Rejestrowanie aplikacji w celu żądania tokenów autoryzacji i pracy z interfejsami API

Aby uzyskać dostęp do interfejsów API REST platformy Azure, takich jak API Log Analytics, lub wysyłać metryki niestandardowe, możesz wygenerować token autoryzacji na podstawie identyfikatora klienta i tajnego klucza. Token jest następnie przekazywany w żądaniu interfejsu API REST. W tym artykule pokazano, jak zarejestrować aplikację kliencką i utworzyć klucz tajny klienta, aby można było wygenerować token.

Rejestrowanie aplikacji

Utwórz jednostkę usługi i zarejestruj aplikację przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Azure Portal

1. Aby zarejestrować aplikację, otwórz stronę Przegląd usługi Active Directory w witrynie Azure Portal.

2. Wybierz Rejestracje aplikacji na pasku bocznym.

3. Wybierz pozycję Nowa rejestracja

4. Na stronie Rejestrowanie aplikacji wprowadź nazwę aplikacji.

5. Wybierz pozycję Zarejestruj

6. Na stronie przeglądu aplikacji wybierz pozycję Certyfikaty i wpisy tajne

7. Zanotuj identyfikator aplikacji (klienta). Jest on używany w żądaniu HTTP dla tokenu.

8. Na karcie Sekrety klienta wybierz nowy sekret klienta

9. Wprowadź opis i wybierz pozycję Dodaj

10. Skopiuj i zapisz tajny klucz klienta Value.

    Uwaga

    Wartości tajnych klienta można wyświetlać tylko zaraz po utworzeniu. Pamiętaj, aby zapisać wpis tajny przed opuszczeniem strony.

    

Interfejs wiersza polecenia platformy Azure

Uruchom następujący skrypt, aby utworzyć jednostkę usługi i aplikację.

az ad sp create-for-rbac -n <Service principal display name> 

Odpowiedź wygląda następująco:

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}

Ważne

Dane wyjściowe zawierają poświadczenia, które należy chronić. Pamiętaj, aby nie uwzględniać tych poświadczeń w kodzie ani nie ewidencjonować ich w systemie kontroli kodu źródłowego.

Dodawanie roli i zakresu dla zasobów, do których chcesz uzyskać dostęp przy użyciu interfejsu API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

Poniższy przykład interfejsu wiersza polecenia przypisuje Reader rolę do jednostki usługi dla wszystkich zasobów w rg-001grupie zasobów:

 az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 --role Reader --scope '\/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001'

Aby uzyskać więcej informacji na temat tworzenia jednostki usługi przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Tworzenie jednostki usługi platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

PowerShell

Poniższy przykładowy skrypt przedstawia tworzenie jednostki usługi Microsoft Entra za pomocą programu PowerShell. Aby uzyskać bardziej szczegółowy przewodnik, zobacz tworzenie jednostki usługi w celu uzyskania dostępu do zasobów przy użyciu programu Azure PowerShell

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Następne kroki

Przed wygenerowaniem tokenu przy użyciu aplikacji, identyfikatora klienta i tajnego klucza, przypisz aplikację do roli, korzystając z kontroli dostępu (IAM) dla zasobu, do którego chcesz uzyskać dostęp. Rola będzie zależeć od typu zasobu i interfejsu API, którego chcesz użyć.
Na przykład:

• Aby umożliwić aplikacji odczyt danych z obszaru roboczego Log Analytics, dodaj aplikację jako członka roli Czytelnik za pomocą kontroli dostępu (IAM) dla obszaru roboczego Log Analytics. Aby uzyskać więcej informacji, zobacz Access the API (Uzyskiwanie dostępu do interfejsu API)

• Aby udzielić dostępu do wysyłania metryk niestandardowych dla zasobu, dodaj aplikację jako członka do roli Wydawca Metryk, używając kontroli dostępu (IAM) dla tego zasobu. Aby uzyskać więcej informacji, zobacz Wysyłanie metryk do bazy danych metryk usługi Azure Monitor przy użyciu interfejsu API REST

Aby uzyskać więcej informacji, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal

Po przypisaniu roli możesz użyć swojej aplikacji, identyfikatora klienta i tajnego klucza klienta, aby wygenerować token dostępu do interfejsu API REST.

Uwaga

W przypadku korzystania z uwierzytelniania Microsoft Entra może potrwać do 60 minut, zanim interfejs API REST usługi Azure Application Insights rozpozna nowe uprawnienia kontroli dostępu opartej na rolach (RBAC). Podczas propagacji uprawnień wywołania interfejsu API REST mogą zakończyć się niepowodzeniem z kodem błędu 403.