Gebruik de portal voor het maken van een Azure AD-toepassing en service-principal die toegang hebben tot resources

In dit artikel leest u hoe u een nieuwe Azure Active Directory-toepassing (Azure AD) en service-principal maakt die kan worden gebruikt met op rollen gebaseerd toegangsbeheer. Wanneer u toepassingen, gehoste services of geautomatiseerde hulpprogramma's hebt die toegang moeten hebben tot resources of deze moeten wijzigen, kunt u een identiteit voor de app maken. Deze identiteit staat bekend als een service-principal. Toegang tot resources wordt beperkt door de rollen die zijn toegewezen aan de service-principal, zodat u kunt bepalen welke resources kunnen worden geopend en op welk niveau. Uit veiligheidsoverwegingen is het altijd aanbevolen om voor geautomatiseerde tools service-principals te gebruiken, in plaats van deze zich te laten aanmelden met een gebruikers-id.

In dit artikel wordt beschreven hoe u de portal gebruikt om de service-principal te maken in Azure Portal. Het is gericht op een toepassing met één tenant waarbij de toepassing is bedoeld om te worden uitgevoerd binnen slechts één organisatie. Doorgaans gebruikt u toepassingen met één tenant voor Line-Of-Business-toepassingen die binnen uw organisatie worden uitgevoerd. U kunt ook Azure PowerShell gebruiken om een service-principal te maken.

Belangrijk

In plaats van een service-principal te maken, kunt u overwegen beheerde identiteiten te gebruiken voor Azure-resources voor uw toepassingsidentiteit. Als uw code wordt uitgevoerd op een service die beheerde identiteiten ondersteunt en toegang heeft tot resources die ondersteuning bieden voor Azure AD-verificatie, zijn beheerde identiteiten een betere optie voor u. Zie Wat zijn beheerde identiteiten voor Azure-resources? Voor meer informatie over beheerde identiteiten voor Azure-resources, waaronder welke services deze momenteel ondersteunen.

App-registratie, app-objecten en service-principals

Er is geen manier om rechtstreeks een service-principal te maken met behulp van Azure Portal. Wanneer u een toepassing registreert via Azure Portal, worden er automatisch een toepassingsobject en service-principal gemaakt in uw basismap of tenant. Lees toepassings- en service-principalobjecten in Azure Active Directory voor meer informatie over de relatie tussen app-registratie, toepassingsobjecten en service-principals.

Machtigingen die vereist zijn voor het registreren van een app

U moet over voldoende machtigingen beschikken om een toepassing te registreren bij uw Azure AD-tenant en een rol toe te wijzen aan de toepassing in uw Azure-abonnement.

Azure AD-machtigingen controleren

  1. Selecteer Azure Active Directory.

  2. Zoek uw rol onder Overzicht-Mijn>feed. Als u de gebruikersrol hebt, moet u ervoor zorgen dat niet-beheerders toepassingen kunnen registreren.

    Screenshot showing how to find your role.

  3. Selecteer in het linkerdeelvenster Gebruikers en vervolgens Gebruikersinstellingen.

  4. Controleer de instelling voor app-registraties . Deze waarde kan alleen worden ingesteld door een beheerder. Als deze optie is ingesteld op Ja, kan elke gebruiker in de Azure AD-tenant een app registreren.

Als de instelling voor app-registraties is ingesteld op Nee, kunnen alleen gebruikers met een beheerdersrol deze typen toepassingen registreren. Zie ingebouwde Azure AD-rollen voor meer informatie over beschikbare beheerdersrollen en de specifieke machtigingen in Azure AD die aan elke rol worden gegeven. Als aan uw account de gebruikersrol is toegewezen, maar de app-registratie-instelling beperkt is tot gebruikers van beheerders, vraagt u de beheerder u een van de beheerdersrollen toe te wijzen waarmee alle aspecten van app-registraties kunnen worden gemaakt en beheerd, of om gebruikers in staat te stellen apps te registreren.

Azure-abonnementsmachtigingen controleren

In uw Azure-abonnement moet uw account toegang hebben Microsoft.Authorization/*/Write om een rol toe te wijzen aan een AD-app. Deze toegang wordt verleend via de rol Eigenaar of Administrator voor gebruikerstoegang. Als aan uw account de rol Inzender is toegewezen, beschikt u niet over voldoende machtigingen. U krijgt een foutmelding wanneer u probeert de service-principal een rol toe te wijzen.

Ga als volgende te werk om uw abonnementsmachtigingen te controleren:

  1. Zoek en selecteer Abonnementen of selecteer Abonnementenop de startpagina .

    Search

  2. Selecteer het abonnement waarin u de service-principal wilt maken.

    Select subscription for assignment

    Als u het abonnement dat u zoekt niet ziet, selecteert u het filter voor globale abonnementen. Zorg ervoor dat het gewenste abonnement is geselecteerd voor de portal.

