Megosztás a következőn keresztül:

Microsoft Entra-alkalmazás regisztrálása és szolgáltatásnév létrehozása

  • Cikk

Ebből a cikkből megtudhatja, hogyan hozhat létre szerepköralapú hozzáférés-vezérléssel (RBAC) használható Microsoft Entra-alkalmazást és szolgáltatásnevet. Amikor új alkalmazást regisztrál a Microsoft Entra-azonosítóban, a rendszer automatikusan létrehoz egy egyszerű szolgáltatást az alkalmazásregisztrációhoz. A szolgáltatásnév az alkalmazás identitása a Microsoft Entra-bérlőben. Az erőforrásokhoz való hozzáférést a szolgáltatásnévhez rendelt szerepkörök korlátozzák, így szabályozhatja, hogy mely erőforrások érhetők el, és mely szinten. Biztonsági okokból mindig ajánlott a szolgáltatásnevek használata automatizált eszközökkel ahelyett, hogy lehetővé tenné számukra a felhasználói identitással való bejelentkezést.

Ez a példa egy vállalaton belül használt üzletági alkalmazásokra vonatkozik. Szolgáltatásnév létrehozásához használhatja az Azure PowerShellt vagy az Azure CLI-t is.

Fontos

Szolgáltatásnév létrehozása helyett érdemes lehet felügyelt identitásokat használni az Azure-erőforrásokhoz az alkalmazás-identitáshoz. Ha a kód olyan szolgáltatáson fut, amely támogatja a felügyelt identitásokat, és olyan erőforrásokhoz fér hozzá, amelyek támogatják a Microsoft Entra-hitelesítést, a felügyelt identitások jobb választásnak számítanak. Ha többet szeretne megtudni az Azure-erőforrások felügyelt identitásairól, beleértve azt is, hogy mely szolgáltatások támogatják azt, olvassa el az Azure-erőforrások felügyelt identitásainak ismertetése című témakört.

Az alkalmazásregisztráció, az alkalmazásobjektumok és a szolgáltatásnevek közötti kapcsolatról további információt a Microsoft Entra ID alkalmazás- és szolgáltatásnév-objektumaiban talál.

Előfeltételek

Ha regisztrálni szeretne egy alkalmazást a Microsoft Entra-bérlőben, a következőkre van szüksége:

  • Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • Elegendő engedély egy alkalmazás Microsoft Entra-bérlőnél való regisztrálásához, és az alkalmazáshoz szerepkör hozzárendeléséhez az Azure-előfizetésben. A feladatok elvégzéséhez szüksége lesz az engedélyre Application.ReadWrite.All .

Alkalmazás regisztrálása a Microsoft Entra-azonosítóval, és szolgáltatásnév létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk majd válassza az Új regisztráció lehetőséget.

  3. Nevezze el az alkalmazást, például példaalkalmazásnak.

  4. A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.

  5. Az Átirányítási URI területen válassza a Web lehetőséget a létrehozni kívánt alkalmazástípushoz. Adja meg azt az URI-t, ahová a hozzáférési jogkivonatot elküldi.

  6. Válassza ki a pénztárgépet.

    Képernyőkép az alkalmazásregisztrációs oldalról.

Szerepkör hozzárendelése az alkalmazáshoz

Az előfizetés erőforrásainak eléréséhez szerepkört kell hozzárendelnie az alkalmazáshoz. Döntse el, hogy melyik szerepkör nyújtja a megfelelő engedélyeket az alkalmazáshoz. Az elérhető szerepkörökről az Azure beépített szerepköreiből tájékozódhat.

A hatókört az előfizetés, az erőforráscsoport vagy az erőforrás szintjén állíthatja be. Az engedélyek a hatókör alacsonyabb szintjeire öröklődnek.

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza ki azt a hatókörszintet, amelyhez hozzá szeretné rendelni az alkalmazást. Ha például egy szerepkört szeretne hozzárendelni az előfizetés hatóköréhez, keresse meg és válassza ki az Előfizetések lehetőséget. Ha nem látja a keresett előfizetést, válassza a globális előfizetések szűrőt. Győződjön meg arról, hogy a bérlőhöz a kívánt előfizetés van kiválasztva.

  3. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  4. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  5. A Szerepkör lapon válassza ki a listában az alkalmazáshoz hozzárendelni kívánt szerepkört.

  6. Válassza a Tovább lehetőséget.

  7. A Tagok lapon a Hozzáférés hozzárendelése lapon válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.

  8. Válassza a Tagok kijelölése lehetőséget. Alapértelmezés szerint a Microsoft Entra-alkalmazások nem jelennek meg az elérhető lehetőségek között. Az alkalmazás megkereséséhez keressen rá név szerint.

  9. Válassza a Kiválasztás gombot, majd a Véleményezés + hozzárendelés lehetőséget.

    Képernyőkép a szerepkör-hozzárendelésről, valamint a tagok hozzáadásának kiemeléséről.

A szolgáltatásnév be van állítva. Elkezdheti használni a szkriptek vagy alkalmazások futtatásához. A szolgáltatásnév (engedélyek, a felhasználó által hozzájárulást kapó engedélyek, az engedélyek áttekintése, a bejelentkezési adatok megtekintése stb.) kezeléséhez lépjen a Nagyvállalati alkalmazásokba.

A következő szakasz bemutatja, hogyan kérhet le olyan értékeket, amelyekre a programozott bejelentkezéskor szükség van.

Bejelentkezés az alkalmazásba

Amikor programozott módon jelentkezik be, a címtár (bérlő) azonosítóját és az alkalmazás (ügyfél) azonosítóját adja meg a hitelesítési kérelemben. Tanúsítványra vagy hitelesítési kulcsra is szüksége van. A címtárazonosító és az alkalmazásazonosító beszerzése:

  1. Nyissa meg a Microsoft Entra Felügyeleti központ kezdőlapját .
  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  3. Az alkalmazás áttekintő lapján másolja ki a címtár (bérlő) azonosítóját, és tárolja az alkalmazás kódjában.
  4. Másolja ki az alkalmazás (ügyfél) azonosítóját, és tárolja az alkalmazás kódjában.

Hitelesítés beállítása

A szolgáltatásnevek esetében kétféle hitelesítési típus érhető el: Jelszóalapú hitelesítés (alkalmazáskulcs) és tanúsítványalapú hitelesítés. Javasoljuk, hogy egy hitelesítésszolgáltató által kiadott megbízható tanúsítványt használjon, de létrehozhat alkalmazáskulcsot, vagy létrehozhat egy önaláírt tanúsítványt a teszteléshez.

A tanúsítványfájl feltöltése:

  1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos kulcsok lehetőséget.
  3. Válassza a Tanúsítványok lehetőséget, majd a Tanúsítvány feltöltése lehetőséget, majd válassza ki a feltölteni kívánt tanúsítványfájlt.
  4. Válassza a Hozzáadás lehetőséget. A tanúsítvány feltöltése után megjelenik az ujjlenyomat, a kezdő dátum és a lejárati érték.

Miután regisztrálta a tanúsítványt az alkalmazással az alkalmazásregisztrációs portálon, engedélyezze a bizalmas ügyfélalkalmazás-kód használatát.

2. lehetőség: Csak tesztelés: Önaláírt tanúsítvány létrehozása és feltöltése

Önaláírt tanúsítványt is létrehozhat tesztelési célokra. Önaláírt tanúsítvány létrehozásához nyissa meg a Windows PowerShellt, és futtassa a New-SelfSignedCertificate parancsot a következő paraméterekkel a tanúsítvány létrehozásához a számítógép felhasználói tanúsítványtárolójában:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportálja ezt a tanúsítványt egy fájlba a Windows Vezérlőpult elérhető Felhasználói tanúsítvány kezelése MMC beépülő modullal.

