Alkalmazás hozzáférésének biztosítása azure Stack Hub-erőforrásokhoz

Az azure-Resource Manager keresztül erőforrásokat üzembe helyező vagy konfiguráló alkalmazásokat saját identitásnak, más néven biztonsági tagnak kell képviselnie. Ahogy a felhasználót egy egyszerű felhasználó képviseli, az alkalmazásokat egy szolgáltatásnév képviseli.

Az identitás arra is használható, hogy csak a szükséges engedélyeket delegálja a felhasználónak vagy alkalmazásnak. Egy konfigurációkezelő alkalmazás például az Azure-erőforrások leltározásához használhatja az Azure Resource Manager. Az alkalmazás regisztrálva lesz a címtárban, majd hozzáadva az "olvasó" szerepkörhöz a megfelelő hatókörben, így az alkalmazás csak olvasási hozzáférésre lesz korlátozva.

Áttekintés

A felhasználóhoz hasonlóan az alkalmazásnak is meg kell adnia a hitelesítő adatokat a hitelesítés során, amelyhez két elem szükséges:

• Egy alkalmazásazonosító, más néven ügyfél-azonosító. Egy GUID, amely egyedileg azonosítja az alkalmazás regisztrációját az Active Directory-bérlőben.
• Egy titkos kód. Létrehozhat egy titkos ügyfélkulcs-sztringet (a jelszóhoz hasonlóan), vagy megadhat egy X509-tanúsítvány ujjlenyomatát (amely a nyilvános kulcsát használja).

Ha egy alkalmazást a saját identitása alatt futtat, célszerű a felhasználó identitása alatt futtatni a következő okokból:

• Erősebb hitelesítő adatok – az alkalmazások X509-tanúsítvánnyal jelentkezhetnek be szöveges megosztott titkos kód/jelszó helyett.
• Szigorúbb engedélyek rendelhetők hozzá egy alkalmazáshoz. Ezek az engedélyek általában csak arra korlátozódnak, amit az alkalmazásnak el kell végeznie, más néven a minimális jogosultság elve.
• A hitelesítő adatok és engedélyek nem változnak olyan gyakran az alkalmazásokban, mint a felhasználói hitelesítő adatok. Ha például a felhasználó felelősségi köre megváltozik, a jelszókövetelmények módosítást diktálnak, vagy amikor egy felhasználó elhagyja a vállalatot.

Először hozzon létre egy új alkalmazásregisztrációt a címtárban, amely létrehoz egy társított szolgáltatásnév-objektumot , amely az alkalmazás identitását jelöli a címtárban. A regisztrációs folyamat az Azure Stack Hub-példányhoz választott címtártól függően változik:

• Microsoft Entra azonosító: Microsoft Entra azonosító egy több-bérlős, felhőalapú, címtár- és identitáskezelési szolgáltatás. Használhatja Microsoft Entra azonosítót egy csatlakoztatott Azure Stack Hub-példányhoz. A később bemutatott példák a Azure Portal fogják használni Microsoft Entra alkalmazásregisztrációhoz.
• Active Directory összevonási szolgáltatások (AD FS) (AD FS): Az AD FS egyszerűsített, biztonságos identitás-összevonást és webes egyszeri bejelentkezést (SSO) biztosít. Az AD FS-t a csatlakoztatott és a leválasztott Azure Stack Hub-példányokkal is használhatja. A később bemutatott példák az Azure Stack Hub PowerShellt fogják használni az AD FS-alkalmazásregisztrációhoz.

Az alkalmazás regisztrálása után megtudhatja, hogyan rendelheti hozzá egy szerepkörhöz, és hogyan korlátozhatja az erőforrás-hozzáférését.

Microsoft Entra-alkalmazások kezelése

Ha identitáskezelési szolgáltatásként Microsoft Entra azonosítóval telepítette az Azure Stack Hubot, ugyanúgy hozhat létre és kezelhet identitásokat az alkalmazásokhoz, mint az Azure-hoz. Ez a szakasz bemutatja, hogyan hajthatja végre a lépéseket a Azure Portal használatával. Tekintse át az alkalmazás regisztrációjához szükséges engedélyeket a kezdés előtt, és győződjön meg arról, hogy rendelkezik az alkalmazás regisztrálásához szükséges engedélyekkel.

Ügyfél titkos hitelesítő adatait használó alkalmazásregisztráció létrehozása

Ebben a szakaszban az alkalmazás regisztrálva lesz a Microsoft Entra bérlőben a Azure Portal használatával. A következő példában egy titkos ügyfélkód-hitelesítő adatot ad meg, de a portál az X509 tanúsítványalapú hitelesítő adatokat is támogatja.

1. Jelentkezzen be a Azure Portal az Azure-fiókjával.

2. Válassza Microsoft Entra azonosító>Alkalmazásregisztrációk>Új regisztráció lehetőséget.

3. Adja meg az alkalmazás nevét .

4. Válassza ki a megfelelő támogatott fióktípusokat.

5. Az Átirányítási URI területen válassza a Web lehetőséget az alkalmazás típusaként, és (opcionálisan) adjon meg átirányítási URI-t, ha az alkalmazásnak szüksége van rá.

6. Az értékek beállítása után válassza a Regisztráció lehetőséget. Létrejön az alkalmazásregisztráció, és megjelenik az Áttekintés oldal.

7. Másolja ki az alkalmazásazonosítót az alkalmazáskódban való használatra. Ezt az értéket ügyfélazonosítónak is nevezik.

8. Titkos ügyfélkód létrehozásához válassza a Tanúsítványok & titkos kulcsok lapot. Válassza az Új ügyfélkód lehetőséget.

9. Adja meg a titkos kód leírását , és a lejárati időtartamot.

10. Ha elkészült, válassza a Hozzáadás lehetőséget.

11. A titkos kód értéke jelenik meg. Másolja és mentse ezt az értéket egy másik helyre, mert később nem tudja lekérni. A titkos kulcsot az ügyfélalkalmazás alkalmazásazonosítójával adja meg a bejelentkezéshez.

    

A Szerepkör hozzárendelése című témakörben megtudhatja, hogyan hozhat létre szerepköralapú hozzáférés-vezérlést az alkalmazás identitásához.

További Microsoft Entra alkalmazáskezelési cikkek

A Microsoft Entra-alkalmazások kezelésével kapcsolatos további részletekért tekintse meg az alábbi Azure-cikkeket:

• További részletek az Microsoft Entra-alkalmazások regisztrálásáról, beleértve a tanúsítvány-hitelesítő adatokat használó alkalmazásregisztráció létrehozását.
• Alkalmazásregisztráció eltávolítása.
• Nemrég törölt alkalmazásregisztráció visszaállítása vagy eltávolítása.

AD FS-alkalmazás kezelése

Ha az Azure Stack Hubot az AD FS-sel telepítette identitáskezelési szolgáltatásként, a PowerShell használatával kell kezelnie az alkalmazás identitását. Az alábbi példák az X509-tanúsítványt és az ügyfél titkos hitelesítő adatait is bemutatják.

A szkripteket egy emelt szintű (futtatás rendszergazdaként) PowerShell-konzolon kell futtatni, amely egy másik munkamenetet nyit meg egy olyan virtuális gép számára, amely az Azure Stack Hub-példány egy kiemelt végpontját üzemelteti. A kiemelt végpont munkamenetének létrehozása után a rendszer további parancsmagokat használ az alkalmazásregisztráció létrehozásához és kezeléséhez. További információ a kiemelt végpontról: A kiemelt végpont használata az Azure Stack Hubban.

Tanúsítvány hitelesítő adatait használó alkalmazásregisztráció létrehozása

Tanúsítvány hitelesítő adatainak létrehozásakor a következő követelményeknek kell teljesülniük:

• Éles környezetben a tanúsítványt egy belső hitelesítésszolgáltatótól vagy egy nyilvános hitelesítésszolgáltatótól kell kiállítani. Nyilvános szolgáltató használata esetén a microsoftos legfelső szintű hitelesítésszolgáltató program részeként be kell foglalnia a szolgáltatót az operációs rendszer alaprendszerképére. A teljes listát a Résztvevők listája – Microsoft megbízható gyökérprogram című témakörben találja. Az "önaláírt" teszttanúsítvány létrehozására egy példa is megjelenik a tanúsítvány hitelesítő adatainak frissítése során.
• A titkosítási szolgáltatót microsoftos örökölt titkosítási szolgáltatóként (CSP) kell megadni.
• A tanúsítvány formátumának PFX-fájlban kell lennie, mivel mind a nyilvános, mind a titkos kulcsra szükség van. A Windows-kiszolgálók .pfx fájlokat használnak, amelyek tartalmazzák a nyilvános kulcsfájlt (TLS/SSL-tanúsítványfájl) és a társított titkoskulcs-fájlt.
• Az Azure Stack Hub-infrastruktúrának hálózati hozzáféréssel kell rendelkeznie a tanúsítványszolgáltató tanúsítvány-visszavonási listájához (CRL) a tanúsítványban közzétett helyéhez. Ennek a CRL-nek HTTP-végpontnak kell lennie.

Miután rendelkezik tanúsítvánnyal, az alábbi PowerShell-szkripttel regisztrálhatja az alkalmazást, és bejelentkezhet az alkalmazás identitásával. Cserélje le a saját értékeit a következő helyőrzőkre:

Helyőrző	Leírás	Példa
<PepVM>	A kiemelt végpontú virtuális gép neve az Azure Stack Hub-példányon.	"AzS-ERCS01"
<YourCertificateLocation>	Az X509-tanúsítvány helye a helyi tanúsítványtárolóban.	"Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<YourAppName>	Az új alkalmazásregisztráció leíró neve.	"Saját felügyeleti eszköz"

Az modulok

1. Nyisson meg egy emelt szintű Windows PowerShell munkamenetet, és futtassa a következő szkriptet.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   
   

2. A szkript befejezése után megjeleníti az alkalmazásregisztrációs adatokat. A ClientID és Thumbprint hitelesítése, majd később az Azure Resource Manager által felügyelt erőforrásokhoz való hozzáférés engedélyezése.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 3c87e710-9f91-420b-b009-31fa9e430145
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Tartsa nyitva a PowerShell-konzol munkamenetét, miközben a ApplicationIdentifier következő szakaszban szereplő értékkel használja.

AzureRM-modulok

1. Nyisson meg egy emelt szintű Windows PowerShell munkamenetet, és futtassa a következő szkriptet.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a self-signed test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. A szkript befejezése után megjeleníti az alkalmazásregisztrációs adatokat. A ClientID és Thumbprint hitelesítése, majd később az Azure Resource Manager által felügyelt erőforrásokhoz való hozzáférés engedélyezése.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 3c87e710-9f91-420b-b009-31fa9e430145
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Tartsa nyitva a PowerShell-konzol munkamenetét, miközben a ApplicationIdentifier következő szakaszban szereplő értékkel használja.

Tanúsítvány hitelesítő adatainak frissítése

Most, hogy regisztrálta az alkalmazást, ez a szakasz bemutatja, hogyan:

1. Hozzon létre egy új, önaláírt X509-tanúsítványt a teszteléshez.
2. Frissítse az alkalmazás hitelesítő adatait úgy, hogy frissíti az ujjlenyomat tulajdonságát az új tanúsítványnak megfelelően.

Frissítse a tanúsítvány hitelesítő adatait a PowerShell használatával, és cserélje le a saját értékeit a következő helyőrzőkre:

Helyőrző	Leírás	Példa
<PepVM>	A kiemelt végpontú virtuális gép neve az Azure Stack Hub-példányon.	"AzS-ERCS01"
<YourAppName>	Az új alkalmazásregisztráció leíró neve.	"Saját felügyeleti eszköz"
<YourCertificateLocation>	Az X509-tanúsítvány helye a helyi tanúsítványtárolóban.	"Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<AppIdentifier>	Az alkalmazásregisztrációhoz rendelt azonosító.	"S-1-5-21-1512385356-3796245103-1243299919-1356"

1. Az emelt szintű Windows PowerShell munkamenet használatával futtassa a következő parancsmagokat:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Create a self-signed certificate for testing purposes, using the New-SelfSignedCertificate cmdlet 
   # See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   $NewCert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   # In production, use Get-Item to retrieve a managed certificate from the certificate store.
   # Alteratively, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to update the certificate thumbprint, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ClientCertificates $using:NewCert}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. A szkript befejezése után megjeleníti a frissített alkalmazásregisztrációs adatokat, beleértve az új önaláírt tanúsítvány ujjlenyomat-értékét.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 
   Thumbprint            : AF22EE716909041055A01FE6C6F5C5CDE78948E9
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          : 
   PSComputerName        : azs-ercs01
   RunspaceId            : a580f894-8f9b-40ee-aa10-77d4d142b4e5
   

Titkos ügyfél-hitelesítő adatokat használó alkalmazásregisztráció létrehozása

Figyelmeztetés

Az ügyfélkód használata kevésbé biztonságos, mint az X509-tanúsítvány hitelesítő adatainak használata. Nem csak a hitelesítési mechanizmus kevésbé biztonságos, de általában a titkos kód beágyazását is igényli az ügyfélalkalmazás forráskódjában. Ezért éles alkalmazások esetében erősen ajánlott tanúsítvány-hitelesítő adatokat használni.

Most hozzon létre egy másik alkalmazásregisztrációt, de ezúttal adja meg az ügyfél titkos hitelesítő adatait. A tanúsítvány hitelesítő adataitól eltérően a címtár képes titkos ügyfél-hitelesítő adatokat létrehozni. A titkos ügyfélkód megadása helyett a -GenerateClientSecret kapcsolóval kérheti annak generálását. Cserélje le a saját értékeit a következő helyőrzőkre:

Helyőrző	Leírás	Példa
<PepVM>	A kiemelt végpontú virtuális gép neve az Azure Stack Hub-példányon.	"AzS-ERCS01"
<YourAppName>	Az új alkalmazásregisztráció leíró neve.	"Saját felügyeleti eszköz"

Az modulok

1. Nyisson meg egy emelt szintű Windows PowerShell munkamenetet, és futtassa a következő parancsmagokat:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. A szkript befejezése után megjeleníti az alkalmazásregisztrációs adatokat. A ClientID és ClientSecret hitelesítése, majd később az Azure Resource Manager által felügyelt erőforrásokhoz való hozzáférés engedélyezése.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 8e0ffd12-26c8-4178-a74b-f26bd28db601
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Tartsa nyitva a PowerShell-konzol munkamenetét, miközben a ApplicationIdentifier következő szakaszban szereplő értékkel használja.

AzureRM-modulok

1. Nyisson meg egy emelt szintű Windows PowerShell munkamenetet, és futtassa a következő parancsmagokat:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. A szkript befejezése után megjeleníti az alkalmazásregisztrációs adatokat. A ClientID és ClientSecret hitelesítése, majd később az Azure Resource Manager által felügyelt erőforrásokhoz való hozzáférés engedélyezése.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 8e0ffd12-26c8-4178-a74b-f26bd28db601
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Tartsa nyitva a PowerShell-konzol munkamenetét, miközben a ApplicationIdentifier következő szakaszban szereplő értékkel használja.

Titkos ügyfélkód hitelesítő adatainak frissítése

Frissítse az ügyfél titkos hitelesítő adatait a PowerShell használatával a ResetClientSecret paraméterrel, amely azonnal módosítja az ügyfél titkos kódját. Cserélje le a saját értékeit a következő helyőrzőkre:

Helyőrző	Leírás	Példa
<PepVM>	A kiemelt végpontú virtuális gép neve az Azure Stack Hub-példányon.	"AzS-ERCS01"
<AppIdentifier>	Az alkalmazásregisztrációhoz rendelt azonosító.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

1. Az emelt szintű Windows PowerShell munkamenet használatával futtassa a következő parancsmagokat:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to update the client secret, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ResetClientSecret}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. A szkript befejezése után megjeleníti a frissített alkalmazásregisztrációs adatokat, beleértve az újonnan létrehozott titkos ügyfélkulcsot is.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 8e0ffd12-26c8-4178-a74b-f26bd28db601
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : MKUNzeL6PwmlhWdHB59c25WDDZlJ1A6IWzwgv_Kn
   PSComputerName        : azs-ercs01
   RunspaceId            : 6ed9f903-f1be-44e3-9fef-e7e0e3f48564
   

Alkalmazás regisztrációjának eltávolítása

Most megtudhatja, hogyan távolíthat el alkalmazásregisztrációt a címtárból a PowerShell használatával.

Cserélje le a saját értékeit a következő helyőrzőkre:

Helyőrző	Leírás	Példa
<PepVM>	A kiemelt végpontú virtuális gép neve az Azure Stack Hub-példányon.	"AzS-ERCS01"
<AppIdentifier>	Az alkalmazásregisztrációhoz rendelt azonosító.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
$Creds = Get-Credential

# Create a PSSession to the PrivilegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# OPTIONAL: Use the privileged endpoint to get a list of applications registered in AD FS
$AppList = Invoke-Command -Session $Session -ScriptBlock {Get-GraphApplication}

# Use the privileged endpoint to remove application <AppIdentifier>
Invoke-Command -Session $Session -ScriptBlock {Remove-GraphApplication -ApplicationIdentifier "<AppIdentifier>"}

