Kaynaklara erişebilen bir Azure AD uygulaması ve hizmet sorumlusu oluşturmak için portalı kullanma

bu makalede rol tabanlı erişim denetimiyle kullanılabilecek yeni bir Azure Active Directory (Azure AD) uygulaması ve hizmet sorumlusu oluşturma konusu gösterilmektedir. Kaynaklara erişmesi veya kaynakları değiştirmesi gereken uygulamalar, barındırılan hizmetler veya otomatikleştirilmiş araçlar varsa, uygulama için bir kimlik oluşturabilirsiniz. Bu kimlik, hizmet sorumlusu olarak bilinir. Kaynaklara erişim, hizmet sorumlusuna atanan roller tarafından kısıtlanır ve hangi kaynaklara erişilebileceklerini ve hangi düzeyde erişilebilir bir denetim sağlar. Güvenlik nedeniyle, otomatikleştirilmiş araçların kullanıcı kimliği ile oturum açmalarına izin vermek yerine her zaman hizmet sorumlularını kullanmanız önerilir.

Bu makalede, Azure portal hizmet sorumlusunu oluşturmak için portalın nasıl kullanılacağı gösterilir. Uygulamanın yalnızca bir kuruluş içinde çalıştırılması amaçlanan tek kiracılı bir uygulamaya odaklanır. Genellikle kuruluşunuzda çalışan iş kolu uygulamaları için tek kiracılı uygulamalar kullanırsınız. hizmet sorumlusu oluşturmak için Azure PowerShell de kullanabilirsiniz.

Önemli

Hizmet sorumlusu oluşturmak yerine, uygulama kimliğiniz için Azure kaynakları için Yönetilen kimlikler kullanmayı göz önünde bulundurun. Kodunuz yönetilen kimlikleri destekleyen bir hizmette çalışıyorsa ve Azure AD kimlik doğrulamasını destekleyen kaynaklara eriştiğinde, Yönetilen kimlikler sizin için daha iyi bir seçenektir. Azure kaynakları için Yönetilen kimlikler hakkında daha fazla bilgi edinmek için şu anda hangi hizmetleri desteklediği hakkında daha fazla bilgi için bkz. Azure kaynakları için Yönetilen kimlikler nelerdir?.

Uygulama kaydı, uygulama nesneleri ve hizmet sorumluları

Azure portal kullanarak doğrudan hizmet sorumlusu oluşturmanın bir yolu yoktur. Azure portal aracılığıyla bir uygulamayı kaydettiğinizde, giriş dizininizde veya kiracınızda bir uygulama nesnesi ve hizmet sorumlusu otomatik olarak oluşturulur. Uygulama kaydı, uygulama nesneleri ve hizmet sorumluları arasındaki ilişki hakkında daha fazla bilgi için, Azure Active Directory Içindeki uygulama ve hizmet sorumlusu nesneleriniokuyun.

Bir uygulamayı kaydettirmek için gereken izinler

Azure AD kiracınızla bir uygulamayı kaydetmek ve uygulamaya Azure aboneliğinizdeki bir rolü atamak için yeterli izinlere sahip olmanız gerekir.

Azure AD izinlerini denetle

  1. Azure Active Directory seçin.
  2. -> Özet akışım altında rolünüzü bulun. Kullanıcı rolüne sahipseniz, yönetici olmayanların uygulamaları kaydedebiliyorsanız emin olmanız gerekir.

Rolünüzün nasıl bulunacağını gösteren ekran görüntüsü.

  1. Sol bölmede Kullanıcılar ' ı ve ardından Kullanıcı ayarları' nı seçin.
  2. Uygulama kayıtları ayarını denetleyin. Bu değer yalnızca bir yönetici tarafından ayarlanabilir. Evet olarak ayarlanırsa, Azure AD kiracısındaki tüm kullanıcılar bir uygulamayı kaydedebilir.

