Een Microsoft Entra-toepassing en service-principal maken die toegang heeft tot resources

  • Artikel

In dit artikel leert u hoe u een Microsoft Entra-toepassing en service-principal maakt die kan worden gebruikt met op rollen gebaseerd toegangsbeheer. Wanneer u een nieuwe toepassing registreert in Microsoft Entra ID, wordt automatisch een service-principal gemaakt voor de app-registratie. De service-principal is de identiteit van de app in de Microsoft Entra-tenant. Deze toegang wordt beperkt door de rol die wordt toegewezen aan de service-principal, zodat u kunt bepalen welke resources kunnen worden geopend en op welk niveau. Om veiligheidsredenen wordt het altijd aanbevolen om service-principals te gebruiken met geautomatiseerde hulpprogramma's in plaats van hen toe te staan zich aan te melden met een gebruikersidentiteit.

In dit artikel maakt u één tenanttoepassing in Azure Portal. Dit voorbeeld is van toepassing op Line-Of-Business-toepassingen die in één organisatie worden gebruikt. U kunt ook Azure PowerShell of de Azure CLI gebruiken om een service-principal te maken.

Belangrijk

In plaats van een service-principal te maken, kunt u overwegen beheerde identiteiten voor Azure-resources te gebruiken voor de identiteit van uw toepassing. Als uw code wordt uitgevoerd op een service die beheerde identiteiten ondersteunt en toegang krijgt tot resources die ondersteuning bieden voor Microsoft Entra-verificatie, zijn beheerde identiteiten een betere optie voor u. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie over beheerde identiteiten voor Azure-resources, inclusief welke service dit momenteel ondersteunen.

Lees toepassings- en service-principalobjecten in Microsoft Entra ID voor meer informatie over de relatie tussen app-registratie, toepassingsobjecten en service-principals.

Vereisten

Als u een toepassing wilt registreren in uw Microsoft Entra-tenant, hebt u het volgende nodig:

Machtigingen die vereist zijn voor het registreren van een app

U moet over voldoende machtigingen beschikken om een toepassing te registreren bij uw Microsoft Entra-tenant en een rol toe te wijzen aan de toepassing in uw Azure-abonnement. U hebt toestemming nodig Application.ReadWrite.Allom deze taken te voltooien.

Een toepassing registreren bij Microsoft Entra-id en een service-principal maken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Blader naar Identiteitstoepassingen>> App-registraties selecteer vervolgens Nieuwe registratie.

  3. Geef de toepassing een naam, bijvoorbeeld 'example-app'.

  4. Kies een ondersteund accounttype, dat bepaalt wie de toepassing kan gebruiken.

  5. Kies onder Omleidings-URIWeb voor het type toepassing dat u wilt maken. Voer de URI in waarnaar het toegangstoken wordt verzonden.

  6. Selecteer Registreren.

    Type a name for your application.

U hebt uw Microsoft Entra-toepassing en service-principal gemaakt.

Een rol toewijzen aan de toepassing

Als u toegang wilt krijgen tot resources in uw abonnement, moet u de toepassing toewijzen aan een rol. Bepaal welke rol de juiste machtigingen biedt voor de toepassing. Zie Ingebouwde Azure-rollen voor meer informatie over de beschikbare rollen.

U kunt het bereik instellen op het niveau van het abonnement, de resourcegroep of de resource. Machtigingen worden overgenomen door lagere niveaus van het bereik.

  1. Meld u aan bij de Azure-portal.

  2. Selecteer het bereikniveau waaraan u de toepassing wilt toewijzen. Als u bijvoorbeeld een rol wilt toewijzen aan het abonnementsbereik, zoekt en selecteert u Abonnementen. Als u het abonnement dat u zoekt niet ziet, kiest u het filter voor globale abonnementen. Zorg ervoor dat het gewenste abonnement is geselecteerd voor de tenant.

  3. Klik op Toegangsbeheer (IAM) .

  4. Selecteer Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.

  5. Selecteer op het tabblad Rol de rol die u wilt toewijzen aan de toepassing in de lijst. Selecteer bijvoorbeeld de rol Inzender om toe te staan dat de toepassing acties uitvoert zoals opnieuw opstarten, exemplaren starten en stoppen.

  6. Selecteer de volgende.

  7. Selecteer Toegang toewijzen op het tabblad Leden en selecteer vervolgens Gebruiker, groep of service-principal

  8. Selecteer Leden selecteren. Microsoft Entra-toepassingen worden standaard niet weergegeven in de beschikbare opties. Als u uw toepassing wilt zoeken, zoekt u deze op naam.

  9. Selecteer de knop Selecteren en selecteer Vervolgens Beoordelen en toewijzen.

    Screenshot showing role assignment.

Uw service-principal is ingesteld. U kunt deze gebruiken om uw scripts of toepassingen uit te voeren. Als u uw service-principal wilt beheren (machtigingen, machtigingen die door de gebruiker zijn toegestaan, zien welke gebruikers toestemming hebben gegeven, machtigingen controleren, aanmeldingsgegevens bekijken en meer), gaat u naar Ondernemingstoepassingen.

In de volgende sectie ziet u hoe u waarden kunt ophalen die nodig zijn bij het programmatisch aanmelden.

