Een Azure Active Directory-toepassing en service-principal maken die toegang hebben tot resources

In dit artikel leert u hoe u een Azure Active Directory-toepassing (Azure AD) en service-principal maakt die kunnen worden gebruikt met op rollen gebaseerd toegangsbeheer. Wanneer u een nieuwe toepassing registreert in Azure AD, wordt er automatisch een service-principal gemaakt voor de app-registratie. De service-principal is de identiteit van de app in de Azure AD-tenant. Deze toegang wordt beperkt door de rol die wordt toegewezen aan de service-principal, zodat u kunt bepalen welke resources kunnen worden geopend en op welk niveau. Om veiligheidsredenen wordt het altijd aanbevolen om service-principals te gebruiken met geautomatiseerde hulpprogramma's in plaats van ze toe te staan zich aan te melden met een gebruikersidentiteit.

In dit artikel maakt u een toepassing met één tenant in de Azure Portal. Dit voorbeeld is van toepassing op Line-Of-Business-toepassingen die binnen één organisatie worden gebruikt. U kunt ook Azure PowerShell of de Azure CLI gebruiken om een service-principal te maken.

Belangrijk

In plaats van een service-principal te maken, kunt u overwegen beheerde identiteiten voor Azure-resources te gebruiken voor de toepassings-id. Als uw code wordt uitgevoerd op een service die beheerde identiteiten ondersteunt en toegang heeft tot resources die ondersteuning bieden voor Azure AD-verificatie, zijn beheerde identiteiten een betere optie voor u. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie over beheerde identiteiten voor Azure-resources, inclusief welke service dit momenteel ondersteunen.

Lees toepassings- en service-principalobjecten in Azure Active Directory voor meer informatie over de relatie tussen app-registratie, toepassingsobjecten en service-principals.

Vereisten

Als u een toepassing wilt registreren in uw Azure AD-tenant, hebt u het volgende nodig:

• Een Azure AD-gebruikersaccount. Als u dat nog niet hebt, kunt u gratis een account maken.

Machtigingen die vereist zijn voor het registreren van een app

Zorg ervoor dat u voldoende machtigingen hebt om een toepassing te registreren bij uw Azure AD-tenant en de toepassing toe te wijzen aan een rol in uw Azure-abonnement. Als u deze taken wilt voltooien, hebt u toestemming nodig Application.ReadWrite.All.

Een toepassing registreren bij Azure AD en een service-principal maken

1. Meld u aan bij Azure Portal.

2. Zoek en selecteer Azure Active Directory.

3. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.

4. Geef de toepassing een naam, bijvoorbeeld 'example-app'.

5. Kies een ondersteund accounttype, dat bepaalt wie de toepassing kan gebruiken.

6. Kies onder Omleidings-URIWeb voor het type toepassing dat u wilt maken. Voer de URI in waarnaar het toegangstoken wordt verzonden.

7. Selecteer Registreren.

   

U hebt uw Azure AD-toepassing en service-principal gemaakt.

Een rol toewijzen aan de toepassing

Als u toegang wilt krijgen tot resources in uw abonnement, moet u de toepassing toewijzen aan een rol. Bepaal welke rol de juiste machtigingen biedt voor de toepassing. Zie Ingebouwde Azure-rollen voor meer informatie over de beschikbare rollen.

U kunt het bereik instellen op het niveau van het abonnement, de resourcegroep of de resource. Machtigingen worden overgenomen door lagere niveaus van het bereik.

1. Meld u aan bij Azure Portal.

2. Selecteer het bereikniveau waaraan u de toepassing wilt toewijzen. Als u bijvoorbeeld een rol wilt toewijzen in het abonnementsbereik, zoekt en selecteert u Abonnementen. Als u het abonnement dat u zoekt niet ziet, kiest u het filter voor globale abonnementen. Zorg ervoor dat het gewenste abonnement is geselecteerd voor de tenant.

3. Klik op Toegangsbeheer (IAM) .

4. Selecteer Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.

5. Selecteer op het tabblad Rol de rol die u wilt toewijzen aan de toepassing in de lijst. Als u bijvoorbeeld wilt toestaan dat de toepassing acties uitvoert zoals opnieuw opstarten, starten en stoppen van exemplaren, selecteert u de rol Inzender .

6. Selecteer volgende.

7. Op het tabblad Leden . Selecteer Toegang toewijzen aan en selecteer vervolgens Gebruiker, groep of service-principal

8. Selecteer Leden selecteren. Standaard worden Azure AD toepassingen niet weergegeven in de beschikbare opties. Als u uw toepassing wilt vinden, zoekt u deze op naam.

9. Selecteer de knop Selecteren en selecteer vervolgens Beoordelen en toewijzen.

   

Uw service-principal is ingesteld. U kunt deze gebruiken om uw scripts of toepassingen uit te voeren. Als u uw service-principal wilt beheren (machtigingen, machtigingen die door de gebruiker zijn toegestaan, zien welke gebruikers toestemming hebben gegeven, machtigingen controleren, aanmeldingsgegevens bekijken en meer), gaat u naar Ondernemingstoepassingen.

