Creación de un registro de aplicaciones para usar con Azure Digital Twins

En este artículo se describe cómo crear un registro de aplicación de Microsoft Entra IDque pueda acceder a Azure Digital Twins. En este artículo se incluyen los pasos para el Azure Portal y la CLI de Azure.

Cuando se trabaja con Azure Digital Twins, es habitual interactuar con la instancia a través de aplicaciones cliente. Estas aplicaciones deben autenticarse con Azure Digital Twins y algunos de los mecanismos de autenticación que las aplicaciones pueden usar conllevan un registro de aplicación.

El registro de la aplicación no es necesario en todos los escenarios de autenticación. Pero si va a usar una estrategia de autenticación o un ejemplo de código que exige registrar una aplicación, en este artículo se muestra cómo configurarlo y concederle permisos a las API de Azure Digital Twins. También se explica cómo recopilar valores importantes necesarios para usar el registro de la aplicación al realizar la autenticación.

Sugerencia

Es posible que prefiera configurar un nuevo registro de aplicaciones cada vez que lo necesite, o, hacer esto solo una vez, y establecer un solo registro de aplicaciones que se compartirá entre todos los escenarios que lo requieran.

Creación del registro

Para empezar, seleccione la pestaña siguiente para su interfaz preferida.

Portal

Vaya a Microsoft Entra ID en Azure Portal (puede usar este vínculo o encontrarlo con la barra de búsqueda del portal). Seleccione Registros de aplicaciones en el menú del servicio y, luego, + Nuevo registro.

En la página Registrar una aplicación que sigue, rellene los valores solicitados:

• Nombre: nombre para mostrar de una aplicación de Microsoft Entra que se va a asociar al registro
• Tipos de cuenta admitidos: seleccione Solo cuentas en este directorio organizativo (solo directorio predeterminado: inquilino único)
• URI de redirección: dirección URL de respuesta de una aplicación de Microsoft Entra para la aplicación Microsoft Entra. Agregue un URICliente público o nativo (móvil o escritorio) para http://localhost.

Cuando haya terminado, pulse el botón Registrar.

Cuando termine la configuración del registro, el portal lo redirigirá a su página de detalles.

CLI

Comience por crear un archivo de manifiesto, que contiene la información de servicio que el registro de su aplicación necesitará para acceder a las API de Azure Digital Twins. Después, pasará este archivo a un comando CLI para crear el registro.

Creación del manifiesto

Cree un archivo .json en el equipo denominado manifest.json. Copie este texto en el archivo:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

El valor estático 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 es el identificador de recurso del punto de conexión de servicio Azure Digital Twins, que el registro de la aplicación necesitará para acceder a las API de Azure Digital Twins.

Guarde el archivo terminado.

Usuarios de Cloud Shell: carga de manifiesto

Si usa Azure Cloud Shell para este tutorial, tendrá que cargar en Cloud Shell el archivo de manifiesto creado para poder acceder a él en comandos de Cloud Shell a la hora de configurar el registro de la aplicación. Si usa una instalación local de la CLI de Azure, puede saltar al siguiente paso, Ejecutar el comando de creación.

Para cargar el archivo, vaya a la ventana Cloud Shell en el explorador. Seleccione el icono "Cargar/Descargar archivos" y elija "Cargar".

Vaya al archivo manifest.json en la máquina y seleccioneOpen (Abrir). Así se carga el archivo en la raíz del almacenamiento de Cloud Shell.

Ejecutar el comando de creación

En esta sección, ejecutará un comando de la CLI para crear un registro de aplicación con la siguiente configuración:

• Nombre elegido
• Disponible solo para las cuentas del directorio predeterminado (inquilino único)
• Una dirección URL de respuesta web de http://localhost
• Permisos de lectura y escritura para las API Azure Digital Twins

Ejecute el siguiente comando para crear el registro. Si usa Cloud Shell, la ruta de acceso al archivo manifest.json es @manifest.json.

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

La salida del comando es información sobre el registro de aplicación que ha creado.

Comprobación de que la operación se ha completado correctamente

Puede confirmar que se concedieron los permisos de Azure Digital Twins si busca los siguientes campos en la salida del comando de creación, en requiredResourceAccess. Confirme que los valores coinciden con lo que se indica a continuación.

• resourceAccess > id is 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Recopilación de valores importantes

Luego, recopile algunos valores importantes sobre el registro de la aplicación que va a necesitar para usar el registro a fin de autenticar una aplicación cliente. Estos valores incluyen:

• nombre del recurso: cuando se trabaja con Azure Digital Twins, el nombre del recurso es http://digitaltwins.azure.net.
• identificador del cliente
• Id. de inquilino
• secreto de cliente

Las siguientes secciones describen cómo encontrar los valores restantes.

Recopilación de los identificadores de cliente y de inquilino

Para usar el registro de la aplicación para la autenticación, es posible que tenga que especificar su identificador de aplicación (cliente) e identificador de directorio (inquilino). En esta sección, se recopilan estos valores para que pueda guardarlos y usarlos siempre que los necesite.

