Procedure: een Azure AD-toepassing en service-principal maken met behulp van de portal om toegang te krijgen tot resourcesHow to: Use the portal to create an Azure AD application and service principal that can access resources

In dit artikel wordt beschreven hoe u een nieuwe Azure Active Directory (Azure AD)-toepassing en Service-Principal maakt die kunnen worden gebruikt met het toegangs beheer op basis van rollen.This article shows you how to create a new Azure Active Directory (Azure AD) application and service principal that can be used with the role-based access control. Wanneer u code hebt die resources moet openen of wijzigen, kunt u een identiteit voor de app maken.When you have code that needs to access or modify resources, you can create an identity for the app. Deze identiteit staat bekend als een service-principal.This identity is known as a service principal. U kunt vervolgens de vereiste machtigingen toewijzen aan de Service-Principal.You can then assign the required permissions to the service principal. In dit artikel leest u hoe u de-portal kunt gebruiken om de service-principal te maken.This article shows you how to use the portal to create the service principal. Het is gericht op een toepassing met één Tenant waarbij de toepassing alleen binnen één organisatie kan worden uitgevoerd.It focuses on a single-tenant application where the application is intended to run within only one organization. Normaal gesp roken gebruikt u toepassingen met één Tenant voor line-of-business-toepassingen die binnen uw organisatie worden uitgevoerd.You typically use single-tenant applications for line-of-business applications that run within your organization.

Belangrijk

In plaats van een service-principal te maken, kunt u overwegen beheerde identiteiten te gebruiken voor Azure-resources voor uw toepassings identiteit.Instead of creating a service principal, consider using managed identities for Azure resources for your application identity. Als uw code wordt uitgevoerd op een service die beheerde identiteiten ondersteunt en toegang krijgt tot bronnen die ondersteuning bieden voor Azure AD-verificatie, zijn beheerde identiteiten een betere optie voor u.If your code runs on a service that supports managed identities and accesses resources that support Azure AD authentication, managed identities are a better option for you. Zie Wat is beheerde identiteiten voor Azure-resources?voor meer informatie over beheerde identiteiten voor Azure-resources, waaronder de services die momenteel door worden ondersteund.To learn more about managed identities for Azure resources, including which services currently support it, see What is managed identities for Azure resources?.

Een Azure Active Directory-toepassing makenCreate an Azure Active Directory application

Laten we meteen beginnen met het maken van de identiteit.Let's jump straight into creating the identity. Als u een probleem ondervindt, controleert u de vereiste machtigingen om te controleren of uw account de identiteit kan maken.If you run into a problem, check the required permissions to make sure your account can create the identity.

  1. Meld u aan bij uw Azure-account via de Azure Portal.Sign in to your Azure Account through the Azure portal.

  2. Selecteer Azure Active Directory.Select Azure Active Directory.

  3. Selecteer App-registraties.Select App registrations.

  4. Selecteer nieuwe registratie.Select New registration.

  5. Geef de toepassing een naam.Name the application. Selecteer een ondersteund account type, dat bepaalt wie de toepassing kan gebruiken.Select a supported account type, which determines who can use the application. Onder omleidings-URIselecteert u Web voor het type toepassing dat u wilt maken.Under Redirect URI, select Web for the type of application you want to create. Voer de URI in waarnaar het toegangs token wordt verzonden.Enter the URI where the access token is sent to. U kunt geen referenties maken voor een systeem eigen toepassing.You can't create credentials for a Native application. U kunt dit type niet gebruiken voor een geautomatiseerde toepassing.You can't use that type for an automated application. Nadat u de waarden hebt ingesteld, selecteert u registreren.After setting the values, select Register.

    Typ een naam voor uw toepassing

U hebt uw Azure AD-toepassing en service-principal gemaakt.You've created your Azure AD application and service principal.

De toepassing aan een rol toewijzenAssign the application to a role

Als u toegang wilt krijgen tot resources in uw abonnement, moet u de toepassing toewijzen aan een rol.To access resources in your subscription, you must assign the application to a role. Bepaal welke rol de juiste machtigingen voor de toepassing biedt.Decide which role offers the right permissions for the application. Zie RBAC: ingebouwde rollenvoor meer informatie over de beschik bare rollen.To learn about the available roles, see RBAC: Built in Roles.

