Een app-registratie maken voor gebruik met Azure Digital Twins

In dit artikel wordt beschreven hoe u een Microsoft Entra ID-app-registratie maakt die toegang heeft tot Azure Digital Twins. Dit artikel bevat stappen voor Azure Portal en de Azure CLI.

Wanneer u met Azure Digital Twins werkt, is het gebruikelijk om met uw exemplaar te communiceren via clienttoepassingen. Deze toepassingen moeten worden geverifieerd met Azure Digital Twins en een aantal verificatiemechanismen die apps kunnen gebruiken, omvatten een app-registratie.

De app-registratie is niet vereist voor alle verificatiescenario's. Als u echter een verificatiestrategie of codevoorbeeld gebruikt waarvoor een app-registratie is vereist, ziet u in dit artikel hoe u er een instelt en deze machtigingen verleent aan de Azure Digital Twins-API's. Ook wordt beschreven hoe u belangrijke waarden verzamelt die u nodig hebt om de app-registratie te gebruiken bij het verifiëren.

Tip

U kunt er de voorkeur aan geven om elke keer een nieuwe app-registratie in te stellen wanneer u er een nodig hebt, of om dit slechts één keer te doen, waarbij één app-registratie wordt ingesteld die wordt gedeeld tussen alle scenario's waarvoor dit is vereist.

De registratie maken

Selecteer eerst het onderstaande tabblad voor uw voorkeursinterface.

Portal

Navigeer naar Microsoft Entra-id in Azure Portal (u kunt deze koppeling gebruiken of zoeken met de zoekbalk van de portal). Selecteer App-registraties in het servicemenu en selecteer vervolgens + Nieuwe registratie.

Vul op de pagina Een toepassing registreren die volgt de aangevraagde waarden in:

• Naam: de weergavenaam van een Microsoft Entra-toepassing die aan de registratie moet worden gekoppeld.
• Ondersteunde accounttypen: Selecteer alleen accounts in deze organisatiemap (alleen standaardmap - één tenant).

Wanneer u klaar bent, selecteert u de knop Registreren .

Wanneer de registratie is ingesteld, wordt u door de portal omgeleid naar de pagina met details.

CLI

Begin met het maken van een manifestbestand dat servicegegevens bevat die uw app-registratie nodig heeft voor toegang tot de Azure Digital Twins-API's. Daarna geeft u dit bestand door aan een CLI-opdracht om de registratie te maken.

Maak het manifest.

Maak een nieuw .json-bestand op uw computer met de naam manifest.json. Kopieer deze tekst naar het bestand:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

De statische waarde 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 is de resource-id voor het Azure Digital Twins-service-eindpunt, die uw app-registratie nodig heeft voor toegang tot de Azure Digital Twins-API's.

Sla het voltooide bestand op.

Cloud Shell-gebruikers: manifest uploaden

Als u Azure Cloud Shell gebruikt voor deze zelfstudie, moet u het manifestbestand dat u hebt gemaakt uploaden naar De Cloud Shell, zodat u het kunt openen in Cloud Shell-opdrachten bij het configureren van de app-registratie. Als u een lokale installatie van de Azure CLI gebruikt, kunt u verdergaan met de volgende stap, voer de opdracht voor het maken uit.

Als u het bestand wilt uploaden, gaat u naar het Cloud Shell-venster in uw browser. Selecteer het pictogram Bestanden uploaden/downloaden en kies Uploaden.

Navigeer naar het manifest.json-bestand op uw computer en selecteer Openen. Als u dit doet, wordt het bestand geüpload naar de hoofdmap van uw Cloud Shell-opslag.

De opdracht voor maken uitvoeren

In deze sectie voert u een CLI-opdracht uit om een app-registratie te maken met de volgende instellingen:

• Naam van uw keuze
• Alleen beschikbaar voor accounts in de standaardmap (één tenant)
• Een webantwoord-URL van http://localhost
• Lees-/schrijfmachtigingen voor de Azure Digital Twins-API's

Voer de volgende opdracht uit om de registratie te maken. Als u Cloud Shell gebruikt, is @manifest.jsonhet pad naar het manifest.json bestand.

