Procedure: Gebruik de portal voor het maken van een Azure AD-toepassing en service-principal die toegang hebben tot resourcesHow to: Use the portal to create an Azure AD application and service principal that can access resources

In dit artikel wordt beschreven hoe u een nieuwe Azure Active Directory (Azure AD)-toepassing en Service-Principal maakt die kunnen worden gebruikt met het toegangs beheer op basis van rollen.This article shows you how to create a new Azure Active Directory (Azure AD) application and service principal that can be used with the role-based access control. Wanneer u toepassingen, gehoste services of geautomatiseerde hulpprogram ma's hebt die toegang nodig hebben tot of wijzigen van resources, kunt u een identiteit voor de app maken.When you have applications, hosted services, or automated tools that needs to access or modify resources, you can create an identity for the app. Deze identiteit staat bekend als een service-principal.This identity is known as a service principal. De toegang tot resources wordt beperkt door de functies die aan de Service-Principal zijn toegewezen, zodat u kunt bepalen welke resources toegankelijk zijn en op welk niveau.Access to resources is restricted by the roles assigned to the service principal, giving you control over which resources can be accessed and at which level. Uit veiligheidsoverwegingen is het altijd aanbevolen om voor geautomatiseerde tools service-principals te gebruiken, in plaats van deze zich te laten aanmelden met een gebruikers-id.For security reasons, it's always recommended to use service principals with automated tools rather than allowing them to log in with a user identity.

In dit artikel leest u hoe u de-portal kunt gebruiken om de service-principal te maken in de Azure Portal.This article shows you how to use the portal to create the service principal in the Azure portal. Het is gericht op een toepassing met één Tenant waarbij de toepassing alleen binnen één organisatie kan worden uitgevoerd.It focuses on a single-tenant application where the application is intended to run within only one organization. Normaal gesp roken gebruikt u toepassingen met één Tenant voor line-of-business-toepassingen die binnen uw organisatie worden uitgevoerd.You typically use single-tenant applications for line-of-business applications that run within your organization. U kunt ook Azure PowerShell gebruiken om een service-principal te maken.You can also use Azure PowerShell to create a service principal.

Belangrijk

In plaats van een service-principal te maken, kunt u overwegen beheerde identiteiten te gebruiken voor Azure-resources voor uw toepassings identiteit.Instead of creating a service principal, consider using managed identities for Azure resources for your application identity. Als uw code wordt uitgevoerd op een service die beheerde identiteiten ondersteunt en toegang krijgt tot bronnen die ondersteuning bieden voor Azure AD-verificatie, zijn beheerde identiteiten een betere optie voor u.If your code runs on a service that supports managed identities and accesses resources that support Azure AD authentication, managed identities are a better option for you. Zie Wat is beheerde identiteiten voor Azure-resources?voor meer informatie over beheerde identiteiten voor Azure-resources, waaronder de services die momenteel door worden ondersteund.To learn more about managed identities for Azure resources, including which services currently support it, see What is managed identities for Azure resources?.

App-registratie, app-objecten en service-principalsApp registration, app objects, and service principals

Het is niet mogelijk om rechtstreeks een service-principal te maken met behulp van de Azure Portal.There is no way to directly create a service principal using the Azure portal. Wanneer u een toepassing registreert via de Azure Portal, worden er automatisch een toepassings object en service-principal gemaakt in uw basismap of Tenant.When you register an application through the Azure portal, an application object and service principal are automatically created in your home directory or tenant. Lees voor meer informatie over de relatie tussen app-registratie, toepassings objecten en service-principals de objecten Application and Service Principal in azure Active Directory.For more information on the relationship between app registration, application objects, and service principals, read Application and service principal objects in Azure Active Directory.

Benodigde machtigingen voor het registreren van een appPermissions required for registering an app

U moet over voldoende machtigingen beschikken om een toepassing te registreren bij uw Azure AD-Tenant en de toepassing een rol in uw Azure-abonnement toe te wijzen.You must have sufficient permissions to register an application with your Azure AD tenant, and assign to the application a role in your Azure subscription.

Azure AD-machtigingen controlerenCheck Azure AD permissions

  1. Selecteer Azure Active Directory.Select Azure Active Directory.

  2. Noteer uw rol.Note your role. Als u de gebruikersrol hebt, moet u ervoor zorgen dat niet-beheerders toepassingen kunnen registreren.If you have the User role, you must make sure that non-administrators can register applications.