U kunt het bereik instellen op het niveau van het abonnement, de resource groep of de resource.You can set the scope at the level of the subscription, resource group, or resource. Machtigingen worden overgenomen door lagere bereik niveaus.Permissions are inherited to lower levels of scope. Als u bijvoorbeeld een toepassing toevoegt aan de rol van lezer voor een resource groep, betekent dit dat de resource groep en alle resources die deze bevat, kunnen worden gelezen.For example, adding an application to the Reader role for a resource group means it can read the resource group and any resources it contains.

  1. Selecteer in het Azure Portal het bereik dat u aan de toepassing wilt toewijzen.In the Azure portal, select the level of scope you wish to assign the application to. Als u bijvoorbeeld een rol wilt toewijzen aan het abonnements bereik, zoekt en selecteert u abonnementen, of selecteert u abonnementen op de Start pagina.For example, to assign a role at the subscription scope, search for and select Subscriptions, or select Subscriptions on the Home page.

    U kunt bijvoorbeeld een rol aan het abonnements bereik toewijzen

  2. Selecteer het specifieke abonnement waaraan u de toepassing wilt toewijzen.Select the particular subscription to assign the application to.

    Abonnement selecteren voor toewijzing

    Als u het gewenste abonnement niet ziet, selecteert u globaal abonnementen filter.If you don't see the subscription you're looking for, select global subscriptions filter. Zorg ervoor dat het gewenste abonnement is geselecteerd voor de portal.Make sure the subscription you want is selected for the portal.

  3. Klik op Toegangsbeheer (IAM) .Select Access control (IAM).

  4. Selecteer roltoewijzing toevoegen.Select Add role assignment.

  5. Selecteer de rol die u aan de toepassing wilt toewijzen.Select the role you wish to assign to the application. Als u bijvoorbeeld wilt toestaan dat de toepassing acties uitvoert zoals opnieuw opstarten, exemplaren starten en stoppen , selecteert u de rol Inzender .For example, to allow the application to execute actions like reboot, start and stop instances, select the Contributor role. Meer informatie over de beschik bare rollen : Azure AD-toepassingen worden standaard niet weer gegeven in de beschik bare opties.Read more about the available roles By default, Azure AD applications aren't displayed in the available options. Zoek de naam en selecteer deze om uw toepassing te vinden.To find your application, search for the name and select it.

    Selecteer de rol die u aan de toepassing wilt toewijzen

  6. Selecteer Opslaan om de rol toe te wijzen.Select Save to finish assigning the role. U ziet uw toepassing in de lijst met gebruikers die zijn toegewezen aan een rol voor dat bereik.You see your application in the list of users assigned to a role for that scope.

De Service-Principal is ingesteld.Your service principal is set up. U kunt deze gebruiken om uw scripts of apps uit te voeren.You can start using it to run your scripts or apps. In de volgende sectie ziet u hoe u waarden kunt ophalen die nodig zijn bij het programmatisch aanmelden.The next section shows how to get values that are needed when signing in programmatically.

Waarden ophalen voor aanmeldenGet values for signing in

Wanneer u zich programmatisch aanmeldt, moet u de Tenant-ID door geven aan uw verificatie aanvraag.When programmatically signing in, you need to pass the tenant ID with your authentication request. U hebt ook de ID voor uw toepassing en een verificatie sleutel nodig.You also need the ID for your application and an authentication key. U kunt deze waarden als volgt ophalen:To get those values, use the following steps:

  1. Selecteer Azure Active Directory.Select Azure Active Directory.

  2. Selecteer uw toepassing in app-registraties in azure AD.From App registrations in Azure AD, select your application.

  3. Kopieer de Directory-ID (Tenant) en sla deze op in de code van uw toepassing.Copy the Directory (tenant) ID and store it in your application code.

    Kopieer de directory (Tenant-ID) en sla deze op in uw app-code

  4. Kopieer de Toepassings-id en sla deze op in uw toepassingscode.Copy the Application ID and store it in your application code.

    De toepassings-ID (client) kopiëren

Certificaten en geheimenCertificates and secrets

Daemon-toepassingen kunnen twee soorten referenties gebruiken om te verifiëren met Azure AD: certificaten en toepassings geheimen.Daemon applications can use two forms of credentials to authenticate with Azure AD: certificates and application secrets. We raden u aan een certificaat te gebruiken, maar u kunt ook een nieuw toepassings geheim maken.We recommend using a certificate, but you can also create a new application secret.