In de volgende sectie ziet u hoe u waarden kunt ophalen die nodig zijn bij het programmatisch aanmelden.

Aanmelden bij Azure Portal

Wanneer u zich programmatisch aanmeldt, geeft u de tenant-id en de toepassings-id door in uw verificatieaanvraag. U hebt ook een certificaat of een verificatiesleutel nodig. Ga als volgende te werk om de map-id (tenant) en toepassings-id op te halen:

1. Zoek naar selecteer Azure Active Directory.
2. Selecteer uw toepassing bij Toepassingsregistraties in Azure Active Directory.
3. Kopieer op de overzichtspagina van de app de waarde map-id (tenant) en sla deze op in uw toepassingscode.
4. Kopieer de waarde van de toepassings-id (client) en sla deze op in uw toepassingscode.

Verificatie instellen

Er zijn twee typen verificatie beschikbaar voor service-principals: verificatie op basis van een wachtwoord (toepassingswachtwoord) en verificatie op basis van een certificaat. U wordt aangeraden een certificaat te gebruiken, maar u kunt ook een toepassingsgeheim maken.

Optie 1 (aanbevolen): Een zelfondertekend certificaat maken en uploaden

U kunt een bestaand certificaat gebruiken als u er een hebt. Optioneel kunt u een zelfondertekend certificaat maken voor testdoeleinden. Als u een zelfondertekend certificaat wilt maken, opent u Windows PowerShell en voert u New-SelfSignedCertificate uit met de volgende parameters om het certificaat te maken in het certificaatarchief van de gebruiker op uw computer:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exporteer dit certificaat naar een bestand met behulp van de MMC-module Gebruikerscertificaat beheren die toegankelijk is vanuit het Windows-configuratiescherm.

1. Selecteer Uitvoeren in het menuStart en voer vervolgens certmgr.msc in. Het hulpprogramma Certificate Manager voor de huidige gebruiker wordt weergegeven.
2. Als u uw certificaten wilt weergeven, breidt u onder Certificaten - Huidige gebruiker in het linkerdeelvenster de persoonlijke map uit.
3. Klik met de rechtermuisknop op het certificaat dat u hebt gemaakt en selecteer Alle taken-Exporteren>.
4. Volg de wizard Certificaat exporteren.

Het certificaat uploaden:

1. Zoek en selecteer de optie Azure Active Directory.
2. Selecteer uw toepassing bij Toepassingsregistraties in Azure Active Directory.
3. Kies Certificaten & geheimen.
4. Selecteer Certificaten, selecteer vervolgens Certificaat uploaden en selecteer vervolgens het certificaat (een bestaand certificaat of het zelfondertekende certificaat dat u hebt geëxporteerd).
5. Selecteer Toevoegen.

Nadat u het certificaat hebt geregistreerd bij uw toepassing in de toepassingsregistratieportal, schakelt u de code van de clienttoepassing in om het certificaat te gebruiken.

Optie 2: Een nieuw toepassingsgeheim maken

Als u ervoor kiest geen certificaat te gebruiken, kunt u een nieuw toepassingsgeheim maken.

1. Zoek en selecteer de optie Azure Active Directory.
2. Selecteer App-registraties en selecteer uw toepassing in de lijst.
3. Kies Certificaten & geheimen.
4. Selecteer Clientgeheimen en selecteer vervolgens Nieuw clientgeheim.
5. Geef een beschrijving van het geheim en een duur op.
6. Selecteer Toevoegen.

Nadat u het clientgeheim hebt opgeslagen, wordt de waarde van het clientgeheim weergegeven. Kopieer deze waarde, want u kunt de sleutel later niet meer ophalen. U geeft de sleutelwaarde op met de toepassings-id om u aan te melden als de toepassing. Bewaar de sleutelwaarde op een locatie waar de toepassing deze kan ophalen.

Toegangsbeleid voor resources configureren

Mogelijk moet u extra machtigingen configureren voor resources waartoe uw toepassing toegang nodig heeft. U moet bijvoorbeeld ook het toegangsbeleid van een sleutelkluis bijwerken om uw toepassing toegang te geven tot sleutels, geheimen of certificaten.

Toegangsbeleid configureren:

1. Meld u aan bij Azure Portal.

2. Selecteer uw sleutelkluis en selecteer Toegangsbeleid.

3. Kies Toegangsbeleid toevoegen en selecteer vervolgens de sleutel, het geheim en de certificaatmachtigingen die u uw toepassing wilt verlenen. Kies de service-principal die u eerder hebt gemaakt.

4. Selecteer Toevoegen om het toegangsbeleid toe te voegen.

5. Opslaan.

   

Volgende stappen

• Meer informatie over het gebruik van Azure PowerShell of Azure CLI om een service-principal te maken.
• Zie Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor meer informatie over het opgeven van beveiligingsbeleid.
• Zie Azure Resource Manager Resource Provider-bewerkingen voor een lijst met beschikbare acties die aan gebruikers kunnen worden verleend of geweigerd.
• Zie de naslaginformatie over toepassingen-API voor informatie over het werken met toepassingsregistraties met behulp van Microsoft Graph.