Aanmelden bij Azure Portal

Wanneer u zich programmatisch aanmeldt, geeft u de tenant-id en de toepassings-id door in uw verificatieaanvraag. U hebt ook een certificaat of een verificatiesleutel nodig. De map-id (tenant) en de toepassings-id ophalen:

  1. Blader naar Identiteitstoepassingen>> App-registraties en selecteer vervolgens uw toepassing.
  2. Kopieer op de overzichtspagina van de app de id-waarde van de map (tenant) en sla deze op in uw toepassingscode.
  3. Kopieer de waarde van de toepassings-id (client) en sla deze op in uw toepassingscode.

Verificatie instellen

Er zijn twee typen verificatie beschikbaar voor service-principals: verificatie op basis van een wachtwoord (toepassingswachtwoord) en verificatie op basis van een certificaat. U wordt aangeraden een vertrouwd certificaat te gebruiken dat is uitgegeven door een certificeringsinstantie, maar u kunt ook een toepassingsgeheim maken of een zelfondertekend certificaat maken voor testen.

Het certificaatbestand uploaden:

  1. Blader naar Identiteitstoepassingen>> App-registraties en selecteer vervolgens uw toepassing.
  2. Selecteer Certificaten en geheimen.
  3. Selecteer Certificaten, selecteer vervolgens Certificaat uploaden en selecteer vervolgens het certificaatbestand dat u wilt uploaden.
  4. Selecteer Toevoegen. Zodra het certificaat is geüpload, worden de vingerafdruk, begindatum en vervalwaarden weergegeven.

Nadat u het certificaat hebt geregistreerd bij uw toepassing in de toepassingsregistratieportal, schakelt u de code van de vertrouwelijke clienttoepassing in om het certificaat te gebruiken.

Optie 2: Alleen testen: een zelfondertekend certificaat maken en uploaden

Optioneel kunt u een zelfondertekend certificaat maken voor testdoeleinden. Als u een zelfondertekend certificaat wilt maken, opent u Windows PowerShell en voert u New-SelfSignedCertificate uit met de volgende parameters om het certificaat in het certificaatarchief van de gebruiker op uw computer te maken:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporteer dit certificaat naar een bestand met behulp van de MMC-module Gebruikerscertificaat beheren die toegankelijk is vanuit het Windows-configuratiescherm.

  1. Selecteer Uitvoeren in het menuStart en voer vervolgens certmgr.msc in. Het hulpprogramma Certificate Manager voor de huidige gebruiker wordt weergegeven.
  2. Als u uw certificaten wilt weergeven, breidt u onder Certificaten - Huidige gebruiker in het linkerdeelvenster de persoonlijke map uit.
  3. Klik met de rechtermuisknop op het certificaat dat u hebt gemaakt en selecteer Alle taken> exporteren.
  4. Volg de wizard Certificaat exporteren.

Het certificaat uploaden:

  1. Blader naar Identiteitstoepassingen>> App-registraties en selecteer vervolgens uw toepassing.
  2. Selecteer Certificaten en geheimen.
  3. Selecteer Certificaten, selecteer vervolgens Certificaat uploaden en selecteer vervolgens het certificaat (een bestaand certificaat of het zelfondertekende certificaat dat u hebt geëxporteerd).
  4. Selecteer Toevoegen.

Nadat u het certificaat hebt geregistreerd bij uw toepassing in de toepassingsregistratieportal, schakelt u de code van de vertrouwelijke clienttoepassing in om het certificaat te gebruiken.

Optie 3: Een nieuw clientgeheim maken

Als u ervoor kiest geen certificaat te gebruiken, kunt u een nieuw clientgeheim maken.

  1. Blader naar Identiteitstoepassingen>> App-registraties en selecteer vervolgens uw toepassing.
  2. Selecteer Certificaten en geheimen.
  3. Selecteer Clientgeheimen en selecteer vervolgens Nieuw clientgeheim.
  4. Geef een beschrijving van het geheim en een duur op.
  5. Selecteer Toevoegen.

Zodra u het clientgeheim hebt opgeslagen, wordt de waarde van het clientgeheim weergegeven. Dit wordt slechts eenmaal weergegeven, dus kopieer deze waarde en sla deze op waar uw toepassing deze kan ophalen, meestal waar uw toepassing waarden bewaart, zoals clientId, of authoruty in de broncode. U geeft de geheime waarde samen met de client-id van de toepassing op om u aan te melden als de toepassing.

Screenshot showing the client secret.

Toegangsbeleid voor resources configureren

Mogelijk moet u extra machtigingen configureren voor resources waartoe uw toepassing toegang nodig heeft. U moet bijvoorbeeld ook het toegangsbeleid van een sleutelkluis bijwerken om uw toepassing toegang te geven tot sleutels, geheimen of certificaten.

Toegangsbeleid configureren:

  1. Meld u aan bij de Azure-portal.

  2. Selecteer uw sleutelkluis en selecteer Toegangsbeleid.

  3. Kies Toegangsbeleid toevoegen en selecteer vervolgens de sleutel, het geheim en de certificaatmachtigingen die u uw toepassing wilt verlenen. Kies de service-principal die u eerder hebt gemaakt.

  4. Selecteer Toevoegen om het toegangsbeleid toe te voegen.

  5. Opslaan.

    Add access policy

Volgende stappen