Создание регистрации приложения для использования с Azure Digital Twins

В этой статье описывается, как создать регистрацию приложения идентификатора Microsoft Entra,доступ к Azure Digital Twins. В этой статье описаны действия по портал Azure и Azure CLI.

При работе с Azure Digital Twins обычно взаимодействуют с экземпляром с помощью клиентских приложений. Эти приложения должны пройти проверку подлинности с помощью Azure Digital Twins и некоторые механизмы проверки подлинности, которые приложения могут использовать для регистрации приложения.

Регистрация приложения не обязательна для всех сценариев аутентификации. Однако если вы используете стратегию проверки подлинности или пример кода, требующий регистрации приложения, в этой статье показано, как настроить и предоставить ему разрешения для API Azure Digital Twins. Здесь также описывается, как собирать важные значения, которые необходимо использовать при проверке подлинности приложения.

Совет

Вы можете настраивать регистрацию нового приложения каждый раз, когда это необходимо, или сделать это только один раз, установив единую регистрацию приложения, которая будет использоваться всеми соответствующими сценариями.

Создание регистраций

Начните с выбора вкладки ниже для предпочтительного интерфейса.

Портал

Перейдите к идентификатору Microsoft Entra в портал Azure (вы можете использовать эту ссылку или найти ее с помощью панели поиска на портале). Выберите Регистрация приложений в меню служб, а затем + Новая регистрация.

На следующей странице Регистрация приложения введите запрошенные значения.

• Имя: отображаемое имя приложения Microsoft Entra для связи с регистрацией
• Поддерживаемые типы учетных записей — выберите Учетные записи только в этом каталоге организации (только каталог по умолчанию — один клиент)
• URI перенаправления: URL-адрес ответа приложения Microsoft Entra для приложения Microsoft Entra. Добавьте Общедоступный клиентский/собственный (мобильный и классический) URI для http://localhost.

После завершения нажмите кнопку Зарегистрировать.

После завершения настройки регистрации портал перенаправит вас на страницу сведений.

CLI

Сначала создайте файл манифеста, содержащий сведения о службе, которые потребуется для регистрации приложения для доступа к API Azure Digital Twins. После этого вы передайте этот файл в команду CLI, чтобы создать регистрацию.

Создание манифеста

Создайте на компьютере новый JSON-файл с именем manifest.json. Скопируйте в файл этот текст:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Статическое значение 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 — это идентификатор ресурса для конечной точки службы Azure Digital Twins, который необходим зарегистрированному приложению для доступа к API Azure Digital Twins.

Сохраните готовый файл.

Пользователи Cloud Shell: отправка манифеста

Если вы используете Azure Cloud Shell для этого руководства, необходимо отправить файл манифеста, созданный в Cloud Shell, чтобы получить доступ к нему в командах Cloud Shell при настройке регистрации приложения. Если вы используете локальную установку Azure CLI, вы можете перейти к следующему шагу, выполните команду создания.

Чтобы отправить файл, откройте окно Cloud Shell в браузере. Выберите значок "Отправка/скачивание файлов", а затем — пункт "Отправить".

Перейдите к файлу manifest.json на компьютере и нажмите кнопку "Открыть". Это приведет к отправке файла в корневой каталог хранилища Cloud Shell.

Выполните команду создания

В этом разделе вы запустите команду CLI для создания регистрации приложения со следующими параметрами:

• Имя (на ваш выбор)
• Доступно только для учетных записей в каталоге по умолчанию (один арендатор)
• URL-адрес веб-ответа http://localhost
• Разрешения на чтение и запись для API Azure Digital Twins

Выполните следующую команду, чтобы создать регистрацию. Если вы используете Cloud Shell, путь к файлу manifest.json имеет значение @manifest.json.

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

В выходных данных этой команды содержатся сведения о созданной регистрации приложения.

Проверка успешного выполнения

Вы можете убедиться, что разрешения Azure Digital Twins были предоставлены, найдите следующие поля в выходных данных команды создания в разделе requiredResourceAccess. Убедитесь, что их значения соответствуют приведенным ниже значениям.

• resourceAccess > id is 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Сбор важных значений

Затем определите важные параметры регистрации приложения, которые понадобятся для его использования при проверке подлинности клиентского приложения. К этим значениям относятся:

• имя ресурса — при работе с Azure Digital Twins имя ресурса — это имя http://digitaltwins.azure.net ресурса.
• идентификатор клиента
• идентификатор клиента
• секрет клиента

В следующих разделах описывается, как найти оставшиеся значения.

Получение идентификатора клиента и идентификатора арендатора

Чтобы использовать регистрацию приложения для проверки подлинности, может потребоваться указать идентификатор приложения (клиента) и идентификатор каталога (арендатора). Здесь вы собираете эти значения, чтобы сохранить их и использовать их всякий раз, когда они нужны.

