Vytvoření aplikace Microsoft Entra a instančního objektu, který má přístup k prostředkům

V tomto článku se dozvíte, jak vytvořit aplikaci Microsoft Entra a instanční objekt, který se dá použít s řízením přístupu na základě role. Když zaregistrujete novou aplikaci v Microsoft Entra ID, instanční objekt se automaticky vytvoří pro registraci aplikace. Instanční objekt je identita aplikace v tenantovi Microsoft Entra. Přístup k prostředkům je omezený rolemi přiřazenými k instančnímu objektu, abyste měli kontrolu nad tím, ke kterým prostředkům je možné přistupovat, a na jaké úrovni. Z bezpečnostních důvodů se vždy doporučuje používat instanční objekty s automatizovanými nástroji, místo aby se mohli přihlásit pomocí identity uživatele.

V tomto článku vytvoříte na webu Azure Portal jednu aplikaci tenanta. Tento příklad platí pro obchodní aplikace používané v jedné organizaci. K vytvoření instančního objektu můžete použít také Azure PowerShell nebo Azure CLI.

Důležité

Místo vytváření instančního objektu zvažte použití spravovaných identit pro prostředky Azure pro vaši identitu aplikace. Pokud váš kód běží ve službě, která podporuje spravované identity a přistupuje k prostředkům, které podporují ověřování Microsoft Entra, jsou spravované identity pro vás lepší volbou. Další informace o spravovanýchidentitch

Další informace o vztahu mezi registrací aplikace, objekty aplikací a instančními objekty, přečtěte si o objektech aplikace a instanční objekty v Microsoft Entra ID.

Požadavky

Pokud chcete zaregistrovat aplikaci v tenantovi Microsoft Entra, potřebujete:

• Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.

Oprávnění vyžadovaná pro registraci aplikace

Musíte mít dostatečná oprávnění k registraci aplikace ve vašem tenantovi Microsoft Entra a přiřazení k aplikaci roli ve vašem předplatném Azure. K dokončení těchto úkolů potřebujete Application.ReadWrite.Alloprávnění.

Registrace aplikace pomocí Microsoft Entra ID a vytvoření instančního objektu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

2. Přejděte do aplikace> identit>Registrace aplikací pak vyberte Nová registrace.

3. Pojmenujte aplikaci, například example-app.

4. Vyberte podporovaný typ účtu, který určuje, kdo může aplikaci používat.

5. V části Identifikátor URI přesměrování vyberte web pro typ aplikace, kterou chcete vytvořit. Zadejte identifikátor URI, do kterého se odesílá přístupový token.

6. Vyberte Zaregistrovat.

   

Vytvořili jste aplikaci Microsoft Entra a instanční objekt.

Přiřazení role k aplikaci

Pokud chcete získat přístup k prostředkům ve vašem předplatném, musíte aplikaci přiřadit roli. Rozhodněte se, která role nabízí správná oprávnění pro aplikaci. Informace o dostupných rolích najdete v tématu Předdefinované role Azure.

Obor můžete nastavit na úrovni předplatného, skupiny prostředků nebo prostředku. Oprávnění se dědí do nižších úrovní oboru.

1. Přihlaste se k portálu Azure.

2. Vyberte úroveň oboru, ke kterému chcete aplikaci přiřadit. Pokud chcete například přiřadit roli v oboru předplatného, vyhledejte a vyberte Předplatná. Pokud nevidíte předplatné, které hledáte, vyberte globální filtr předplatných. Ujistěte se, že je pro tenanta vybrané požadované předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Vyberte Přidat a pak vyberte Přidat přiřazení role.

5. Na kartě Role vyberte roli, kterou chcete přiřadit k aplikaci v seznamu. Pokud například chcete aplikaci povolit provádění akcí, jako je restartování, spuštění a zastavení instancí, vyberte roli Přispěvatel .

6. Vyberte další.

7. Na kartě Členové vyberte Přiřadit přístup a pak vyberte Uživatel, skupina nebo instanční objekt.

8. Zvolte Zvolit členy. Ve výchozím nastavení se aplikace Microsoft Entra nezobrazují v dostupných možnostech. Pokud chcete aplikaci najít, vyhledejte ji podle jejího názvu.

9. Vyberte tlačítko Vybrat a pak vyberte Zkontrolovat a přiřadit.

   

Instanční objekt je nastavený. Můžete ho začít používat ke spouštění skriptů nebo aplikací. Pokud chcete spravovat instanční objekt (oprávnění, oprávnění udělená uživatelem, zjistit, kteří uživatelé odsouhlasili, zkontrolovat oprávnění, zobrazit přihlašovací informace a další informace), přejděte do podnikových aplikací.

V další části se dozvíte, jak získat hodnoty potřebné při programovém přihlášení.

Přihlášení k aplikaci

Při programovém přihlášení předejte ID tenanta a ID aplikace v žádosti o ověření. Potřebujete také certifikát nebo ověřovací klíč. Získání ID adresáře (tenanta) a ID aplikace:

1. Přejděte na Identity>Applications> Registrace aplikací a pak vyberte svou aplikaci.
2. Na stránce přehledu aplikace zkopírujte hodnotu ID adresáře (tenanta) a uložte ji do kódu aplikace.
3. Zkopírujte hodnotu ID aplikace (klienta) a uložte ji do kódu aplikace.

