Een app toegang geven tot Azure Stack Hub-resources

Een toepassing die resources implementeert of configureert via Azure Resource Manager moet worden vertegenwoordigd door een eigen identiteit, ook wel een beveiligingsprincipaal genoemd. Net zoals een gebruiker wordt vertegenwoordigd door een gebruikersprincipaal, wordt een app vertegenwoordigd door een service-principal.

De identiteit kan ook worden gebruikt om alleen de benodigde machtigingen aan de gebruiker of app te delegeren. Een configuratiebeheer-app kan bijvoorbeeld Azure Resource Manager gebruiken om Azure-resources te inventariseren. De app wordt geregistreerd in de map en vervolgens toegevoegd aan de rol Lezer in het juiste bereik, waardoor de app wordt beperkt tot alleen-lezentoegang.

Overzicht

Net als een gebruiker moet een app referenties presenteren tijdens verificatie, waarvoor twee elementen zijn vereist:

• Een toepassings-id, ook wel client-id genoemd. Een GUID waarmee de registratie van de app in uw Active Directory-tenant uniek wordt geïdentificeerd.
• Een geheim. U kunt een clientgeheimtekenreeks genereren (vergelijkbaar met een wachtwoord) of een X509-certificaatvingerafdruk opgeven (die gebruikmaakt van de openbare sleutel).

Het uitvoeren van een app onder een eigen identiteit verdient de voorkeur om deze om de volgende redenen uit te voeren onder de identiteit van de gebruiker:

• Sterkere referenties : een app kan zich aanmelden met een X509-certificaat, in plaats van een tekstueel gedeeld geheim/wachtwoord.
• Er kunnen meer beperkende machtigingen worden toegewezen aan een app. Normaal gesproken zijn deze machtigingen beperkt tot alleen wat de app moet doen, ook wel het principe van minimale bevoegdheid genoemd.
• Referenties en machtigingen veranderen niet zo vaak voor een app als gebruikersreferenties. Wanneer de verantwoordelijkheden van de gebruiker bijvoorbeeld veranderen, dicteren wachtwoordvereisten een wijziging of wanneer een gebruiker het bedrijf verlaat.

U begint met het maken van een nieuwe app-registratie in uw directory, waarmee een gekoppeld service-principal-object wordt gemaakt om de identiteit van de app in de map weer te geven. Het registratieproces varieert afhankelijk van de map die u hebt gekozen voor uw Azure Stack Hub-exemplaar:

• Azure Active Directory (Azure AD):Azure AD is een service voor meerdere tenants, cloudgebaseerde services, adreslijst- en identiteitsbeheer. U kunt Azure AD gebruiken met een verbonden Azure Stack Hub-exemplaar. In de voorbeelden die later worden weergegeven, wordt de Azure Portal gebruikt voor azure AD-app-registratie.
• Active Directory Federation Services (AD FS): AD FS biedt vereenvoudigde, beveiligde identiteitsfederatie en SSO-mogelijkheden (SSO). U kunt AD FS gebruiken met zowel verbonden als niet-verbonden Azure Stack Hub-exemplaren. De voorbeelden die later worden weergegeven, maken gebruik van Azure Stack Hub PowerShell voor AD FS-app-registratie.

Nadat u de app hebt geregistreerd, leert u hoe u deze toewijst aan een rol, waardoor de toegang tot de resource wordt beperkt.

Een Azure AD-app beheren

Als u Azure Stack Hub hebt geïmplementeerd met Azure AD als uw identiteitsbeheerservice, maakt en beheert u identiteiten voor apps, net zoals voor Azure. In deze sectie ziet u hoe u de stappen uitvoert met behulp van de Azure Portal. Controleer de vereiste machtigingen voor het registreren van een app voordat u begint, om ervoor te zorgen dat u over voldoende machtigingen beschikt om een app te registreren.

Een app-registratie maken die gebruikmaakt van een clientgeheimreferentie

In deze sectie registreert u uw app in uw Azure AD-tenant met behulp van de Azure Portal. In het volgende voorbeeld geeft u een referenties voor het clientgeheim op, maar de portal biedt ook ondersteuning voor X509-referenties op basis van certificaten.

1. Meld u aan bij de Azure Portal met uw Azure-account.

2. Selecteer Azure Active Directory>App-registraties>Nieuwe registratie.

3. Geef een naam op voor de app.

4. Selecteer de juiste ondersteunde accounttypen.

5. Selecteer onder Omleidings-URIweb als het app-type en geef (optioneel) een omleidings-URI op als uw app dit vereist.

6. Nadat u de waarden hebt ingesteld, selecteert u Registreren. De app-registratie wordt gemaakt en de pagina Overzicht wordt weergegeven.

