Métodos de autenticación con Azure Active Directory

La API pública de Azure Sphere (PAPI) admite varios métodos de autenticación y autorización de usuario en Azure Active Directory (AAD).

Con Azure Active Directory, se puede usar un token de aplicación para autenticar y conceder acceso a recursos de Azure específicos desde una aplicación de usuario, un servicio o una herramienta de automatización mediante la entidad de servicio o el método de identidad administrada para la autenticación.

Importante

Al crear una entidad de servicio, debe proteger las credenciales de aplicación generadas, como los secretos de cliente o los certificados de cliente. Asegúrese de no incluir las credenciales de la aplicación en el código o de comprobar las credenciales en el control de código fuente. Como alternativa, considere la posibilidad de usar la identidad administrada para evitar la necesidad de usar credenciales.

En la ilustración siguiente se muestran los métodos de autenticación admitidos con Azure Active Directory:

Métodos de autenticación con Azure Active Directory

Método de entidad de servicio

Se puede configurar una entidad de servicio de Azure para usar un certificado de cliente o secreto de cliente para la autenticación. Las entidades de servicio son cuentas que no están vinculadas a ningún usuario en particular, pero pueden tener permisos asignados mediante roles predefinidos. La autenticación con una entidad de servicio es la mejor manera de escribir programas o scripts seguros, lo que le permite aplicar restricciones de permisos e información de credenciales estáticas almacenada localmente. Para obtener más información, consulte Entidad de servicio de Azure.

Hay dos opciones disponibles para las entidades de servicio: secretos de cliente y certificados de cliente. Para obtener más información, vea Método de autenticación de entidad de servicio.

Método de identidad administrada

La identidad administrada de Azure también se puede usar para comunicarse con el servicio de API pública de Azure Sphere . La identidad administrada es compatible con varios servicios de Azure. La ventaja de usar una identidad administrada para el método de autenticación de recursos de Azure es que no tiene que administrar ningún secreto de cliente ni certificados de cliente. Para obtener más información, vea Identidad administrada para el método de recursos.

Método de identidad de usuario

Con este método no es necesario autenticarse con el inquilino de Azure Sphere. Puede iniciar sesión con la identidad de usuario de Azure Active Directory. Para obtener más información, vea Método de autenticación de usuario.

Agregar el id. de aplicación de API pública de Azure Sphere a su inquilino de Azure

Primero debe agregar el Id. de aplicación de API pública de Azure Sphere a su inquilino de Azure mediante una configuración única:

Nota

  • Use una cuenta de administrador global para su inquilino de Azure Active Directory (Azure AD) para ejecutar este comando.
  • El valor del AppId parámetro es estático.
  • Recomendamos usar Azure Sphere Public API para que -DisplayName se pueda usar un nombre para mostrar común en todos los espacios empresariales.
  1. Abre una ventana del símbolo del sistema con privilegios elevados Windows PowerShell (ejecuta Windows PowerShell como administrador) y ejecuta el siguiente comando para instalar el módulo de Powershell de Azure AD:

    Install-Module AzureAD
    
  2. Inicie sesión en PowerShell de Azure AD con una cuenta de administrador. Especifique el -TenantId parámetro para autenticar como entidad de servicio:

    Connect-AzureAD -TenantId <Azure Active Directory TenantID>
    

    <Azure Active Directory TenantID> representa el Id. de inquilino de Azure Active Directory. Para obtener más información, consulte Cómo buscar su id. de inquilino de Azure Active Directory.

  3. Cree la entidad de servicio y conéctela a la Azure Sphere Public API aplicación especificando el Id. de aplicación api pública de Azure Sphere como se describe a continuación:

    New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"