Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Dies ist die Dokumentation zu Azure Sphere (Legacy). Azure Sphere (Legacy) wird am 27. September 2027 eingestellt, und Benutzer müssen bis zu diesem Zeitpunkt zu Azure Sphere (integriert) migrieren. Verwenden Sie die Versionsauswahl oberhalb des Inhaltsverzeichniss, um die Dokumentation zu Azure Sphere (Integriert) anzuzeigen.
Die Azure Sphere Public API (PAPI) unterstützt mehrere Methoden der Benutzerauthentifizierung und Autorisierung in Azure Active Directory (AAD).
Mit Azure Active Directory kann ein Anwendungstoken verwendet werden, um den Zugriff auf bestimmte Azure-Ressourcen von einer Benutzer-App, einem Dienstdienst oder automatisierungstool mithilfe des Dienstprinzipals oder der verwalteten Identitätsmethode für die Authentifizierung zu authentifizieren und zu gewähren.
Wichtig
Wenn Sie einen Dienstprinzipal erstellen, müssen Sie die generierten Anwendungsanmeldeinformationen wie geheime Clientschlüssel oder Clientzertifikate schützen. Achten Sie darauf, dass Sie die Anwendungsanmeldeinformationen nicht in Ihren Code einschließen oder die Anmeldeinformationen in Die Quellcodeverwaltung überprüfen. Alternativ sollten Sie die Verwendung der verwalteten Identität in Betracht ziehen, um die Notwendigkeit der Verwendung von Anmeldeinformationen zu vermeiden.
Die folgende Abbildung zeigt die unterstützten Authentifizierungsmethoden mit Azure Active Directory:
Dienstprinzipalmethode
Ein Azure-Dienstprinzipal kann für die Verwendung eines geheimen Clientschlüssels oder eines Clientzertifikats für die Authentifizierung eingerichtet werden. Dienstprinzipale sind Konten, die nicht an einen bestimmten Benutzer gebunden sind, aber über vordefinierte Rollen berechtigungen verfügen können. Die Authentifizierung mit einem Dienstprinzipal ist die beste Möglichkeit, sichere Skripts oder Programme zu schreiben, sodass Sie sowohl Berechtigungseinschränkungen als auch lokal gespeicherte statische Anmeldeinformationen anwenden können. Weitere Informationen finden Sie unter Azure-Dienstprinzipal.
Es stehen zwei Optionen für Dienstprinzipale zur Verfügung: geheime Clientschlüssel und Clientzertifikate. Weitere Informationen finden Sie unter Dienstprinzipalauthentifizierungsmethode.
Verwaltete Identitätsmethode
Azure Managed Identity kann auch für die Kommunikation mit dem öffentlichen Azure Sphere-API-Dienst verwendet werden. Verwaltete Identität wird in verschiedenen Azure-Diensten unterstützt. Der Vorteil der Verwendung einer verwalteten Identität für die Azure-Ressourcenauthentifizierungsmethode besteht darin, dass Sie keine geheimen Clientschlüssel oder Clientzertifikate verwalten müssen. Weitere Informationen finden Sie unter Verwaltete Identität für Ressourcenmethode.
Benutzeridentitätsmethode
Bei Verwendung dieser Methode müssen Sie sich nicht mit dem Azure Sphere-Mandanten authentifizieren. Sie können sich mit der Azure Active Directory-Benutzeridentität anmelden. Weitere Informationen finden Sie unter Benutzerauthentifizierungsmethode.
Hinzufügen der Azure Sphere Public API-Anwendungs-ID zu Ihrem Azure-Mandanten
Sie müssen zuerst die Azure Sphere Public API-Anwendungs-ID zu Ihrem Azure-Mandanten hinzufügen, indem Sie ein einmaliges Setup verwenden:
Hinweis
- Verwenden Sie ein globales Administratorkonto für Ihren Azure Active Directory (Azure AD)-Mandanten, um diesen Befehl auszuführen.
- Der Wert für den
AppIdParameter ist statisch. - Wir empfehlen die Verwendung
Azure Sphere Public APIfür die-DisplayNameVerwendung, damit ein allgemeiner Anzeigename für mandantenübergreifend verwendet werden kann.
Öffnen Sie ein Windows PowerShell-Eingabeaufforderungsfenster mit erhöhten Rechten (führen Sie Windows PowerShell als Administrator aus), und führen Sie den folgenden Befehl aus, um das Azure AD Powershell-Modul zu installieren:
Install-Module AzureADMelden Sie sich mit einem Administratorkonto bei Azure AD PowerShell an. Geben Sie den Parameter an, der
-TenantIdals Dienstprinzipal authentifiziert werden soll:Connect-AzureAD -TenantId <Azure Active Directory TenantID><Azure Active Directory TenantID stellt die TenantID> des Azure Active Directory dar. Weitere Informationen finden Sie unter So finden Sie Ihre Azure Active Directory-Mandanten-ID.
Erstellen Sie den Dienstprinzipal, und verbinden Sie ihn mit der
Azure Sphere Public APIAnwendung, indem Sie die Azure Sphere Public API-Anwendungs-ID wie unten beschrieben angeben:New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"