Compartir a través de


Creación de un registro de aplicaciones para usar con Azure Digital Twins

En este artículo se describe cómo crear un registro de aplicación de Microsoft Entra ID que pueda acceder a Azure Digital Twins. En este artículo se incluyen los pasos para el Azure Portal y la CLI de Azure.

Cuando se trabaja con Azure Digital Twins, es habitual interactuar con la instancia a través de aplicaciones cliente. Estas aplicaciones deben autenticarse con Azure Digital Twins y algunos de los mecanismos de autenticación que las aplicaciones pueden usar conllevan un registro de aplicación.

El registro de la aplicación no es necesario en todos los escenarios de autenticación. Pero si va a usar una estrategia de autenticación o un ejemplo de código que exige registrar una aplicación, en este artículo se muestra cómo configurarlo y concederle permisos a las API de Azure Digital Twins. También explica cómo recopilar valores importantes que necesita para usar el registro de la aplicación al autenticarse.

Sugerencia

Es posible que prefiera configurar un nuevo registro de aplicación cada vez que lo necesite, o configurar un registro de aplicación solo una vez y compartirlo entre todos los escenarios que lo requieran.

Creación del registro

Comience seleccionando la siguiente pestaña para su interfaz preferida.

Vaya a Microsoft Entra ID en el Azure Portal (puede usar este enlace o encontrarlo en la barra de búsqueda del portal). Seleccione Registros de aplicaciones en el menú del servicio y, luego, + Nuevo registro.

Captura de pantalla de la página del servicio de Microsoft Entra en Azure Portal, en la que se muestran los pasos necesarios para crear un registro en la página

En la página Registrar una aplicación que sigue, rellene los valores solicitados:

  • Nombre: nombre para mostrar de una aplicación de Microsoft Entra para asociar al registro.
  • Tipos de cuenta admitidos: seleccione Solo cuentas de este directorio organizativo (Solo directorio predeterminado: inquilino único).

Cuando haya terminado, pulse el botón Registrar.

Captura de pantalla de la página

Cuando finaliza la configuración del registro, el portal lo redirige a su página de detalles.

Recopilación de valores importantes

A continuación, recopile algunos valores importantes sobre el registro de la aplicación que necesita para usar el registro de la aplicación para autenticar una aplicación cliente. Estos valores incluyen:

  • Nombre del recurso

    Al trabajar con Azure Digital Twins, el nombre del recurso es http://digitaltwins.azure.net.

  • identificador del cliente

  • Id. de inquilino

  • secreto de cliente

Las siguientes secciones describen cómo encontrar los valores restantes.

Recopilación de los identificadores de cliente y de inquilino

Para usar el registro de la aplicación para la autenticación, es posible que deba proporcionar su identificador de aplicación (cliente) y su identificador de directorio (inquilino). Aquí, recopila estos valores para poder guardarlos y usarlos cuando sea necesario.

Los valores de identificador de cliente e identificador de inquilino se pueden recopilar de la página de detalles del registro de la aplicación en Azure Portal:

Captura de pantalla de Azure Portal en la que se muestran los valores importantes para el registro de la aplicación.

Anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino), como se muestra en su página.

Recopilación del secreto de cliente

Configure un secreto de cliente para el registro de la aplicación, que otras aplicaciones pueden usar para autenticarse a través de ella.

Comience en la página de registro de la aplicación en el Azure Portal.

  1. Seleccione Certificados y secretos en el menú del registro y, después, + Nuevo secreto de cliente.

    Captura de pantalla de Azure Portal en la que se muestra un registro de aplicación de Microsoft Entra y se resalta

  2. Escriba los valores que desee en Descripción y Caduca, y seleccione Agregar.

    Captura de pantalla de Azure Portal al agregar un secreto de cliente.

  3. Compruebe que el secreto de cliente está visible en la página Certificados y secretos con los campos Caduca y Valor.

  4. Tome nota de los valores de Secret ID (Identificador de secreto) y Value (Valor) para usarlo más adelante (también puede copiarlos en el Portapapeles con los iconos de Copia).

    Captura de pantalla de Azure Portal en la que se muestra cómo copiar el valor del secreto de cliente.

Importante

Asegúrese de copiar los valores ahora y almacenarlos en un lugar seguro, ya que no se pueden volver a recuperar. Si no puede encontrarlos más tarde, debe crear un nuevo secreto.

Concesión de permisos de Azure Digital Twins

A continuación, configure el registro de la aplicación que creó con permisos para acceder a Azure Digital Twins. Hay dos tipos de permisos necesarios:

  • Una asignación de rol para el registro de la aplicación dentro de la instancia de Azure Digital Twins
  • Permisos de la API para que la aplicación pueda leer y escribir en las API de Azure Digital Twins

Creación de asignaciones de roles

En esta sección, creará una asignación de roles para el registro de la aplicación en la instancia de Azure Digital Twins. Esta función determina qué permisos tiene el registro de la aplicación en la instancia, por lo que debe seleccionar la función que coincida con el nivel de permiso adecuado para su situación. Un rol posible es Propietario de datos de Azure Digital Twins. Para obtener una lista completa de los roles y sus descripciones, consulte Roles integrados de Azure.

Siga estos pasos para crear la asignación de roles para el registro.

  1. Abra la página de la instancia de Azure Digital Twins en Azure Portal.

  2. Seleccione Access Control (IAM) .

  3. Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.

