Gebruik de portal voor het maken van een Azure AD-toepassing en service-principal die toegang hebben tot resources

  • Artikel
  • 9 minuten om te lezen

In dit artikel wordt beschreven hoe u een nieuwe Azure Active Directory (Azure AD)-toepassing en service-principal maakt die kunnen worden gebruikt met op rollen gebaseerd toegangsbeheer. Wanneer u toepassingen, gehoste services of geautomatiseerde hulpprogramma's hebt die toegang moeten krijgen tot of wijzigen van resources, kunt u een identiteit voor de app maken. Deze identiteit staat bekend als een service-principal. Toegang tot resources wordt beperkt door de rollen die zijn toegewezen aan de service-principal, zodat u kunt bepalen welke resources toegankelijk zijn en op welk niveau. Uit veiligheidsoverwegingen is het altijd aanbevolen om voor geautomatiseerde tools service-principals te gebruiken, in plaats van deze zich te laten aanmelden met een gebruikers-id.

In dit artikel wordt beschreven hoe u de portal gebruikt om de service-principal te maken in de Azure Portal. Het is gericht op een toepassing met één tenant waarin de toepassing is bedoeld om binnen slechts één organisatie te worden uitgevoerd. Normaal gesproken gebruikt u toepassingen met één tenant voor Line-Of-Business-toepassingen die binnen uw organisatie worden uitgevoerd. U kunt ook Azure PowerShell om een service-principal te maken.

Belangrijk

In plaats van een service-principal te maken, kunt u overwegen om beheerde identiteiten voor Azure-resources te gebruiken voor uw toepassings-id. Als uw code wordt uitgevoerd op een service die beheerde identiteiten ondersteunt en toegang heeft tot resources die ondersteuning bieden voor Azure AD-verificatie, zijn beheerde identiteiten een betere optie voor u. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie over beheerde identiteiten voor Azure-resources,waaronder welke services deze momenteel ondersteunen.

App-registratie, app-objecten en service-principals

Er is geen manier om rechtstreeks een service-principal te maken met behulp van Azure Portal. Wanneer u een toepassing registreert via de Azure Portal, worden er automatisch een toepassingsobject en service-principal gemaakt in uw basismap of tenant. Lees Toepassings- en service-principalobjecten in Azure Active Directory voor meer informatie over de relatie tussen app-registratie, toepassingsobjecten en service-principals.

Vereiste machtigingen voor het registreren van een app

U moet voldoende machtigingen hebben om een toepassing te registreren bij uw Azure AD-tenant en een rol in uw Azure-abonnement aan de toepassing toe te wijzen.

Azure AD-machtigingen controleren

  1. Selecteer Azure Active Directory.

  2. Zoek uw rol onder Overzicht -> Mijn feed. Als u de rol Gebruiker hebt, moet u ervoor zorgen dat niet-beheerders toepassingen kunnen registreren.

    Schermopname die laat zien hoe u uw rol kunt vinden.

  3. Selecteer in het linkerdeelvenster Gebruikers en vervolgens Gebruikersinstellingen.

  4. Controleer de App-registraties instelling. Deze waarde kan alleen worden ingesteld door een beheerder. Als deze optie is ingesteld op Ja, kan elke gebruiker in de Azure AD-tenant een app registreren.

Als de instelling voor app-registraties is ingesteld op Nee, kunnen alleen gebruikers met een beheerdersrol deze typen toepassingen registreren. Zie Ingebouwde Azure AD-rollen voor meer informatie over de beschikbare beheerdersrollen en de specifieke machtigingen in Azure AD die aan elke rol worden verleend. Als aan uw account de rol Gebruiker is toegewezen, maar de app-registratie-instelling is beperkt tot gebruikers met beheerdersrechten, vraagt u de beheerder u een van de beheerdersrollen toe te wijzen waarmee alle aspecten van app-registraties kunnen worden gemaakt en beheert, of om gebruikers in staat te stellen apps te registreren.

Machtigingen voor Azure-abonnementen controleren

In uw Azure-abonnement moet uw account toegang hebben om een rol toe te wijzen Microsoft.Authorization/*/Write aan een AD-app. Deze toegang wordt verleend via de rol Eigenaar of Administrator voor gebruikerstoegang. Als aan uw account de rol Inzender is toegewezen, hebt u niet voldoende machtigingen. U ontvangt een foutmelding wanneer u probeert de service-principal een rol toe te wijzen.

Ga als volgende te werk om uw abonnementsmachtigingen te controleren:

  1. Zoek en selecteer Abonnementen of selecteer Abonnementen op de startpagina.

    Zoeken

  2. Selecteer het abonnement waarin u de service-principal wilt maken.

    Abonnement selecteren voor toewijzing

    Als u het abonnement dat u zoekt niet ziet, selecteert u het filter Globale abonnementen. Zorg ervoor dat het want-abonnement is geselecteerd voor de portal.

