Compartir a través de


Creación de un registro de aplicaciones para usar con Azure Digital Twins

En este artículo se describe cómo crear un registro de aplicación de Microsoft Entra ID que pueda acceder a Azure Digital Twins. En este artículo se incluyen los pasos para el Azure Portal y la CLI de Azure.

Cuando se trabaja con Azure Digital Twins, es habitual interactuar con la instancia a través de aplicaciones cliente. Estas aplicaciones deben autenticarse con Azure Digital Twins y algunos de los mecanismos de autenticación que las aplicaciones pueden usar conllevan un registro de aplicación.

El registro de la aplicación no es necesario en todos los escenarios de autenticación. Pero si va a usar una estrategia de autenticación o un ejemplo de código que exige registrar una aplicación, en este artículo se muestra cómo configurarlo y concederle permisos a las API de Azure Digital Twins. También se explica cómo recopilar valores importantes necesarios para usar el registro de la aplicación al realizar la autenticación.

Sugerencia

Es posible que prefiera configurar un nuevo registro de aplicaciones cada vez que lo necesite, o, hacer esto solo una vez, y establecer un solo registro de aplicaciones que se compartirá entre todos los escenarios que lo requieran.

Creación del registro

Para empezar, seleccione la pestaña siguiente para su interfaz preferida.

Vaya a Microsoft Entra ID en el Azure Portal (puede usar este enlace o encontrarlo en la barra de búsqueda del portal). Seleccione Registros de aplicaciones en el menú del servicio y, luego, + Nuevo registro.

Captura de pantalla de la página del servicio de Microsoft Entra en Azure Portal, en la que se muestran los pasos necesarios para crear un registro en la página

En la página Registrar una aplicación que sigue, rellene los valores solicitados:

  • Nombre: nombre para mostrar de una aplicación de Microsoft Entra para asociar al registro
  • Tipos de cuenta admitidos: seleccione Solo cuentas de este directorio organizativo (Solo directorio predeterminado: inquilino único)
  • URI de redirección: una dirección URL de respuesta de aplicación de Microsoft Entra para la aplicación Microsoft Entra. Agregue un URICliente público o nativo (móvil o escritorio) para http://localhost.

Cuando haya terminado, pulse el botón Registrar.

Captura de pantalla de la página

Cuando termine la configuración del registro, el portal lo redirigirá a su página de detalles.

Recopilación de valores importantes

Luego, recopile algunos valores importantes sobre el registro de la aplicación que va a necesitar para usar el registro a fin de autenticar una aplicación cliente. Estos valores incluyen:

  • nombre del recurso: cuando se trabaja con Azure Digital Twins, el nombre del recurso es http://digitaltwins.azure.net.
  • identificador del cliente
  • Id. de inquilino
  • secreto de cliente

Las siguientes secciones describen cómo encontrar los valores restantes.

Recopilación de los identificadores de cliente y de inquilino

Para usar el registro de la aplicación para la autenticación, es posible que tenga que especificar su identificador de aplicación (cliente) e identificador de directorio (inquilino). En esta sección, se recopilan estos valores para que pueda guardarlos y usarlos siempre que los necesite.

Los valores de identificador de cliente e identificador de inquilino se pueden recopilar de la página de detalles del registro de la aplicación en Azure Portal:

Captura de pantalla de Azure Portal en la que se muestran los valores importantes para el registro de la aplicación.

Anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino), como se muestra en su página.

Recopilación del secreto de cliente

Configure un secreto de cliente para el registro de la aplicación, que otras aplicaciones pueden usar para autenticarse a través de ella.

Comience en la página de registro de la aplicación en el Azure Portal.

  1. Seleccione Certificados y secretos en el menú del registro y, después, + Nuevo secreto de cliente.

    Captura de pantalla de Azure Portal en la que se muestra un registro de aplicación de Microsoft Entra y se resalta

  2. Escriba los valores que desee en Descripción y Caduca, y seleccione Agregar.

    Captura de pantalla de Azure Portal al agregar un secreto de cliente.

  3. Compruebe que el secreto de cliente está visible en la página Certificados y secretos con los campos Caduca y Valor.

  4. Tome nota de los valores de Secret ID (Identificador de secreto) y Value (Valor) para usarlo más adelante (también puede copiarlos en el Portapapeles con los iconos de Copia).

    Captura de pantalla de Azure Portal en la que se muestra cómo copiar el valor del secreto de cliente.

Importante

Asegúrese de copiar los valores ahora y almacenarlos en un lugar seguro, ya que no se pueden volver a recuperar. Si no los encuentra posteriormente, tendrá que crear un secreto.

Concesión de permisos de Azure Digital Twins

A continuación, configure el registro de la aplicación que ha creado con permisos de acceso a Azure Digital Twins. Hay dos tipos de permisos necesarios:

  • Una asignación de rol para el registro de la aplicación dentro de la instancia de Azure Digital Twins
  • Permisos de la API para que la aplicación pueda leer y escribir en las API de Azure Digital Twins

Creación de asignaciones de roles

En esta sección, creará una asignación de roles para el registro de la aplicación en la instancia de Azure Digital Twins. Este rol determinará qué permisos tiene el registro de la aplicación en la instancia, por lo que debe seleccionar el rol que coincida con el nivel de permiso adecuado para su situación. Un rol posible es Propietario de datos de Azure Digital Twins. Para obtener una lista completa de los roles y sus descripciones, consulte Roles integrados de Azure.

Siga estos pasos para crear la asignación de roles para el registro.

  1. Abra la página de la instancia de Azure Digital Twins en Azure Portal.

  2. Seleccione Access Control (IAM) .

  3. Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.