    Zoek uw rol.

  3. Selecteer gebruikers instellingen in het linkerdeel venster.In the left pane, select User settings.

  4. Controleer de instelling app-registraties .Check the App registrations setting. Deze waarde kan alleen worden ingesteld door een beheerder.This value can only be set by an administrator. Als deze instelling is ingesteld op Ja, kan elke gebruiker in de Azure AD-Tenant een app registreren.If set to Yes, any user in the Azure AD tenant can register an app.

Als de instelling app-registraties is ingesteld op Nee, kunnen alleen gebruikers met een rol beheerder deze typen toepassingen registreren.If the app registrations setting is set to No, only users with an administrator role may register these types of applications. Zie ingebouwde rollen van Azure AD voor meer informatie over beschik bare beheerders rollen en de specifieke machtigingen in azure AD die aan elke rol worden gegeven.See Azure AD built-in roles to learn about available administrator roles and the specific permissions in Azure AD that are given to each role. Als aan uw account de gebruikersrol is toegewezen, maar de instelling van de app-registratie is beperkt tot gebruikers met beheerders rechten, vraagt u de beheerder om een van de beheerders rollen toe te wijzen die alle aspecten van app-registraties kunnen maken en beheren, of om gebruikers in staat te stellen apps te registreren.If your account is assigned the User role, but the app registration setting is limited to admin users, ask your administrator to either assign you one of the administrator roles that can create and manage all aspects of app registrations, or to enable users to register apps.

Azure-abonnements machtigingen controlerenCheck Azure subscription permissions

In uw Azure-abonnement moet uw account Microsoft.Authorization/*/Write toegang hebben om een rol toe te wijzen aan een AD-app.In your Azure subscription, your account must have Microsoft.Authorization/*/Write access to assign a role to an AD app. Deze toegang wordt verleend via de rol Eigenaar of Administrator voor gebruikerstoegang.This action is granted through the Owner role or User Access Administrator role. Als uw account de rol Inzender heeft toegewezen, beschikt u niet over voldoende machtigingen.If your account is assigned the Contributor role, you don't have adequate permission. Er wordt een fout bericht weer gegeven wanneer u probeert om de service-principal een rol toe te wijzen.You will receive an error when attempting to assign the service principal a role.

Uw abonnements machtigingen controleren:To check your subscription permissions:

  1. Zoek en selecteer abonnementen of selecteer abonnementen op de Start pagina.Search for and select Subscriptions, or select Subscriptions on the Home page.

    Zoeken

  2. Selecteer het abonnement waarin u de Service-Principal wilt maken.Select the subscription you want to create the service principal in.

    Abonnement selecteren voor toewijzing

    Als u het gewenste abonnement niet ziet, selecteert u globaal abonnementen filter.If you don't see the subscription you're looking for, select global subscriptions filter. Zorg ervoor dat het gewenste abonnement is geselecteerd voor de portal.Make sure the subscription you want is selected for the portal.

  3. Selecteer Mijn machtigingen.Select My permissions. Selecteer vervolgens Klik hier om de volledige toegangs gegevens voor dit abonnement weer te geven.Then, select Click here to view complete access details for this subscription.

    Selecteer het abonnement waarvoor u de Service-Principal wilt maken in

  4. Selecteer weer gave in roltoewijzingen om uw toegewezen rollen weer te geven en te bepalen of u voldoende machtigingen hebt om een rol toe te wijzen aan een AD-app.Select View in Role assignments to view your assigned roles, and determine if you have adequate permissions to assign a role to an AD app. Als dat niet het geval is, vraagt u uw abonnements beheerder om u toe te voegen aan de rol beheerder van gebruikers toegang.If not, ask your subscription administrator to add you to User Access Administrator role. In de volgende afbeelding is de gebruiker toegewezen aan de rol eigenaar, wat betekent dat de gebruiker over de juiste machtigingen beschikt.In the following image, the user is assigned the Owner role, which means that user has adequate permissions.

