Creación de un registro de aplicaciones para usar con Azure Digital Twins

En este artículo se describe cómo crear un registro de aplicación de Microsoft Entra ID que pueda acceder a Azure Digital Twins. En este artículo se incluyen los pasos para el Azure Portal y la CLI de Azure.

Cuando se trabaja con Azure Digital Twins, es habitual interactuar con la instancia a través de aplicaciones cliente. Estas aplicaciones deben autenticarse con Azure Digital Twins y algunos de los mecanismos de autenticación que las aplicaciones pueden usar conllevan un registro de aplicación.

El registro de la aplicación no es necesario en todos los escenarios de autenticación. Pero si va a usar una estrategia de autenticación o un ejemplo de código que exige registrar una aplicación, en este artículo se muestra cómo configurarlo y concederle permisos a las API de Azure Digital Twins. También explica cómo recopilar valores importantes que necesita para usar el registro de la aplicación al autenticarse.

Sugerencia

Es posible que prefiera configurar un nuevo registro de aplicación cada vez que lo necesite, o configurar un registro de aplicación solo una vez y compartirlo entre todos los escenarios que lo requieran.

Creación del registro

Comience seleccionando la siguiente pestaña para su interfaz preferida.

Portal

Vaya a Microsoft Entra ID en el Azure Portal (puede usar este enlace o encontrarlo en la barra de búsqueda del portal). Seleccione Registros de aplicaciones en el menú del servicio y, luego, + Nuevo registro.

En la página Registrar una aplicación que sigue, rellene los valores solicitados:

• Nombre: nombre para mostrar de una aplicación de Microsoft Entra para asociar al registro.
• Tipos de cuenta admitidos: seleccione Solo cuentas de este directorio organizativo (Solo directorio predeterminado: inquilino único).

Cuando haya terminado, pulse el botón Registrar.

Cuando finaliza la configuración del registro, el portal lo redirige a su página de detalles.

CLI

Para empezar, cree un archivo de manifiesto, que contiene la información de servicio que el registro de la aplicación necesita para acceder a las API de Azure Digital Twins. A continuación, pase este archivo a un comando de la CLI para crear el registro.

Creación del manifiesto

Cree un archivo .json en el equipo denominado manifest.json. Copie este texto en el archivo:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

El valor 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 estático es el identificador de recurso para el punto de conexión de servicio de Azure Digital Twins, que el registro de la aplicación necesita para acceder a las API de Azure Digital Twins.

Guarde el archivo terminado.

Usuarios de Cloud Shell: carga de manifiesto

Si usa Azure Cloud Shell para este tutorial, debe cargar el archivo de manifiesto que creó en Cloud Shell, de modo que pueda acceder a él en los comandos de Cloud Shell al configurar el registro de la aplicación. Si usa una instalación local de la CLI de Azure, puede saltar al siguiente paso, Ejecutar el comando de creación.

Para cargar el archivo, vaya a la ventana Cloud Shell en el explorador. Seleccione el icono "Cargar/Descargar archivos" y elija "Cargar".

Vaya al archivo manifest.json en la máquina y seleccioneOpen (Abrir). Al hacerlo, se cargará el archivo en la raíz del almacenamiento de Cloud Shell.

Ejecutar el comando de creación

En esta sección, ejecutará un comando de la CLI para crear un registro de aplicación con la siguiente configuración:

• Nombre elegido
• Disponible solo para las cuentas del directorio predeterminado (inquilino único)
• Una dirección URL de respuesta web de http://localhost
• Permisos de lectura y escritura para las API Azure Digital Twins

Para crear el registro de la aplicación, ejecute el siguiente comando. Si usa Cloud Shell, la ruta de acceso al archivo manifest.json es @manifest.json.

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

El resultado del comando es información sobre el registro de la aplicación que creó.

Comprobación de que la operación se ha completado correctamente

Puede confirmar que se concedieron los permisos de Azure Digital Twins si busca los siguientes campos en la salida del comando de creación, en requiredResourceAccess. Confirme que sus valores coincidan con los siguientes valores.

• resourceAccess > id IS 4589BD03-58CB-4E6C-B17F-B580E39652F8
• resourceAppId IS 0B07F429-9F4B-4714-9392-CC5E8E80C8B0

Recopilación de valores importantes

A continuación, recopile algunos valores importantes sobre el registro de la aplicación que necesita para usar el registro de la aplicación para autenticar una aplicación cliente. Estos valores incluyen:

• Nombre del recurso

  Al trabajar con Azure Digital Twins, el nombre del recurso es http://digitaltwins.azure.net.

• identificador del cliente

• Id. de inquilino

• secreto de cliente

Las siguientes secciones describen cómo encontrar los valores restantes.

Recopilación de los identificadores de cliente y de inquilino

Para usar el registro de la aplicación para la autenticación, es posible que deba proporcionar su identificador de aplicación (cliente) y su identificador de directorio (inquilino). Aquí, recopila estos valores para poder guardarlos y usarlos cuando sea necesario.