  4. Asigne el rol adecuado. Para acceder a los pasos detallados, vea Asignación de roles de Azure mediante Azure Portal.

    Configuración Valor
    Rol Seleccione según corresponda.
    Los miembros > asignan el acceso a Usuario, grupo o entidad de servicio
    Miembros > Miembros + Seleccione miembros y, a continuación, busque el nombre del registro de la aplicación

    Captura de pantalla de la pestaña Roles de la página Agregar asignación de roles.

    Captura de pantalla de la pestaña Miembros de la página Agregar asignación de roles.

    Una vez seleccionado el rol, Revisar + asignarlo .

Comprobación de la asignación de roles

Puede ver la asignación de roles que ha configurado en Control de acceso (IAM)> Asignaciones de roles.

Captura de pantalla de la página Asignaciones de rol para una instancia de Azure Digital Twins en Azure Portal.

El registro de la aplicación debe aparecer en la lista junto con el rol que le asignó.

Concesión de permisos de API

En esta sección, concederá permisos de lectura y escritura de línea base de la aplicación a las API de Azure Digital Twins.

Si usa la CLI de Azure y configura el registro de la aplicación anteriormente con un archivo de manifiesto, este paso ya se ha realizado. Si usa el Azure Portal para crear el registro de la aplicación, continúe con el resto de esta sección para configurar permisos de API.

En la página del portal de registro de aplicación, seleccione Permisos de API en el menú. En la siguiente página de permisos, seleccione el botón + Agregar un permiso.

Captura de pantalla del registro de aplicación en Azure Portal que resalta la opción del menú

En la página Solicitud de permisos de API que sigue, cambie a la pestaña API usadas en mi organización y busque Azure Digital Twins. Seleccione Azure Digital Twins en los resultados de búsqueda para continuar asignando permisos para las API de Azure Digital Twins.

Captura de pantalla del resultado de la búsqueda de la página

A continuación, seleccione los permisos que desea conceder a estas API. Expanda el permiso Lectura (1) y marque la casilla que indica Read.Write para conceder permisos de lectura y escritura para el registro de la aplicación.

Captura de pantalla de la página

Cuando termine, seleccione Agregar permisos.

Comprobación de permisos de API

En la página Permisos de API, compruebe que ahora haya una entrada para Azure Digital Twins que muestre los permisos de lectura y escritura:

Captura de pantalla de los permisos de API para el registro de la aplicación de Microsoft Entra en Azure Portal en la que se muestra

También puede comprobar la conexión a Azure Digital Twins en el archivo manifest.json del registro de la aplicación, que se actualizó automáticamente con la información de Azure Digital Twins cuando agregó los permisos de API.

Seleccione Manifiesto en el menú para ver el código del archivo de manifiesto del registro de la aplicación. Desplácese hasta la parte inferior de la ventana de código y busque los siguientes campos y valores en requiredResourceAccess:

  • "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0" (Este valor es el identificador de recurso para el punto de conexión de servicio de Azure Digital Twins).
  • "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8" (Este valor es el identificador de permiso para el permiso delegado Read.Write en Azure Digital Twins).

Estos valores se muestran en la siguiente captura de pantalla:

Captura de pantalla del manifiesto del registro de la aplicación de Microsoft Entra en Azure Portal.

Si faltan estos valores, vuelva a intentar los pasos de la sección para agregar el permiso de API.

Otros posibles pasos para la organización

Es posible que su organización requiera más acciones por parte de los propietarios o administradores de la suscripción para terminar de configurar el registro de la aplicación. Los pasos necesarios pueden variar en función de la configuración específica de su organización. Elija una de las siguientes pestañas para ver esta información adaptada a su interfaz preferida.

Estas son algunas actividades potenciales comunes que un propietario o administrador de la suscripción podría tener que realizar. Estas y otras operaciones se pueden realizar desde la página Registros de aplicaciones de Microsoft Entra en Azure Portal.

  • Conceda el consentimiento del administrador para el registro de aplicaciones. Es posible que su organización tenga el consentimiento del administrador requerido globalmente activado en el identificador de Microsoft Entra para todos los registros de aplicaciones dentro de su suscripción. Si es así, el propietario o administrador debe seleccionar este botón para su empresa en la página de permisos de API del registro de la aplicación para que el registro de la aplicación sea válido:

    Captura de pantalla de Azure Portal que muestra el botón

    • Si el consentimiento se concedió correctamente, la entrada de Azure Digital Twins debería mostrar en Estado el valor Concedido para (su empresa)

    Captura de pantalla de Azure Portal que muestra el consentimiento del administrador concedido en Permisos de API.

  • Activar el acceso de cliente público

  • Establecer direcciones URL de respuesta específicas para el acceso web y de escritorio

  • Permitir flujos de autenticación de OAuth2 implícitos

Para más información sobre el registro de aplicaciones y sus distintas opciones de configuración, consulte Registro de una aplicación en la plataforma de identidad de Microsoft.

Pasos siguientes

En este artículo, ha configurado un registro de aplicaciones de Microsoft Entra que se puede usar para autenticar las aplicaciones cliente con las API de Azure Digital Twins.

A continuación, lea información sobre los mecanismos de autenticación, incluido el mecanismo que usa los registros de aplicaciones y los que no lo usan: