Rejestrowanie aplikacji w celu żądania tokenów autoryzacji i pracy z interfejsami API

Aby uzyskać dostęp do interfejsów API REST platformy Azure, takich jak interfejs API usługi Log Analytics lub wysyłać metryki niestandardowe, możesz wygenerować token autoryzacji na podstawie identyfikatora klienta i wpisu tajnego. Token jest następnie przekazywany w żądaniu interfejsu API REST. W tym artykule pokazano, jak zarejestrować aplikację kliencką i utworzyć klucz tajny klienta, aby można było wygenerować token.

Rejestrowanie aplikacji

Utwórz jednostkę usługi i zarejestruj aplikację przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Witryna Azure Portal

1. Aby zarejestrować aplikację, otwórz stronę Przegląd usługi Active Directory w witrynie Azure Portal.

2. Wybierz Rejestracje aplikacji na pasku bocznym.

3. Wybierz pozycję Nowa rejestracja

4. Na stronie Rejestrowanie aplikacji wprowadź nazwę aplikacji.

5. Wybierz pozycję Zarejestruj

6. Na stronie przeglądu aplikacji wybierz pozycję Certyfikaty i wpisy tajne

7. Zanotuj identyfikator aplikacji (klienta). Jest on używany w żądaniu HTTP dla tokenu.

8. Na karcie Wpisy tajne klienta Wybierz nowy klucz tajny klienta

9. Wprowadź opis i wybierz pozycję Dodaj

10. Skopiuj i zapisz wartość wpisu tajnego klienta.

    Uwaga

    Wartości wpisów tajnych klienta można wyświetlać tylko natychmiast po utworzeniu. Pamiętaj, aby zapisać wpis tajny przed opuszczeniem strony.

    

Interfejs wiersza polecenia platformy Azure

Uruchom następujący skrypt, aby utworzyć jednostkę usługi i aplikację.

az ad sp create-for-rbac -n <Service principal display name> 

Odpowiedź wygląda następująco:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Ważne

Dane wyjściowe zawierają poświadczenia, które należy chronić. Pamiętaj, aby nie uwzględniać tych poświadczeń w kodzie ani nie ewidencjonować ich w systemie kontroli kodu źródłowego.

Dodawanie roli i zakresu dla zasobów, do których chcesz uzyskać dostęp przy użyciu interfejsu API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Poniższy przykład interfejsu wiersza polecenia przypisuje Reader rolę do jednostki usługi dla wszystkich zasobów w rg-001grupie zasobów:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Aby uzyskać więcej informacji na temat tworzenia jednostki usługi przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Tworzenie jednostki usługi platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Program PowerShell

Poniższy przykładowy skrypt przedstawia tworzenie jednostki usługi Microsoft Entra za pomocą programu PowerShell. Aby uzyskać bardziej szczegółowy przewodnik, zobacz tworzenie jednostki usługi w celu uzyskania dostępu do zasobów przy użyciu programu Azure PowerShell

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Następne kroki

Przed wygenerowaniem tokenu przy użyciu aplikacji, identyfikatora klienta i wpisu tajnego przypisz aplikację do roli przy użyciu kontroli dostępu (IAM) dla zasobu, do którego chcesz uzyskać dostęp. Rola będzie zależeć od typu zasobu i interfejsu API, którego chcesz użyć.
Przykład:

• Aby przyznać aplikacji odczyt z obszaru roboczego usługi Log Analytics, dodaj aplikację jako członka do roli Czytelnik przy użyciu kontroli dostępu (IAM) dla obszaru roboczego usługi Log Analytics. Aby uzyskać więcej informacji, zobacz Access the API (Uzyskiwanie dostępu do interfejsu API)

• Aby udzielić dostępu do wysyłania metryk niestandardowych dla zasobu, dodaj aplikację jako element członkowski do roli Wydawca metryk monitorowania przy użyciu kontroli dostępu (IAM) dla zasobu. Aby uzyskać więcej informacji, zobacz Wysyłanie metryk do bazy danych metryk usługi Azure Monitor przy użyciu interfejsu API REST

Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal

Po przypisaniu roli możesz użyć aplikacji, identyfikatora klienta i klucza tajnego klienta, aby wygenerować token elementu nośnego w celu uzyskania dostępu do interfejsu API REST.

Uwaga

W przypadku korzystania z uwierzytelniania microsoft Entra może upłynąć do 60 minut, aby interfejs API REST aplikacja systemu Azure Szczegółowe informacje rozpoznawał nowe uprawnienia kontroli dostępu opartej na rolach (RBAC). Podczas propagacji uprawnień wywołania interfejsu API REST mogą zakończyć się niepowodzeniem z kodem błędu 403.