Skapa ett Microsoft Entra-program och tjänstens huvudnamn som kan komma åt resurser

  • Artikel

I den här artikeln får du lära dig hur du skapar ett Microsoft Entra-program och tjänstens huvudnamn som kan användas med den rollbaserade åtkomstkontrollen. När du registrerar ett nytt program i Microsoft Entra-ID skapas automatiskt ett huvudnamn för tjänsten för appregistreringen. Tjänstens huvudnamn är appens identitet i Microsoft Entra-klientorganisationen. Åtkomsten till resurser begränsas av de roller som tilldelats tjänstens huvudnamn, vilket ger dig kontroll över vilka resurser som kan nås och på vilken nivå. Av säkerhetsskäl rekommenderar vi alltid att du använder tjänstens huvudnamn med automatiserade verktyg i stället för att tillåta dem att logga in med en användaridentitet.

I den här artikeln skapar du ett enda klientprogram i Azure-portalen. Det här exemplet gäller för verksamhetsspecifika program som används i en organisation. Du kan också använda Azure PowerShell eller Azure CLI för att skapa ett huvudnamn för tjänsten.

Viktigt!

I stället för att skapa ett huvudnamn för tjänsten bör du överväga att använda hanterade identiteter för Azure-resurser för din programidentitet. Om koden körs på en tjänst som stöder hanterade identiteter och har åtkomst till resurser som stöder Microsoft Entra-autentisering är hanterade identiteter ett bättre alternativ för dig. Mer information om hanterade identiteter för Azure-resurser, inklusive vilka tjänster som för närvarande stöder det, finns i Vad är hanterade identiteter för Azure-resurser?.

Mer information om relationen mellan appregistrering, programobjekt och tjänstens huvudnamn finns i Objekt för program och tjänstens huvudnamn i Microsoft Entra-ID.

Förutsättningar

Om du vill registrera ett program i din Microsoft Entra-klientorganisation behöver du:

Behörigheter som krävs för att registrera en app

Du måste ha tillräcklig behörighet för att registrera ett program med din Microsoft Entra-klientorganisation och tilldela programmet en roll i din Azure-prenumeration. För att slutföra dessa uppgifter behöver Application.ReadWrite.Alldu behörighet.

Registrera ett program med Microsoft Entra-ID och skapa ett huvudnamn för tjänsten

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identitetsprogram>> Appregistreringar välj sedan Ny registrering.

  3. Ge programmet namnet, till exempel "example-app".

  4. Välj en kontotyp som stöds, som avgör vem som kan använda programmet.

  5. Under Omdirigerings-URI väljer du Webb för den typ av program som du vill skapa. Ange den URI där åtkomsttoken skickas till.

  6. Välj Registrera.

    Type a name for your application.

Du har skapat ditt Microsoft Entra-program och tjänstens huvudnamn.

Tilldela en roll till programmet

För att få åtkomst till resurser i din prenumeration måste du tilldela programmet en roll. Bestäm vilken roll som ger rätt behörigheter för programmet. Mer information om tillgängliga roller finns i Inbyggda Roller i Azure.

Du kan ange omfånget på prenumerationsnivå, resursgrupp eller resursnivå. Behörigheter ärvs till lägre omfångsnivåer.

  1. Logga in på Azure-portalen.

  2. Välj den omfångsnivå som du vill tilldela programmet till. Om du till exempel vill tilldela en roll i prenumerationsomfånget söker du efter och väljer Prenumerationer. Om du inte ser den prenumeration du letar efter väljer du filter för globala prenumerationer. Kontrollera att den prenumeration som du vill ha har valts för klientorganisationen.

  3. Välj Åtkomstkontroll (IAM) .

  4. Välj Lägg till och sedan Lägg till rolltilldelning.

  5. På fliken Roll väljer du den roll som du vill tilldela till programmet i listan. Om du till exempel vill att programmet ska kunna köra åtgärder som omstart, starta och stoppa instanser väljer du rollen Deltagare .

  6. Välj Nästa.

  7. På fliken Medlemmar . Välj Tilldela åtkomst till och välj sedan Användare, grupp eller tjänstens huvudnamn

  8. Välj Välj medlemmar. Som standard visas inte Microsoft Entra-program i de tillgängliga alternativen. Om du vill hitta ditt program söker du efter det med dess namn.

  9. Välj knappen Välj och välj sedan Granska + tilldela.

    Screenshot showing role assignment.

Tjänstens huvudnamn har konfigurerats. Du kan börja använda den för att köra skript eller appar. Om du vill hantera tjänstens huvudnamn (behörigheter, användarmedgivande behörigheter, se vilka användare som har samtyckt, granska behörigheter, se inloggningsinformation med mera) går du till Företagsprogram.

