Registrieren einer Microsoft Entra-App und Erstellen eines Dienstprinzipals

In diesem Artikel erfahren Sie, wie Sie eine Microsoft Entra-Anwendung und einen Dienstprinzipal erstellen, die mit der rollenbasierten Zugriffssteuerung (RBAC) verwendet werden können. Wenn Sie eine neue Anwendung in Microsoft Entra ID registrieren, wird automatisch ein Dienstprinzipal für die App-Registrierung erstellt. Der Dienstprinzipal ist die Identität der App im Microsoft Entra-Mandanten. Der Zugriff auf Ressourcen wird durch die dem Dienstprinzipal zugewiesenen Rollen eingeschränkt. Dadurch können Sie steuern, auf welcher Ebene auf welche Ressourcen zugegriffen werden kann. Aus Sicherheitsgründen wird stets empfohlen, Dienstprinzipale mit automatisierten Tools zu verwenden, statt ihnen die Anmeldung mit einer Benutzeridentität zu erlauben.

Dieses Beispiel gilt für Branchenanwendungen, die innerhalb einer Organisation verwendet werden. Sie können auch Azure PowerShell oder die Azure CLI verwenden, um einen Dienstprinzipal zu erstellen.

Wichtig

Anstatt einen Dienstprinzipal zu erstellen, sollten Sie die Verwendung verwalteter Identitäten für Azure-Ressourcen für Ihre Anwendungsidentität erwägen. Wenn Ihr Code unter einem Dienst ausgeführt wird, der verwaltete Identitäten unterstützt und auf Ressourcen zugreift, die die Microsoft Entra-Authentifizierung unterstützen, sind verwaltete Identitäten für Sie die bessere Option. Weitere Informationen zu verwalteten Identitäten für Azure-Ressourcen, einschließlich der derzeit unterstützten Dienste, finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

Weitere Informationen zur Beziehung zwischen App-Registrierung, Anwendungsobjekten und Dienstprinzipalobjekten finden Sie unter Anwendungs- und Dienstprinzipalobjekte in microsoft Entra ID.

Voraussetzungen

Um eine Anwendung in Ihrem Microsoft Entra-Mandanten zu registrieren, benötigen Sie Folgendes:

• Ein Microsoft Entra-Benutzerkonto. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Ausreichende Berechtigungen, um eine Anwendung bei Ihrem Microsoft Entra-Mandanten registrieren und der Anwendung eine Rolle in Ihrem Azure-Abonnement zuweisen zu können Um diese Aufgaben auszuführen, benötigen Sie die Berechtigung Application.ReadWrite.All.

Registrieren einer Anwendung mit Microsoft Entra ID und Erstellen eines Dienstprinzipals

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>App-Registrierungen, und wählen Sie dann Neue Registrierung aus.

3. Geben Sie der Anwendung einen Namen, z. B. Beispiel-App.

4. Wählen Sie unter "Unterstützte Kontotypen" nur "Konten" in diesem Organisationsverzeichnis aus.

5. Wählen Sie unter "Umleitungs-URI" "Web" für den Typ der Anwendung aus, die Sie erstellen möchten. Geben Sie den URI ein, an den das Zugriffstoken gesendet wird.

6. Wählen Sie "Registrieren" aus.

   

Zuweisen einer Rolle zur Anwendung

Sie müssen der Anwendung eine Rolle zuweisen, um auf Ressourcen in Ihrem Abonnement zugreifen zu können. Dies muss über das Azure-Portal erfolgen. Entscheiden Sie, welche Rolle über die geeigneten Berechtigungen für die Anwendung verfügt. Informationen zu den verfügbaren Rollen finden Sie in den integrierten Azure-Rollen.

Sie können den Umfang auf Abonnement-, Ressourcengruppen- oder Ressourcenebene festlegen. Niedrigere Ebenen mit geringerem Umfang erben Berechtigungen.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie in der Suchleiste oben auf dem Bildschirm nach Abonnements, und wählen Sie sie aus.

3. Wählen Sie im neuen Fenster das Abonnement aus, das Sie ändern möchten. Wenn das gesuchte Abonnement nicht angezeigt wird, wählen Sie den filter "Globale Abonnements" aus. Stellen Sie sicher, dass das gewünschte Abonnement für den Mandanten ausgewählt ist.