Portal

Los valores de identificador de cliente e identificador de inquilino se pueden recopilar de la página de detalles del registro de la aplicación en Azure Portal:

Anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino), como se muestra en su página.

CLI

Puede encontrar el identificador de aplicación en la salida del comando az ad app create que ejecutó anteriormente (o volver a abrir la información con az ad app show).

Busque appId en el resultado:

Puede mostrar el identificador de inquilino en el shell mediante el comando az account tenant list.

Nota:

Este grupo de comandos es experimental y actualmente está en desarrollo.

Recopilación del secreto de cliente

Configure un secreto de cliente para el registro de la aplicación, que otras aplicaciones pueden usar para autenticarse a través de ella.

Portal

Comience en la página de registro de la aplicación en el Azure Portal.

1. Seleccione Certificados y secretos en el menú del registro y, después, + Nuevo secreto de cliente.

   

2. Escriba los valores que desee en Descripción y Caduca, y seleccione Agregar.

   

3. Compruebe que el secreto de cliente está visible en la página Certificados y secretos con los campos Caduca y Valor.

4. Tome nota de los valores de Secret ID (Identificador de secreto) y Value (Valor) para usarlo más adelante (también puede copiarlos en el Portapapeles con los iconos de Copia).

   

Importante

Asegúrese de copiar los valores ahora y almacenarlos en un lugar seguro, ya que no se pueden volver a recuperar. Si no puede encontrarlos más tarde, debe crear un nuevo secreto.

CLI

Para crear un secreto de cliente para el registro de la aplicación, necesita el valor del identificador de cliente del registro de la aplicación que recopiló en el paso anterior. Para crear un nuevo secreto, utilice el valor de ID de cliente en el siguiente comando de la CLI:

az ad app credential reset --id <client-ID> --append

También puede agregar más parámetros a este comando para especificar una descripción de las credenciales, una fecha de finalización y otros detalles. Para obtener más información sobre el comando y sus parámetros, vea la documentación de az ad app credential reset.

El resultado de este comando es información sobre el secreto de cliente que ha creado.

Copie el valor de password para usarlo cuando necesite el secreto de cliente para la autenticación.

Importante

Asegúrese de copiar el valor ahora y guardarlo en un lugar seguro, ya que no se puede volver a recuperar. Si no puede encontrar el valor más adelante, debe crear un nuevo secreto.

Concesión de permisos de Azure Digital Twins

A continuación, configure el registro de la aplicación que creó con permisos para acceder a Azure Digital Twins. Hay dos tipos de permisos necesarios:

• Una asignación de rol para el registro de la aplicación dentro de la instancia de Azure Digital Twins
• Permisos de la API para que la aplicación pueda leer y escribir en las API de Azure Digital Twins

Creación de asignaciones de roles

En esta sección, creará una asignación de roles para el registro de la aplicación en la instancia de Azure Digital Twins. Esta función determina qué permisos tiene el registro de la aplicación en la instancia, por lo que debe seleccionar la función que coincida con el nivel de permiso adecuado para su situación. Un rol posible es Propietario de datos de Azure Digital Twins. Para obtener una lista completa de los roles y sus descripciones, consulte Roles integrados de Azure.

Portal

Siga estos pasos para crear la asignación de roles para el registro.

1. Abra la página de la instancia de Azure Digital Twins en Azure Portal.

2. Seleccione Access Control (IAM) .

3. Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.

4. Asigne el rol adecuado. Para acceder a los pasos detallados, vea Asignación de roles de Azure mediante Azure Portal.

   Configuración	Valor
   Rol	Seleccione según corresponda.
   Los miembros > asignan el acceso a	Usuario, grupo o entidad de servicio
   Miembros > Miembros	+ Seleccione miembros y, a continuación, busque el nombre del registro de la aplicación

   

   

   Una vez seleccionado el rol, Revisar + asignarlo .

Comprobación de la asignación de roles

Puede ver la asignación de roles que ha configurado en Control de acceso (IAM)> Asignaciones de roles.

El registro de la aplicación debe aparecer en la lista junto con el rol que le asignó.

CLI

Use el comando az dt role-assignment create para asignar el rol (debe tener permisos suficientes en la suscripción de Azure). El comando requiere que pase el nombre del rol que desea asignar, el nombre de la instancia de Azure Digital Twins y el nombre o el identificador de objeto del registro de la aplicación.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

El resultado de este comando es información de salida sobre la asignación de roles creada para el registro de la aplicación.

Para comprobar aún más la asignación del rol, puede buscarlo en el Azure Portal (cambie a la pestaña de instrucciones del portal).

Concesión de permisos de API

En esta sección, concederá permisos de lectura y escritura de línea base de la aplicación a las API de Azure Digital Twins.

