Vytvoření aplikace Azure AD a instančního objektu s přístupem k prostředkům pomocí portálu

V tomto článku se dozvíte, jak vytvořit novou aplikaci Azure Active Directory (Azure AD) a instanční objekt, které je možné použít s řízením přístupu na základě role. Pokud máte aplikace, hostované služby nebo automatizované nástroje, které potřebují přístup k prostředkům nebo je upravovat, můžete pro aplikaci vytvořit identitu. Tato identita se označuje jako instanční objekt. Přístup k prostředkům je omezený rolemi přiřazenými k instančnímu objektu, takže máte kontrolu nad tím, ke kterým prostředkům je možné přistupovat a na jaké úrovni. Z bezpečnostních důvodů se v automatizovaných nástrojích vždy doporučuje používat instanční objekty, a neumožňovat jim připojení pomocí identity uživatele.

V tomto článku se dozvíte, jak pomocí portálu vytvořit instanční objekt v Azure Portal. Zaměřuje se na aplikaci s jedním tenantem, kde je aplikace určená ke spuštění pouze v rámci jedné organizace. Aplikace s jedním tenantem se obvykle používají pro obchodní aplikace, které běží v rámci vaší organizace. K vytvoření instančního objektu můžete také použít Azure PowerShell nebo Azure CLI.

Důležité

Místo vytváření instančního objektu zvažte použití spravovaných identit pro prostředky Azure pro identitu aplikace. Pokud váš kód běží ve službě, která podporuje spravované identity a přistupuje k prostředkům, které podporují ověřování Azure AD, jsou pro vás spravované identity lepší volbou. Další informace o spravovaných identitách pro prostředky Azure, včetně služeb, které je aktuálně podporují, najdete v tématu Co jsou spravované identity pro prostředky Azure.

Registrace aplikace, objekty aplikací a instanční objekty

Neexistuje žádný způsob, jak vytvořit instanční objekt přímo pomocí Azure Portal. Když zaregistrujete aplikaci prostřednictvím Azure Portal, objekt aplikace a instanční objekt se automaticky vytvoří ve vašem domovském adresáři nebo tenantovi. Další informace o vztahu mezi registrací aplikace, aplikačními objekty a instančními objekty najdete v tématu Aplikace a instanční objekty v Azure Active Directory.

Oprávnění požadovaná pro registraci aplikace

Musíte mít dostatečná oprávnění k registraci aplikace ve vašem tenantovi Azure AD a přiřazení role k aplikaci ve vašem předplatném Azure.

Kontrola oprávnění Azure AD

  1. Vyberte Azure Active Directory.

  2. Vyhledejte svoji roli v části Přehled –>Můj informační kanál. Pokud máte roli Uživatel , musíte zajistit, aby uživatelé bez oprávnění správce mohli registrovat aplikace.

    Snímek obrazovky znázorňující, jak najít vaši roli

  3. V levém podokně vyberte Uživatelé a pak Nastavení uživatele.

  4. Zkontrolujte nastavení Registrace aplikací. Tuto hodnotu může nastavit pouze správce. Pokud je tato možnost nastavená na Ano, může aplikaci zaregistrovat libovolný uživatel v tenantovi Azure AD.

Pokud je nastavení registrace aplikací nastavené na Ne, můžou tyto typy aplikací registrovat jenom uživatelé s rolí správce. V tématu Azure AD předdefinovaných rolí najdete informace o dostupných rolích správce a konkrétních oprávněních v Azure AD, která jsou jednotlivým rolím udělena. Pokud je vašemu účtu přiřazena role Uživatel, ale nastavení registrace aplikace je omezené na uživatele s oprávněními správce, požádejte správce, aby vám buď přiřadil jednu z rolí správce, která může vytvářet a spravovat všechny aspekty registrace aplikací, nebo aby uživatelům povolil registraci aplikací.

Kontrola oprávnění předplatného Azure

Ve vašem předplatném Azure musí mít Microsoft.Authorization/*/Write váš účet přístup k přiřazení role k aplikaci AD. Tato akce se povoluje prostřednictvím role vlastníka nebo správce uživatelských přístupů. Pokud má váš účet přiřazenou roli Přispěvatel , nemáte odpovídající oprávnění. Při pokusu o přiřazení role instančnímu objektu se zobrazí chyba.

Kontrola oprávnění předplatného:

  1. Vyhledejte a vyberte Předplatná nebo vyberte Předplatná na domovské stránce.

    Snímek obrazovky, jak prohledávat oprávnění předplatného.

  2. Vyberte předplatné, ve které chcete vytvořit instanční objekt.

    Vyberte předplatné pro přiřazení.

    Pokud nevidíte předplatné, které hledáte, vyberte filtr globálních předplatných. Ujistěte se, že je pro portál vybrané požadované předplatné.

  3. Vyberte Moje oprávnění. Pak vyberte Kliknutím sem zobrazíte úplné podrobnosti o přístupu k tomuto předplatnému.

    Vyberte předplatné, ve které chcete vytvořit instanční objekt.

  4. Výběrem možnosti Přiřazení rolí zobrazíte přiřazené role a určíte, jestli máte odpovídající oprávnění k přiřazení role k aplikaci AD. Pokud ne, požádejte správce předplatného, aby vás přidal do role Správce uživatelských přístupů. Na následujícím obrázku má uživatel přiřazenou roli Vlastník, což znamená, že uživatel má odpovídající oprávnění.

    Snímek obrazovky znázorňující, že uživatel má přiřazenou roli vlastníka

Registrace aplikace pomocí Azure AD a vytvoření instančního objektu

Pojďme rovnou přejít k vytvoření identity. Pokud narazíte na problém, zkontrolujte požadovaná oprávnění a ujistěte se, že váš účet může vytvořit identitu.

  1. Přihlaste se ke svému účtu Azure prostřednictvím Azure Portal.

  2. Vyberte Azure Active Directory.

  3. Vyberte Registrace aplikací.

  4. Vyberte Nová registrace.

  5. Pojmenujte aplikaci, například example-app. Vyberte podporovaný typ účtu, který určuje, kdo může aplikaci používat. V části Identifikátor URI pro přesměrování vyberte u typu aplikace, kterou chcete vytvořit, možnost Web . Zadejte identifikátor URI, na který se přístupový token odesílá. Nemůžete vytvořit přihlašovací údaje pro nativní aplikaci. Tento typ nemůžete použít pro automatizovanou aplikaci. Po nastavení hodnot vyberte Zaregistrovat.

    Zadejte název aplikace.

Vytvořili jste aplikaci Azure AD a instanční objekt.

Poznámka

V Azure AD můžete zaregistrovat více aplikací se stejným názvem, ale aplikace musí mít různá ID aplikací (klientů).

Přiřazení role k aplikaci

Pokud chcete získat přístup k prostředkům ve vašem předplatném, musíte aplikaci přiřadit roli. Rozhodněte, která role nabízí správná oprávnění pro aplikaci. Informace o dostupných rolích najdete v tématu Předdefinované role Azure.

Rozsah můžete nastavit na úrovni předplatného, skupiny prostředků nebo prostředku. Oprávnění se dědí do nižších úrovní oboru. Například přidání aplikace do role Čtenář pro skupinu prostředků znamená, že aplikace může číst skupinu prostředků a všechny prostředky, které obsahuje.

  1. V Azure Portal vyberte úroveň oboru, ke které chcete aplikaci přiřadit. Pokud například chcete přiřadit roli v oboru předplatného, vyhledejte a vyberte Předplatná nebo vyberte Předplatná na domovské stránce.

    Například přiřaďte roli v oboru předplatného.

  2. Vyberte konkrétní předplatné, ke kterému chcete aplikaci přiřadit.

    Vyberte předplatné pro přiřazení.

    Pokud nevidíte předplatné, které hledáte, vyberte filtr globálních předplatných. Ujistěte se, že je pro portál vybrané požadované předplatné.

  3. Vyberte Řízení přístupu (IAM) .

  4. Vyberte Přidat Přidat>přiřazení role a otevřete stránku Přidat přiřazení role .

  5. Na kartě Role vyberte v seznamu roli, kterou chcete aplikaci přiřadit. Pokud například chcete aplikaci povolit spouštění akcí, jako je restartování, spuštění a zastavení instancí, vyberte roli Přispěvatel . Přečtěte si další informace o dostupných rolích.

    Výběrem tlačítka Další přejděte na kartu Členové . Vyberte Přiřadit přístup k uživateli>, skupině nebo instančnímu objektu a pak vyberte Vybrat členy. Ve výchozím nastavení se Azure AD aplikace nezobrazují v dostupných možnostech. Pokud chcete najít aplikaci, vyhledejte ji podle názvu (například "example-app") a vyberte ji z vráceného seznamu. Klikněte na tlačítko Vybrat . Potom klikněte na tlačítko Zkontrolovat a přiřadit .

    Snímek obrazovky znázorňující přiřazení role

Váš instanční objekt je nastavený. Můžete ho začít používat ke spouštění skriptů nebo aplikací. Pokud chcete spravovat instanční objekt (oprávnění, oprávnění udělená uživatelem, zjistit, kteří uživatelé souhlasili, zkontrolovat oprávnění, zobrazit přihlašovací údaje atd.), přejděte na Podnikové aplikace.

V další části se dozvíte, jak získat hodnoty, které jsou potřeba při přihlašování prostřednictvím kódu programu.

