Регистрация приложения для запроса маркеров авторизации и работы с API

Чтобы получить доступ к REST API Azure, таким как API Log Analytics, или отправить пользовательские метрики, можно создать маркер авторизации на основе идентификатора клиента и секрета. Затем маркер передается в запросе REST API. В этой статье показано, как зарегистрировать клиентское приложение и создать секрет клиента, чтобы создать маркер.

Регистрация приложения

Создайте субъект-службу и зарегистрируйте приложение с помощью портал Azure, Azure CLI или PowerShell.

Портал Azure

1. Чтобы зарегистрировать приложение, откройте страницу обзора Active Directory в портал Azure.

2. Выберите Регистрация приложений на боковой панели.

3. Выбор новой регистрации

4. На странице регистрации приложения введите имя приложения.

5. Нажмите кнопку Зарегистрировать.

6. На странице обзора приложения выберите сертификаты и секреты

7. Обратите внимание на идентификатор приложения (клиента). Он используется в HTTP-запросе для маркера.

8. На вкладке "Секреты клиента" выберите новый секрет клиента

9. Введите описание и нажмите кнопку "Добавить"

10. Скопируйте и сохраните значение секрета клиента.

    Примечание.

    Значения секрета клиента можно просматривать только сразу после создания. Перед выходом из страницы обязательно сохраните секрет.

    

Azure CLI

Выполните следующий сценарий, чтобы создать субъект-службу и приложение.

az ad sp create-for-rbac -n <Service principal display name> 

Ответ выглядит следующим образом:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Внимание

Выходные данные включают учетные данные, которые необходимо защитить. Убедитесь, что эти учетные данные не включены в код, или проверьте учетные данные в системе управления версиями.

Добавление роли и область для ресурсов, к которым требуется получить доступ с помощью API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

В следующем примере CLI роль назначается Reader субъекту-службе rg-001для всех ресурсов в группе ресурсов:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Дополнительные сведения о создании субъекта-службы с помощью Azure CLI см. в статье "Создание субъекта-службы Azure" с помощью Azure CLI.

PowerShell

В следующем примере скрипта показано создание субъекта-службы Microsoft Entra с помощью PowerShell. Более подробное пошаговое руководство по созданию субъекта-службы для доступа к ресурсам с помощью Azure PowerShell

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Следующие шаги

Прежде чем создавать маркер с помощью приложения, идентификатора клиента и секрета, назначьте приложению роль с помощью управления доступом (IAM) для ресурса, доступ к которому требуется получить. Роль будет зависеть от типа ресурса и API, который требуется использовать.
Например,

• Чтобы предоставить приложению чтение из рабочей области Log Analytics, добавьте приложение в роль читателя с помощью управления доступом (IAM) для рабочей области Log Analytics. Дополнительные сведения см. в разделе "Доступ к API"

• Чтобы предоставить доступ к отправке пользовательских метрик для ресурса, добавьте приложение в роль издателя метрик мониторинга с помощью управления доступом (IAM) для ресурса. Дополнительные сведения см. в статье "Отправка метрик в базу данных метрик Azure Monitor с помощью REST API"

Дополнительные сведения см. в статье "Назначение ролей Azure с помощью портал Azure

Назначив роль, вы можете использовать приложение, идентификатор клиента и секрет клиента для создания маркера носителя для доступа к REST API.

Примечание.

При использовании проверки подлинности Microsoft Entra может потребоваться до 60 минут для приложение Azure Аналитика REST API для распознавания новых разрешений управления доступом на основе ролей (RBAC). Во время распространения разрешений вызовы REST API могут завершаться ошибкой с кодом 403.