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

De uitvoer van de opdracht is informatie over de app-registratie die u hebt gemaakt.

Controleren geslaagd

U kunt bevestigen dat de Azure Digital Twins-machtigingen zijn verleend door te zoeken naar de volgende velden in de uitvoer van de opdracht voor het maken, onder requiredResourceAccess. Controleer of de waarden overeenkomen met wat hieronder wordt vermeld.

• resourceAccess > id is 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Belangrijke waarden verzamelen

Verzamel vervolgens enkele belangrijke waarden over de app-registratie die u nodig hebt om de app-registratie te gebruiken om een clienttoepassing te verifiëren. Deze waarden zijn onder andere:

• resourcenaam: wanneer u met Azure Digital Twins werkt, is http://digitaltwins.azure.netde resourcenaam.
• client-id
• Tenant-id:
• clientgeheim

In de volgende secties wordt beschreven hoe u de resterende waarden kunt vinden.

Client-id en tenant-id verzamelen

Als u de app-registratie voor verificatie wilt gebruiken, moet u mogelijk de toepassings-id (client) en de map-id (tenant) opgeven. Hier verzamelt u deze waarden, zodat u ze kunt opslaan en gebruiken wanneer ze nodig zijn.

Portal

De waarden voor de client-id en tenant-id kunnen worden verzameld op de pagina met details van de app-registratie in Azure Portal:

Noteer de id van de toepassing (client) en de map-id (tenant) die op uw pagina worden weergegeven.

CLI

U vindt de app-id in de uitvoer van de az ad app create opdracht die u eerder hebt uitgevoerd (of haal de informatie opnieuw op met behulp van az ad app show).

appId Zoek naar in het resultaat:

U kunt uw tenant-id weergeven in de shell met behulp van de opdracht az account tenant list .

Notitie

Deze opdrachtgroep is experimenteel en momenteel in ontwikkeling.

Clientgeheim verzamelen

Stel een clientgeheim in voor uw app-registratie, die andere toepassingen kunnen gebruiken om te verifiëren.

Portal

Begin op de registratiepagina van uw app in Azure Portal.

1. Selecteer Certificaten en geheimen in het menu van de registratie en selecteer vervolgens + Nieuw clientgeheim.

   

2. Voer de gewenste waarden in voor Beschrijving en Verloopt en selecteer Toevoegen.

   

3. Controleer of het clientgeheim zichtbaar is op de pagina Certificaten en geheimen met de velden Verlopen en Waarde.

4. Noteer de geheime id en waarde die u later wilt gebruiken (u kunt ze ook naar het klembord kopiëren met de pictogrammen Kopiëren).

   

Belangrijk

Zorg ervoor dat u de waarden nu kopieert en op een veilige plaats opslaat, omdat ze niet opnieuw kunnen worden opgehaald. Als u ze later niet kunt vinden, moet u een nieuw geheim maken.

CLI

Als u een clientgeheim wilt maken voor uw app-registratie, hebt u de client-id-waarde van uw app-registratie nodig die u in de vorige stap hebt verzameld. Gebruik de waarde in de volgende CLI-opdracht om een nieuw geheim te maken:

az ad app credential reset --id <client-ID> --append

U kunt ook optionele parameters toevoegen aan deze opdracht om een referentiebeschrijving, einddatum en andere details op te geven. Zie de documentatie voor az ad app credential reset voor meer informatie over de opdracht en de bijbehorende parameters.

De uitvoer van deze opdracht is informatie over het clientgeheim dat u hebt gemaakt.

Kopieer de waarde die moet password worden gebruikt wanneer u het clientgeheim nodig hebt voor verificatie.

Belangrijk

Zorg ervoor dat u de waarde nu kopieert en op een veilige plaats opslaat, omdat deze niet opnieuw kan worden opgehaald. Als u de waarde later niet kunt vinden, moet u een nieuw geheim maken.

