Microsoft Entra alkalmazásregisztráció létrehozása az Azure Data Explorer

Microsoft Entra alkalmazáshitelesítés olyan alkalmazásokhoz használható, például felügyelet nélküli szolgáltatásokhoz vagy ütemezett folyamatokhoz, amelyeknek felhasználói beavatkozás nélkül kell hozzáférnie az Azure Data Explorer. Ha egy Azure Data Explorer-adatbázishoz csatlakozik egy alkalmazással, például egy webalkalmazással, hitelesítést kell végeznie szolgáltatásnév-hitelesítéssel. Ez a cikk ismerteti, hogyan hozhat létre és regisztrálhat Microsoft Entra szolgáltatásnevet, majd hogyan engedélyezheti az Azure Data Explorer-adatbázishoz való hozzáférést.

Microsoft Entra alkalmazásregisztráció létrehozása

Microsoft Entra alkalmazáshitelesítéshez létre kell hoznia és regisztrálnia kell egy alkalmazást a Microsoft Entra ID. A rendszer automatikusan létrehoz egy szolgáltatásnevet, amikor az alkalmazásregisztráció egy Microsoft Entra-bérlőben jön létre.

Az alkalmazásregisztráció létrehozható a Azure Portal, vagy programozott módon az Azure CLI-vel. Válassza ki a forgatókönyvnek megfelelő lapot.

Portál

Az alkalmazás regisztrálása

1. Jelentkezzen be Azure Portal, és nyissa meg a Microsoft Entra ID panelt.

2. Tallózással keresse meg a Alkalmazásregisztrációk, és válassza az Új regisztráció lehetőséget.

   

3. Nevezze el az alkalmazást, például "example-app".

4. Válasszon egy támogatott fióktípust, amely meghatározza, hogy ki használhatja az alkalmazást.

5. Az Átirányítási URI területen válassza a Web lehetőséget a létrehozni kívánt alkalmazástípushoz. Az URI nem kötelező, és ebben az esetben üresen marad.

   

6. Válassza a Regisztráció lehetőséget.

Hitelesítés beállítása

A szolgáltatásnevek esetében kétféle hitelesítési típus érhető el: Jelszóalapú hitelesítés (alkalmazáskulcs) és tanúsítványalapú hitelesítés. A következő szakasz az alkalmazás hitelesítő adataihoz használt jelszóalapú hitelesítést ismerteti. Alternatív megoldásként X509-tanúsítványt is használhat az alkalmazás hitelesítéséhez. További információ: Microsoft Entra tanúsítványalapú hitelesítés konfigurálása.

A szakasz során a következő értékeket másolja ki: Alkalmazásazonosító és kulcsérték. Illessze be ezeket az értékeket valahová, például egy szövegszerkesztőbe, hogy a lépésben használhassa az ügyfél-hitelesítő adatokat az adatbázishoz.

1. Tallózással keresse meg az Áttekintés panelt.

2. Másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.

   Megjegyzés

   Az alkalmazásazonosítóra és a bérlőazonosítóra lesz szüksége ahhoz, hogy a szolgáltatásnév hozzáférhessen az adatbázishoz.

3. A Tanúsítványok & titkos kulcsok panelen válassza az Új titkos ügyfélkulcs lehetőséget.

   

4. Adja meg a leírást és a lejáratot.

5. Válassza a Hozzáadás lehetőséget.

6. Másolja a kulcs értékét.

   Megjegyzés

   Ha elhagyja ezt a lapot, a kulcs értéke nem lesz elérhető.

Létrehozta a Microsoft Entra alkalmazást és szolgáltatásnevet.

Azure CLI

1. Jelentkezzen be az Azure-előfizetésbe az Azure CLI-vel. Ezután végezze el a hitelesítést a böngészőben.

   az login
   

2. Válassza ki az előfizetést a rendszerbiztonsági tag üzemeltetéséhez. Erre a lépésre akkor van szükség, ha több előfizetéssel rendelkezik.

   az account set --subscription YOUR_SUBSCRIPTION_GUID
   

3. Hozza létre a szolgáltatásnevet. Ebben a példában a szolgáltatásnév neve my-service-principal.

   az ad sp create-for-rbac -n "my-service-principal" --role Contributor --scopes /subscriptions/{SubID}
   

4. A visszaadott JSON-adatokból másolja ki a appId, passwordés tenant értéket későbbi használatra.

   {
     "appId": "1234abcd-e5f6-g7h8-i9j0-1234kl5678mn",
     "displayName": "my-service-principal",
     "name": "my-service-principal",
     "password": "1234abcd-e5f6-g7h8-i9j0-1234kl5678mn",
     "tenant": "1234abcd-e5f6-g7h8-i9j0-1234kl5678mn"
   }
   

Létrehozta a Microsoft Entra alkalmazást és szolgáltatásnevet.

Delegált engedélyek konfigurálása az alkalmazáshoz – nem kötelező

Ha az alkalmazásnak a hívó felhasználó hitelesítő adataival kell hozzáférnie az adatbázishoz, konfiguráljon delegált engedélyeket az alkalmazáshoz. Ha például webes API-t hoz létre, és az API-t hívó felhasználó hitelesítő adataival szeretne hitelesíteni.