  3. Selecteer Mijn machtigingen. Selecteer vervolgens Klik hier om de volledige toegangsgegevens voor dit abonnement weer te geven.

    Selecteer het abonnement waarin u de service-principal wilt maken

  4. Selecteer Roltoewijzingen om uw toegewezen rollen weer te geven en bepaal of u voldoende machtigingen hebt om een rol toe te wijzen aan een AD-app. Als dat niet het zo is, vraagt u de abonnementsbeheerder om u toe te voegen aan de rol Gebruikerstoegangbeheerder. In de volgende afbeelding krijgt de gebruiker de rol Eigenaar toegewezen, wat betekent dat de gebruiker voldoende machtigingen heeft.

    Schermopname waarin wordt weergegeven dat aan de gebruiker de rol Eigenaar is toegewezen.

Een toepassing registreren bij Azure AD en een service-principal maken

Laten we direct aan de zelf-id gaan gaan doen. Als er een probleem is, controleert u de vereiste machtigingen om ervoor te zorgen dat uw account de identiteit kan maken.

  1. Meld u aan bij uw Azure-account via Azure Portal.

  2. Selecteer Azure Active Directory.

  3. Selecteer App-registraties.

  4. Selecteer Nieuwe registratie.

  5. Noem de toepassing. Selecteer een ondersteund accounttype, waarmee wordt bepaald wie de toepassing mag gebruiken. Selecteer onder Omleidings-URI de optie Web voor het type toepassing dat u wilt maken. Voer de URI in waar het toegangsken naar wordt verzonden. U kunt geen referenties maken voor een native toepassing. U kunt dat type niet gebruiken voor een geautomatiseerde toepassing. Nadat u de waarden heeft instelling, selecteert u Registreren.

    Typ een naam voor uw toepassing

U hebt uw Azure AD-toepassing en service-principal gemaakt.

Notitie

U kunt meerdere toepassingen met dezelfde naam registreren in Azure AD, maar de toepassingen moeten verschillende toepassings-(client)-ID's hebben.

Een rol toewijzen aan de toepassing

Als u toegang wilt krijgen tot resources in uw abonnement, moet u een rol toewijzen aan de toepassing. Bepaal welke rol de juiste machtigingen voor de toepassing biedt. Zie Ingebouwde Azure-rollenvoor meer informatie over de beschikbare rollen.

U kunt het bereik instellen op het niveau van het abonnement, de resourcegroep of de resource. Machtigingen worden overgenomen naar lagere bereikniveaus. Als u bijvoorbeeld een toepassing toevoegt aan de rol Lezer voor een resourcegroep, kan deze de resourcegroep en alle resources die deze bevat lezen.

  1. Selecteer in Azure Portal bereikniveau aan wie u de toepassing wilt toewijzen. Als u bijvoorbeeld een rol wilt toewijzen voor het abonnementsbereik, zoekt en selecteert u Abonnementen of selecteert u Abonnementen op de startpagina.

    Wijs bijvoorbeeld een rol toe op abonnementsbereik

  2. Selecteer het specifieke abonnement waar u de toepassing aan wilt toewijzen.

    Abonnement selecteren voor toewijzing

    Als u het abonnement dat u zoekt niet ziet, selecteert u het filter Globale abonnementen. Zorg ervoor dat het want-abonnement is geselecteerd voor de portal.

  3. Klik op Toegangsbeheer (IAM) .

  4. Selecteer Roltoewijzing > toevoegen selecteren om de pagina Roltoewijzing toevoegen te openen.

  5. Selecteer de rol die u wilt toewijzen aan de toepassing. Als u bijvoorbeeld wilt toestaan dat de toepassing acties uitvoert zoals opnieuw opstarten, exemplaren starten en stoppen, selecteert u de rol Inzender. Meer informatie over de beschikbare rollen Standaard worden Azure AD-toepassingen niet weergegeven in de beschikbare opties. Als u uw toepassing wilt zoeken, zoekt u de naam en selecteert u deze.

    Wijs de rol Inzender toe aan de toepassing op abonnementsbereik. Zie Azure-rollen toewijzen met behulp van de Azure Portal voor gedetailleerde Azure Portal.

Uw service-principal is ingesteld. U kunt deze gebruiken om uw scripts of apps uit te voeren. Ga naar Bedrijfstoepassingen om uw service-principal te beheren (machtigingen, door de gebruiker toestemming gegeven machtigingen), te zien welke gebruikers toestemming hebben gegeven, machtigingen te controleren, aanmeldingsgegevens te bekijken en meer.

In de volgende sectie ziet u hoe u waarden op kunt halen die nodig zijn bij het programmatisch aanmelden.

Waarden voor tenant- en app-id's voor aanmelden

Wanneer u zich programmatisch aanmeldt, moet u de tenant-id doorgeven met uw verificatieaanvraag en de toepassings-id. U hebt ook een certificaat of een verificatiesleutel nodig (beschreven in de volgende sectie). U kunt deze waarden als volgt ophalen:

  1. Selecteer Azure Active Directory.

  2. Selecteer App-registraties toepassing in Azure AD.

  3. Kopieer de map-id (tenant-id) en sla deze op in uw toepassingscode.

    De map-id (tenant-id) kopiëren en in uw app-code opslaan

    De map-id (tenant)-id is ook te vinden op de overzichtspagina van de standaardmap.

