Поделиться через

Создание субъекта-службы

  • Статья

Из этой статьи вы узнаете, как создать приложение Microsoft Entra и субъект-службу, которые можно использовать с управлением доступом на основе ролей для проверки подлинности Управляемый экземпляр SQL Azure рабочих процессов пакета управления в облаке Azure.

При регистрации нового приложения в Microsoft Entra ID автоматически создается субъект-служба для регистрации приложения. Субъект-служба — это удостоверение приложения в клиенте Microsoft Entra. Доступ к ресурсам ограничен ролями, назначенными для субъекта-службы, что дает пользователю возможность контроля уровня доступа к различным ресурсам. В целях безопасности всегда рекомендуется использовать субъекты-службы с автоматизированными средствами, а не разрешать им выполнять вход с помощью удостоверения пользователя.

В этой статье описано, как создать приложение с одним клиентом в портал Azure. Этот пример применим для бизнес-приложений, используемых в одной организации. Для создания субъекта-службы можно также использовать Azure PowerShell или Azure CLI.

Предварительные требования

Чтобы зарегистрировать приложение в клиенте Microsoft Entra, вам потребуется:

Разрешения, необходимые для регистрации приложения

Необходимо иметь достаточные разрешения для регистрации приложения в клиенте Microsoft Entra и назначения ему роли в подписке Azure. Для выполнения этих задач требуется Application.ReadWrite.Allpermission.

Регистрация приложения с помощью Microsoft Entra ID и создание субъекта-службы

  1. Войдите на портал Azure.

  2. Перейдите > к Microsoft Entra ID Регистрация приложений а затем выберите Создать регистрацию.

  3. Назовите приложение, например Azure_SQL_ManagedInstance_App_customSPN.

  4. Выберите поддерживаемый тип учетной записи, который определяет, кто может использовать приложение, а затем нажмите кнопку Зарегистрировать.

    Снимок экрана: приложение регистрации.

    Совет

    Вы можете пропустить перенаправление веб-URI, этот параметр не требуется для мониторинга.

Вы создали приложение Microsoft Entra и субъект-службу.

Назначение роли для приложения

Чтобы обеспечить доступ к ресурсам в подписке, необходимо назначить роль для приложения. Решите, какая роль предлагает нужные разрешения для приложения, однако для проверки подлинности Управляемый экземпляр SQL Azure рабочих процессов пакета управления в облаке Azure достаточно роли Читатель.

Вы можете задать область действия на уровне подписки, группы ресурсов или ресурса. Разрешения наследуют более низкие уровни области действия.

  1. Оставаясь на портале, выберите уровень область, которому вы хотите назначить приложение. Например, чтобы назначить роль в область подписки, найдите и выберите Подписки. Если требуемая подписка не отображается, выберите фильтр глобальных подписок. Убедитесь, что для клиента выбрана нужная подписка.

  2. Выберите Управление доступом (IAM),добавить, а затем — Добавить назначение ролей.

  3. На вкладке Роль выберите роль Читатель , назначаемую приложению в списке, а затем нажмите кнопку Далее.

  4. На вкладке Участники выберите Назначить доступ, а затем — Пользователь, группа или субъект-служба.

  5. Выберите Выбрать участников и найдите приложение, найдите его по имени. Нажмите кнопку Выбрать , а затем выберите Проверить и назначить.

    Снимок экрана: добавление назначения ролей.

Вход в приложение

При программном входе передайте идентификатор клиента и идентификатор приложения в запросе на проверку подлинности. Вам также потребуется сертификат или ключ проверки подлинности. Чтобы получить идентификатор каталога (клиента) и идентификатор приложения, выполните следующие действия.

  1. Перейдите в разделПриложения>удостоверений>Регистрация приложений а затем выберите свое приложение.
  2. На странице обзора приложения скопируйте значение идентификатора каталога (клиента) и сохраните его в коде приложения.
  3. Скопируйте значение идентификатора приложения (клиента) и сохраните его в коде приложения.

Настройка проверки подлинности

Существует два типа проверки подлинности, доступных для субъектов-служб: проверка подлинности на основе пароля (секрет клиента) и проверка подлинности на основе сертификата. В этой статье будет использоваться проверка подлинности на основе пароля (секрет клиента).

Создание секрета клиента

  1. Перейдите к Microsoft Entra ID>Регистрация приложений, а затем выберите свое приложение.

  2. Выберите Сертификаты & секреты, секреты клиента, а затем — Новый секрет клиента.

  3. Укажите описание секрета и длительность в соответствии с корпоративной политикой, а затем нажмите кнопку Добавить.

    Совет

    После сохранения секрета клиента отображается значение секрета клиента. Оно отображается только один раз, поэтому скопируйте это значение и сохраните его в безопасном расположении для повторного использования.

    Снимок экрана: регистрация секрета клиента.

Субъект-служба настроен.

Настройка учетной записи запуска от имени Azure

Чтобы начать работу с субъектом-службой, на шаге мастера настройки учетной записи запуска от имени выберитеСоздать и заполните форму значениями, которые можно найти на странице обзора приложения:

Снимок экрана: создание новой учетной записи запуска от имени Azure.

Создав учетную запись запуска от имени, связанную с именем субъекта-службы Azure, выберите ее из раскрывающегося списка и нажмите кнопку Далее. Эта учетная запись запуска от имени будет использоваться для проверки подлинности в облаке Azure.

Снимок экрана: существующий профиль запуска от имени.