  1. Válassza a Start menü Futtatás elemét, majd írja be a certmgr.msc parancsot. Megjelenik az aktuális felhasználó Tanúsítványkezelő eszköze.
  2. A tanúsítványok megtekintéséhez bontsa ki a Személyes könyvtárat a bal oldali panelEn a Tanúsítványok – Aktuális felhasználó területen.
  3. Kattintson a jobb gombbal a létrehozott tanúsítványra, és válassza az Összes tevékenység exportálása> lehetőséget.
  4. Kövesse a Tanúsítvány exportálása varázslót.

A tanúsítvány feltöltése:

  1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos kulcsok lehetőséget.
  3. Válassza a Tanúsítványok lehetőséget, majd a Tanúsítvány feltöltése lehetőséget, majd válassza ki a tanúsítványt (egy meglévő tanúsítványt vagy az exportált önaláírt tanúsítványt).
  4. Válassza a Hozzáadás lehetőséget.

Miután regisztrálta a tanúsítványt az alkalmazással az alkalmazásregisztrációs portálon, engedélyezze a bizalmas ügyfélalkalmazás-kód használatát.

3. lehetőség: Új ügyfélkód létrehozása

Ha úgy dönt, hogy nem használ tanúsítványt, létrehozhat egy új titkos ügyfélkulcsot.

  1. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk, majd válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos kulcsok lehetőséget.
  3. Válassza ki az Ügyfél titkos kulcsok lehetőséget, majd válassza az Új ügyfélkód lehetőséget.
  4. Adjon meg egy leírást és egy időtartamot a titkos kódhoz.
  5. Válassza a Hozzáadás lehetőséget.

Miután mentette az ügyfél titkos kódját, megjelenik az ügyfélkulcs értéke. Ez csak egyszer jelenik meg, ezért másolja ki ezt az értéket, és tárolja ott, ahol az alkalmazás lekérheti, általában ott, ahol az alkalmazás megtartja az értékeket, például clientIda forráskódban.authority Meg kell adnia a titkos értéket az alkalmazás ügyfélazonosítójával együtt, hogy alkalmazásként jelentkezzen be.

Képernyőkép az ügyfél titkos kódjának értékével.

Hozzáférési szabályzatok konfigurálása erőforrásokon

Előfordulhat, hogy további engedélyeket kell konfigurálnia az alkalmazás által elérni kívánt erőforrásokhoz. Frissítenie kell például a kulcstartó hozzáférési szabályzatait is, hogy az alkalmazás hozzáférjen a kulcsokhoz, titkos kulcsokhoz vagy tanúsítványokhoz.

Hozzáférési szabályzatok konfigurálása:

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza ki a kulcstartót, és válassza az Access-szabályzatokat.

  3. Válassza a Hozzáférési szabályzat hozzáadása lehetőséget, majd válassza ki az alkalmazásnak adni kívánt kulcs-, titkos kód- és tanúsítványengedélyeket. Válassza ki a korábban létrehozott szolgáltatásnevet.

  4. Válassza a Hozzáadás lehetőséget a hozzáférési szabályzat hozzáadásához, majd válassza a Mentés lehetőséget.

    Hozzáférési szabályzat hozzáadása

Kapcsolódó tartalom

  • Megtudhatja, hogyan hozhat létre szolgáltatásnevet az Azure PowerShell vagy az Azure CLI használatával.
  • A biztonsági szabályzatok megadásáról az Azure szerepköralapú hozzáférés-vezérléséről (Azure RBAC) olvashat.
  • A felhasználók számára megadható vagy elutasítható műveletek listáját az Azure Resource Manager erőforrás-szolgáltatói műveleteiben találja.
  • Az alkalmazásregisztrációk Microsoft Graph használatával történő használatáról az Applications API-referencia nyújt tájékoztatást.