Een certificaat uploadenUpload a certificate

U kunt een bestaand certificaat gebruiken als u er een hebt.You can use an existing certificate if you have one. Desgewenst kunt u een zelfondertekend certificaat maken voor test doeleinden.Optionally, you can create a self-signed certificate for testing purposes. Open Power shell en voer New-SelfSignedCertificate uit met de volgende para meters om een zelfondertekend certificaat te maken in het certificaat archief van de gebruiker op uw computer:Open PowerShell and run New-SelfSignedCertificate with the following parameters to create a self-signed certificate in the user certificate store on your computer:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Dit certificaat exporteren naar een bestand met behulp van de MMC-module gebruikers certificaat beheren , toegankelijk via het configuratie scherm van Windows.Export this certificate to a file using the Manage User Certificate MMC snap-in accessible from the Windows Control Panel.

Het certificaat uploaden:To upload the certificate:

  1. Selecteer certificaten & geheimen.Select Certificates & secrets.

  2. Selecteer certificaat uploaden en selecteer het certificaat (een bestaand certificaat of het zelfondertekende certificaat dat u hebt geëxporteerd).Select Upload certificate and select the certificate (an existing certificate or the self-signed certificate you exported).

    Selecteer certificaat uploaden en selecteer het account dat u wilt toevoegen.

  3. Selecteer Toevoegen.Select Add.

Nadat u het certificaat hebt geregistreerd bij uw toepassing in de portal voor toepassings registratie, moet u de client toepassings code inschakelen om het certificaat te gebruiken.After registering the certificate with your application in the application registration portal, you need to enable the client application code to use the certificate.

Een nieuw toepassings geheim makenCreate a new application secret

Als u ervoor kiest geen certificaat te gebruiken, kunt u een nieuw toepassings geheim maken.If you choose not to use a certificate, you can create a new application secret.

  1. Selecteer certificaten & geheimen.Select Certificates & secrets.

  2. Selecteer client geheimen-> nieuw client Secret.Select Client secrets -> New client secret.

  3. Geef een beschrijving op van het geheim en een duur.Provide a description of the secret, and a duration. Wanneer u klaar bent, selecteert u toevoegen.When done, select Add.

    Nadat het client geheim is opgeslagen, wordt de waarde van het client geheim weer gegeven.After saving the client secret, the value of the client secret is displayed. Kopieer deze waarde omdat u de sleutel niet later kunt ophalen.Copy this value because you aren't able to retrieve the key later. U geeft de sleutel waarde op met de toepassings-ID om u aan te melden als de toepassing.You provide the key value with the application ID to sign in as the application. Bewaar de sleutelwaarde op een locatie waar de toepassing deze kan ophalen.Store the key value where your application can retrieve it.

    Kopieer de geheime waarde omdat u deze later niet kunt ophalen

Toegangs beleid voor resources configurerenConfigure access policies on resources

Houd er rekening mee dat u extra machtigingen moet configureren voor bronnen waartoe uw toepassing toegang moet hebben.Keep in mind, you might need to configure addition permissions on resources that your application needs to access. U moet bijvoorbeeld ook het toegangs beleid van een sleutel kluis bijwerken om uw toepassing toegang te geven tot sleutels, geheimen of certificaten.For example, you must also update a key vault's access policies to give your application access to keys, secrets, or certificates.

  1. Navigeer in het Azure Portalnaar uw sleutel kluis en selecteer toegangs beleid.In the Azure portal, navigate to your key vault and select Access policies.
  2. Selecteer toegangs beleid toevoegenen selecteer vervolgens de sleutel, het geheim en de certificaat machtigingen die u uw toepassing wilt verlenen.Select Add access policy, then select the key, secret, and certificate permissions you want to grant your application. Selecteer de service-principal die u eerder hebt gemaakt.Select the service principal you created previously.
  3. Selecteer toevoegen om het toegangs beleid toe te voegen en Sla vervolgens op om uw wijzigingen door te voeren.Select Add to add the access policy, then Save to commit your changes. toegangs beleid toevoegenAdd access policy

Vereiste machtigingenRequired permissions

U moet over voldoende machtigingen beschikken om een toepassing te registreren bij uw Azure AD-Tenant en de toepassing toe te wijzen aan een rol in uw Azure-abonnement.You must have sufficient permissions to register an application with your Azure AD tenant, and assign the application to a role in your Azure subscription.

