Yetkilendirme belirteçleri istemek ve API'lerle çalışmak için bir Uygulama kaydetme

Log Analytics API'si gibi Azure REST API'lerine erişmek veya özel ölçümler göndermek için istemci kimliğine ve gizli diziye dayalı bir yetkilendirme belirteci oluşturabilirsiniz. Ardından belirteç REST API isteğinize geçirilir. Bu makalede, bir istemci uygulamasını kaydetme ve belirteç oluşturabilmeniz için bir istemci gizli dizisi oluşturma gösterilmektedir.

Uygulama Kaydetme

Azure portalını, Azure CLI'yı veya PowerShell'i kullanarak bir hizmet sorumlusu oluşturun ve bir uygulama kaydedin.

Azure portalı

1. Bir uygulamayı kaydetmek için Azure portalında Active Directory'ye Genel Bakış sayfasını açın.

2. Yan çubuktan Uygulama kayıtları'ı seçin.

3. Yeni kayıt'ı seçin

4. Uygulamayı kaydet sayfasında, uygulama için bir Ad girin.

5. Kaydet'i seçin

6. Uygulamanın genel bakış sayfasında Sertifikalar ve Gizli Diziler'i seçin

7. Uygulama (istemci) kimliğini not edin. Bir belirteç için HTTP isteğinde kullanılır.

8. İstemci gizli dizileri sekmesinde Yeni istemci gizli dizisini seçin

9. Açıklama girin ve Ekle'yi seçin

10. İstemci gizli dizisi Değerini kopyalayın ve kaydedin.

    Dekont

    İstemci gizli anahtarı değerleri yalnızca oluşturulduktan hemen sonra görüntülenebilir. Sayfadan çıkmadan önce gizli diziyi kaydettiğinizden emin olun.

    

Azure CLI

Hizmet sorumlusu ve uygulama oluşturmak için aşağıdaki betiği çalıştırın.

az ad sp create-for-rbac -n <Service principal display name> 

Yanıt aşağıdaki gibi görünür:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Önemli

Çıkış, korumanız gereken kimlik bilgilerini içerir. Bu kimlik bilgilerini kodunuza eklemediğinizden emin olun veya kaynak denetiminizdeki kimlik bilgilerini denetleyin.

API kullanarak erişmek istediğiniz kaynaklar için rol ve kapsam ekleme

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Aşağıdaki CLI örneği, rolü kaynak grubundaki tüm kaynaklar için hizmet sorumlusuna rg-001atarReader:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Azure CLI kullanarak hizmet sorumlusu oluşturma hakkında daha fazla bilgi için bkz . Azure CLI ile Azure hizmet sorumlusu oluşturma.

PowerShell

Aşağıdaki örnek betik, PowerShell aracılığıyla bir Microsoft Entra hizmet sorumlusu oluşturmayı gösterir. Daha ayrıntılı bir izlenecek yol için bkz . Azure PowerShell kullanarak kaynaklara erişmek üzere hizmet sorumlusu oluşturma

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Sonraki adımlar

Uygulamanızı, istemci kimliğinizi ve gizli dizinizi kullanarak belirteç oluşturmadan önce, erişmek istediğiniz kaynak için Erişim denetimini (IAM) kullanarak uygulamayı bir role atayın. Rol, kullanmak istediğiniz kaynak türüne ve API'ye bağlıdır.
Örneğin,

• Uygulamanıza Log Analytics Çalışma Alanı'ndan okuma izni vermek için, Log Analytics Çalışma Alanınızın Erişim denetimini (IAM) kullanarak uygulamanızı Okuyucu rolüne üye olarak ekleyin. Daha fazla bilgi için bkz. API'ye erişme

• Bir kaynağa özel ölçüm gönderme erişimi vermek için, uygulamanızı kaynağınızın Erişim denetimini (IAM) kullanarak İzleme Ölçümleri Yayımcısı rolüne üye olarak ekleyin. Daha fazla bilgi için bkz . REST API kullanarak Azure İzleyici ölçüm veritabanına ölçüm gönderme

Daha fazla bilgi için bkz . Azure portalını kullanarak Azure rolleri atama

Bir rol atadıktan sonra uygulamanızı, istemci kimliğinizi ve istemci gizli dizinizi kullanarak REST API'ye erişmek için taşıyıcı belirteci oluşturabilirsiniz.

Dekont

Microsoft Entra kimlik doğrulamasını kullanırken, Azure Uygulaması Analizler REST API'sinin yeni rol tabanlı erişim denetimi (RBAC) izinlerini tanıması 60 dakika kadar sürebilir. İzinler yayılırken REST API çağrıları 403 hata koduyla başarısız olabilir.