Alkalmazásregisztráció létrehozása az Azure Digital Twins használatához

Ez a cikk azt ismerteti, hogyan hozhat létre Olyan Microsoft Entra-azonosítójú alkalmazásregisztrációt , amely hozzáfér az Azure Digital Twinshez. Ez a cikk az Azure Portal és az Azure CLI lépéseit tartalmazza.

Az Azure Digital Twins használatakor gyakori, hogy ügyfélalkalmazásokon keresztül kommunikál a példányával. Ezeknek az alkalmazásoknak hitelesíteni kell magukat az Azure Digital Twinsszel, és néhány olyan hitelesítési mechanizmust, amelyet az alkalmazások használhatnak, alkalmazásregisztrációt igényelnek.

Az alkalmazásregisztráció nem szükséges minden hitelesítési forgatókönyvhöz. Ha azonban olyan hitelesítési stratégiát vagy kódmintát használ, amely nem igényel alkalmazásregisztrációt, ez a cikk bemutatja, hogyan állíthat be egyet, és hogyan adhat engedélyt az Azure Digital Twins API-knak. Azt is ismerteti, hogyan gyűjtheti össze azokat a fontos értékeket, amelyeket az alkalmazásregisztráció hitelesítéséhez használnia kell.

Tipp.

Előfordulhat, hogy minden alkalommal szeretne új alkalmazásregisztrációt beállítani, amikor szüksége van rá, vagy ha ezt csak egyszer szeretné elvégezni, egyetlen alkalmazásregisztrációt hoz létre, amelyet minden olyan forgatókönyv meg fog osztani, amelyhez szükség van rá.

A regisztráció létrehozása

Először válassza ki az alábbi lapot az előnyben részesített felülethez.

Portál

Lépjen a Microsoft Entra-azonosítóra az Azure Portalon (ezt a hivatkozást használhatja, vagy megtalálhatja a portál keresősávjával). Válassza a Alkalmazásregisztrációk a szolgáltatás menüjében, majd az + Új regisztráció lehetőséget.

Az alábbi Alkalmazás regisztrálása lapon adja meg a kért értékeket:

• Név: a Regisztrációhoz társítandó Microsoft Entra-alkalmazás megjelenítendő neve
• Támogatott fióktípusok: Csak ebben a szervezeti címtárban válassza ki a fiókokat (csak alapértelmezett címtár – egyetlen bérlő)
• Átirányítási URI: A Microsoft Entra-alkalmazás válasz URL-címe a Microsoft Entra alkalmazáshoz. Nyilvános ügyfél/natív (mobil & asztali) URI hozzáadása a következőhözhttp://localhost: .

Ha végzett, válassza a Regisztráció gombot.

Ha a regisztráció befejeződött, a portál átirányítja a részletek lapjára.

Parancssori felület

Először hozzon létre egy jegyzékfájlt, amely tartalmazza az alkalmazásregisztráció által az Azure Digital Twins API-k eléréséhez szükséges szolgáltatásadatokat. Ezt követően ezt a fájlt egy CLI-parancsba továbbítja a regisztráció létrehozásához.

Hozzon létre egy jegyzéket.

Hozzon létre egy új .json fájlt a számítógépen manifest.json néven. Másolja ezt a szöveget a fájlba:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

A statikus érték 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 az Azure Digital Twins szolgáltatásvégpont erőforrás-azonosítója, amelyhez az alkalmazásregisztrációnak hozzá kell férnie az Azure Digital Twins API-khoz.

Mentse a kész fájlt.

Cloud Shell-felhasználók: Jegyzék feltöltése

Ha ehhez az oktatóanyaghoz az Azure Cloud Shellt használja, fel kell töltenie a létrehozott jegyzékfájlt a Cloud Shellbe, hogy az alkalmazásregisztráció konfigurálásakor elérhető legyen a Cloud Shell-parancsokban. Ha az Azure CLI helyi telepítését használja, ugorjon a következő lépésre, futtassa a létrehozási parancsot.

A fájl feltöltéséhez nyissa meg a Cloud Shell ablakát a böngészőben. Válassza a "Fájlok feltöltése/letöltése" ikont, majd a "Feltöltés" lehetőséget.

Lépjen a manifest.json fájlra a számítógépen, és válassza a Megnyitás lehetőséget. Ezzel feltölti a fájlt a Cloud Shell-tároló gyökerére.

