Создание регистрации приложения Azure AD

  • 7 мин

Одна из ваших первых задач, как разработчика приложения, — зарегистрировать приложение Azure AD. Приложение Azure AD устанавливает удостоверение для приложения и указывает разрешения для ресурсов REST API для Power BI. Приложение может использовать регистрацию приложения Azure AD для создания токенов Azure AD.

Каждое приложение Azure AD имеет идентификатор ApplicationID, который иногда называется ClientID. Это глобальный уникальный идентификатор, определяющий приложение в платформе удостоверений Майкрософт. Приложение использует ApplicationID при запросе токена Azure AD, поэтому его значение должно быть жестко закодировано в файле конфигурации приложения.

Ваше приложение должно задать учетные данные приложения Azure AD для проверки подлинности самого себя, не требуя действий со стороны пользователя приложения. Вы можете также добавить сертификаты и секреты клиента в качестве учетных данных для регистрации приложения.

Сертификат, который иногда называют открытым ключом, является рекомендуемым типом учетных данных для рабочих приложений, так как он считается более безопасным, чем секреты клиента. Дополнительные сведения об использовании сертификата в качестве метода аутентификации в приложении см. в статье Учетные данные сертификата проверки подлинности приложения платформы удостоверений Майкрософт.

Кроме того, можно использовать секрет клиента — строковое значение, которое ваше приложение может использовать вместо сертификата для идентификации. Иногда он называется паролем приложения.

Важно!

Секреты клиента менее безопасны, чем учетные данные сертификата. Разработчики иногда используют секреты клиента во время разработки локальных приложений из-за удобства их использования. Однако для рабочих приложений лучше использовать сертификаты.

Независимо от того, используются ли сертификаты или секреты клиента, необходимо предпринять шаги по защите учетных данных от несанкционированного доступа и использования. Мы рекомендуем использовать Azure Key Vault для защиты криптографических ключей, сертификатов и секретов в облаке.

Вы можете создать регистрацию приложения тремя способами:

  • Использование портала Azure
  • Использование средства настройки внедрения.
  • Разработка сценария PowerShell

Использование портала Azure

Используйте раздел Регистрация приложений на портале Azure для составления списка объектов приложения в домашнем клиенте и управления ими. Вы также можете добавить секреты или сертификаты и области, чтобы обеспечить работу приложения, настроить его фирменную символику в диалоговом окне для входа и многое другое.

Примечание

При регистрации приложения на портале Azure портал автоматически одновременно создает объект субъекта-службы.

Преимущество использования портала Azure заключается в том, что он предоставляет все поддерживаемые разрешения службы Power BI. Разрешения могут предоставлять права на просмотр всех отчетов, чтение и запись всех отчетов и другие.

Снимок экрана: окно запроса разрешений API из портал Azure. В нем отображаются два предоставленных разрешения: Просмотр всех отчетов и Чтение и запись всех отчетов.

На портале Azure можно предоставлять эти разрешения для главной учетной записи пользователя, чтобы избежать запроса согласия в Azure AD. Более того, глобальный администратор может предоставить разрешения всем пользователям в организации, чтобы избежать запросов для всех пользователей приложения.

Примечание

Не обязательно предоставлять разрешения, если удостоверение внедрения приложения является субъектом-службой. Это связано с тем, что администраторы Power BI управляют своими разрешениями на портале администрирования Power BI.

Однако недостатком использования портала Azure является то, что он может быть сложным и затратным по временем для разработчиков.

Использование средства настройки внедрения.

Чтобы упростить и ускорить настройку среды разработки, используйте средство настройки внедрения. Оно содержит два варианта внедрения решения: Внедрение для клиентов и Внедрение для организации.

Примечание

Пример приложения Embed для клиентов не поддерживает использование удостоверения внедрения субъекта-службы. однако его можно адаптировать для поддержки.

Снимок экрана: два варианта, показанных в средстве настройки внедрения: Внедрение для клиентов и Внедрение для вашей организации.

Средство значительно упрощает настройку. На рабочий процесс, похожий на мастер, требуется всего несколько минут. Когда все будет готово, средство автоматически:

  • Создает регистрацию приложения Azure AD и запрашивает соответствующие разрешений REST API для Power BI.
  • При необходимости создает рабочую область.
  • При необходимости импортирует набор данных и отчет в рабочую область. Вы можете импортировать пример отчета или отправить файл Power BI Desktop (PBIX) на свой выбор.
  • Предоставляет разрешения, чтобы избежать запроса согласия в Azure AD.
  • Возвращает важные значения конфигурации, включая ApplicationID, идентификатор рабочей области (GroupID) и ReportID.
  • Создает пример приложения ASP.NET, написанного на C#, который можно скачать в виде ZIP-файла. Файл конфигурации приложения содержит все значения конфигурации (описанные в предыдущем пункте), но не включает главную учетную запись пользователя или ее учетные данные. Эти значения конфигурации необходимо ввести вручную.

Это отличная новость для вас, если вы только недавно начали заниматься разработкой встроенной аналитики Power BI. Во-первых, вы можете получить функциональное приложение за несколько минут. Во-вторых, корпорация Майкрософт разработала примеры приложений, используя текущие библиотеки программного обеспечения и рекомендации по проектированию, чтобы вы могли реконструировать их, чтобы понять, как они работают, и учиться на них. Вы можете продолжить разработку приложения или разработать новое приложение с нуля, применяя полученные навыки.

Разработка сценария PowerShell

Возможность разработки сценария для создания регистрации приложения — это хороший вариант, когда необходимо воспроизвести операции управления. Например, можно создать сценарий для подключения нового клиента в приложении с несколькими клиентами. Хорошо написанные сценарии могут позволить получить боле быстрые и точные результаты.

Microsoft Graph предоставляет унифицированную модель программируемости. Он предоставляет REST API и клиентскую библиотеку для доступа к данным и выполнения операций в различных облачных службах (Майкрософт). При создании регистраций приложений можно использовать Microsoft Graph для:

  • создания секретов приложения;
  • выбора регистраций приложения;
  • создания субъекта-службы приложения;
  • назначения пользователя в качестве владельца приложения;
  • добавления субъектов-служб в группу безопасности.

Примечание

При программном создании регистрации приложения субъект-служба не создается автоматически. В сценарии нужно явным образом добавить субъект-службу в приложение.

Совет

Пример разработки сценария, создающего регистрацию приложения, см. в модуле "Автоматизация управления решением Power BI".