A rendszer nem ad vissza kimenetet a Remove-GraphApplication parancsmag meghívásából a kiemelt végponton, de a parancsmag végrehajtása során a konzolon a következő megerősítési kimenet jelenik meg:

VERBOSE: Deleting graph application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623.
VERBOSE: Remove-GraphApplication : BEGIN on AZS-ADFS01 on ADFSGraphEndpoint
VERBOSE: Application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623 was deleted.
VERBOSE: Remove-GraphApplication : END on AZS-ADFS01 under ADFSGraphEndpoint configuration

Szerepkör hozzárendelése

Az Azure-erőforrások felhasználók és alkalmazások általi elérése Role-Based Access Control (RBAC) használatával engedélyezett. Ahhoz, hogy egy alkalmazás hozzáférjen az előfizetés erőforrásaihoz, hozzá kell rendelnie a szolgáltatásnevét egy adott erőforráshoz tartozó szerepkörhöz. Először döntse el, hogy melyik szerepkör felel meg az alkalmazás megfelelő engedélyeinek . Az elérhető szerepkörökről további információt az Azure-erőforrások beépített szerepkörei című témakörben talál.

A választott erőforrástípus az alkalmazás hozzáférési hatókörét is meghatározza. A hozzáférési hatókört az előfizetés, az erőforráscsoport vagy az erőforrás szintjén állíthatja be. Az engedélyek a hatókör alacsonyabb szintjeire öröklődnek. Ha például hozzáad egy alkalmazást az "Olvasó" szerepkörhöz egy erőforráscsoporthoz, az azt jelenti, hogy beolvassa az erőforráscsoportot és a benne lévő erőforrásokat.

1. Jelentkezzen be a megfelelő portálra az Azure Stack Hub telepítése során megadott címtár alapján (például az Microsoft Entra azonosító Azure Portal vagy az AD FS-hez készült Azure Stack Hub felhasználói portálon). Ebben a példában egy, az Azure Stack Hub felhasználói portáljára bejelentkezett felhasználót mutatunk be.

   Megjegyzés

   Ha szerepkör-hozzárendeléseket szeretne hozzáadni egy adott erőforráshoz, a felhasználói fióknak olyan szerepkörhöz kell tartoznia, amely deklarálja az Microsoft.Authorization/roleAssignments/write engedélyt. Például a Tulajdonos vagy a Felhasználói hozzáférés rendszergazdája beépített szerepkörök.

2. Keresse meg azt az erőforrást, amelyhez engedélyezni szeretné az alkalmazásnak a hozzáférést. Ebben a példában rendelje hozzá az alkalmazást egy szerepkörhöz az előfizetés hatókörében az Előfizetések, majd egy adott előfizetés kiválasztásával. Ehelyett választhat egy erőforráscsoportot vagy egy adott erőforrást, például egy virtuális gépet.

   

3. Válassza a Access Control (IAM) oldalt, amely minden olyan erőforrás esetében univerzális, amely támogatja az RBAC-t.

4. Válassza a + Hozzáadás lehetőséget

5. A Szerepkör területen válassza ki az alkalmazáshoz hozzárendelni kívánt szerepkört.

6. A Kiválasztás területen keressen rá az alkalmazásra egy teljes vagy részleges alkalmazásnév használatával. A regisztráció során az alkalmazás neve Azurestack-YourAppName-GUID<><> néven jön létre. Ha például az App2 alkalmazásnevet és a 2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff azonosítót használta a létrehozás során, a teljes név az Azurestack-App2-2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff lesz. Megkeresheti a pontos sztringet vagy egy részt, például az Azurestacket vagy az Azurestack-App2-t.

7. Miután megtalálta az alkalmazást, jelölje ki, és a Kijelölt tagok területen jelenik meg.

8. Válassza a Mentés lehetőséget a szerepkör hozzárendelésének befejezéséhez.

   

9. Ha elkészült, az alkalmazás megjelenik az aktuális hatókörhöz, az adott szerepkörhöz hozzárendelt tagok listájában.

   

Most, hogy identitást adott az alkalmazásnak, és engedélyezte azt az erőforrás-hozzáféréshez, engedélyezheti, hogy a szkript vagy a kód bejelentkezhessen, és biztonságosan hozzáférjen az Azure Stack Hub-erőforrásokhoz.

Következő lépések

Felhasználói engedélyek kezelése
Microsoft Entra dokumentációja
Active Directory összevonási szolgáltatások