Ha csak egy engedélyezett adaterőforráshoz kell hozzáférnie, kihagyhatja ezt a szakaszt, és folytathatja a Szolgáltatásnév hozzáférésének biztosítása az adatbázishoz című szakaszt.

1. Keresse meg az alkalmazásregisztrációAPI-engedélyek paneljét.

2. Válassza az Engedély hozzáadása lehetőséget.

3. Válassza ki a szervezet által használt API-kat.

4. Keresse meg és válassza az Azure Data Explorer lehetőséget.

   

5. A Delegált engedélyek területen válassza a user_impersonation mezőt.

6. Válassza az Engedélyek hozzáadása lehetőséget.

   

Szolgáltatásnév-hozzáférés biztosítása az adatbázishoz

Az alkalmazásregisztráció létrehozása után hozzáférést kell adnia a megfelelő szolgáltatásnévnek az adatbázishoz. Az alábbi példa hozzáférést ad a megtekintőhöz. További szerepkörökért lásd: Adatbázis-engedélyek kezelése.

1. Használja az alkalmazásazonosító és a bérlőazonosító értékét az előző lépésben másolt módon.

2. Hajtsa végre a következő parancsot a lekérdezésszerkesztőben, és cserélje le az ApplicationID és a TenantID helyőrző értékeket a tényleges értékekre:

   .add database <DatabaseName> viewers ('aadapp=<ApplicationID>;<TenantID>') '<Notes>'
   

   Például:

   .add database Logs viewers ('aadapp=1234abcd-e5f6-g7h8-i9j0-1234kl5678mn;9876abcd-e5f6-g7h8-i9j0-1234kl5678mn') 'App Registration'
   

   Az utolsó paraméter egy sztring, amely jegyzetekként jelenik meg az adatbázishoz társított szerepkörök lekérdezésekor.

   Megjegyzés

   Az alkalmazásregisztráció létrehozása után néhány perc késéssel lehet hivatkozni rá. Ha hibaüzenetet kap arról, hogy az alkalmazás nem található, várjon, és próbálkozzon újra.

További információ a szerepkörökről: Szerepköralapú hozzáférés-vezérlés.

Adatbázis elérése alkalmazás hitelesítő adataival

Az alkalmazás hitelesítő adataival programozott módon érheti el az adatbázist az ügyfélkódtár használatával.

. . .
string applicationClientId = "<myClientID>";
string applicationKey = "<myApplicationKey>";
string authority = "<myApplicationTenantID>";
. . .
var kcsb = new KustoConnectionStringBuilder($"https://{clusterName}.kusto.windows.net/{databaseName}")
    .WithAadApplicationKeyAuthentication(
        applicationClientId,
        applicationKey,
        authority);
var client = KustoClientFactory.CreateCslQueryProvider(kcsb);
var queryResult = client.ExecuteQuery($"{query}");

Megjegyzés

Adja meg a korábban létrehozott alkalmazásregisztráció (szolgáltatásnév) alkalmazásazonosítóját és kulcsát.

További információ: Hogyan végezhet hitelesítést a Microsoft Authentication Library (MSAL) használatával az alkalmazásokban, és hogyan használhatja az Azure Key Vault a .NET Core-webalkalmazással.

Hibaelhárítás

Érvénytelen erőforráshiba

Ha az alkalmazást felhasználók vagy hozzáférési alkalmazások hitelesítésére használják, delegált engedélyeket kell beállítania a szolgáltatásalkalmazáshoz. Deklarálja, hogy az alkalmazás hitelesíteni tudja a felhasználókat vagy alkalmazásokat a hozzáféréshez. Ha ezt nem teszi meg, az a következőhöz hasonló hibát eredményez, amikor hitelesítési kísérlet történik:

AADSTS650057: Invalid resource. The client has requested access to a resource which is not listed in the requested permissions in the client's application registration...

Az alkalmazás delegált engedélyeinek konfigurálásához kövesse az utasításokat.

Felhasználói hozzájárulás engedélyezése hiba

A Microsoft Entra bérlői rendszergazdája olyan szabályzatot hozhat létre, amely megakadályozza, hogy a bérlői felhasználók hozzájárulást adjanak az alkalmazásokhoz. Ez a helyzet a következőhöz hasonló hibát eredményez, amikor egy felhasználó megpróbál bejelentkezni az alkalmazásba:

AADSTS65001: The user or administrator has not consented to use the application with ID '<App ID>' named 'App Name'

Ahhoz, hogy a bérlő összes felhasználója számára jóváhagyást adjon, fel kell vennie a kapcsolatot a Microsoft Entra rendszergazdájával, vagy engedélyeznie kell a felhasználói hozzájárulást az adott alkalmazáshoz.

Kapcsolódó tartalom

• Kusto kapcsolati sztringek
• Erőforrásokhoz hozzáférő Microsoft Entra alkalmazás és szolgáltatásnév létrehozása