Access the API

• Ha hozzáférést szeretne adni egy erőforrás egyéni metrikáinak küldéséhez, vegye fel az alkalmazást tagként a Figyelési metrikák közzétevői szerepkörébe az erőforrás hozzáférés-vezérlése (IAM) használatával. További információ: Metrikák küldése az Azure Monitor metrikaadatbázisába REST API használatával

További információ: Azure-szerepkörök hozzárendelése az Azure Portal használatával

Miután hozzárendelt egy szerepkört, az alkalmazás, az ügyfélazonosító és az ügyfél titkos kódjával létrehozhat egy tulajdonosi jogkivonatot a REST API eléréséhez.

Megjegyzés:

A Microsoft Entra-hitelesítés használata esetén a Azure-alkalmazás Elemzések REST API akár 60 percet is igénybe vehet az új szerepköralapú hozzáférés-vezérlési (RBAC) engedélyek felismeréséhez. Az engedélyek propagálása közben a REST API-hívások a 403-es hibakóddal meghiúsulhatnak.