Портал

Значения идентификатора клиента и идентификатора арендатора можно найти на странице сведений о регистрации приложения на портале Azure:

Запишите идентификатор приложения (клиента) и идентификатор каталога (клиента), показанный на странице.

CLI

Вы можете найти оба этих значения в выходных данных команды, запущенной az ad app createранее. (Вы также можете снова отобразить сведения о регистрации приложения с помощью az ad app show.)

Выполните поиск этих значений в результате:

Идентификатор приложения (клиента):

Идентификатор каталога (арендатора):

Получение секрета клиента

Настройте секрет клиента для регистрации приложения, который другие приложения могут использовать для проверки подлинности через него.

Портал

Начните со страницы регистрации приложения в портал Azure.

1. Выберите сертификаты и секреты из меню регистрации, а затем нажмите кнопку +Создать секрет клиента.

   

2. Введите любые значения в поля "Описание" и "Срок действия", а затем нажмите кнопку Добавить.

   

3. Убедитесь, что секрет клиента отображается на странице Сертификаты и секреты с полями "Срок действия" и "Значение".

4. Запишите идентификатор секрета и значение, которые понадобятся вам позже (вы также можете скопировать их в буфер обмена с помощью значка копирования).

   

Важно!

Не забудьте скопировать эти значения на данном этапе и сохранить их в надежном месте, так как получить их снова не удастся. Если позже вы не сможете их найти, вам потребуется создать новый секрет.

CLI

Чтобы создать секрет клиента для регистрации приложения, вам потребуется значение идентификатора клиента регистрации приложения, которое вы собрали на предыдущем шаге. Используйте значение в следующей команде CLI, чтобы создать новый секрет:

az ad app credential reset --id <client-ID> --append

Кроме того, можно добавить в эту команду необязательные параметры для описания учетных данных, даты окончания и других сведений. Дополнительные сведения о команде и ее параметрах см. в документации по сбросу учетных данных приложения az ad.

В выходных данных этой команды содержатся сведения о созданном секрете клиента.

Скопируйте значение параметра password, чтобы использовать его в качестве секрета клиента для проверки подлинности.

Важно!

Не забудьте скопировать это значение на данном этапе и сохранить его в надежном месте, так как получить его снова не удастся. Если позже вы не сможете его найти, вам потребуется создать новый секрет.

Предоставление разрешений Azure Digital Twins

Затем настройте регистрацию приложения, созданную с разрешениями для доступа к Azure Digital Twins. Существует два типа необходимых разрешений:

• Назначение роли для регистрации приложения в экземпляре Azure Digital Twins
• Разрешения API для приложения для чтения и записи в API Azure Digital Twins

Создание назначения роли

В этом разделе описано, как создать назначение ролей для регистрации приложения в экземпляре Azure Digital Twins. Эта роль определяет, какие разрешения на регистрацию приложения хранятся в экземпляре, поэтому следует выбрать роль, соответствующую соответствующему уровню разрешений для вашей ситуации. Одна из возможных ролей — владелец данных Azure Digital Twins. Полный список ролей и их описания см. в статье о встроенных ролях Azure.

Портал

Чтобы создать назначение ролей для регистрации, выполните следующие действия.

1. Откройте страницу для экземпляра Azure Digital Twins в портал Azure.

2. Выберите Управление доступом (IAM) .

3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

4. Назначьте соответствующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Параметр	Значение
   Роль	Выберите соответствующее значение
   Члены > назначают доступ к	Пользователь, группа или субъект-служба
   Члены >	+ Выберите участников, а затем найдите имя или идентификатор клиента регистрации приложения.

   

   

   После выбора роли проверьте и назначьте ее.

Подтверждение назначения ролей

Вы можете просмотреть назначение ролей, настроенное в разделе "Назначения ролей управления доступом (IAM). >

Регистрация приложения должна отображаться в списке вместе с назначенной ей ролью.

CLI

Используйте команду az dt role-assignment create, чтобы назначить роль (она должна выполняться пользователем с достаточными разрешениями в подписке Azure). Для выполнения команды необходимо передать имя роли, имя экземпляра Azure Digital Twins и имя или идентификатор объекта регистрации приложения.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Результат этой команды выводит сведения о назначении ролей, созданном для регистрации приложения.

Чтобы дополнительно проверить назначение роли, его можно найти в портал Azure (перейдите на вкладку инструкций портала).

Предоставление разрешений API

В этом разделе описано, как предоставить базовым приложениям разрешения на чтение и запись API Azure Digital Twins.

Если вы используете Azure CLI и настроили регистрацию приложения ранее с помощью файла манифеста, это действие уже сделано. Если вы используете портал Azure для создания регистрации приложения, перейдите к остальной части этого раздела, чтобы настроить разрешения API.