4. Wählen Sie im linken Bereich access control (IAM) aus.

5. Wählen Sie "Hinzufügen" und dann " Rollenzuweisung hinzufügen" aus.

6. Wählen Sie auf der Registerkarte " Rolle " die Rolle aus, die Sie der Anwendung in der Liste zuweisen möchten, und wählen Sie dann "Weiter" aus.

7. Wählen Sie auf der Registerkarte " Mitglieder " für "Zugriff zuweisen"die Option "Benutzer", "Gruppe" oder "Dienstprinzipal" aus.

8. Wählen Sie "Mitglieder auswählen" aus. Microsoft Entra-Anwendungen werden standardmäßig nicht in den verfügbaren Optionen angezeigt. Um Ihre Anwendung zu finden, suchen Sie nach ihrem Namen.

9. Wählen Sie die Schaltfläche "Auswählen " und dann " Überprüfen+ Zuweisen" aus.

   

Ihr Dienstprinzipal wird eingerichtet. Sie können mit der Nutzung beginnen, um Ihre Skripts oder Apps auszuführen. Um Ihren Dienstprinzipal zu verwalten (Berechtigungen, Benutzerzustimmungen, anzeigen, welche Benutzer zugestimmt haben, Berechtigungen überprüfen, Anmeldeinformationen anzeigen und vieles mehr) wechseln Sie zu Enterprise-Anwendungen.

Im nächsten Abschnitt wird veranschaulicht, wie Sie Werte abrufen, die beim programmgesteuerten Anmelden benötigt werden.

Anmelden bei der Anwendung

Beim programmgesteuerten Anmelden geben Sie in Ihrer Authentifizierungsanforderung die Verzeichnis-ID (Mandant) und die Anwendungs-ID (Client) an. Darüber hinaus benötigen Sie ein Zertifikat oder einen Authentifizierungsschlüssel. So erhalten Sie die Verzeichnis-ID und die Anwendungs-ID:

1. Öffnen Sie die Startseite des Microsoft Entra Admin Centers.
2. Navigieren Sie zu Entra>, und wählen Sie dann Ihre Anwendung aus.
3. Kopieren Sie auf der Übersichtsseite die Verzeichnis-(Mandanten-)-ID, und speichern Sie sie in Ihrem Anwendungscode.
4. Kopieren Sie die Anwendungs-(Client-)ID, und speichern Sie sie in Ihrem Anwendungscode.

Einrichten der Authentifizierung

Für Dienstprinzipale sind zwei Arten von Authentifizierung verfügbar: kennwortbasierte Authentifizierung (Anwendungsgeheimnis) und zertifikatbasierte Authentifizierung. Es wird empfohlen, ein von einer Zertifizierungsstelle ausgestelltes vertrauenswürdiges Zertifikat zu verwenden, Sie können aber auch einen Anwendungsschlüssel erstellen oder ein selbstsigniertes Zertifikat zum Testen erstellen.

Option 1 (empfohlen): Hochladen eines von einer Zertifizierungsstelle ausgestellten vertrauenswürdigen Zertifikats

So laden Sie die Zertifikatdatei hoch:

1. Navigieren Sie zu Entra>, und wählen Sie dann Ihre Anwendung aus.
2. Wählen Sie Zertifikate und geheime Schlüssel aus.
3. Wählen Sie "Zertifikate" und dann " Zertifikat hochladen " und dann die zertifikatsdatei aus, die hochgeladen werden soll.
4. Wählen Sie "Hinzufügen" aus. Nachdem das Zertifikat hochgeladen wurde, werden der Fingerabdruck, das Startdatum und der Ablaufzeitpunkt angezeigt.

Nachdem Sie das Zertifikat bei Ihrer Anwendung im Anwendungsregistrierungsportal registriert haben, aktivieren Sie den vertraulichen Clientanwendungscode , um das Zertifikat zu verwenden.

Option 2 (nur zu Testzwecken): Erstellen und Hochladen eines selbstsignierten Zertifikats

Optional können Sie ein selbstsigniertes Zertifikat nur zu Testzwecken erstellen. Um ein selbstsigniertes Zertifikat zu erstellen, öffnen Sie Windows PowerShell, und führen Sie New-SelfSignedCertificate mit den folgenden Parametern aus, um das Zertifikat im Benutzerzertifikatspeicher auf Ihrem Computer zu erstellen:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportieren Sie dieses Zertifikat mithilfe des MMC-Snap-Ins "Benutzerzertifikat verwalten " in eine Datei, auf die über die Windows-Systemsteuerung zugegriffen werden kann.