A létrehozási parancs futtatása

Ebben a szakaszban egy CLI-parancsot fog futtatni egy alkalmazásregisztráció létrehozásához a következő beállításokkal:

• A választott név
• Csak az alapértelmezett címtárban (egyetlen bérlő) lévő fiókok számára érhető el
• A webes válasz URL-címe: http://localhost
• Olvasási/írási engedélyek az Azure Digital Twins API-khoz

Futtassa a következő parancsot a regisztráció létrehozásához. Ha Cloud Shellt használ, a manifest.json fájl elérési útja.@manifest.json

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

A parancs kimenete a létrehozott alkalmazásregisztrációra vonatkozó információ.

Sikeresség ellenőrzése

Az Azure Digital Twins engedélyeinek megadását a létrehozási parancs kimenetében, a következő mezőket keresve ellenőrizheti a következő mezőket a létrehozási parancs alatt requiredResourceAccess. Ellenőrizze, hogy az értékük megegyezik-e az alább felsorolt értékekkel.

• resourceAccess > id is 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Fontos értékek összegyűjtése

Ezután gyűjtsön össze néhány fontos értéket az alkalmazásregisztrációval kapcsolatban, amelyeket az alkalmazásregisztrációval kell hitelesítenie egy ügyfélalkalmazáshoz. Ezek az értékek a következők:

• erőforrásnév – Az Azure Digital Twins használatakor az erőforrás neve http://digitaltwins.azure.net.
• ügyfél-azonosító
• bérlőazonosító
• titkos ügyfélkód

A következő szakaszok ismertetik, hogyan keresheti meg a fennmaradó értékeket.

Ügyfél-azonosító és bérlőazonosító összegyűjtése

Előfordulhat, hogy az alkalmazásregisztráció hitelesítéshez való használatához meg kell adnia az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját. Itt ezeket az értékeket gyűjti össze, így mentheti őket, és bármikor felhasználhatja őket, amikor szükség van rájuk.

Portál

Az ügyfél-azonosító és a bérlőazonosító értékei az alkalmazásregisztráció részleteinek oldaláról gyűjthetők az Azure Portalon:

Jegyezze fel az oldalon látható alkalmazás- (ügyfél-) azonosítót és címtár-(bérlői) azonosítót .

Parancssori felület

Mindkét érték megtalálható a korábban futtatott parancs kimenetébenaz ad app create. (Az alkalmazásregisztráció adatait az az ad app show használatával is megjelenítheti.)

Keresse meg az alábbi értékeket az eredményben:

Alkalmazás (ügyfél) azonosítója:

Címtár (bérlő) azonosítója:

Titkos ügyfélkód gyűjtése

Állítson be egy ügyfélkulcsot az alkalmazásregisztrációhoz, amelyet más alkalmazások használhatnak a rajta keresztüli hitelesítéshez.

Portál

Kezdje az alkalmazásregisztrációs oldalon az Azure Portalon.

1. Válassza a Tanúsítványok > titkos kulcsok lehetőséget a regisztráció menüjében, majd válassza az + Új ügyfélkód lehetőséget.

   

2. Adja meg a leíráshoz és a lejárathoz használni kívánt értékeket, majd válassza a Hozzáadás lehetőséget.

   

3. Ellenőrizze, hogy az ügyfél titkos kódja látható-e a Tanúsítványok > titkos kódok lapon a Lejárat és az Érték mezővel.

4. Jegyezze fel a titkos azonosítóját és az értékét, amelyet később használhat (a Másolás ikonokkal a vágólapra is másolhatja őket).

   

Fontos

Győződjön meg arról, hogy most másolja az értékeket, és tárolja őket biztonságos helyen, mivel nem kérhetők le újra. Ha később nem találja őket, létre kell hoznia egy új titkos kulcsot.

Parancssori felület

Az alkalmazásregisztráció ügyfélkódjának létrehozásához szüksége lesz az alkalmazásregisztráció ügyfél-azonosítójának az előző lépésben gyűjtött értékére. Új titkos kód létrehozásához használja az alábbi PARANCSSOR-parancs értékét:

az ad app credential reset --id <client-ID> --append

A parancshoz opcionális paramétereket is hozzáadhat a hitelesítő adatok leírásának, a befejezési dátumnak és egyéb adatoknak a megadásához. A parancsról és paramétereiről további információt az az ad app hitelesítő adatainak alaphelyzetbe állításával kapcsolatos dokumentációban talál.

A parancs kimenete a létrehozott ügyféltitkos információ.

Másolja ki a használni kívánt értéket password , ha a hitelesítéshez szüksége van az ügyfél titkos kódjára.

Fontos

Győződjön meg arról, hogy most másolja az értéket, és tárolja biztonságos helyen, mert nem lehet újból lekérni. Ha később nem találja az értéket, létre kell hoznia egy új titkos kulcsot.

