Registro de una aplicación para solicitar tokens de autorización y trabajar con API

Para acceder a las API REST de Azure, como la API de Log Analytics, o para enviar métricas personalizadas, puede generar un token de autorización basado en un Id. de cliente y un secreto. Después, el token se pasa en la solicitud de la API REST. En este artículo se muestra cómo registrar una aplicación cliente y crear un secreto de cliente, de modo que pueda generar un token.

Registrar una aplicación

Cree una entidad de servicio y registre una aplicación mediante Azure Portal, la CLI de Azure o PowerShell.

Azure Portal

1. Para registrar una aplicación, abra la página Información general de Active Directory en el Azure Portal.

2. Seleccione Registros de aplicaciones en la barra lateral.

3. Seleccione Nuevo registro.

4. En la página Registrar una aplicación, escriba el Nombre de la aplicación.

5. Seleccione Registrar.

6. En la página de información general de la aplicación, seleccione Certificados y secretos

7. Anote la Id. de aplicación (cliente). Se usa en la solicitud HTTP para un token.

8. En la pestaña Secretos de cliente, seleccione Nuevo secreto de cliente

9. Escriba una descripción y seleccione Agregar

10. Copie y guarde el valor del secreto de cliente.

    Nota

    Los valores de secreto de cliente solo se pueden ver inmediatamente después de la creación. Asegúrese de guardar el secreto antes de salir de la página.

    

CLI de Azure

Ejecute el siguiente script para crear una entidad de servicio y una aplicación.

az ad sp create-for-rbac -n <Service principal display name> 

La respuesta tiene el siguiente aspecto:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Importante

La salida incluye las credenciales que debe proteger. Asegúrese de no incluir estas credenciales en el código ni en el control de código fuente.

Adición de un rol y un ámbito para los recursos a los que quiere acceder mediante la API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

En el ejemplo siguiente de la CLI se asigna el rol Reader a la entidad de servicio de todos los recursos del grupo de recursos rg-001:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Para obtener más información sobre la creación de entidades de servicio mediante la CLI de Azure, consulte Creación de una entidad de servicio de Azure con la CLI de Azure.

PowerShell

El script de ejemplo siguiente muestra cómo crear una entidad de servicio de Microsoft Entra a través de PowerShell. Para ver un tutorial más detallado, consulte la documentación sobre el uso de Azure PowerShell para crear una entidad de servicio para acceder a recursos.

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Pasos siguientes

Para poder generar un token con la aplicación, el Id. de cliente y el secreto, asigne la aplicación a un rol mediante control de acceso (IAM) para el recurso al que quiere acceder. El rol dependerá del tipo de recurso y de la API que quiera usar.
Por ejemplo,

• Para conceder acceso a la aplicación a fin de que lea desde un área de trabajo de Log Analytics, agregue la aplicación como miembro al rol Lector mediante control de acceso (IAM) para el área de trabajo de Log Analytics. Para obtener más información, vea Acceso a la API

• Para conceder acceso a fin de enviar métricas personalizadas para un recurso, agregue la aplicación como miembro al rol Publicador de métricas de supervisión mediante control de acceso (IAM) para el recurso. Para obtener más información, vea Envío de métricas a la base de datos de métricas de Azure Monitor mediante la API REST.

Para obtener más información, consulte Asignación de roles de Azure mediante Azure Portal.

Una vez que haya asignado un rol, puede usar la aplicación, el id. de cliente y el secreto de cliente para generar un token de portador a fin de acceder a la API de REST.

Nota:

Si se usa la autenticación de Microsoft Entra, la API de REST del servicio Application Insights de Azure podría tardar hasta 60 minutos en reconocer los nuevos permisos de control de acceso basado en roles (RBAC). Mientras se propagan los permisos, las llamadas a la API de REST pueden producir un error con el código de error 403.