Uygulama kayıtları ayarı Hayır olarak ayarlandıysa, yalnızca yönetici rolüne sahip kullanıcılar bu tür uygulamaları kaydedebilir. Kullanılabilir yönetici rolleri ve Azure AD 'de her role verilen belirli izinler hakkında bilgi edinmek için bkz. Azure AD yerleşik rolleri . Hesabınız Kullanıcı rolüne atanırsa, ancak uygulama kaydı ayarı Yönetici kullanıcılarla sınırlı ise, yöneticinizden uygulama kayıtlarının tüm yönlerini oluşturup yönetebilen yönetici rollerinden birini atamasını veya kullanıcıların uygulamaları kaydetmesini sağlamak için bunu yapmasını isteyin.

Azure abonelik izinlerini denetle

Azure aboneliğinizde, hesabınız bir Microsoft.Authorization/*/Write ad uygulamasına rol atamak için erişime sahip olmalıdır. Bu eylemin izni, Sahip rolüyle veya Kullanıcı Erişimi Yöneticisi rolüyle verilir. Hesabınıza katkıda bulunan rolü atanırsa, yeterli izne sahip değilsiniz. Hizmet sorumlusu bir rol atamaya çalışırken bir hata alırsınız.

Abonelik izinlerinizi denetlemek için:

  1. Abonelik arayın ve seçin veya giriş sayfasında abonelikler ' i seçin.

    Arayın

  2. Hizmet sorumlusunu oluşturmak istediğiniz aboneliği seçin.

    Atama için abonelik seçin

    Aradığınız aboneliği görmüyorsanız genel abonelikler filtresi' ni seçin. Portal için istediğiniz aboneliğin seçildiğinden emin olun.

  3. Izinlerim' i seçin. Ardından, bu aboneliğin tüm erişim ayrıntılarını görüntülemek için buraya tıklayın ' ı seçin.

    Hizmet sorumlusunu oluşturmak istediğiniz aboneliği seçin

  4. Atanan rollerinizi görüntülemek için rol atamaları ' nı seçin ve bir ad uygulamasına rol atamak için yeterli izinlere sahip olup olmadığınızı belirleyin. Aksi takdirde, abonelik yöneticinizden sizi Kullanıcı erişimi Yöneticisi rolüne eklemesini isteyin. Aşağıdaki görüntüde, Kullanıcı sahip rolüne atanır, bu da kullanıcının yeterli izinlere sahip olduğu anlamına gelir.

    Kullanıcının sahip rolüne atandığını gösteren ekran görüntüsü.

Bir uygulamayı Azure AD 'ye kaydetme ve hizmet sorumlusu oluşturma

Şimdi kimlik oluşturmaya doğrudan atlayalım. Bir sorunla karşılaşırsanız, hesabınızın kimlik oluşturup oluşturerişebildiğinizden emin olmak için gerekli izinleri denetleyin.

  1. Azure Portalaracılığıyla Azure hesabınızda oturum açın.

  2. Azure Active Directory seçin.

  3. Uygulama kayıtları’nı seçin.

  4. Yeni kayıt seçeneğini belirleyin.

  5. Uygulamayı adlandırın. Uygulamayı kimlerin kullanabileceğinizi belirleyen desteklenen bir hesap türü seçin. Yeniden yönlendirme URI 'si altında, oluşturmak istediğiniz uygulama türü için Web ' i seçin. Erişim belirtecinin gönderildiği URI 'yi girin. Yerel bir uygulamaiçin kimlik bilgileri oluşturamazsınız. Bu türü otomatik bir uygulama için kullanamazsınız. Değerleri ayarladıktan sonra Kaydet' i seçin.

    Uygulamanız için bir ad yazın

Azure AD uygulamanızı ve hizmet sorumlusunu oluşturdunuz.

Not

Azure AD 'de aynı ada sahip birden çok uygulamayı kaydedebilirsiniz, ancak uygulamalar farklı uygulama (istemci) kimliklerine sahip olmalıdır.