Azure Digital Twins-engedélyek megadása

Ezután konfigurálja a létrehozott alkalmazásregisztrációt az Azure Digital Twins eléréséhez szükséges engedélyekkel. Kétféle engedélyre van szükség:

• Szerepkör-hozzárendelés az alkalmazásregisztrációhoz az Azure Digital Twins-példányon belül
• API-engedélyek az alkalmazás számára az Azure Digital Twins API-k olvasásához és írásához

Szerepkör-hozzárendelés létrehozása

Ebben a szakaszban egy szerepkör-hozzárendelést fog létrehozni az alkalmazásregisztrációhoz az Azure Digital Twins-példányon. Ez a szerepkör határozza meg, hogy az alkalmazásregisztráció milyen engedélyekkel rendelkezik a példányon, ezért válassza ki azt a szerepkört, amely megfelel a helyzethez megfelelő engedélyszintnek. Az egyik lehetséges szerepkör az Azure Digital Twins adattulajdonosa. A szerepkörök és azok leírásai teljes listáját az Azure beépített szerepkörei között találja.

Portál

Az alábbi lépésekkel létrehozhatja a regisztrációhoz tartozó szerepkör-hozzárendelést.

1. Nyissa meg az Azure Digital Twins-példány lapját az Azure Portalon.

2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Kattintson a Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőségre a Szerepkör-hozzárendelés hozzáadása oldal megnyitásához.

4. Rendelje hozzá a megfelelő szerepkört. A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

   Beállítás	Érték
   Szerepkör	Válassza ki a megfelelő lehetőséget
   Tagok > Hozzáférés hozzárendelése	Felhasználó, csoport vagy szolgáltatásnév
   Tagok >	+ Válassza ki a tagokat, majd keresse meg az alkalmazásregisztráció nevét

   

   

   Miután kiválasztotta a szerepkört, tekintse át és rendelje hozzá .

Szerepkör-hozzárendelés ellenőrzése

A hozzáférés-vezérlés (IAM) > szerepkör-hozzárendelések alatt beállított szerepkör-hozzárendeléseket megtekintheti.

Az alkalmazásregisztrációnak szerepelnie kell a listában a hozzá rendelt szerepkörrel együtt.

Parancssori felület

A szerepkör hozzárendeléséhez használja az az dt szerepkör-hozzárendelési parancsot (az Azure-előfizetésben megfelelő engedélyekkel rendelkező felhasználónak kell futtatnia). A parancshoz meg kell adnia a hozzárendelni kívánt szerepkör nevét, az Azure Digital Twins-példány nevét, valamint az alkalmazásregisztráció nevét vagy objektumazonosítóját.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Ennek a parancsnak az eredménye az alkalmazásregisztrációhoz létrehozott szerepkör-hozzárendeléssel kapcsolatos információ.

A szerepkör-hozzárendelés további ellenőrzéséhez keresse meg az Azure Portalon (váltson a Portál utasítás lapjára).

API-engedélyek megadása

Ebben a szakaszban az alkalmazás alapkonfigurációjához olvasási/írási engedélyeket ad az Azure Digital Twins API-knak.

Ha az Azure CLI-t használja, és korábban beállította az alkalmazásregisztrációt egy jegyzékfájllal, ez a lépés már megtörtént. Ha az Azure Portal használatával hozza létre az alkalmazásregisztrációt, folytassa a szakasz többi szakaszával az API-engedélyek beállításához.

Portál

Az alkalmazásregisztráció portáloldalán válassza ki az API-engedélyeket a menüből. Az alábbi engedélyek lapon válassza a + Engedély hozzáadása gombot.

Az alábbi Kérelem API-engedélyek lapon váltson a szervezetem által használt API-kra, és keresse meg az Azure-beli digitális ikerpéldányokat. Válassza ki az Azure Digital Twinst a keresési eredmények közül, hogy továbbra is engedélyeket rendeljen az Azure Digital Twins API-khoz.

Feljegyzés

Ha az előfizetése továbbra is rendelkezik meglévő Azure Digital Twins-példánysal a szolgáltatás előző nyilvános előzetes verziójából (2020 júliusa előtt), inkább az Azure Smart Spaces Service-t kell keresnie és kiválasztania. Ez egy régebbi név ugyanannak az API-nak (figyelje meg, hogy az alkalmazás (ügyfél) azonosítója megegyezik a fenti képernyőképen láthatóval), és a felhasználói élmény nem változik ezen a lépésen túl.

Ezután kiválaszthatja, hogy mely engedélyeket adja meg ezekhez az API-khoz. Bontsa ki az Olvasás (1) engedélyt, és jelölje be a Read.Write jelölőnégyzetet az alkalmazásregisztrációs olvasó és az író engedélyeinek megadásához.