Machtigingen voor Azure Digital Twins opgeven

Configureer vervolgens de app-registratie die u hebt gemaakt met machtigingen voor toegang tot Azure Digital Twins. Er zijn twee typen machtigingen vereist:

• Een roltoewijzing voor de app-registratie in het Azure Digital Twins-exemplaar
• API-machtigingen voor de app voor lezen en schrijven naar de Azure Digital Twins-API's

Roltoewijzing maken

In deze sectie maakt u een roltoewijzing voor de app-registratie op het Azure Digital Twins-exemplaar. Met deze rol wordt bepaald welke machtigingen de app-registratie voor het exemplaar bevat. Selecteer daarom de rol die overeenkomt met het juiste machtigingsniveau voor uw situatie. Een mogelijke rol is Azure Digital Twins-gegevenseigenaar. Zie ingebouwde Azure-rollen voor een volledige lijst met rollen en hun beschrijvingen.

Portal

Gebruik deze stappen om de roltoewijzing voor uw registratie te maken.

1. Open de pagina voor uw Azure Digital Twins-exemplaar in Azure Portal.

2. Klik op Toegangsbeheer (IAM) .

3. Selecteer Toevoegen>Roltoewijzing toevoegen om het deelvenster Roltoewijzing toevoegen te openen.

4. Wijs de juiste rol toe. Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.

   Instelling	Weergegeven als
   Role	Selecteer indien van toepassing
   Leden > toegang toewijzen aan	Gebruiker, groep of service-principal
   Leden >	+ Leden selecteren en vervolgens zoeken naar de naam van de app-registratie

   

   

   Zodra de rol is geselecteerd, controleert u deze en wijst u deze toe .

Roltoewijzing verifiëren

U kunt de roltoewijzing bekijken die u hebt ingesteld onder Roltoewijzingen voor Toegangsbeheer (IAM>).

De app-registratie moet worden weergegeven in de lijst, samen met de rol die u eraan hebt toegewezen.

CLI

Gebruik de opdracht az dt role-assignment create om de rol toe te wijzen (deze moet worden uitgevoerd door een gebruiker met voldoende machtigingen in het Azure-abonnement). Voor de opdracht moet u de naam doorgeven van de rol die u wilt toewijzen, de naam van uw Azure Digital Twins-exemplaar en de naam of de object-id van de app-registratie.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Het resultaat van deze opdracht is informatie over de roltoewijzing die is gemaakt voor de app-registratie.

Als u de roltoewijzing verder wilt controleren, kunt u deze zoeken in Azure Portal (ga naar het tabblad Instructies van de portal).

API-machtigingen opgeven

In deze sectie verleent u uw app-basislijn lees-/schrijfmachtigingen voor de Azure Digital Twins-API's.

Als u de Azure CLI gebruikt en uw app-registratie eerder instelt met een manifestbestand, is deze stap al voltooid. Als u Azure Portal gebruikt om uw app-registratie te maken, gaat u verder met de rest van deze sectie om API-machtigingen in te stellen.

Portal

Selecteer API-machtigingen in het menu op de portalpagina voor uw app-registratie. Selecteer op de volgende pagina machtigingen de knop + Een machtiging toevoegen.

Schakel op de pagina Api-machtigingen aanvragen die volgt over naar de API's die mijn organisatie gebruikt en zoek naar Azure Digital Twins. Selecteer Azure Digital Twins in de zoekresultaten om door te gaan met het toewijzen van machtigingen voor de Azure Digital Twins-API's.

Notitie

Als uw abonnement nog steeds een bestaand Azure Digital Twins-exemplaar heeft van de vorige openbare preview van de service (vóór juli 2020), moet u in plaats daarvan azure Smart Spaces Service zoeken en selecteren. Dit is een oudere naam voor dezelfde set API's (u ziet dat de toepassings-id (client) hetzelfde is als in de bovenstaande schermafbeelding. Uw ervaring wordt niet meer gewijzigd dan deze stap.

Vervolgens selecteert u welke machtigingen u voor deze API's wilt verlenen. Vouw de machtiging Lezen (1) uit en schakel het selectievakje Read.Write in om deze app-registratielezer en schrijfmachtigingen te verlenen.

Selecteer Machtigingen toevoegen wanneer u klaar bent.