Portal

Los valores de identificador de cliente e identificador de inquilino se pueden recopilar de la página de detalles del registro de la aplicación en Azure Portal:

Anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino) que se muestra en la página.

CLI

Puede encontrar ambos valores en la salida del comando az ad app create que ejecutó anteriormente. (También puede volver a mostrar la información del registro de la aplicación mediante az ad app show).

Busque estos valores en el resultado:

Identificador de aplicación (cliente):

Identificador de directorio (inquilino):

Recopilación del secreto de cliente

Configure un secreto de cliente para el registro de la aplicación, que otras aplicaciones pueden usar para autenticarse a través de ella.

Portal

Comience en la página de registro de la aplicación en el Azure Portal.

1. Seleccione Certificados y secretos en el menú del registro y, a continuación, seleccione + Nuevo secreto de cliente.

   

2. Escriba los valores que desee en Descripción y Caduca, y seleccione Agregar.

   

3. Compruebe que el secreto de cliente está visible en la página Certificados y secretos con los campos Caduca y Valor.

4. Tome nota de los valores de Secret ID (Identificador de secreto) y Value (Valor) para usarlo más adelante (también puede copiarlos en el Portapapeles con los iconos de Copia).

   

Importante

Asegúrese de copiar los valores ahora y almacenarlos en un lugar seguro, ya que no se pueden volver a recuperar. Si no los encuentra posteriormente, tendrá que crear un secreto.

CLI

Para crear un secreto de cliente en el registro de la aplicación, necesitará el valor del Id. de cliente del registro de la aplicación que recopiló en el paso anterior. Use el valor en el siguiente comando de la CLI para crear un secreto:

az ad app credential reset --id <client-ID> --append

También puede agregar más parámetros a este comando para especificar una descripción de las credenciales, una fecha de finalización y otros detalles. Para obtener más información sobre el comando y sus parámetros, vea la documentación de az ad app credential reset.

La salida de este comando es información sobre el secreto de cliente que ha creado.

Copie el valor de password para usarlo cuando necesite el secreto de cliente para la autenticación.

Importante

Asegúrese de copiar el valor ahora y almacenarlo en un lugar seguro, ya que no se puede volver a recuperar. Si no encuentra el valor posteriormente, tendrá que crear un secreto.

Concesión de permisos de Azure Digital Twins

A continuación, configure el registro de la aplicación que ha creado con permisos de acceso a Azure Digital Twins. Hay dos tipos de permisos necesarios:

• Una asignación de rol para el registro de la aplicación dentro de la instancia de Azure Digital Twins
• Permisos de la API para que la aplicación pueda leer y escribir en las API de Azure Digital Twins

Creación de asignaciones de roles

En esta sección, creará una asignación de roles para el registro de la aplicación en la instancia de Azure Digital Twins. Este rol determinará qué permisos tiene el registro de la aplicación en la instancia, por lo que debe seleccionar el rol que coincida con el nivel de permiso adecuado para su situación. Un rol posible es Propietario de datos de Azure Digital Twins. Para obtener una lista completa de los roles y sus descripciones, consulte Roles integrados de Azure.

Portal

Siga estos pasos para crear la asignación de roles para el registro.

1. Abra la página de la instancia de Azure Digital Twins en Azure Portal.

2. Seleccione Access Control (IAM) .

3. Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.

4. Asigne el rol adecuado. Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.

   Configuración	Valor
   Role	Seleccione según corresponda.
   Asignación de acceso a miembros >	Usuario, grupo o entidad de servicio
   Miembros >	+ Seleccionar miembros y, a continuación, busque el nombre o el identificador de cliente del registro de la aplicación.

   

   

   Una vez seleccionado el rol, revise y asígnelo .

Comprobación de la asignación de roles

Puede ver la asignación de roles que ha configurado en Control de acceso (IAM) > Asignaciones de roles.

El registro de la aplicación debe aparecer en la lista junto con el rol que le asignó.

CLI

Use el comando az dt role-assignment create para asignar el rol (se debe ejecutar por un usuario con permisos suficientes en la suscripción de Azure). El comando requiere que pase el nombre del rol que desea asignar, el nombre de la instancia de Azure Digital Twins y el nombre o el identificador de objeto del registro de la aplicación.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

El resultado de este comando es la información de salida acerca de la asignación de roles que se ha creado para el registro de la aplicación.

Para comprobar aún más la asignación del rol, puede buscarlo en el Azure Portal (cambie a la pestaña de instrucciones del portal).

Concesión de permisos de API

En esta sección, concederá permisos de lectura y escritura de línea de base de la aplicación a las API de Azure Digital Twins.

Si usa la CLI de Azure y configura el registro de la aplicación anteriormente con un archivo de manifiesto, este paso ya se ha realizado. Si usa el Azure Portal para crear el registro de la aplicación, continúe con el resto de esta sección para configurar permisos de API.