    In dit voor beeld ziet u dat aan de gebruiker de rol eigenaar is toegewezen

Een toepassing registreren bij Azure AD en een service-principal makenRegister an application with Azure AD and create a service principal

Laten we meteen beginnen met het maken van de identiteit.Let's jump straight into creating the identity. Als u een probleem ondervindt, controleert u de vereiste machtigingen om te controleren of uw account de identiteit kan maken.If you run into a problem, check the required permissions to make sure your account can create the identity.

  1. Meld u aan bij uw Azure-account via de Azure Portal.Sign in to your Azure Account through the Azure portal.

  2. Selecteer Azure Active Directory.Select Azure Active Directory.

  3. Selecteer App-registraties.Select App registrations.

  4. Selecteer Nieuwe registratie.Select New registration.

  5. Geef de toepassing een naam.Name the application. Selecteer een ondersteund account type, dat bepaalt wie de toepassing kan gebruiken.Select a supported account type, which determines who can use the application. Onder omleidings-URI selecteert u Web voor het type toepassing dat u wilt maken.Under Redirect URI, select Web for the type of application you want to create. Voer de URI in waarnaar het toegangs token wordt verzonden.Enter the URI where the access token is sent to. U kunt geen referenties maken voor een systeem eigen toepassing.You can't create credentials for a Native application. U kunt dit type niet gebruiken voor een geautomatiseerde toepassing.You can't use that type for an automated application. Nadat u de waarden hebt ingesteld, selecteert u registreren.After setting the values, select Register.

    Typ een naam voor uw toepassing

U hebt uw Azure AD-toepassing en service-principal gemaakt.You've created your Azure AD application and service principal.

Notitie

U kunt meerdere toepassingen met dezelfde naam registreren in azure AD, maar de toepassingen moeten verschillende toepassings-Id's (client) hebben.You can register multiple applications with the same name in Azure AD, but the applications must have different Application (client) IDs.

Een rol aan de toepassing toewijzenAssign a role to the application

Als u toegang wilt krijgen tot resources in uw abonnement, moet u een rol aan de toepassing toewijzen.To access resources in your subscription, you must assign a role to the application. Bepaal welke rol de juiste machtigingen voor de toepassing biedt.Decide which role offers the right permissions for the application. Zie ingebouwde rollen van Azurevoor meer informatie over de beschik bare rollen.To learn about the available roles, see Azure built-in roles.

U kunt het bereik instellen op het niveau van het abonnement, de resource groep of de resource.You can set the scope at the level of the subscription, resource group, or resource. Machtigingen worden overgenomen door lagere bereik niveaus.Permissions are inherited to lower levels of scope. Als u bijvoorbeeld een toepassing toevoegt aan de rol van lezer voor een resource groep, betekent dit dat de resource groep en alle resources die deze bevat, kunnen worden gelezen.For example, adding an application to the Reader role for a resource group means it can read the resource group and any resources it contains.

  1. Selecteer in het Azure Portal het bereik dat u aan de toepassing wilt toewijzen.In the Azure portal, select the level of scope you wish to assign the application to. Als u bijvoorbeeld een rol wilt toewijzen aan het abonnements bereik, zoekt en selecteert u abonnementen, of selecteert u abonnementen op de Start pagina.For example, to assign a role at the subscription scope, search for and select Subscriptions, or select Subscriptions on the Home page.

    U kunt bijvoorbeeld een rol aan het abonnements bereik toewijzen

  2. Selecteer het specifieke abonnement waaraan u de toepassing wilt toewijzen.Select the particular subscription to assign the application to.

    Abonnement selecteren voor toewijzing

    Als u het gewenste abonnement niet ziet, selecteert u globaal abonnementen filter.If you don't see the subscription you're looking for, select global subscriptions filter. Zorg ervoor dat het gewenste abonnement is geselecteerd voor de portal.Make sure the subscription you want is selected for the portal.

  3. Klik op Toegangsbeheer (IAM) .Select Access control (IAM).

  4. Selecteer Roltoewijzing toevoegen.Select Add role assignment.

  5. Selecteer de rol die u aan de toepassing wilt toewijzen.Select the role you wish to assign to the application. Als u bijvoorbeeld wilt toestaan dat de toepassing acties uitvoert zoals opnieuw opstarten, exemplaren starten en stoppen , selecteert u de rol Inzender .For example, to allow the application to execute actions like reboot, start and stop instances, select the Contributor role. Meer informatie over de beschik bare rollen : Azure AD-toepassingen worden standaard niet weer gegeven in de beschik bare opties.Read more about the available roles By default, Azure AD applications aren't displayed in the available options. Zoek de naam en selecteer deze om uw toepassing te vinden.To find your application, search for the name and select it.

    Selecteer de rol die u aan de toepassing wilt toewijzen

  6. Selecteer Opslaan om de rol toe te wijzen.Select Save to finish assigning the role. U ziet uw toepassing in de lijst met gebruikers met een rol voor dat bereik.You see your application in the list of users with a role for that scope.

De Service-Principal is ingesteld.Your service principal is set up. U kunt deze gebruiken om uw scripts of apps uit te voeren.You can start using it to run your scripts or apps. Als u de Service-Principal (machtigingen, machtigingen voor de gebruiker die u wilt machtigen, wilt zien welke gebruikers zijn gemachtigd, machtigingen controleren, aanmeldings gegevens en meer), gaat u naar bedrijfs toepassingen.To manage your service principal (permissions, user consented permissions, see which users have consented, review permissions, see sign in information, and more), go to Enterprise applications.

In de volgende sectie ziet u hoe u waarden kunt ophalen die nodig zijn bij het programmatisch aanmelden.The next section shows how to get values that are needed when signing in programmatically.

Tenant-en App-ID-waarden ophalen voor aanmeldenGet tenant and app ID values for signing in

Wanneer u zich programmatisch aanmeldt, geeft u de Tenant-ID door aan uw verificatie aanvraag en de toepassings-ID.When programmatically signing in, pass the tenant ID with your authentication request and the application ID. U hebt ook een certificaat of een verificatie sleutel nodig (beschreven in de volgende sectie).You also need a certificate or an authentication key (described in the following section). U kunt deze waarden als volgt ophalen:To get those values, use the following steps:

  1. Selecteer Azure Active Directory.Select Azure Active Directory.

  2. Selecteer uw toepassing in app-registraties in azure AD.From App registrations in Azure AD, select your application.

  3. Kopieer de Directory-ID (Tenant) en sla deze op in de code van uw toepassing.Copy the Directory (tenant) ID and store it in your application code.

    De map-id (tenant-id) kopiëren en in uw app-code opslaan

    De Directory-ID (Tenant) kan ook worden gevonden op de standaard pagina overzicht van mappen.The directory (tenant) ID can also be found in the default directory overview page.

  4. Kopieer de Toepassings-id en sla deze op in uw toepassingscode.Copy the Application ID and store it in your application code.

    De toepassings-id (client-id) kopiëren

Verificatie: twee optiesAuthentication: Two options

Er zijn twee soorten verificatie beschikbaar voor service-principals: verificatie op basis van wacht woorden (toepassings geheim) en verificatie op basis van certificaten.There are two types of authentication available for service principals: password-based authentication (application secret) and certificate-based authentication. We raden u aan een certificaat te gebruiken, maar u kunt ook een toepassings geheim maken.We recommend using a certificate, but you can also create an application secret.

Optie 1: een certificaat uploadenOption 1: Upload a certificate

U kunt een bestaand certificaat gebruiken als u er een hebt.You can use an existing certificate if you have one. U kunt eventueel ook een zelfondertekend certificaat maken voor test doeleinden.Optionally, you can create a self-signed certificate for testing purposes only. Als u een zelfondertekend certificaat wilt maken, opent u Power shell en voert u New-SelfSignedCertificate uit met de volgende para meters om het certificaat in het certificaat archief van de gebruiker op uw computer te maken:To create a self-signed certificate, open PowerShell and run New-SelfSignedCertificate with the following parameters to create the cert in the user certificate store on your computer:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Dit certificaat exporteren naar een bestand met behulp van de MMC-module gebruikers certificaat beheren , toegankelijk via het configuratie scherm van Windows.Export this certificate to a file using the Manage User Certificate MMC snap-in accessible from the Windows Control Panel.

  1. Selecteer uitvoeren in het menu Start en voer vervolgens certmgr. msc in.Select Run from the Start menu, and then enter certmgr.msc.

    Het hulp programma certificaat beheer voor de huidige gebruiker wordt weer gegeven.The Certificate Manager tool for the current user appears.

