Registrieren einer App zum Anfordern von Autorisierungstoken und Arbeiten mit APIs

Um auf Azure-REST-APIs wie die Log Analytics-API zuzugreifen oder benutzerdefinierte Metriken zu senden, können Sie ein Autorisierungstoken generieren, das auf einer Client-ID und einem Geheimnis basiert. Das Token wird dann in Ihrer REST-API-Anforderung übergeben. In diesem Artikel erfahren Sie, wie Sie eine Client-App registrieren und einen geheimen Clientschlüssel erstellen, damit Sie ein Token generieren können.

Registrieren einer App

Erstellen Sie einen Dienstprinzipal, und registrieren Sie eine App mit dem Azure-Portal, der Azure CLI oder PowerShell.

Azure portal

1. Um eine App zu registrieren, öffnen Sie die Übersichtsseite von Active Directory im Azure-Portal.

2. Wählen Sie in der Seitenleiste App-Registrierungen aus.

3. Wählen Sie Neue Registrierung aus.

4. Geben Sie auf der Seite „Anwendung registrieren“ einen Namen für die Anwendung ein.

5. Wählen Sie Registrieren aus.

6. Wählen Sie auf der Übersichtsseite der App Zertifikate und Geheimnisse aus.

7. Notieren Sie sich die Anwendungs-ID (Client-ID). Sie wird in der HTTP-Anforderung für ein Token verwendet.

8. Wählen Sie auf der Registerkarte Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.

9. Geben Sie eine Beschreibung ein, und wählen Sie Hinzufügen aus. 

10. Kopieren und speichern Sie den Wert des geheimen Clientschlüssels.

    Hinweis

    Werte von geheimen Clientschlüsseln können nur unmittelbar nach der Erstellung angezeigt werden. Speichern Sie das Geheimnis unbedingt, bevor Sie die Seite verlassen.

    

Azure-Befehlszeilenschnittstelle

Führen Sie das folgende Skript aus, um einen Dienstprinzipal und eine App zu erstellen.

az ad sp create-for-rbac -n <Service principal display name> 

Die Antwort sieht wie folgt aus:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Wichtig

Die Ausgabe enthält Anmeldeinformationen, die Sie schützen müssen. Schließen Sie diese Anmeldeinformationen nicht in Ihren Code ein, und checken Sie sie nicht in Ihre Quellcodeverwaltung ein.

Hinzufügen einer Rolle und eines Bereichs für die Ressourcen, auf die Sie mithilfe der API zugreifen möchten

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Im folgenden CLI-Beispiel wird dem Dienstprinzipal die Reader-Rolle für alle Ressourcen in der rg-001Ressourcengruppe zugewiesen:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Weitere Informationen zum Erstellen von Dienstprinzipalen mit Azure CLI finden Sie unter Erstellen eines Azure-Dienstprinzipals mit Azure CLI.

PowerShell

Das folgende Beispielskript zeigt, wie ein Microsoft Entra-Dienstprinzipal über PowerShell erstellt werden kann. Eine ausführlichere Anleitung finden Sie unter Erstellen eines Dienstprinzipals für den Zugriff auf Ressourcen mithilfe von Azure PowerShell.

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Nächste Schritte

Bevor Sie ein Token mit Ihrer App, Ihrer Client-ID und Ihrem Geheimnis generieren können, weisen Sie die App für die Ressource, auf die Sie zugreifen möchten, mithilfe der Zugriffssteuerung (IAM) einer Rolle zu. Die Rolle hängt vom Ressourcentyp und der API ab, die Sie verwenden möchten.
Beispiel:

• Um Ihrer App Lesezugriff aus einem Log Analytics-Arbeitsbereich zu gewähren, fügen Sie Ihre App für Ihren Log Analytics-Arbeitsbereich mithilfe der Zugriffssteuerung (IAM) der Rolle Leser als Mitglied hinzu. Weitere Informationen finden Sie unter Zugreifen auf die API.

• Um Zugriff zum Senden benutzerdefinierter Metriken für eine Ressource zu gewähren, fügen Sie Ihre App für Ihre Ressource mithilfe der Zugriffssteuerung (IAM) der Rolle Herausgeber von Überwachungsmetriken als Mitglied hinzu. Weitere Informationen finden Sie unter Senden von Metriken an die Azure Monitor-Metrikdatenbank mithilfe einer REST-API.

Weitere Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

Nachdem Sie eine Rolle zugewiesen haben, können Sie Ihre App, Ihre Client-ID und Ihren geheimen Clientschlüssel verwenden, um ein Bearertoken für den Zugriff auf die REST-API zu generieren.

Hinweis

Wenn Sie die Microsoft Entra-Authentifizierung verwenden, kann es bis zu 60 Minuten dauern, bis die Azure Application Insights-REST-API neue Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) erkennt. Während der Weitergabe von Berechtigungen können REST-API-Aufrufe mit dem Fehlercode 403 fehlschlagen.