7. Kopieer de toepassings-id voor gebruik in uw app-code. Deze waarde wordt ook wel de client-id genoemd.

8. Als u een clientgeheim wilt genereren, selecteert u de pagina Certificatengeheimen&. Selecteer Nieuw clientgeheim.

9. Geef een beschrijving op voor het geheim en de duur verloopt .

10. Selecteer Toevoegen wanneer u klaar bent.

11. De waarde van het geheim wordt weergegeven. Kopieer en sla deze waarde op een andere locatie op, omdat u deze later niet kunt ophalen. U geeft het geheim op met de toepassings-id in uw client-app voor aanmelding.

    

Ga verder met het toewijzen van een rol voor informatie over het instellen van op rollen gebaseerd toegangsbeheer voor de identiteit van de app.

Aanvullende artikelen over Azure AD-app-beheer

Zie de volgende Azure-artikelen voor meer informatie over het beheren van Azure AD-apps:

• Meer informatie over het registreren van een Azure AD-app, waaronder het maken van een app-registratie die gebruikmaakt van een certificaatreferentie.
• Een app-registratie verwijderen.
• Een onlangs verwijderde app-registratie herstellen of verwijderen.

Een AD FS-app beheren

Als u Azure Stack Hub met AD FS hebt geïmplementeerd als uw identiteitsbeheerservice, moet u PowerShell gebruiken om de identiteit van uw app te beheren. In de volgende voorbeelden ziet u een X509-certificaat en een clientgeheimreferentie.

De scripts moeten worden uitgevoerd in een PowerShell-console met verhoogde bevoegdheid (Uitvoeren als administrator). Hiermee opent u een andere sessie naar een VIRTUELE machine die als host fungeert voor een bevoegd eindpunt voor uw Azure Stack Hub-exemplaar. Zodra de sessie met bevoegde eindpunten tot stand is gebracht, worden extra cmdlets gebruikt om de app-registratie te maken en te beheren. Zie Het bevoegde eindpunt gebruiken in Azure Stack Hub voor meer informatie over het bevoegde eindpunt.

Een app-registratie maken die gebruikmaakt van een certificaatreferentie

Wanneer u een certificaatreferentie maakt, moet aan de volgende vereisten worden voldaan:

• Voor productie moet het certificaat worden uitgegeven door een interne certificeringsinstantie of een openbare certificeringsinstantie. Wanneer u een openbare instantie gebruikt, moet u de instantie opnemen in de installatiekopieën van het basisbesturingssysteem als onderdeel van het Microsoft Trusted Root Authority Program. Zie Lijst met deelnemers - Microsoft Trusted Root Program voor de volledige lijst. Een voorbeeld van het maken van een zelfondertekend testcertificaat wordt later ook weergegeven tijdens het bijwerken van een certificaatreferentie.
• De cryptografische provider moet worden opgegeven als een verouderde CSP-sleutelprovider (Cryptografische serviceprovider) van Microsoft.
• De certificaatindeling moet zich in het PFX-bestand bevinden, omdat zowel de openbare als de persoonlijke sleutels vereist zijn. Windows servers gebruiken PFX-bestanden die het openbare-sleutelbestand (TLS/SSL-certificaatbestand) en het bijbehorende bestand met persoonlijke sleutels bevatten.
• Uw Azure Stack Hub-infrastructuur moet netwerktoegang hebben tot de CRL-locatie (Certificate Revocation List) van de certificeringsinstantie die is gepubliceerd in het certificaat. Deze CRL moet een HTTP-eindpunt zijn.

Zodra u een certificaat hebt, gebruikt u het Onderstaande PowerShell-script om uw app te registreren en u aan te melden met de identiteit van de app. Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Tijdelijke aanduiding	Beschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<YourCertificateLocation>	De locatie van uw X509-certificaat in het lokale certificaatarchief.	"Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<YourAppName>	Een beschrijvende naam voor de nieuwe app-registratie.	"Mijn beheerprogramma"

Az-modules

1. Open een sessie met verhoogde bevoegdheid Windows PowerShell en voer het volgende script uit.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://docs.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en Thumbprint worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 3c87e710-9f91-420b-b009-31fa9e430145
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

AzureRM-modules

1. Open een sessie met verhoogde bevoegdheid Windows PowerShell en voer het volgende script uit.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a self-signed test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://docs.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en Thumbprint worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 3c87e710-9f91-420b-b009-31fa9e430145
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

Een certificaatreferentie bijwerken

Nu u de toepassing hebt geregistreerd, ziet u in deze sectie hoe u het volgende kunt doen:

1. Maak een nieuw zelfondertekend X509-certificaat voor testen.
2. Werk de referenties van de toepassing bij door de eigenschap Vingerafdruk bij te werken zodat deze overeenkomt met het nieuwe certificaat.