Ha végzett, válassza az Engedélyek hozzáadása lehetőséget.

API-engedélyek ellenőrzése

Az API engedélyoldalán ellenőrizze, hogy van-e olyan bejegyzés az Azure Digital Twinshez, amely a Read.Write engedélyeket tükrözi:

Az Azure Digital Twinshez való kapcsolatot az alkalmazásregisztráció manifest.json is ellenőrizheti, amely az API-engedélyek hozzáadásakor automatikusan frissült az Azure Digital Twins adataival.

Ehhez a menüBen válassza a Jegyzék elemet az alkalmazásregisztráció jegyzékkódjának megtekintéséhez. Görgessen a kódablak aljára, és keresse meg a következő mezőket és értékeket a következő alatt requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Ezek az értékek az alábbi képernyőképen láthatók:

Ha ezek az értékek hiányoznak, próbálkozzon újra a szakaszban található lépésekkel az API-engedély hozzáadásához.

Parancssori felület

Ha a cli-t használja, az API-engedélyek korábban lettek beállítva a regisztrációs lépés létrehozása során.

Most már ellenőrizheti őket az Azure Portalon (váltson a Portál utasítás lapjára).

A szervezet egyéb lehetséges lépései

Előfordulhat, hogy a szervezet további műveleteket igényel az előfizetés-tulajdonosoktól vagy rendszergazdáktól az alkalmazásregisztráció beállításának befejezéséhez. A szükséges lépések az intézmény által megadott beállításoktól függően változhatnak. Az alábbi fülre kattintva megtekintheti az ön által előnyben részesített felületre szabott információkat.

Portál

Íme néhány gyakori lehetséges tevékenység, amelyet az előfizetés tulajdonosának vagy rendszergazdájának el kell végeznie. Ezek és egyéb műveletek az Azure Portal Microsoft Entra Alkalmazásregisztrációk lapján végezhetők el.

• Nyújtson rendszergazdai hozzájárulást az alkalmazás regisztrációjához. Előfordulhat, hogy a vállalata globálisan be van kapcsolva a Microsoft Entra-azonosítóban az előfizetésen belüli összes alkalmazásregisztrációhoz szükséges rendszergazdai hozzájárulással . Ha igen, a tulajdonosnak/rendszergazdának ezt a gombot kell kiválasztania a vállalat számára az alkalmazásregisztráció API-engedélyoldalán , hogy érvényes legyen az alkalmazásregisztráció:

  

  • Ha a hozzájárulás sikeresen meg lett adva, az Azure Digital Twins bejegyzésének ekkor meg kell jelennie a Megadott állapot értékének (az Ön vállalatának )

  

• Nyilvános ügyfélhozzáférés aktiválása

• Adott válasz URL-címek beállítása webes és asztali hozzáféréshez

• Implicit OAuth2 hitelesítési folyamatok engedélyezése

Parancssori felület

Íme néhány gyakori lehetséges tevékenység, amelyet az előfizetés tulajdonosának vagy rendszergazdájának el kell végeznie.

• Nyújtson rendszergazdai hozzájárulást az alkalmazás regisztrációjához. Előfordulhat, hogy a vállalata globálisan be van kapcsolva a Microsoft Entra-azonosítóban az előfizetésen belüli összes alkalmazásregisztrációhoz szükséges rendszergazdai hozzájárulással . Ha igen, előfordulhat, hogy a tulajdonosnak/rendszergazdának további delegált vagy alkalmazásengedélyeket kell adnia.
• A nyilvános ügyfélhozzáférés --set publicClient=true aktiválásához fűzze hozzá a regisztrációhoz tartozó létrehozási vagy frissítési parancsot.
• Állítson be konkrét válasz URL-címeket webes és asztali hozzáféréshez a --reply-urls paraméter használatával. A paraméter parancsokkal való az ad használatával kapcsolatos további információkért tekintse meg az az ad app dokumentációját.
• Implicit OAuth2 hitelesítési folyamatok engedélyezése a --oauth2-allow-implicit-flow paraméterrel. A paraméter parancsokkal való az ad használatával kapcsolatos további információkért tekintse meg az az ad app dokumentációját.

További információ az alkalmazásregisztrációról és a különböző beállítási lehetőségekről: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Következő lépések

Ebben a cikkben beállít egy Microsoft Entra-alkalmazásregisztrációt, amellyel ügyfélalkalmazásokat hitelesíthet az Azure Digital Twins API-kkal.

Ezután olvassa el a hitelesítési mechanizmusokat, beleértve az alkalmazásregisztrációkat használókat és azokat, amelyek nem:

• Alkalmazáshitelesítési kód írása