Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak knihovna Azure Identity podporuje ověřování pomocí tokenu Microsoft Entra prostřednictvím služebního hlavního jména. Tento článek se zabývá následujícími tématy:
- Vytvořte principála služby pomocí Azure CLI
- Přihlašovací údaje tajného klíče klienta
- Přihlašovací údaje klientského certifikátu
Další informace naleznete v tématu Aplikace a instanční objekty v Microsoft Entra ID. Řešení potíží s ověřováním instančního objektu najdete v tématu Řešení potíží s ověřováním instančního objektu.
Vytvoření instančního objektu pomocí Azure CLI
K vytvoření nebo získání pověření klientských tajných klíčů použijte následující příklady Azure CLI.
Pomocí následujícího příkazu vytvořte instanční objekt a nakonfigurujte jeho přístup k prostředkům Azure:
az ad sp create-for-rbac \
--name <your application name> \
--role Contributor \
--scopes /subscriptions/mySubscriptionID
Tento příkaz vrátí hodnotu podobnou následujícímu výstupu:
{
"appId": "generated-app-ID",
"displayName": "dummy-app-name",
"name": "http://dummy-app-name",
"password": "random-password",
"tenant": "tenant-ID"
}
Pomocí následujícího příkazu vytvořte instanční objekt spolu s certifikátem. Poznamenejte si cestu nebo umístění tohoto certifikátu.
az ad sp create-for-rbac \
--name <your application name> \
--role Contributor \
--cert <certificate name> \
--create-cert
Zkontrolujte vrácené přihlašovací údaje a poznamenejte si následující informace:
-
AZURE\_CLIENT\_IDpro appId. -
AZURE\_CLIENT\_SECRETpro heslo. AZURE\_TENANT\_IDpro tenanta.
Přihlašovací údaje tajného klíče klienta
Tento přihlašovací údaj ověřuje vytvořený služební objekt prostřednictvím klientského tajemství (hesla). Tento příklad ukazuje ověřování SecretClient z klientské knihovny azure-security-keyvault-secrets pomocí ClientSecretCredential knihovny.
/**
* Authenticate with client secret.
*/
ClientSecretCredential clientSecretCredential = new ClientSecretCredentialBuilder()
.clientId("<your client ID>")
.clientSecret("<your client secret>")
.tenantId("<your tenant ID>")
.build();
// Azure SDK client builders accept the credential as a parameter.
SecretClient client = new SecretClientBuilder()
.vaultUrl("https://<your Key Vault name>.vault.azure.net")
.credential(clientSecretCredential)
.buildClient();
Přihlašovací údaje klientského certifikátu
Tento přihlašovací údaj ověřuje vytvořený služební hlavní prvek pomocí klientského certifikátu. Tento příklad ukazuje ověřování SecretClient z klientské knihovny azure-security-keyvault-secrets pomocí ClientSecretCredential knihovny.
/**
* Authenticate with a client certificate.
*/
ClientCertificateCredential clientCertificateCredential = new ClientCertificateCredentialBuilder()
.clientId("<your client ID>")
.pemCertificate("<path to PEM certificate>")
// Choose between either a PEM certificate or a PFX certificate.
//.pfxCertificate("<path to PFX certificate>")
//.clientCertificatePassword("PFX CERTIFICATE PASSWORD")
.tenantId("<your tenant ID>")
.build();
// Azure SDK client builders accept the credential as a parameter.
SecretClient client = new SecretClientBuilder()
.vaultUrl("https://<your Key Vault name>.vault.azure.net")
.credential(clientCertificateCredential)
.buildClient();
Další kroky
Tento článek se zabýval ověřováním prostřednictvím služebního principálu. Tato forma ověřování je jedním z několika způsobů, jak se můžete ověřit v sadě Azure SDK pro Javu. Následující články popisují další způsoby:
- Ověřování Azure ve vývojových prostředích
- Ověřování aplikací hostovaných v Azure
- Ověřování pomocí přihlašovacích údajů uživatele
Pokud narazíte na problémy související s ověřováním služebního principálu, podívejte se na Řešení potíží s ověřováním služebního principálu.
Jakmile zvládnete ověření, viz Konfigurace logování v sadě Azure SDK pro Javu, kde najdete informace o funkcích logování, které SDK poskytuje.