Získání hodnot ID tenanta a aplikace pro přihlášení

Při programovém přihlašování předejte ID tenanta s vaší žádostí o ověření a ID aplikace. Potřebujete také certifikát nebo ověřovací klíč (popsaný v následující části). K získání těchto hodnot použijte následující postup:

  1. Vyberte Azure Active Directory.

  2. V Registrace aplikací v Azure AD vyberte aplikaci.

  3. Zkopírujte ID adresáře (tenanta) a uložte ho do kódu aplikace.

    Zkopírujte adresář (ID tenanta) a uložte ho do kódu aplikace.

    ID adresáře (tenanta) najdete také na stránce s přehledem výchozího adresáře.

  4. Zkopírujte ID aplikace a uložte ho v kódu aplikace.

    Zkopírujte ID aplikace (klienta).

Ověřování: Dvě možnosti

Pro instanční objekty jsou k dispozici dva typy ověřování: ověřování pomocí hesla (tajný klíč aplikace) a ověřování pomocí certifikátů. Doporučujeme použít certifikát, ale můžete také vytvořit tajný klíč aplikace.

Možnost 1: Nahrání certifikátu

Pokud ho máte, můžete použít existující certifikát. Volitelně můžete vytvořit certifikát podepsaný svým držitelem jenom pro účely testování. Pokud chcete vytvořit certifikát podepsaný svým držitelem, otevřete PowerShell a spusťte příkaz New-SelfSignedCertificate s následujícími parametry a vytvořte certifikát v úložišti uživatelských certifikátů ve vašem počítači:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportujte tento certifikát do souboru pomocí modulu snap-in Spravovat uživatelský certifikát konzoly MMC, který je přístupný z Ovládací panely Windows.

  1. V nabídce Start vyberte Spustit a pak zadejte certmgr.msc.

    Zobrazí se nástroj Správce certifikátů pro aktuálního uživatele.

  2. Certifikáty zobrazíte tak, že v levém podokně v části Certifikáty – aktuální uživatel rozbalíte osobní adresář.

  3. Klikněte pravým tlačítkem na certifikát, který jste vytvořili, a vyberte Všechny úkoly ->Exportovat.

  4. Postupujte podle průvodce exportem certifikátu. Neexportujte privátní klíč a exportujte do . CER soubor.

Nahrání certifikátu:

  1. Vyberte Azure Active Directory.

  2. V Registrace aplikací v Azure AD vyberte aplikaci.

  3. Vyberte Tajné kódy certifikátů&.

  4. Vyberte Certifikáty>Nahrát certifikát a vyberte certifikát (existující certifikát nebo certifikát podepsaný svým držitelem, který jste exportovali).

    Vyberte Nahrát certifikát a vyberte certifikát, který chcete přidat.

  5. Vyberte Přidat.

Po registraci certifikátu v aplikaci na portálu pro registraci aplikací povolte, aby kód klientské aplikace používal certifikát.

Možnost 2: Vytvoření nového tajného kódu aplikace

Pokud se rozhodnete certifikát nepoužívat, můžete vytvořit nový tajný klíč aplikace.

  1. Vyberte Azure Active Directory.

  2. V Registrace aplikací v Azure AD vyberte aplikaci.

  3. Vyberte Tajné kódy certifikátů&.

  4. Vyberte Tajné kódy klienta –> Nový tajný klíč klienta.

  5. Zadejte popis tajného kódu a dobu trvání. Až budete hotovi, vyberte Přidat.

    Po uložení tajného klíče klienta se zobrazí hodnota tajného klíče klienta. Zkopírujte tuto hodnotu, protože klíč nebudete moct později načíst. Zadáte hodnotu klíče s ID aplikace, abyste se mohli přihlásit jako aplikace. Hodnotu klíče uložte na místo, odkud ji aplikace může načíst.

    Zkopírujte hodnotu tajného klíče, protože ji později nebudete moct načíst.

Konfigurace zásad přístupu pro prostředky

Mějte na paměti, že možná budete muset nakonfigurovat další oprávnění pro prostředky, ke kterým vaše aplikace potřebuje přístup. Musíte například také aktualizovat zásady přístupu trezoru klíčů , aby vaše aplikace měla přístup ke klíčům, tajným klíčům nebo certifikátům.

  1. V Azure Portal přejděte do trezoru klíčů a vyberte Zásady přístupu.
  2. Vyberte Přidat zásadu přístupu a pak vyberte oprávnění ke klíči, tajnému klíči a certifikátu, které chcete aplikaci udělit. Vyberte instanční objekt, který jste vytvořili dříve.
  3. Vyberte Přidat a přidejte zásady přístupu a pak uložte změny. Přidání zásad přístupu

Další kroky