Registrare un'app per richiedere token di autorizzazione e usare le API

Per accedere alle API REST di Azure, ad esempio l'API Log Analytics o per inviare metriche personalizzate, è possibile generare un token di autorizzazione basato su un ID client e un segreto. Il token viene quindi passato nella richiesta dell'API REST. Questo articolo illustra come registrare un'app client e creare un segreto client in modo da poter generare un token.

Registrare un'app

Creare un'entità servizio e registrare un'app usando il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.

Azure portal

1. Per registrare un'app, aprire la pagina di panoramica di Active Directory nel portale di Azure.

2. Selezionare Registrazioni app dalla barra laterale.

3. Selezionare Nuova registrazione

4. Nella pagina Registra un'applicazione immettere il Nome dell'applicazione.

5. Selezionare Registra

6. Nella pagina di panoramica dell'app selezionare Certificati e segreti

7. Prendere nota dell'ID applicazione (client). Viene usato nella richiesta HTTP per un token.

8. Nella scheda Segreti client selezionare Nuovo segreto client

9. Aggiungere una Descrizione e selezionare Aggiungi

10. Copiare e salvare il Valore del segreto client.

    Nota

    I valori dei segreti client possono essere visualizzati solo subito dopo la creazione. Assicurarsi di salvare il segreto prima di uscire dalla pagina.

    

Interfaccia della riga di comando di Azure

Eseguire lo script seguente per creare un'entità servizio e un'app.

az ad sp create-for-rbac -n <Service principal display name> 

La risposta è simile alla seguente:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Importante

L'output include le credenziali che è necessario proteggere. Assicurarsi di non includere tali credenziali nel codice oppure archiviarle nel controllo del codice sorgente.

Aggiungere un ruolo e un ambito per le risorse a cui si vuole accedere usando l'API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

L'esempio seguente dell'interfaccia della riga di comando assegna il ruolo Reader all'entità servizio per tutte le risorse nel gruppo di risorse rg-001:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Per altre informazioni sulla creazione di un'entità servizio con l'interfaccia della riga di comando di Azure, vedere Creare un'entità servizio di Azure con l'interfaccia della riga di comando di Azure.

PowerShell

Il seguente script di esempio mostra la creazione di un'entità servizio di Microsoft Entra tramite PowerShell. Per una procedura dettagliata, vedere Uso di Azure PowerShell per creare un'entità servizio per accedere alle risorse

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Passaggi successivi

Prima di poter generare un token usando l'app, l'ID client e il segreto, assegnare l'app a un ruolo usando il Controllo di accesso (IAM) per la risorsa a cui si vuole accedere. Il ruolo dipenderà dal tipo di risorsa e dall'API che si vuole usare.
ad esempio:

• Per concedere all'app la lettura da un'area di lavoro Log Analytics, aggiungere l'app come membro al ruolo Lettore usando il controllo di accesso (IAM) per l'area di lavoro Log Analytics. Per altre informazioni, vedere Accedi all'API

• Per concedere l'accesso per inviare metriche personalizzate per una risorsa, aggiungere l'app come membro al ruolo Server di pubblicazione metriche di monitoraggio usando il controllo di accesso (IAM) per la risorsa. Per altre informazioni, vedere Inviare metriche al database delle metriche di Monitoraggio di Azure usando l'API REST

Per altre informazioni, vedere Assegnare ruoli di Azure usando il portale di Azure

Dopo aver assegnato un ruolo, è possibile usare l'app, l'ID client e il segreto client per generare un token di connessione per accedere all'API REST.

Nota

Quando si usa l'autenticazione Microsoft Entra, potrebbero essere necessari fino a 60 minuti prima che l'API REST di Azure Application Insights riconosca nuove autorizzazioni di controllo degli accessi in base al ruolo. Durante la propagazione delle autorizzazioni, le chiamate API REST potrebbero non riuscire e presentare il codice di errore 403.