  3. Selecteer Mijn machtigingen. Selecteer vervolgens Klik hier om volledige toegangsgegevens voor dit abonnement weer te geven.

    Select the subscription you want to create the service principal in

  4. Selecteer Roltoewijzingen om uw toegewezen rollen weer te geven en bepaal of u voldoende machtigingen hebt om een rol toe te wijzen aan een AD-app. Als dat niet het is, vraagt u de abonnementsbeheerder om u toe te voegen aan de rol Gebruikerstoegangsbeheerder. In de volgende afbeelding krijgt de gebruiker de rol Eigenaar toegewezen, wat betekent dat de gebruiker voldoende machtigingen heeft.

    Screenshot showing the user is assigned the Owner role.

Een toepassing registreren bij Azure AD en een service-principal maken

Laten we meteen aan de slag gaan met het maken van de identiteit. Als u een probleem ondervindt, controleert u de vereiste machtigingen om ervoor te zorgen dat uw account de identiteit kan maken.

  1. Meld u aan bij uw Azure-account via Azure Portal.

  2. Selecteer Azure Active Directory.

  3. Selecteer App-registraties.

  4. Selecteer Nieuwe registratie.

  5. Geef de toepassing een naam. Selecteer een ondersteund accounttype, waarmee wordt bepaald wie de toepassing kan gebruiken. Selecteer onder Omleidings-URIweb voor het type toepassing dat u wilt maken. Voer de URI in waarnaar het toegangstoken wordt verzonden. U kunt geen referenties maken voor een systeemeigen toepassing. U kunt dat type niet gebruiken voor een geautomatiseerde toepassing. Nadat u de waarden hebt ingesteld, selecteert u Registreren.

    Type a name for your application

U hebt uw Azure AD-toepassing en service-principal gemaakt.

Notitie

U kunt meerdere toepassingen met dezelfde naam registreren in Azure AD, maar de toepassingen moeten verschillende toepassings-id's (client-id's) hebben.

Een rol toewijzen aan de toepassing

Als u toegang wilt krijgen tot resources in uw abonnement, moet u een rol toewijzen aan de toepassing. Bepaal welke rol de juiste machtigingen biedt voor de toepassing. Zie ingebouwde Azure-rollen voor meer informatie over de beschikbare rollen.

U kunt het bereik instellen op het niveau van het abonnement, de resourcegroep of de resource. Machtigingen worden overgenomen tot lagere niveaus van het bereik. Als u bijvoorbeeld een toepassing toevoegt aan de rol Lezer voor een resourcegroep, betekent dit dat deze de resourcegroep en alle resources kan lezen die deze bevat.

  1. Selecteer in Azure Portal het bereik waaraan u de toepassing wilt toewijzen. Als u bijvoorbeeld een rol wilt toewijzen aan het abonnementsbereik, zoekt en selecteert u Abonnementen of selecteert u Abonnementenop de startpagina .

    For example, assign a role at the subscription scope

  2. Selecteer het specifieke abonnement waaraan u de toepassing wilt toewijzen.

    Select subscription for assignment

    Als u het abonnement dat u zoekt niet ziet, selecteert u het filter voor globale abonnementen. Zorg ervoor dat het gewenste abonnement is geselecteerd voor de portal.

  3. Klik op Toegangsbeheer (IAM) .

  4. SelecteerRoltoewijzing toevoegen selecteren> om de pagina Roltoewijzing toevoegen te openen.

  5. Selecteer de rol die u aan de toepassing wilt toewijzen. Als u bijvoorbeeld wilt toestaan dat de toepassing acties uitvoert zoals opnieuw opstarten, exemplaren starten en stoppen , selecteert u de rol Inzender . Lees meer over de beschikbare rollen Standaard worden Azure AD-toepassingen niet weergegeven in de beschikbare opties. Als u uw toepassing wilt zoeken, zoekt u de naam en selecteert u deze.

    Wijs de rol Inzender toe aan de toepassing binnen het abonnementsbereik. Zie Azure-rollen toewijzen met behulp van Azure Portal voor gedetailleerde stappen.

Uw service-principal is ingesteld. U kunt deze gebruiken om uw scripts of apps uit te voeren. Als u uw service-principal wilt beheren (machtigingen, machtigingen die door de gebruiker zijn toegestaan, zien welke gebruikers toestemming hebben gegeven, machtigingen controleren, aanmeldingsgegevens bekijken en meer), gaat u naar Bedrijfstoepassingen.

In de volgende sectie ziet u hoe u waarden kunt ophalen die nodig zijn bij het programmatisch aanmelden.