Azure AD-machtigingen controlerenCheck Azure AD permissions

  1. Selecteer Azure Active Directory.Select Azure Active Directory.

  2. Noteer uw rol.Note your role. Als u de gebruikersrol hebt, moet u ervoor zorgen dat niet-beheerders toepassingen kunnen registreren.If you have the User role, you must make sure that non-administrators can register applications.

    Zoek uw rol.

  3. Selecteer gebruikers instellingenin het linkerdeel venster.In the left pane, select User settings.

  4. Controleer de instelling app-registraties .Check the App registrations setting. Deze waarde kan alleen worden ingesteld door een beheerder.This value can only be set by an administrator. Als deze instelling is ingesteld op Ja, kan elke gebruiker in de Azure AD-Tenant een app registreren.If set to Yes, any user in the Azure AD tenant can register an app.

Als de instelling app-registraties is ingesteld op Nee, kunnen alleen gebruikers met een rol beheerder deze typen toepassingen registreren.If the app registrations setting is set to No, only users with an administrator role may register these types of applications. Bekijk de beschik bare rollen en rolmachtigingen voor meer informatie over beschik bare beheerders rollen en de specifieke machtigingen in azure AD die aan elke rol worden gegeven.See available roles and role permissions to learn about available administrator roles and the specific permissions in Azure AD that are given to each role. Als uw account is toegewezen aan de gebruikersrol, maar de instelling van de app-registratie is beperkt tot gebruikers met beheerders rechten, vraagt u uw beheerder om u toe te wijzen aan een van de beheerders rollen die alle aspecten van app-registraties kunnen maken en beheren, of om gebruikers in staat te stellen om apps registreren.If your account is assigned to the User role, but the app registration setting is limited to admin users, ask your administrator to either assign you to one of the administrator roles that can create and manage all aspects of app registrations, or to enable users to register apps.

Azure-abonnements machtigingen controlerenCheck Azure subscription permissions

In uw Azure-abonnement moet uw account beschikken over Microsoft.Authorization/*/Write toegang om een AD-app toe te wijzen aan een rol.In your Azure subscription, your account must have Microsoft.Authorization/*/Write access to assign an AD app to a role. Deze toegang wordt verleend via de rol Eigenaar of Administrator voor gebruikerstoegang.This action is granted through the Owner role or User Access Administrator role. Als uw account is toegewezen aan de rol Inzender , hebt u niet de juiste machtigingen.If your account is assigned to the Contributor role, you don't have adequate permission. Er wordt een fout bericht weer gegeven wanneer u een service-principal aan een rol probeert toe te wijzen.You receive an error when attempting to assign the service principal to a role.

Uw abonnements machtigingen controleren:To check your subscription permissions:

  1. Selecteer uw account in de rechter bovenhoek en selecteer ...-> mijn machtigingen.Select your account in the upper right corner, and select ... -> My permissions.

    Uw account en uw gebruikers machtigingen selecteren

  2. Selecteer in de vervolg keuzelijst het abonnement waarvoor u de Service-Principal wilt maken in.From the drop-down list, select the subscription you want to create the service principal in. Selecteer vervolgens Klik hier om de volledige toegangs gegevens voor dit abonnement weer te geven.Then, select Click here to view complete access details for this subscription.

    Selecteer het abonnement waarvoor u de Service-Principal wilt maken in

  3. Selecteer roltoewijzingen om uw toegewezen rollen weer te geven en te bepalen of u voldoende machtigingen hebt om een AD-app toe te wijzen aan een rol.Select Role assignments to view your assigned roles, and determine if you have adequate permissions to assign an AD app to a role. Als dat niet het geval is, vraagt u uw abonnements beheerder om u toe te voegen aan de rol beheerder van gebruikers toegang.If not, ask your subscription administrator to add you to User Access Administrator role. In de volgende afbeelding is de gebruiker toegewezen aan de rol eigenaar, wat betekent dat de gebruiker over de juiste machtigingen beschikt.In the following image, the user is assigned to the Owner role, which means that user has adequate permissions.

    In dit voor beeld ziet u dat de gebruiker is toegewezen aan de rol eigenaar

Volgende stappenNext steps