Registrace aplikace k vyžádání autorizačních tokenů a práci s rozhraními API

Pokud chcete získat přístup k rozhraním AZURE REST API, jako je rozhraní API služby Log Analytics nebo odesílat vlastní metriky, můžete vygenerovat autorizační token na základě ID klienta a tajného klíče. Token se pak předá v požadavku rozhraní REST API. V tomto článku se dozvíte, jak zaregistrovat klientskou aplikaci a vytvořit tajný klíč klienta, abyste mohli vygenerovat token.

Registrace aplikace

Vytvořte služebního principála a zaregistrujte aplikaci pomocí Azure Portal, Azure CLI nebo PowerShellu.

Azure Portal

1. Pokud chcete zaregistrovat aplikaci, otevřete na webu Azure Portal stránku Přehled služby Active Directory.

2. Na bočním panelu vyberte Registrace aplikací.

3. Vyberte Nová registrace

4. Na stránce Registrace aplikace zadejte název aplikace.

5. Vyberte Zaregistrovat

6. Na stránce s přehledem aplikace vyberte Certifikáty a tajné kódy.

7. Poznamenejte si ID aplikace (klienta). Používá se v požadavku HTTP na token.

8. Na kartě Tajné kódy klienta vyberte Nový tajný kód klienta

9. Zadejte popis a vyberte Přidat.

10. Zkopírujte a uložte tajný klíč klienta hodnota.

    Poznámka:

    Hodnoty tajných kódů klienta lze zobrazit pouze okamžitě po vytvoření. Před opuštěním stránky nezapomeňte tajný kód uložit.

    

Azure CLI

Spuštěním následujícího skriptu vytvořte služební objekt a aplikaci.

az ad sp create-for-rbac -n <Service principal display name> 

Odpověď vypadá takto:

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}

Důležité

Výstup obsahuje přihlašovací údaje, které musíte chránit. Ujistěte se, že jste tyto přihlašovací údaje nezahrnuli do kódu, nebo je zaregistrujte ve správě zdrojového kódu.

Přidání role a oboru pro prostředky, ke kterým chcete získat přístup pomocí rozhraní API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Následující příklad CLI přiřadí roli Reader aplikační službě pro všechny prostředky ve skupině prostředků rg-001.

 az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 --role Reader --scope '\/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001'

Další informace o vytvoření instančního objektu pomocí Azure CLI najdete v tématu Vytvoření instančního objektu Azure pomocí Azure CLI.

PowerShell

Ukázkový skript níže demonstruje vytvoření služebního principála Microsoft Entra pomocí PowerShellu. Podrobnější návod najdete v tématu Použití Azure PowerShellu k vytvoření služebního principála pro přístup k prostředkům.

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Další kroky

Než budete moct vygenerovat token pomocí aplikace, ID klienta a tajného kódu, přiřaďte aplikaci k roli pomocí řízení přístupu (IAM) pro prostředek, ke kterému chcete získat přístup. Role bude záviset na typu prostředku a rozhraní API, které chcete použít.
Příklad:

• Pokud chcete aplikaci udělit čtení z pracovního prostoru služby Log Analytics, přidejte aplikaci jako člena do role Čtenář pomocí řízení přístupu (IAM) pro váš pracovní prostor služby Log Analytics. Další informace najdete v tématu Přístup k rozhraní API

• Pokud chcete udělit přístup k odesílání vlastních metrik pro prostředek, přidejte svoji aplikaci jako člena do role Vydavatel monitorovacích metrik pomocí Řízení přístupu (IAM) pro váš prostředek. Další informace najdete v tématu Odesílání metrik do databáze metrik služby Azure Monitor pomocí rozhraní REST API.

Další informace najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.

Jakmile přiřadíte roli, můžete pomocí aplikace, ID klienta a tajného klíče klienta vygenerovat nosný token pro přístup k rozhraní REST API.

Poznámka:

Při použití ověřování Microsoft Entra může trvat až 60 minut, než rozhraní REST API služby Azure Application Insights rozpozná nová oprávnění řízení přístupu na základě rolí (RBAC). Při šíření oprávnění může volání rozhraní REST API selhat s kódem chyby 403.