Uygulamaya bir rol atama

Aboneliğinizdeki kaynaklara erişmek için uygulamaya bir rol atamanız gerekir. Hangi rolün uygulama için doğru izinleri sunduğunu belirleyin. Kullanılabilir roller hakkında bilgi edinmek için bkz. Azure yerleşik rolleri.

Kapsamı, abonelik, kaynak grubu veya kaynak düzeyinde ayarlayabilirsiniz. İzinler, daha düşük kapsam düzeylerine devralınır. Örneğin, bir kaynak grubu için okuyucu rolüne bir uygulama eklemek, kaynak grubunu ve içerdiği kaynakları okuyabileceği anlamına gelir.

  1. Azure portal, uygulamayı atamak istediğiniz kapsam düzeyini seçin. Örneğin, abonelik kapsamında bir rol atamak için, abonelikleri arayıp seçin ya da giriş sayfasında abonelikler ' i seçin.

    Örneğin, abonelik kapsamında bir rol atayın

  2. Uygulamayı atamak için belirli bir abonelik seçin.

    Atama için abonelik seçin

    Aradığınız aboneliği görmüyorsanız genel abonelikler filtresi' ni seçin. Portal için istediğiniz aboneliğin seçildiğinden emin olun.

  3. Erişim denetimi (IAM) öğesini seçin.

  4. Rol ataması Ekle sayfasını açmak için rol ataması Ekle Ekle ' yi seçin.

  5. Uygulamaya atamak istediğiniz rolü seçin. Örneğin, uygulamanın yeniden başlatma gibi eylemleri yürütmesine izin vermek için örnekleri başlatın ve durdurun , katkıda bulunan rolünü seçin. Kullanılabilir roller hakkında daha fazla bilgi için, varsayılan olarak Azure AD uygulamaları kullanılabilir seçeneklerde gösterilmez. Uygulamanızı bulmak için adı arayın ve seçin.

    Abonelik kapsamındaki uygulamaya katkıda bulunan rolünü atayın. Ayrıntılı adımlar için bkz. Azure Portal kullanarak Azure rolleri atama.

Hizmet sorumlusu ayarlanır. Betikleri veya uygulamalarınızı çalıştırmak için kullanmaya başlayabilirsiniz. hizmet sorumlunuzu yönetmek için (izinler, kullanıcı onaylı izinler, hangi kullanıcıların onaylı olduğunu görün, izinleri gözden geçirin, oturum açma bilgilerini görüntüleyin ve daha fazla), Enterprise uygulamalara gidin.

Sonraki bölümde, programlama yoluyla oturum açarken gereken değerlerin nasıl alınacağı gösterilmektedir.

Oturum açmak için kiracı ve uygulama KIMLIĞI değerlerini al

Programlı olarak oturum açtığınızda, kiracı KIMLIĞINI kimlik doğrulama isteğinizle ve uygulama KIMLIĞIYLE geçirin. Ayrıca bir sertifika veya bir kimlik doğrulama anahtarı (aşağıdaki bölümde açıklanmıştır) gerekir. Bu değerleri almak için aşağıdaki adımları kullanın:

  1. Azure Active Directory seçin.

  2. Azure AD 'de uygulama kayıtları uygulamanızı seçin.

  3. Dizin (kiracı) KIMLIĞINI kopyalayın ve uygulama kodunuzda depolayın.

    Dizini (kiracı KIMLIĞI) kopyalayın ve uygulama kodunuzda depolayın

    Dizin (kiracı) KIMLIĞI, varsayılan dizine genel bakış sayfasında da bulunabilir.

  4. Uygulama kimliği'ni kopyalayın ve bunu uygulama kodunuzda depolayın.

    Uygulama (istemci) KIMLIĞINI Kopyala

Kimlik doğrulaması: Iki seçenek

Hizmet sorumluları için iki tür kimlik doğrulaması kullanılabilir: parola tabanlı kimlik doğrulaması (uygulama gizli dizisi) ve sertifika tabanlı kimlik doğrulaması. Bir sertifika kullanmanızı öneririz, ancak bir uygulama gizli anahtarı da oluşturabilirsiniz.

seçenek 1: bir sertifika Upload

Varsa, var olan bir sertifikayı kullanabilirsiniz. İsteğe bağlı olarak, yalnızca sınama amacıyla otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Otomatik olarak imzalanan bir sertifika oluşturmak için PowerShell 'i açın ve bilgisayarınızdaki Kullanıcı sertifika deposunda sertifikayı oluşturmak için aşağıdaki parametrelerle Yeni bir SelfSignedCertificate çalıştırın:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Windows denetim masasından kullanıcı sertifikasını yönet MMC ek bileşenini kullanarak bu sertifikayı bir dosyaya aktarın.

  1. Başlat menüsünden Çalıştır ' ı seçin ve ardından certmgr. msc yazın.

    Geçerli Kullanıcı için Sertifika Yöneticisi aracı görünür.

  2. Sertifikalarınızı görüntülemek için Sertifikalar ' ın altında, sol bölmedeki Kişisel Dizin ' i genişletin.

  3. Oluşturduğunuz sertifikaya sağ tıklayın, Tüm görevler->dışarı aktar' ı seçin.

  4. Sertifika Verme Sihirbazı ' nı izleyin. Özel anahtarı dışarı aktarmayın ve ' a aktarın. CER dosyası.

Sertifikayı karşıya yüklemek için:

  1. Azure Active Directory seçin.

  2. Azure AD 'de uygulama kayıtları uygulamanızı seçin.

  3. Sertifikalar & parolaları' nı seçin.

  4. Upload sertifikası ' nı seçin ve sertifikayı (mevcut bir sertifika veya verdiğiniz otomatik olarak imzalanan sertifika) seçin.

    Upload sertifikası ' nı seçin ve eklemek istediğiniz olanı seçin

  5. Add (Ekle) seçeneğini belirleyin.

Sertifikayı uygulama kayıt portalı 'nda uygulamanıza kaydettikten sonra, sertifikayı kullanmak için istemci uygulama kodunu etkinleştirin.

2. seçenek: yeni bir uygulama parolası oluşturma

Bir sertifika kullanmayı tercih ederseniz, yeni bir uygulama parolası oluşturabilirsiniz.

  1. Azure Active Directory seçin.

  2. Azure AD 'de uygulama kayıtları uygulamanızı seçin.

  3. Sertifikalar & parolaları' nı seçin.

  4. Istemci gizli dizileri -> yeni istemci parolası' nı seçin.

  5. Gizli anahtar ve süre için bir açıklama sağlayın. İşiniz bittiğinde Ekle' yi seçin.

    İstemci gizliliğini kaydettikten sonra, istemci parolasının değeri görüntülenir. Anahtarı daha sonra alamayamayacağından bu değeri kopyalayın. Uygulama kimliğiyle oturum açmak için anahtar değerini uygulama kimliğiyle birlikte sağlarsınız. Anahtarı, uygulamanızın alabileceği bir konumda depolayın.

    Daha sonra geri alamadığı için gizli değeri kopyalayın

Kaynaklarda erişim ilkeleri yapılandırma

Unutmayın, uygulamanızın erişmesi gereken kaynaklarda ek izinler yapılandırmanız gerekebilir. Örneğin, uygulamanıza anahtarlar, gizlilikler veya sertifikalara erişim sağlamak için bir anahtar kasasının erişim ilkelerini de güncelleştirmeniz gerekir.

  1. Azure Portal, anahtar kasanıza gidin ve erişim ilkeleri' ni seçin.
  2. Erişim Ilkesi Ekle' yi seçin, ardından uygulamanıza vermek istediğiniz anahtar, gizli dizi ve sertifika izinlerini seçin. Daha önce oluşturduğunuz hizmet sorumlusunu seçin.
  3. Erişim ilkesini eklemek için Ekle ' yi seçin ve sonra değişikliklerinizi yürütmek için kaydedin . Erişim İlkesi Ekle

Sonraki adımlar