Werk de certificaatreferentie bij met behulp van PowerShell, waarbij u uw eigen waarden vervangt door de volgende tijdelijke aanduidingen:

Tijdelijke aanduiding	Beschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<YourAppName>	Een beschrijvende naam voor de nieuwe app-registratie.	"Mijn beheerprogramma"
<YourCertificateLocation>	De locatie van uw X509-certificaat in het lokale certificaatarchief.	"Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<AppIdentifier>	De id die is toegewezen aan de toepassingsregistratie.	"S-1-5-21-1512385356-3796245103-1243299919-1356"

1. Voer met behulp van uw sessie met verhoogde Windows PowerShell de volgende cmdlets uit:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Create a self-signed certificate for testing purposes, using the New-SelfSignedCertificate cmdlet 
   # See https://docs.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   $NewCert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   # In production, use Get-Item to retrieve a managed certificate from the certificate store.
   # Alteratively, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to update the certificate thumbprint, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ClientCertificates $using:NewCert}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de bijgewerkte app-registratiegegevens weergegeven, inclusief de vingerafdrukwaarde voor het nieuwe zelfondertekende certificaat.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 
   Thumbprint            : AF22EE716909041055A01FE6C6F5C5CDE78948E9
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          : 
   PSComputerName        : azs-ercs01
   RunspaceId            : a580f894-8f9b-40ee-aa10-77d4d142b4e5
   

Een app-registratie maken die gebruikmaakt van een clientgeheimreferentie

Waarschuwing

Het gebruik van een clientgeheim is minder veilig dan het gebruik van een X509-certificaatreferentie. Het verificatiemechanisme is niet alleen minder veilig, maar vereist doorgaans ook het insluiten van het geheim in de broncode van de client-app. Als zodanig wordt u sterk aangeraden om voor productie-apps een certificaatreferentie te gebruiken.

Nu maakt u nog een app-registratie, maar deze keer geeft u een referenties voor het clientgeheim op. In tegenstelling tot een certificaatreferentie heeft de map de mogelijkheid om een clientgeheimreferentie te genereren. In plaats van het clientgeheim op te geven, gebruikt u de -GenerateClientSecret switch om aan te vragen of het wordt gegenereerd. Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Tijdelijke aanduiding	Beschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<YourAppName>	Een beschrijvende naam voor de nieuwe app-registratie.	"Mijn beheerprogramma"

Az-modules

1. Open een sessie met verhoogde Windows PowerShell en voer de volgende cmdlets uit:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en ClientSecret worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 8e0ffd12-26c8-4178-a74b-f26bd28db601
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

AzureRM-modules

1. Open een sessie met verhoogde Windows PowerShell en voer de volgende cmdlets uit:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en ClientSecret worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 8e0ffd12-26c8-4178-a74b-f26bd28db601
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

Een clientgeheimreferentie bijwerken

Werk de referenties van het clientgeheim bij met behulp van PowerShell, met behulp van de parameter ResetClientSecret , waarmee het clientgeheim onmiddellijk wordt gewijzigd. Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Tijdelijke aanduiding	Beschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<AppIdentifier>	De id die is toegewezen aan de toepassingsregistratie.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

1. Voer met behulp van uw sessie met verhoogde Windows PowerShell de volgende cmdlets uit:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to update the client secret, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ResetClientSecret}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de bijgewerkte app-registratiegegevens weergegeven, inclusief het zojuist gegenereerde clientgeheim.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 8e0ffd12-26c8-4178-a74b-f26bd28db601
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : MKUNzeL6PwmlhWdHB59c25WDDZlJ1A6IWzwgv_Kn
   PSComputerName        : azs-ercs01
   RunspaceId            : 6ed9f903-f1be-44e3-9fef-e7e0e3f48564
   

Een app-registratie verwijderen

U ziet nu hoe u een app-registratie uit uw directory verwijdert met behulp van PowerShell.

Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Tijdelijke aanduiding	Beschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<AppIdentifier>	De id die is toegewezen aan de toepassingsregistratie.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
$Creds = Get-Credential

# Create a PSSession to the PrivilegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# OPTIONAL: Use the privileged endpoint to get a list of applications registered in AD FS
$AppList = Invoke-Command -Session $Session -ScriptBlock {Get-GraphApplication}

# Use the privileged endpoint to remove application <AppIdentifier>
Invoke-Command -Session $Session -ScriptBlock {Remove-GraphApplication -ApplicationIdentifier "<AppIdentifier>"}

Er wordt geen uitvoer geretourneerd van het aanroepen van de Remove-GraphApplication cmdlet op het bevoegde eindpunt, maar tijdens de uitvoering van de cmdlet ziet u de exacte bevestigingsuitvoer voor de console:

VERBOSE: Deleting graph application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623.
VERBOSE: Remove-GraphApplication : BEGIN on AZS-ADFS01 on ADFSGraphEndpoint
VERBOSE: Application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623 was deleted.
VERBOSE: Remove-GraphApplication : END on AZS-ADFS01 under ADFSGraphEndpoint configuration

Een rol toewijzen

Toegang tot Azure-resources door gebruikers en apps wordt geautoriseerd via Role-Based Access Control (RBAC). Als u wilt dat een app toegang heeft tot resources in uw abonnement, moet u de service-principal toewijzen aan een rol voor een specifieke resource. Bepaal eerst welke rol de juiste machtigingen voor de app vertegenwoordigt . Zie Ingebouwde rollen voor Azure-resources voor meer informatie over de beschikbare rollen.

Het type resource dat u kiest, bepaalt ook het toegangsbereik voor de app. U kunt het toegangsbereik instellen op abonnements-, resourcegroep- of resourceniveau. Machtigingen worden overgenomen tot lagere niveaus van het bereik. Als u bijvoorbeeld een app toevoegt aan de rol Lezer voor een resourcegroep, betekent dit dat deze de resourcegroep en alle resources kan lezen die deze bevat.

1. Meld u aan bij de juiste portal, op basis van de map die u hebt opgegeven tijdens de installatie van Azure Stack Hub (de Azure Portal voor Azure AD of de Azure Stack Hub-gebruikersportal voor AD FS, bijvoorbeeld). In dit voorbeeld laten we een gebruiker zien die is aangemeld bij de Azure Stack Hub-gebruikersportal.

   Notitie

   Als u roltoewijzingen voor een bepaalde resource wilt toevoegen, moet uw gebruikersaccount deel uitmaken van een rol die de Microsoft.Authorization/roleAssignments/write machtiging declareert. Bijvoorbeeld de ingebouwde rollen Eigenaar of Beheerder voor gebruikerstoegang .

2. Navigeer naar de resource die u wilt toestaan dat de app toegang heeft. In dit voorbeeld wijst u de app toe aan een rol in het abonnementsbereik door Abonnementen en vervolgens een specifiek abonnement te selecteren. U kunt in plaats daarvan een resourcegroep of een specifieke resource zoals een virtuele machine selecteren.

   

3. Selecteer de pagina Access Control (IAM), die universeel is voor alle resources die ondersteuning bieden voor RBAC.

4. Selecteer + Toevoegen

5. Kies onder Rol de rol die u aan de app wilt toewijzen.

6. Zoek onder Selecteren naar uw app met behulp van een volledige of gedeeltelijke toepassingsnaam. Tijdens de registratie wordt de toepassingsnaam gegenereerd als Azurestack-YourAppName-ClientId<><>. Als u bijvoorbeeld een toepassingsnaam van App2 hebt gebruikt en ClientId 2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff is toegewezen tijdens het maken, is de volledige naam Azurestack-App2-2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff. U kunt zoeken naar de exacte tekenreeks of een gedeelte, zoals Azurestack of Azurestack-App2.

7. Zodra u de app hebt gevonden, selecteert u deze en wordt deze weergegeven onder Geselecteerde leden.

8. Selecteer Opslaan om de rol toe te wijzen.

   

9. Wanneer u klaar bent, wordt de app weergegeven in de lijst met principals die zijn toegewezen voor het huidige bereik, voor de opgegeven rol.

   

Nu u uw app een identiteit hebt gegeven en deze hebt geautoriseerd voor toegang tot resources, kunt u uw script of code inschakelen om u aan te melden en veilig toegang te krijgen tot Azure Stack Hub-resources.

Volgende stappen

Gebruikersrechten beheren
documentatie voor Azure Active Directory
Active Directory Federation Services