تسجيل تطبيق لطلب رموز التخويل المميزة والعمل مع واجهات برمجة التطبيقات

للوصول إلى واجهات برمجة تطبيقات AZURE REST مثل واجهة برمجة تطبيقات تحليلات السجل، أو لإرسال مقاييس مخصصة، يمكنك إنشاء رمز مميز للتخويل استنادا إلى معرف العميل والبيانات السرية. ثم يتم تمرير الرمز المميز في طلب واجهة برمجة تطبيقات REST. توضح لك هذه المقالة كيفية تسجيل تطبيق عميل وإنشاء سر عميل بحيث يمكنك إنشاء رمز مميز.

تسجيل تطبيق

إنشاء كيان خدمة وتسجيل تطبيق باستخدام مدخل Microsoft Azure أو Azure CLI أو PowerShell.

مدخل Microsoft Azure

1. لتسجيل تطبيق، افتح صفحة نظرة عامة على Active Directory في مدخل Microsoft Azure.

2. حدد App registrations من الشريط الجانبي.

3. تحديد تسجيل جديد

4. في صفحة تسجيل تطبيق، أدخل اسما للتطبيق.

5. حدد Register

6. في صفحة نظرة عامة على التطبيق، حدد الشهادات والأسرار

7. لاحظ معرف التطبيق (العميل). يتم استخدامه في طلب HTTP للحصول على رمز مميز.

8. في علامة التبويب Client secrets حدد New client secret

9. أدخل Description وحدد Add

10. انسخ قيمة سر العميل واحفظها.

    إشعار

    لا يمكن عرض القيم السرية للعميل إلا بعد الإنشاء مباشرة. تأكد من حفظ السر قبل مغادرة الصفحة.

    

Azure CLI

قم بتشغيل البرنامج النصي التالي لإنشاء كيان الخدمة والتطبيق.

az ad sp create-for-rbac -n <Service principal display name> 

تبدو الاستجابة كما يلي:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

هام

يتضمن الإخراج بيانات الاعتماد التي يجب عليك حمايتها. تأكد من عدم تضمين بيانات الاعتماد هذه في التعليمات البرمجية الخاصة بك أو تحقق من بيانات الاعتماد في عنصر التحكم بالمصادر.

إضافة دور ونطاق للموارد التي تريد الوصول إليها باستخدام واجهة برمجة التطبيقات

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

يعين Reader المثال التالي CLI الدور إلى كيان الخدمة لكافة الموارد في rg-001مجموعة الموارد:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

لمزيد من المعلومات حول إنشاء كيان خدمة باستخدام Azure CLI، راجع إنشاء كيان خدمة Azure باستخدام Azure CLI.

بوويرشيل

يوضح نموذج البرنامج النصي التالي إنشاء كيان خدمة Microsoft Entra عبر PowerShell. للحصول على معاينة أكثر تفصيلا، راجع استخدام Azure PowerShell لإنشاء كيان خدمة للوصول إلى الموارد

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

الخطوات التالية

قبل أن تتمكن من إنشاء رمز مميز باستخدام التطبيق ومعرف العميل والسر، قم بتعيين التطبيق إلى دور باستخدام التحكم في الوصول (IAM) للمورد الذي تريد الوصول إليه. سيعتمد الدور على نوع المورد وواجهة برمجة التطبيقات التي تريد استخدامها.
على سبيل المثال،

• لمنح تطبيقك القراءة من مساحة عمل Log Analytics، أضف تطبيقك كعضو إلى دور القارئ باستخدام التحكم في الوصول (IAM) لمساحة عمل Log Analytics. لمزيد من المعلومات، راجع الوصول إلى واجهة برمجة التطبيقات

• لمنح حق الوصول لإرسال مقاييس مخصصة لمورد، أضف تطبيقك كعضو إلى دور Monitoring Metrics Publisher باستخدام التحكم في الوصول (IAM) لموردك. لمزيد من المعلومات، راجع إرسال المقاييس إلى قاعدة بيانات قياس Azure Monitor باستخدام واجهة برمجة تطبيقات REST

لمزيد من المعلومات، راجع تعيين أدوار Azure باستخدام مدخل Microsoft Azure

بمجرد تعيين دور، يمكنك استخدام التطبيق ومعرف العميل وسر العميل لإنشاء رمز مميز للحامل للوصول إلى واجهة برمجة تطبيقات REST.

إشعار

عند استخدام مصادقة Microsoft Entra، قد يستغرق الأمر ما يصل إلى 60 دقيقة لواجهة برمجة تطبيقات Azure Application Insights REST للتعرف على أذونات التحكم في الوصول الجديدة المستندة إلى الدور (RBAC). وفي أثناء نشر الأذونات، قد تفشل استدعاءات واجهة برمجة تطبيقات REST مع رمز الخطأ 403.