Nastavení ověřování

Pro instanční objekty jsou k dispozici dva typy ověřování: ověřování pomocí hesla (tajný klíč aplikace) a ověřování pomocí certifikátů. Doporučujeme použít důvěryhodný certifikát vydaný certifikační autoritou, ale můžete také vytvořit tajný klíč aplikace nebo vytvořit certifikát podepsaný svým držitelem pro testování.

Možnost 1 (doporučeno): Nahrání důvěryhodného certifikátu vydaného certifikační autoritou

Nahrání souboru certifikátu:

1. Přejděte na Identity>Applications> Registrace aplikací a pak vyberte svou aplikaci.
2. Vyberte Certifikáty a tajné kódy.
3. Vyberte Certifikáty, pak vyberte Nahrát certifikát a pak vyberte soubor certifikátu, který chcete nahrát.
4. Vyberte Přidat. Po nahrání certifikátu se zobrazí kryptografický otisk, počáteční datum a hodnoty vypršení platnosti.

Po registraci certifikátu ve vaší aplikaci na portálu pro registraci aplikací povolte použití certifikátu důvěrný kód klientské aplikace .

Možnost 2: Testování pouze – vytvoření a nahrání certifikátu podepsaného svým držitelem

Volitelně můžete vytvořit certifikát podepsaný svým držitelem jenom pro účely testování. Pokud chcete vytvořit certifikát podepsaný svým držitelem, otevřete Windows PowerShell a spusťte New-SelfSignedCertificate s následujícími parametry a vytvořte certifikát v úložišti uživatelských certifikátů v počítači:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportujte tento certifikát do souboru pomocí modulu snap-in Správa uživatelského certifikátu konzoly MMC, který je přístupný z Ovládací panely systému Windows.

1. V nabídce Start vyberte Spustita pak zadejte certmgr.msc. Zobrazí se nástroj Správce certifikátů pro aktuálního uživatele.
2. Pokud chcete zobrazit certifikáty, rozbalte v části Certifikáty – Aktuální uživatel v levém podokně položku Osobní adresář.
3. Klikněte pravým tlačítkem na certifikát, který jste vytvořili, a vyberte Všechny úkoly –> Export.
4. Postupujte podle průvodce exportem certifikátu.

Nahrání certifikátu:

1. Přejděte na Identity>Applications> Registrace aplikací a pak vyberte svou aplikaci.
2. Vyberte Certifikáty a tajné kódy.
3. Vyberte Certifikáty, pak vyberte Nahrát certifikát a pak vyberte certifikát (existující certifikát nebo certifikát podepsaný svým držitelem, který jste exportovali).
4. Vyberte Přidat.

Po registraci certifikátu ve vaší aplikaci na portálu pro registraci aplikací povolte použití certifikátu důvěrný kód klientské aplikace .

Možnost 3: Vytvoření nového tajného klíče klienta

Pokud se rozhodnete certifikát nepoužívat, můžete vytvořit nový tajný klíč klienta.

1. Přejděte na Identity>Applications> Registrace aplikací a pak vyberte svou aplikaci.
2. Vyberte Certifikáty a tajné kódy.
3. Vyberte Tajné kódy klienta a pak Vyberte Nový tajný klíč klienta.
4. Zadejte popis tajného klíče a dobu trvání.
5. Vyberte Přidat.

Po uložení tajného klíče klienta se zobrazí hodnota tajného klíče klienta. Zobrazí se jenom jednou, takže zkopírujte tuto hodnotu a uložte ji tam, kde ji vaše aplikace může načíst, obvykle tam, kde vaše aplikace uchovává hodnoty jako clientId, nebo authoruty ve zdrojovém kódu. Zadáte hodnotu tajného kódu spolu s ID klienta aplikace, abyste se mohli přihlásit jako aplikaci.

Konfigurace zásad přístupu u prostředků

Možná budete muset nakonfigurovat další oprávnění k prostředkům, ke kterým vaše aplikace potřebuje přístup. Musíte například aktualizovat zásady přístupu trezoru klíčů, aby aplikace získala přístup ke klíčům, tajným klíčům nebo certifikátům.

Konfigurace zásad přístupu:

1. Přihlaste se k portálu Azure.

2. Vyberte trezor klíčů a vyberte Zásady přístupu.

3. Vyberte Přidat zásadu přístupu a pak vyberte klíč, tajný klíč a oprávnění certifikátu, která chcete aplikaci udělit. Vyberte instanční objekt, který jste vytvořili dříve.

4. Vyberte Přidat a přidejte zásady přístupu.

5. Uložte.

   

Další kroky

• Naučte se používat Azure PowerShell nebo Azure CLI k vytvoření instančního objektu.
• Další informace o zadávání zásad zabezpečení najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC).
• Seznam dostupných akcí, které se dají udělit nebo zamítnout uživatelům, najdete v tématu Operace poskytovatele prostředků Azure Resource Manageru.
• Informace o práci s registracemi aplikací pomocí Microsoft Graphu najdete v referenčních informacích k rozhraní API aplikací .