  4. Kopieer de Toepassings-id en sla deze op in uw toepassingscode.

    De toepassings-id (client-id) kopiëren

Verificatie: twee opties

Er zijn twee typen verificatie beschikbaar voor service-principals: verificatie op basis van een wachtwoord (toepassingswachtwoord) en verificatie op basis van een certificaat. We raden u aan een certificaat te gebruiken, maar u kunt ook een toepassingsgeheim maken.

Optie 1: Upload certificaat maken

U kunt een bestaand certificaat gebruiken als u er een hebt. U kunt eventueel alleen een zelfonder ondertekend certificaat maken voor testdoeleinden. Als u een zelfondertekend certificaat wilt maken, opent u PowerShell en voer u New-SelfSignedCertificate uit met de volgende parameters om het certificaat te maken in het certificaatopslag van de gebruiker op uw computer:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporteert dit certificaat naar een bestand met behulp van de MMC-module Gebruikerscertificaat beheren die toegankelijk is vanuit Windows Configuratiescherm.

  1. Selecteer Uitvoeren in het menu Start en voer certmgr.msc in.

    Het hulpprogramma Certificate Manager voor de huidige gebruiker wordt weergegeven.

  2. Als u uw certificaten wilt weergeven, vouwt u onder Certificaten - Huidige gebruiker in het linkerdeelvenster de map Persoonlijk uit.

  3. Klik met de rechtermuisknop op het certificaat dat u hebt gemaakt en selecteer Alle taken->Exporteren.

  4. Volg de wizard Certificaat exporteren. Exporteert de persoonlijke sleutel niet en exporteert niet naar een . CER-bestand.

Het certificaat uploaden:

  1. Selecteer Azure Active Directory.

  2. Selecteer App-registraties toepassing in Azure AD.

  3. Selecteer Certificaten en geheimen.

  4. Selecteer Certificaten Upload certificaat en selecteer het certificaat (een bestaand certificaat of het > zelf-ondertekende certificaat dat u hebt geëxporteerd).

    Selecteer Upload certificaat en selecteer het certificaat dat u wilt toevoegen

  5. Selecteer Toevoegen.

Nadat u het certificaat hebt geregistreerd bij uw toepassing in de portal voor toepassingsregistratie, moet u de code van de clienttoepassing inschakelen om het certificaat te gebruiken.

Optie 2: een nieuw toepassingsgeheim maken

Als u ervoor kiest geen certificaat te gebruiken, kunt u een nieuw toepassingsgeheim maken.

  1. Selecteer Azure Active Directory.

  2. Selecteer App-registraties toepassing in Azure AD.

  3. Selecteer Certificaten en geheimen.

  4. Selecteer Clientgeheimen -> Nieuw clientgeheim.

  5. Geef een beschrijving van het geheim en een duur op. Selecteer Toevoegen wanneer u klaar bent.

    Nadat u het clientgeheim hebt opgeslagen, wordt de waarde van het clientgeheim weergegeven. Kopieer deze waarde omdat u de sleutel later niet meer kunt ophalen. U geeft de sleutelwaarde op met de toepassings-id om u aan te melden als de toepassing. Bewaar de sleutelwaarde op een locatie waar de toepassing deze kan ophalen.

    De geheimwaarde kopiëren omdat u deze later niet meer kunt ophalen

Toegangsbeleid voor resources configureren

Houd er rekening mee dat u mogelijk aanvullende machtigingen moet configureren voor resources die uw toepassing nodig heeft om toegang te krijgen. U moet bijvoorbeeld ook het toegangsbeleid van een sleutelkluis bijwerken om uw toepassing toegang te geven tot sleutels, geheimen of certificaten.

  1. Navigeer in Azure Portalnaar uw sleutelkluis en selecteer Toegangsbeleid.
  2. Selecteer Toegangsbeleid toevoegen en selecteer vervolgens de sleutel-, geheim- en certificaatmachtigingen die u aan uw toepassing wilt verlenen. Selecteer de service-principal die u eerder hebt gemaakt.
  3. Selecteer Toevoegen om het toegangsbeleid toe te voegen en vervolgens Opslaan om uw wijzigingen door te voeren. Toegangsbeleid toevoegen

Volgende stappen

  • Meer informatie over het gebruik Azure PowerShell om een service-principal te maken.
  • Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)voor meer informatie over het opgeven van beveiligingsbeleid.
  • Zie resourceproviderbewerkingen voor een lijst met beschikbare acties die aan gebruikers kunnen worden Azure Resource Manager geweigerd.
  • Zie de naslaginformatie over de Api voor toepassingen voor meer informatie over het werken met app-registraties met behulp van Microsoft Graph.