Portal

En la página del portal de registro de aplicación, seleccione Permisos de API en el menú. En la siguiente página de permisos, seleccione el botón + Agregar un permiso.

En la página Solicitud de permisos de API que sigue, cambie a la pestaña API usadas en mi organización y busque Azure Digital Twins. Seleccione Azure Digital Twins en los resultados de búsqueda para continuar asignando permisos para las API de Azure Digital Twins.

Nota:

Si la suscripción todavía tiene una instancia existente de Azure Digital Twins de la versión preliminar pública anterior del servicio (antes de julio de 2020), deberá en cambio buscar y seleccionar Azure Smart Spaces Service. Se trata de un nombre anterior para el mismo conjunto de API (observe que el id. de aplicación (cliente) es el mismo que en la captura de pantalla anterior) y su experiencia no se modificará más allá de este paso.

A continuación, seleccione los permisos que quiere conceder para estas API. Expanda el permiso Lectura (1) y marque la casilla que indica Read.Write para conceder permisos de lectura y escritura para el registro de la aplicación.

Cuando termine, seleccione Agregar permisos.

Comprobación de permisos de API

En la página Permisos de API, compruebe que ahora haya una entrada para Azure Digital Twins que muestre los permisos de lectura y escritura:

También puede comprobar la conexión a Azure Digital Twins en el archivo manifest.json del registro de la aplicación, que se actualizó automáticamente con la información de Azure Digital Twins cuando agregó los permisos de API.

Seleccione Manifiesto en el menú para ver el código del archivo de manifiesto del registro de la aplicación. Desplácese hasta la parte inferior de la ventana de código y busque los siguientes campos y valores en requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Estos valores se muestran en la siguiente captura de pantalla:

Si faltan estos valores, vuelva a intentar los pasos de la sección para agregar el permiso de API.

CLI

Si usa la CLI, los permisos de API se configuraron anteriormente como parte del paso Crear el registro.

Ahora puede comprobarlos mediante el Azure Portal (cambie a la pestaña de instrucciones del portal).

Otros posibles pasos para la organización

Es posible que su organización requiera más acciones por parte de los propietarios o administradores de la suscripción para terminar de configurar el registro de la aplicación. Los pasos necesarios pueden variar en función de la configuración específica de su organización. Elija una pestaña a continuación para ver esta información adaptada a su interfaz preferida.

Portal

Estas son algunas posibles actividades comunes que puede que el propietario o administrador de la suscripción tenga que realizar. Estas y otras operaciones se pueden realizar desde la página de Microsoft Entra Registros de aplicaciones en Azure Portal.

• Conceda el consentimiento del administrador para el registro de aplicaciones. Es posible que su organización tenga Administración consentimiento requerido globalmente activado en el identificador de Entra de Microsoft para todos los registros de aplicaciones dentro de la suscripción. Si es así, el propietario o el administrador tendrán que seleccionar este botón para la empresa en la página Permisos de API del registro de aplicaciones para que este sea válido:

  

  • Si el consentimiento se concedió correctamente, la entrada de Azure Digital Twins debería mostrar en Estado el valor Concedido para (su empresa)

  

• Activar el acceso de cliente público

• Establecer direcciones URL de respuesta específicas para el acceso web y de escritorio

• Permitir flujos de autenticación de OAuth2 implícitos

CLI

Estas son algunas posibles actividades comunes que puede que el propietario o administrador de la suscripción tenga que realizar.

• Conceda el consentimiento del administrador para el registro de aplicaciones. Es posible que su organización tenga Administración consentimiento requerido globalmente activado en el identificador de Entra de Microsoft para todos los registros de aplicaciones dentro de la suscripción. En ese caso, es posible que el propietario o administrador tenga que conceder permisos delegados o de aplicación adicionales.
• Active el acceso de cliente público. Para ello, anexe --set publicClient=true a un comando de creación o actualización para el registro.
• Establezca direcciones URL de respuesta específicas para el acceso web y de escritorio mediante el parámetro --reply-urls. Para más información sobre el uso de este parámetro con comandos az ad, consulte la documentación de az ad app.
• Permita los flujos de autenticación de OAuth2 implícitos mediante el parámetro --oauth2-allow-implicit-flow. Para más información sobre el uso de este parámetro con comandos az ad, consulte la documentación de az ad app.

Para más información sobre el registro de aplicaciones y sus distintas opciones de configuración, consulte Registro de una aplicación en la plataforma de identidad de Microsoft.

Pasos siguientes

En este artículo, configurará un registro de aplicaciones de Microsoft Entra que se puede usar para autenticar aplicaciones cliente con las API de Azure Digital Twins.

A continuación, lea información sobre los mecanismos de autenticación, incluido el mecanismo que usa los registros de aplicaciones y los que no lo usan:

• Escritura de código de autenticación de aplicaciones