Si usa la CLI de Azure y configura el registro de la aplicación anteriormente con un archivo de manifiesto, este paso ya se ha realizado. Si usa el Azure Portal para crear el registro de la aplicación, continúe con el resto de esta sección para configurar permisos de API.

Portal

En la página del portal de registro de aplicación, seleccione Permisos de API en el menú. En la siguiente página de permisos, seleccione el botón + Agregar un permiso.

En la página Solicitud de permisos de API que sigue, cambie a la pestaña API usadas en mi organización y busque Azure Digital Twins. Seleccione Azure Digital Twins en los resultados de búsqueda para continuar asignando permisos para las API de Azure Digital Twins.

A continuación, seleccione los permisos que desea conceder a estas API. Expanda el permiso Lectura (1) y marque la casilla que indica Read.Write para conceder permisos de lectura y escritura para el registro de la aplicación.

Cuando termine, seleccione Agregar permisos.

Comprobación de permisos de API

En la página Permisos de API, compruebe que ahora haya una entrada para Azure Digital Twins que muestre los permisos de lectura y escritura:

También puede comprobar la conexión a Azure Digital Twins en el archivo manifest.json del registro de la aplicación, que se actualizó automáticamente con la información de Azure Digital Twins cuando agregó los permisos de API.

Seleccione Manifiesto en el menú para ver el código del archivo de manifiesto del registro de la aplicación. Desplácese hasta la parte inferior de la ventana de código y busque los siguientes campos y valores en requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0" (Este valor es el identificador de recurso para el punto de conexión de servicio de Azure Digital Twins).
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8" (Este valor es el identificador de permiso para el permiso delegado Read.Write en Azure Digital Twins).

Estos valores se muestran en la siguiente captura de pantalla:

Si faltan estos valores, vuelva a intentar los pasos de la sección para agregar el permiso de API.

CLI

Si usa la CLI, los permisos de API se configuraron anteriormente como parte del paso Crear el registro.

Ahora puede comprobarlos mediante el Azure Portal (cambie a la pestaña de instrucciones del portal).

Otros posibles pasos para la organización

Es posible que su organización requiera más acciones por parte de los propietarios o administradores de la suscripción para terminar de configurar el registro de la aplicación. Los pasos necesarios pueden variar en función de la configuración específica de su organización. Elija una de las siguientes pestañas para ver esta información adaptada a su interfaz preferida.

Portal

Estas son algunas actividades potenciales comunes que un propietario o administrador de la suscripción podría tener que realizar. Estas y otras operaciones se pueden realizar desde la página Registros de aplicaciones de Microsoft Entra en Azure Portal.

• Conceda el consentimiento del administrador para el registro de aplicaciones. Es posible que su organización tenga el consentimiento del administrador requerido globalmente activado en el identificador de Microsoft Entra para todos los registros de aplicaciones dentro de su suscripción. Si es así, el propietario o administrador debe seleccionar este botón para su empresa en la página de permisos de API del registro de la aplicación para que el registro de la aplicación sea válido:

  

  • Si el consentimiento se concedió correctamente, la entrada de Azure Digital Twins debería mostrar en Estado el valor Concedido para (su empresa)

  

• Activar el acceso de cliente público

• Establecer direcciones URL de respuesta específicas para el acceso web y de escritorio

• Permitir flujos de autenticación de OAuth2 implícitos

CLI

Estas son algunas actividades potenciales comunes que un propietario o administrador de la suscripción podría tener que realizar.

• Conceda el consentimiento del administrador para el registro de aplicaciones. Es posible que su organización tenga el consentimiento del administrador requerido globalmente activado en el identificador de Microsoft Entra para todos los registros de aplicaciones dentro de su suscripción. Si es así, es posible que el propietario o administrador tenga que conceder más permisos delegados o de aplicación.
• Active el acceso de cliente público. Para ello, anexe --set publicClient=true a un comando de creación o actualización para el registro.
• Establezca direcciones URL de respuesta específicas para el acceso web y de escritorio mediante el parámetro --reply-urls. Para más información sobre el uso de este parámetro con comandos az ad, consulte la documentación de az ad app.
• Permita los flujos de autenticación de OAuth2 implícitos mediante el parámetro --oauth2-allow-implicit-flow. Para más información sobre el uso de este parámetro con comandos az ad, consulte la documentación de az ad app.

Para más información sobre el registro de aplicaciones y sus distintas opciones de configuración, consulte Registro de una aplicación en la plataforma de identidad de Microsoft.

Pasos siguientes

En este artículo, ha configurado un registro de aplicaciones de Microsoft Entra que se puede usar para autenticar las aplicaciones cliente con las API de Azure Digital Twins.

A continuación, lea información sobre los mecanismos de autenticación, incluido el mecanismo que usa los registros de aplicaciones y los que no lo usan:

• Escritura de código de autenticación de aplicación