Портал

На странице портала для регистрации приложения в меню выберите Разрешения API. На следующей странице разрешений нажмите кнопку + Добавить разрешение.

На следующей странице Запрос разрешений API откройте вкладку API-интерфейсы, используемые моей организацией и выполните поиск по запросу Azure Digital Twins. Выберите Azure Digital Twins из результатов поиска, чтобы продолжить назначение разрешений для интерфейсов API Azure Digital Twins.

Примечание.

Если в вашей подписки остался экземпляр Azure Digital Twins из предыдущей общедоступной предварительной версии службы (до июля 2020 г.), вам потребуется найти и выбрать Azure Smart Spaces Service. Это устаревшее имя для того же набора API-интерфейсов (обратите внимание, что идентификатор приложения (клиентского) аналогичен показанному на снимке экрана выше) и порядок работы после этого не изменится.

Далее необходимо выбрать разрешения, которые будут предоставлены для этих API. Разверните разрешение Чтение (1) и установите флажок Чтение.Запись, чтобы это приложение могло проводить чтение и запись в ходе регистрации приложения.

После завершения нажмите кнопку Добавить разрешения.

Проверка разрешений API

На странице разрешений API убедитесь, что теперь есть запись для Azure Digital Twins, отражающая разрешения Read.Write:

Вы также можете проверить подключение к Azure Digital Twins в регистрации приложения manifest.js, которое автоматически обновляется с помощью сведений об Azure Digital Twins при добавлении разрешений API.

Для этого в меню выберите Манифест, чтобы просмотреть код манифеста регистрации приложения. Прокрутите окно кода вниз и найдите следующие поля и значения в разделе requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Эти значения показаны на следующем снимке экрана:

Если эти значения отсутствуют, повторите действия, описанные в разделе Добавление разрешения API.

CLI

Если вы используете интерфейс командной строки, разрешения API были настроены ранее в рамках шага создания регистрации .

Теперь их можно проверить с помощью портал Azure (перейдите на вкладку инструкций портала).

Другие возможные действия для вашей организации

Возможно, вашей организации требуется больше действий от владельцев подписки или администраторов, чтобы завершить настройку регистрации приложения. Необходимые действия могут отличаться в зависимости от конкретных настроек в вашей организации. Выберите вкладку ниже, чтобы просмотреть эти сведения, адаптированные к предпочтительному интерфейсу.

Портал

Ниже приведены некоторые распространенные потенциальные действия, которые может потребоваться выполнить владелец или администратор подписки. Эти и другие операции можно выполнить на странице Регистрация приложений Microsoft Entra в портал Azure.

• Предоставление согласия администратора на регистрацию приложения. Возможно, ваша организация Администратор согласие требуется глобально включено в идентификаторе Microsoft Entra для всех регистраций приложений в вашей подписке. Если это так, владельцу или администратору потребуется выбрать эту кнопку для вашей компании на странице разрешений API регистрации приложения, чтобы регистрация приложения была допустимой:

  

  • Если согласие было предоставлено успешно, то запись Для Azure Digital Twins должна отобразить значение "Состояние предоставлено" (ваша компания)

  

• Активация общедоступного клиентского доступа

• Установка конкретных URL-адресов ответа для доступа к веб-адресу и рабочему столу

• Разрешение неявных потоков проверки подлинности OAuth2

CLI

Ниже приведены некоторые распространенные потенциальные действия, которые может потребоваться выполнить владелец или администратор подписки.

• Предоставление согласия администратора на регистрацию приложения. Возможно, ваша организация Администратор согласие требуется глобально включено в идентификаторе Microsoft Entra для всех регистраций приложений в вашей подписке. В этом случае владельцу или администратору может потребоваться предоставить дополнительные делегированные или разрешения приложения.
• Активация общедоступного клиента путем добавления параметра --set publicClient=true к команде создания или обновления регистрации.
• Настройка определенных URL-адресов ответа для доступа из браузера и с рабочего стола с помощью параметра --reply-urls. Дополнительные сведения об использовании этого параметра с командами az ad см. в документации по приложению az ad.
• Разрешение неявных процедур проверки подлинности OAuth2 с помощью параметра --oauth2-allow-implicit-flow. Дополнительные сведения об использовании этого параметра с командами az ad см. в документации по приложению az ad.

Дополнительные сведения о регистрации приложений и его различных параметрах установки см. в статье Регистрация приложения на платформе удостоверений Майкрософт.

Следующие шаги

В этой статье описана настройка регистрации приложения Microsoft Entra, которую можно использовать для проверки подлинности клиентских приложений с помощью API Azure Digital Twins.

Также ознакомьтесь с механизмами проверки подлинности, в том числе с помощью регистрации приложений и других функций:

• Написание кода проверки подлинности приложения