Nästa avsnitt visar hur du hämtar värden som behövs när du loggar in programmatiskt.

Logga in på programmet

När du loggar in programmatiskt skickar du klient-ID:t och program-ID:t i din autentiseringsbegäran. Du behöver också ett certifikat eller en autentiseringsnyckel. Så här hämtar du katalog-ID:t (klientorganisation) och program-ID:

  1. Bläddra till Identitetsprogram>> Appregistreringar och välj sedan ditt program.
  2. På appens översiktssida kopierar du värdet för katalog-ID (klientorganisation) och lagrar det i programkoden.
  3. Kopiera värdet för program-ID :t (klient) och lagra det i programkoden.

Konfigurera autentisering

Det finns två typer av autentisering för tjänsthuvudnamn: lösenordsbaserad autentisering (programhemlighet) och certifikatbaserad autentisering. Vi rekommenderar att du använder ett betrott certifikat som utfärdats av en certifikatutfärdare, men du kan också skapa en programhemlighet eller skapa ett självsignerat certifikat för testning.

Så här laddar du upp certifikatfilen:

  1. Bläddra till Identitetsprogram>> Appregistreringar och välj sedan ditt program.
  2. Välj Certifikat och hemligheter.
  3. Välj Certifikat, välj sedan Ladda upp certifikat och välj sedan certifikatfilen som ska laddas upp.
  4. Markera Lägga till. När certifikatet har laddats upp visas tumavtrycket, startdatumet och förfallovärdet.

När du har registrerat certifikatet med ditt program i programregistreringsportalen aktiverar du den konfidentiella klientprogramkoden för att använda certifikatet.

Alternativ 2: Testa endast – skapa och ladda upp ett självsignerat certifikat

Du kan också skapa ett självsignerat certifikat endast i testsyfte. Om du vill skapa ett självsignerat certifikat öppnar du Windows PowerShell och kör New-SelfSignedCertificate med följande parametrar för att skapa certifikatet i användarcertifikatarkivet på datorn:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportera det här certifikatet till en fil med mmc-snapin-modulen Hantera användarcertifikat som är tillgänglig från Windows Kontrollpanelen.

  1. Välj KörStart-menyn och ange sedan certmgr.msc. Verktyget Certifikathanteraren för den aktuella användaren visas.
  2. Om du vill visa dina certifikat under Certifikat – Aktuell användare i den vänstra rutan expanderar du katalogen Personlig .
  3. Högerklicka på certifikatet du skapade och välj Alla uppgifter–>Exportera.
  4. Följ guiden Certifikatexport.

Så här laddar du upp certifikatet:

  1. Bläddra till Identitetsprogram>> Appregistreringar och välj sedan ditt program.
  2. Välj Certifikat och hemligheter.
  3. Välj Certifikat, välj sedan Ladda upp certifikat och välj sedan certifikatet (ett befintligt certifikat eller det självsignerade certifikatet som du exporterade).
  4. Markera Lägga till.

När du har registrerat certifikatet med ditt program i programregistreringsportalen aktiverar du den konfidentiella klientprogramkoden för att använda certifikatet.

Alternativ 3: Skapa en ny klienthemlighet

Om du väljer att inte använda ett certifikat kan du skapa en ny klienthemlighet.

  1. Bläddra till Identitetsprogram>> Appregistreringar och välj sedan ditt program.
  2. Välj Certifikat och hemligheter.
  3. Välj Klienthemligheter och välj sedan Ny klienthemlighet.
  4. Ange en beskrivning av hemligheten och en varaktighet.
  5. Markera Lägga till.

När du har sparat klienthemligheten visas värdet för klienthemligheten. Detta visas bara en gång, så kopiera det här värdet och lagra det där programmet kan hämta det, vanligtvis där programmet behåller värden som clientId, eller authoruty i källkoden. Du anger det hemliga värdet tillsammans med programmets klient-ID för att logga in som program.

Screenshot showing the client secret.

Konfigurera åtkomstprinciper för resurser

Du kan behöva konfigurera extra behörigheter för resurser som programmet behöver åtkomst till. Du måste till exempel även uppdatera åtkomstprinciperna för ett nyckelvalv för att ge ditt program åtkomst till nycklar, hemligheter eller certifikat.

Så här konfigurerar du åtkomstprinciper:

  1. Logga in på Azure-portalen.

  2. Välj ditt nyckelvalv och välj Åtkomstprinciper.

  3. Välj Lägg till åtkomstprincip och välj sedan de nyckel-, hemlighets- och certifikatbehörigheter som du vill bevilja ditt program. Välj tjänstens huvudnamn som du skapade tidigare.

  4. Välj Lägg till för att lägga till åtkomstprincipen.

  5. Spara

    Add access policy

Nästa steg