Mendaftarkan Aplikasi untuk meminta token otorisasi dan bekerja dengan API

Untuk mengakses REST API Azure seperti API analitik Log, atau untuk mengirim metrik kustom, Anda dapat membuat token otorisasi berdasarkan ID dan rahasia klien. Token kemudian diteruskan dalam permintaan REST API Anda. Artikel ini menunjukkan kepada Anda cara mendaftarkan aplikasi klien dan membuat rahasia klien sehingga Anda dapat menghasilkan token.

Daftarkan Aplikasi

Buat perwakilan layanan dan daftarkan aplikasi menggunakan portal Azure, Azure CLI, atau PowerShell.

Portal Azure

1. Untuk mendaftarkan aplikasi, buka halaman Gambaran Umum Direktori Aktif di portal Azure.

2. Pilih Pendaftaran aplikasi dari bilah samping.

3. Pilih Pendaftaran baru

4. Pada halaman Daftarkan aplikasi, masukkan Nama untuk aplikasi.

5. Pilih Daftar

6. Pada halaman gambaran umum aplikasi, pilih Sertifikat dan Rahasia

7. Perhatikan ID Aplikasi (klien). Ini digunakan dalam permintaan HTTP untuk token.

8. Di tab Rahasia klien Pilih Rahasia klien baru

9. Masukkan Deskripsi dan pilih Tambahkan

10. Salin dan simpan Nilai rahasia klien.

    Catatan

    Nilai rahasia klien hanya dapat dilihat segera setelah pembuatan. Pastikan untuk menyimpan rahasia sebelum meninggalkan halaman.

    

Azure CLI

Jalankan skrip berikut untuk membuat perwakilan layanan dan aplikasi.

az ad sp create-for-rbac -n <Service principal display name> 

Responsnya terlihat sebagai berikut:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Penting

Output mencakup kredensial yang harus Anda lindungi. Pastikan Anda tidak menyertakan info masuk ini dalam kode atau memasukkan info masuk ke dalam kontrol sumber Anda.

Menambahkan peran dan cakupan untuk sumber daya yang ingin Anda akses menggunakan API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Contoh berikut CLI menetapkan Reader peran ke perwakilan layanan untuk semua sumber daya dalam rg-001grup sumber daya:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Untuk informasi selengkapnya tentang membuat perwakilan layanan menggunakan Azure CLI, lihat Membuat perwakilan layanan Azure dengan Azure CLI.

PowerShell

Contoh skrip berikut menunjukkan pembuatan perwakilan layanan Microsoft Entra melalui PowerShell. Untuk panduan yang lebih terperinci, lihat menggunakan Azure PowerShell untuk membuat perwakilan layanan untuk mengakses sumber daya

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Langkah berikutnya

Sebelum Anda dapat membuat token menggunakan aplikasi, ID klien, dan rahasia, tetapkan aplikasi ke peran menggunakan Kontrol akses (IAM) untuk sumber daya yang ingin Anda akses. Peran akan bergantung pada jenis sumber daya dan API yang ingin Anda gunakan.
Contohnya,

• Untuk memberi aplikasi Anda baca dari Ruang Kerja Analitik Log, tambahkan aplikasi Anda sebagai anggota ke peran Pembaca menggunakan Kontrol akses (IAM) untuk Ruang Kerja Analitik Log Anda. Untuk informasi selengkapnya, lihat Mengakses API

• Untuk memberikan akses untuk mengirim metrik kustom untuk sumber daya, tambahkan aplikasi Anda sebagai anggota ke peran Penerbit Metrik Pemantauan menggunakan Kontrol akses (IAM) untuk sumber daya Anda. Untuk informasi selengkapnya, lihat Mengirim metrik ke database metrik Azure Monitor menggunakan REST API

Untuk informasi selengkapnya, lihat Menetapkan peran Azure menggunakan portal Azure

Setelah menetapkan peran, Anda dapat menggunakan aplikasi, ID klien, dan rahasia klien untuk menghasilkan token pembawa untuk mengakses REST API.

Catatan

Saat menggunakan autentikasi Microsoft Entra, mungkin perlu waktu hingga 60 menit agar REST API Azure Application Insights mengenali izin kontrol akses berbasis peran (RBAC) baru. Saat izin disebarkan, panggilan REST API mungkin gagal dengan kode kesalahan 403.