API-machtigingen verifiëren

Controleer op de pagina API-machtigingen of er nu een vermelding is voor Azure Digital Twins die lees-/schrijfmachtigingen weergeeft:

U kunt ook de verbinding met Azure Digital Twins controleren in de manifest.json van de app-registratie, die automatisch is bijgewerkt met de Azure Digital Twins-informatie toen u de API-machtigingen toevoegde.

Hiervoor selecteert u Manifest in het menu om de manifestcode van de app-registratie weer te geven. Schuif naar de onderkant van het codevenster en zoek naar de volgende velden en waarden onder requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Deze waarden worden weergegeven in de onderstaande schermopname:

Als deze waarden ontbreken, voert u de stappen in de sectie opnieuw uit om de API-machtiging toe te voegen.

CLI

Als u de CLI gebruikt, zijn de API-machtigingen eerder ingesteld als onderdeel van de registratiestap Maken.

U kunt deze nu controleren met behulp van Azure Portal (schakel over naar het tabblad Portalinstructie).

Andere mogelijke stappen voor uw organisatie

Het is mogelijk dat uw organisatie meer acties van abonnementseigenaren of beheerders nodig heeft om het instellen van de app-registratie te voltooien. De vereiste stappen kunnen variëren, afhankelijk van de specifieke instellingen van uw organisatie. Kies hieronder een tabblad om deze informatie weer te geven die is afgestemd op uw voorkeursinterface.

Portal

Hier volgen enkele veelvoorkomende mogelijke activiteiten die een eigenaar of beheerder van het abonnement mogelijk moet uitvoeren. Deze en andere bewerkingen kunnen worden uitgevoerd vanaf de pagina Microsoft Entra App-registraties in Azure Portal.

• Beheerderstoestemming geven voor de app-registratie. Uw organisatie heeft mogelijk beheerderstoestemming vereist globaal ingeschakeld in Microsoft Entra-id voor alle app-registraties binnen uw abonnement. Zo ja, dan moet de eigenaar/beheerder deze knop selecteren voor uw bedrijf op de API-machtigingenpagina van de app-registratie, zodat de app-registratie geldig is:

  

  • Als toestemming is verleend, moet de vermelding voor Azure Digital Twins de statuswaarde Verleend voor (uw bedrijf) weergeven

  

• Openbare clienttoegang activeren

• Specifieke antwoord-URL's instellen voor web- en bureaubladtoegang

• Impliciete OAuth2-verificatiestromen toestaan

CLI

Hier volgen enkele veelvoorkomende mogelijke activiteiten die een eigenaar of beheerder van het abonnement mogelijk moet uitvoeren.

• Beheerderstoestemming geven voor de app-registratie. Uw organisatie heeft mogelijk beheerderstoestemming vereist globaal ingeschakeld in Microsoft Entra-id voor alle app-registraties binnen uw abonnement. Zo ja, dan moet de eigenaar/beheerder mogelijk aanvullende gedelegeerde machtigingen of toepassingsmachtigingen verlenen.
• Activeer openbare clienttoegang door toe te voegen aan een opdracht voor maken of bijwerken --set publicClient=true voor de registratie.
• Stel specifieke antwoord-URL's in voor web- en bureaubladtoegang met behulp van de --reply-urls parameter. Zie de documentatie van az ad app voor meer informatie over het gebruik van deze parameter met az ad opdrachten.
• Sta impliciete OAuth2-verificatiestromen toe met behulp van de --oauth2-allow-implicit-flow parameter. Zie de documentatie van az ad app voor meer informatie over het gebruik van deze parameter met az ad opdrachten.

Zie Een toepassing registreren bij het Microsoft Identity Platform voor meer informatie over app-registratie en de verschillende installatieopties.

Volgende stappen

In dit artikel stelt u een Microsoft Entra-app-registratie in die kan worden gebruikt voor het verifiëren van clienttoepassingen met de Azure Digital Twins-API's.

Lees vervolgens meer over verificatiemechanismen, waaronder een mechanismen die gebruikmaakt van app-registraties en andere die niet:

• App-verificatiecode schrijven