  2. Als u uw certificaten wilt weer geven, vouwt u onder certificaten-huidige gebruiker in het linkerdeel venster de persoonlijke map uit.To view your certificates, under Certificates - Current User in the left pane, expand the Personal directory.

  3. Klik met de rechter muisknop op het certificaat dat u hebt gemaakt, selecteer alle taken->exporteren.Right-click on the cert you created, select All tasks->Export.

  4. Volg de wizard Certificaat exporteren.Follow the Certificate Export wizard. Exporteer de persoonlijke sleutel niet en exporteer deze naar een. CER-bestand.Do not export the private key, and export to a .CER file.

Het certificaat uploaden:To upload the certificate:

  1. Selecteer Azure Active Directory.Select Azure Active Directory.

  2. Selecteer uw toepassing in app-registraties in azure AD.From App registrations in Azure AD, select your application.

  3. Selecteer Certificaten en geheimen.Select Certificates & secrets.

  4. Selecteer certificaat uploaden en selecteer het certificaat (een bestaand certificaat of het zelfondertekende certificaat dat u hebt geëxporteerd).Select Upload certificate and select the certificate (an existing certificate or the self-signed certificate you exported).

    Selecteer certificaat uploaden en selecteer het account dat u wilt toevoegen.

  5. Selecteer Toevoegen.Select Add.

Nadat u het certificaat hebt geregistreerd bij uw toepassing in de portal voor toepassings registratie, schakelt u de client toepassings code in om het certificaat te gebruiken.After registering the certificate with your application in the application registration portal, enable the client application code to use the certificate.

Optie 2: een nieuw toepassings geheim makenOption 2: Create a new application secret

Als u ervoor kiest geen certificaat te gebruiken, kunt u een nieuw toepassings geheim maken.If you choose not to use a certificate, you can create a new application secret.

  1. Selecteer Azure Active Directory.Select Azure Active Directory.

  2. Selecteer uw toepassing in app-registraties in azure AD.From App registrations in Azure AD, select your application.

  3. Selecteer Certificaten en geheimen.Select Certificates & secrets.

  4. Selecteer Clientgeheimen -> Nieuw clientgeheim.Select Client secrets -> New client secret.

  5. Geef een beschrijving van het geheim en een duur op.Provide a description of the secret, and a duration. Selecteer Toevoegen wanneer u klaar bent.When done, select Add.

    Nadat u het clientgeheim hebt opgeslagen, wordt de waarde van het clientgeheim weergegeven.After saving the client secret, the value of the client secret is displayed. Kopieer deze waarde omdat u de sleutel later niet meer kunt ophalen.Copy this value because you won't be able to retrieve the key later. U geeft de sleutel waarde op met de toepassings-ID om u aan te melden als de toepassing.You will provide the key value with the application ID to sign in as the application. Bewaar de sleutelwaarde op een locatie waar de toepassing deze kan ophalen.Store the key value where your application can retrieve it.

    De geheimwaarde kopiëren omdat u deze later niet meer kunt ophalen

Toegangs beleid voor resources configurerenConfigure access policies on resources

Houd er rekening mee dat u aanvullende machtigingen moet configureren voor bronnen die voor uw toepassing toegankelijk moeten zijn.Keep in mind, you might need to configure additional permissions on resources that your application needs to access. U moet bijvoorbeeld ook het toegangs beleid van een sleutel kluis bijwerken om uw toepassing toegang te geven tot sleutels, geheimen of certificaten.For example, you must also update a key vault's access policies to give your application access to keys, secrets, or certificates.

  1. Navigeer in het Azure Portalnaar uw sleutel kluis en selecteer toegangs beleid.In the Azure portal, navigate to your key vault and select Access policies.
  2. Selecteer toegangs beleid toevoegen en selecteer vervolgens de sleutel, het geheim en de certificaat machtigingen die u uw toepassing wilt verlenen.Select Add access policy, then select the key, secret, and certificate permissions you want to grant your application. Selecteer de service-principal die u eerder hebt gemaakt.Select the service principal you created previously.
  3. Selecteer toevoegen om het toegangs beleid toe te voegen en Sla vervolgens op om uw wijzigingen door te voeren.Select Add to add the access policy, then Save to commit your changes. Toegangsbeleid toevoegenAdd access policy

Volgende stappenNext steps