Waarden voor tenant- en app-id's ophalen om u aan te melden

Wanneer u zich programmatisch aanmeldt, geeft u de tenant-id door met uw verificatieaanvraag en de toepassings-id. U hebt ook een certificaat of een verificatiesleutel nodig (beschreven in de volgende sectie). U kunt deze waarden als volgt ophalen:

  1. Selecteer Azure Active Directory.

  2. Selecteer uw toepassing in app-registraties in Azure AD.

  3. Kopieer de map-id (tenant) en sla deze op in uw toepassingscode.

    Copy the directory (tenant ID) and store it in your app code

    De map-id (tenant) vindt u ook op de overzichtspagina van de standaardmap.

  4. Kopieer de Toepassings-id en sla deze op in uw toepassingscode.

    Copy the application (client) ID

Verificatie: twee opties

Er zijn twee typen verificatie beschikbaar voor service-principals: verificatie op basis van een wachtwoord (toepassingswachtwoord) en verificatie op basis van een certificaat. U wordt aangeraden een certificaat te gebruiken, maar u kunt ook een toepassingsgeheim maken.

Optie 1: Een certificaat uploaden

U kunt een bestaand certificaat gebruiken als u er een hebt. U kunt desgewenst alleen een zelfondertekend certificaat maken voor testdoeleinden. Als u een zelfondertekend certificaat wilt maken, opent u PowerShell en voert u New-SelfSignedCertificate uit met de volgende parameters om het certificaat in het certificaatarchief van de gebruiker op uw computer te maken:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporteer dit certificaat naar een bestand met behulp van de MMC-module Gebruikerscertificaat beheren die toegankelijk is via het Configuratiescherm van Windows.

  1. Selecteer Uitvoeren in het menu Start en voer vervolgens certmgr.msc in.

    Het hulpprogramma Certificate Manager voor de huidige gebruiker wordt weergegeven.

  2. Als u uw certificaten wilt weergeven, vouwt u onder Certificaten - Huidige gebruiker in het linkerdeelvenster de persoonlijke map uit.

  3. Klik met de rechtermuisknop op het certificaat dat u hebt gemaakt en selecteer Alle taken exporteren>.

  4. Volg de wizard Certificaat exporteren. Exporteer de persoonlijke sleutel niet en exporteer deze naar een . CER-bestand.

Het certificaat uploaden:

  1. Selecteer Azure Active Directory.

  2. Selecteer uw toepassing in App-registraties in Azure AD.

  3. Selecteer Certificatengeheimen&.

  4. Selecteer Certificaten>uploaden en selecteer het certificaat (een bestaand certificaat of het zelfondertekende certificaat dat u hebt geëxporteerd).

    Select Upload certificate and select the one you want to add

  5. Selecteer Toevoegen.

Nadat u het certificaat hebt geregistreerd bij uw toepassing in de toepassingsregistratieportal, schakelt u de code van de clienttoepassing in om het certificaat te gebruiken.

Optie 2: Een nieuw toepassingsgeheim maken

Als u ervoor kiest geen certificaat te gebruiken, kunt u een nieuw toepassingsgeheim maken.

  1. Selecteer Azure Active Directory.

  2. Selecteer uw toepassing in App-registraties in Azure AD.

  3. Selecteer Certificatengeheimen&.

  4. Selecteer Clientgeheimen -> Nieuw clientgeheim.

  5. Geef een beschrijving van het geheim en een duur op. Selecteer Toevoegen wanneer u klaar bent.

    Nadat u het clientgeheim hebt opgeslagen, wordt de waarde van het clientgeheim weergegeven. Kopieer deze waarde omdat u de sleutel later niet meer kunt ophalen. U geeft de sleutelwaarde op met de toepassings-id om u aan te melden als de toepassing. Bewaar de sleutelwaarde op een locatie waar de toepassing deze kan ophalen.

    Copy the secret value because you can't retrieve this later

Toegangsbeleid voor resources configureren

Houd er rekening mee dat u mogelijk extra machtigingen moet configureren voor resources waartoe uw toepassing toegang nodig heeft. U moet bijvoorbeeld ook het toegangsbeleid van een sleutelkluis bijwerken om uw toepassing toegang te geven tot sleutels, geheimen of certificaten.

  1. Navigeer in Azure Portal naar uw sleutelkluis en selecteer Toegangsbeleid.
  2. Selecteer Toegangsbeleid toevoegen en selecteer vervolgens de sleutel, het geheim en de certificaatmachtigingen die u uw toepassing wilt verlenen. Selecteer de service-principal die u eerder hebt gemaakt.
  3. Selecteer Toevoegen om het toegangsbeleid toe te voegen en sla vervolgens op om uw wijzigingen door te voeren. Add access policy

Volgende stappen