1. Wählen Sie im Startmenü"Ausführen" aus, und geben Sie dann certmgr.msc ein. Das Tool „Zertifikat-Manager“ für den aktuellen Benutzer wird angezeigt.
2. Um Ihre Zertifikate anzuzeigen, erweitern Sie unter "Zertifikate – Aktueller Benutzer " im linken Bereich das Persönliche Verzeichnis.
3. Klicken Sie mit der rechten Maustaste auf das von Ihnen erstellte Zertifikat, wählen Sie "Alle Aufgaben exportieren>" aus.
4. Folgen Sie dem Zertifikatexport-Assistenten.

So laden Sie das Zertifikat hoch:

1. Navigieren Sie zu Entra>, und wählen Sie dann Ihre Anwendung aus.
2. Wählen Sie Zertifikate und geheime Schlüssel aus.
3. Wählen Sie "Zertifikate" und dann " Zertifikat hochladen " und dann das Zertifikat aus (ein vorhandenes Zertifikat oder das selbstsignierte Zertifikat, das Sie exportiert haben).
4. Wählen Sie "Hinzufügen" aus.

Nachdem Sie das Zertifikat bei Ihrer Anwendung im Anwendungsregistrierungsportal registriert haben, aktivieren Sie den vertraulichen Clientanwendungscode , um das Zertifikat zu verwenden.

Option 3: Erstellen eines neuen geheimen Clientschlüssels

Wenn Sie sich entscheiden, kein Zertifikat zu verwenden, können Sie einen neuen geheimen Clientschlüssel erstellen.

1. Navigieren Sie zu Entra>, und wählen Sie dann Ihre Anwendung aus.
2. Wählen Sie Zertifikate und geheime Schlüssel aus.
3. Wählen Sie geheime Clientschlüssel und dann "Neuer geheimer Clientschlüssel" aus.
4. Geben Sie eine Beschreibung des Geheimnisses und eine Dauer ein.
5. Wählen Sie "Hinzufügen" aus.

Nachdem Sie den geheimen Clientschlüssel gespeichert haben, wird sein Wert angezeigt. Dieser wird nur einmal angezeigt. Kopieren Sie diesen Wert also, und speichern Sie ihn dort, wo Ihre Anwendung ihn abrufen kann, in der Regel dort, wo Ihre Anwendung Werte wie clientId oder authority im Quellcode speichert. Sie geben den geheimen Wert zusammen mit der Client-ID der Anwendung an, um sich als Anwendung anzumelden.

Konfigurieren von Zugriffsrichtlinien für Ressourcen

Möglicherweise müssen Sie zusätzliche Berechtigungen für Ressourcen konfigurieren, auf die Ihre Anwendung zugreifen muss. Sie müssen beispielsweise auch die Zugriffsrichtlinien eines Schlüsseltresors aktualisieren , um Ihrer Anwendung Zugriff auf Schlüssel, geheime Schlüssel oder Zertifikate zu gewähren.

So konfigurieren Sie Zugriffsrichtlinien:

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie Ihren Schlüsseltresor und Zugriffsrichtlinien aus.

3. Wählen Sie "Zugriffsrichtlinie hinzufügen" und dann den Schlüssel, den geheimen Schlüssel und die Zertifikatberechtigungen aus, die Sie Ihrer Anwendung gewähren möchten. Wählen Sie den zuvor erstellten Dienstprinzipal aus.

4. Wählen Sie "Hinzufügen" aus, um die Zugriffsrichtlinie hinzuzufügen, und wählen Sie dann " Speichern" aus.

   

Zugehöriger Inhalt

• Erfahren Sie, wie Sie Azure PowerShell oder Azure CLI zum Erstellen eines Dienstprinzipals verwenden.
• Informationen zum Angeben von Sicherheitsrichtlinien finden Sie unter Azure rollenbasierte Zugriffssteuerung (Azure RBAC).
• Eine Liste der verfügbaren Aktionen, die Benutzern gewährt oder verweigert werden können, finden Sie unter Azure Resource Manager Resource Provider Operations.
• Informationen zum Arbeiten mit App-Registrierungen mithilfe von Microsoft Graph finden Sie in der Anwendungs-API-Referenz.