  4. Asigne el rol adecuado. Para acceder a los pasos detallados, vea Asignación de roles de Azure mediante Azure Portal.

    Configuración Valor
    Role Seleccione según corresponda.
    Los miembros > asignan el acceso a Usuario, grupo o entidad de servicio
    Miembros > Miembros + Seleccione miembros y, a continuación, busque el nombre o id. de cliente del registro de la aplicación

    Captura de pantalla de la pestaña Roles de la página Agregar asignación de roles.

    Captura de pantalla de la pestaña Miembros de la página Agregar asignación de roles.

    Una vez seleccionado el rol, revíselo y asígnelo.

Comprobación de la asignación de roles

Puede ver la asignación de roles que ha configurado en Control de acceso (IAM) > Asignaciones de roles.

Captura de pantalla de la página Asignaciones de rol para una instancia de Azure Digital Twins en Azure Portal.

El registro de la aplicación debe aparecer en la lista junto con el rol que le asignó.

Concesión de permisos de API

En esta sección, concederá permisos de lectura y escritura de línea de base de la aplicación a las API de Azure Digital Twins.

Si usa la CLI de Azure y configura el registro de la aplicación anteriormente con un archivo de manifiesto, este paso ya se ha realizado. Si usa el Azure Portal para crear el registro de la aplicación, continúe con el resto de esta sección para configurar permisos de API.

En la página del portal de registro de aplicación, seleccione Permisos de API en el menú. En la siguiente página de permisos, seleccione el botón + Agregar un permiso.

Captura de pantalla del registro de aplicación en Azure Portal que resalta la opción del menú

En la página Solicitud de permisos de API que sigue, cambie a la pestaña API usadas en mi organización y busque Azure Digital Twins. Seleccione Azure Digital Twins en los resultados de búsqueda para continuar asignando permisos para las API de Azure Digital Twins.

Captura de pantalla del resultado de la búsqueda de la página

Nota:

Si la suscripción todavía tiene una instancia existente de Azure Digital Twins de la versión preliminar pública anterior del servicio (antes de julio de 2020), deberá en cambio buscar y seleccionar Azure Smart Spaces Service. Se trata de un nombre anterior para el mismo conjunto de API (observe que el id. de aplicación (cliente) es el mismo que en la captura de pantalla anterior) y su experiencia no se modificará más allá de este paso. Captura de pantalla del resultado de la búsqueda de la página

A continuación, seleccione los permisos que quiere conceder para estas API. Expanda el permiso Lectura (1) y marque la casilla que indica Read.Write para conceder permisos de lectura y escritura para el registro de la aplicación.

Captura de pantalla de la página

Cuando termine, seleccione Agregar permisos.

Comprobación de permisos de API

En la página Permisos de API, compruebe que ahora haya una entrada para Azure Digital Twins que muestre los permisos de lectura y escritura:

Captura de pantalla de los permisos de API para el registro de la aplicación de Microsoft Entra en Azure Portal en la que se muestra

También puede comprobar la conexión a Azure Digital Twins en el archivo manifest.json del registro de la aplicación, que se actualizó automáticamente con la información de Azure Digital Twins cuando agregó los permisos de API.

Seleccione Manifiesto en el menú para ver el código del archivo de manifiesto del registro de la aplicación. Desplácese hasta la parte inferior de la ventana de código y busque los siguientes campos y valores en requiredResourceAccess:

  • "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
  • "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Estos valores se muestran en la siguiente captura de pantalla:

Captura de pantalla del manifiesto del registro de la aplicación de Microsoft Entra en Azure Portal.

Si faltan estos valores, vuelva a intentar los pasos de la sección para agregar el permiso de API.

Otros posibles pasos para la organización

Es posible que su organización requiera más acciones por parte de los propietarios o administradores de la suscripción para terminar de configurar el registro de la aplicación. Los pasos necesarios pueden variar en función de la configuración específica de su organización. Elija una pestaña a continuación para ver esta información adaptada a su interfaz preferida.

Estas son algunas posibles actividades comunes que puede que el propietario o administrador de la suscripción tenga que realizar. Estas y otras operaciones se pueden realizar desde la página Registros de aplicaciones de Microsoft Entra en Azure Portal.

  • Conceda el consentimiento del administrador para el registro de aplicaciones. Es posible que la organización tenga habilitado globalmente el Consentimiento del administrador necesario en Microsoft Entra ID para todos los registros de aplicaciones dentro de la suscripción. Si es así, el propietario o el administrador tendrán que seleccionar este botón para la empresa en la página Permisos de API del registro de aplicaciones para que este sea válido:

    Captura de pantalla de Azure Portal que muestra el botón

    • Si el consentimiento se concedió correctamente, la entrada de Azure Digital Twins debería mostrar en Estado el valor Concedido para (su empresa)

    Captura de pantalla de Azure Portal que muestra el consentimiento del administrador concedido en Permisos de API.

  • Activar el acceso de cliente público

  • Establecer direcciones URL de respuesta específicas para el acceso web y de escritorio

  • Permitir flujos de autenticación de OAuth2 implícitos

Para más información sobre el registro de aplicaciones y sus distintas opciones de configuración, consulte Registro de una aplicación en la plataforma de identidad de Microsoft.

Pasos siguientes

En este artículo, ha configurado un registro de aplicaciones de Microsoft Entra que se puede usar para autenticar las aplicaciones cliente con las API de Azure Digital Twins.

A continuación, lea información sobre los mecanismos de autenticación, incluido el mecanismo que usa los registros de aplicaciones y los que no lo usan: