Udostępnij za pośrednictwem


Tworzenie rejestracji aplikacji do użycia z usługą Azure Digital Twins

W tym artykule opisano sposób tworzenia rejestracji aplikacji Microsoft Entra ID, która może uzyskiwać dostęp do usługi Azure Digital Twins. Ten artykuł zawiera kroki witryny Azure Portal i interfejsu wiersza polecenia platformy Azure.

Podczas pracy z usługą Azure Digital Twins często korzystasz z wystąpienia za pośrednictwem aplikacji klienckich. Aplikacje te muszą uwierzytelniać się w usłudze Azure Digital Twins, a niektóre mechanizmy uwierzytelniania, których aplikacje mogą używać, obejmują rejestrację aplikacji.

Rejestracja aplikacji nie jest wymagana dla wszystkich scenariuszy uwierzytelniania. Jeśli jednak używasz strategii uwierzytelniania lub przykładu kodu, który wymaga rejestracji aplikacji, w tym artykule pokazano, jak skonfigurować aplikację i udzielić jej uprawnień do interfejsów API usługi Azure Digital Twins. W tym artykule opisano również sposób zbierania ważnych wartości, które należy użyć podczas rejestracji aplikacji podczas uwierzytelniania.

Napiwek

Możesz wolisz skonfigurować nową rejestrację aplikacji za każdym razem, gdy jest potrzebna, lub zrobić to tylko raz, ustanowienie rejestracji pojedynczej aplikacji, która będzie współużytkowany we wszystkich scenariuszach, które tego wymagają.

Tworzenie rejestracji

Zacznij od wybrania karty poniżej dla preferowanego interfejsu.

Przejdź do pozycji Microsoft Entra ID w witrynie Azure Portal (możesz użyć tego linku lub znaleźć go za pomocą paska wyszukiwania portalu). Wybierz pozycję Rejestracje aplikacji z menu usługi, a następnie pozycję + Nowa rejestracja.

Zrzut ekranu strony usługi Microsoft Entra w witrynie Azure Portal przedstawiający kroki tworzenia nowej rejestracji na stronie

Na stronie Rejestrowanie aplikacji , która jest widoczna poniżej, wypełnij żądane wartości:

  • Nazwa: nazwa wyświetlana aplikacji Microsoft Entra do skojarzenia z rejestracją.
  • Obsługiwane typy kont: wybierz pozycję Konta tylko w tym katalogu organizacyjnym (tylko katalog domyślny — pojedyncza dzierżawa).

Po zakończeniu wybierz przycisk Zarejestruj .

Zrzut ekranu przedstawiający stronę

Po zakończeniu konfigurowania rejestracji portal przekierowuje Cię do strony szczegółów.

Uzyskanie ważnych wartości

Następnie zbierz kilka ważnych wartości dotyczących rejestracji aplikacji, które należy użyć do uwierzytelniania aplikacji klienckiej. Te wartości obejmują:

  • nazwa zasobu — podczas pracy z usługą Azure Digital Twins nazwa zasobu to http://digitaltwins.azure.net.
  • Identyfikator klienta
  • Identyfikator dzierżawy
  • klucz tajny klienta

W poniższych sekcjach opisano sposób znajdowania pozostałych wartości.

Zbieranie identyfikatora klienta i identyfikatora dzierżawy

Aby użyć rejestracji aplikacji do uwierzytelniania, może być konieczne podanie identyfikatora aplikacji (klienta) i identyfikatora katalogu (dzierżawy). W tym miejscu zbierzesz te wartości, aby można je było zapisać i używać ich zawsze, gdy będą potrzebne.

Wartości identyfikatora klienta i identyfikatora dzierżawy można zbierać ze strony szczegółów rejestracji aplikacji w witrynie Azure Portal:

Zrzut ekranu witryny Azure Portal przedstawiający ważne wartości rejestracji aplikacji.

Zanotuj identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy) wyświetlany na stronie.

Zbieranie wpisu tajnego klienta

Skonfiguruj wpis tajny klienta na potrzeby rejestracji aplikacji, którego inne aplikacje mogą używać do uwierzytelniania za jego pośrednictwem.

Rozpocznij na stronie rejestracji aplikacji w witrynie Azure Portal.

  1. Wybierz pozycję Certyfikaty i wpisy tajne z menu rejestracji, a następnie wybierz pozycję + Nowy klucz tajny klienta.

    Zrzut ekranu witryny Azure Portal przedstawiający rejestrację aplikacji Microsoft Entra i wyróżnienie wokół

  2. Wprowadź dowolne wartości w polu Opis i Wygaśnięcie, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu witryny Azure Portal podczas dodawania wpisu tajnego klienta.

  3. Sprawdź, czy wpis tajny klienta jest widoczny na stronie Certyfikaty i wpisy tajne z polami Wygasa i Wartość.

  4. Zanotuj identyfikator wpisu tajnego i wartość , aby użyć ich później (możesz również skopiować je do schowka za pomocą ikon Kopiuj).

    Zrzut ekranu witryny Azure Portal przedstawiający sposób kopiowania wartości wpisu tajnego klienta.

Ważne

Pamiętaj, aby skopiować wartości i zapisać je w bezpiecznym miejscu, ponieważ nie można ich ponownie pobrać. Jeśli nie możesz znaleźć ich później, musisz utworzyć nowy wpis tajny.

Zapewnianie uprawnień usługi Azure Digital Twins

Następnie skonfiguruj utworzoną rejestrację aplikacji z uprawnieniami dostępu do usługi Azure Digital Twins. Istnieją dwa typy wymaganych uprawnień:

  • Przypisanie roli do rejestracji aplikacji w wystąpieniu usługi Azure Digital Twins
  • Uprawnienia interfejsu API aplikacji do odczytu i zapisu w interfejsach API usługi Azure Digital Twins

Utworzenie przypisania roli

W tej sekcji utworzysz przypisanie roli do rejestracji aplikacji w wystąpieniu usługi Azure Digital Twins. Ta rola określi, jakie uprawnienia przechowuje rejestracja aplikacji w wystąpieniu, dlatego należy wybrać rolę zgodną z odpowiednim poziomem uprawnień w danej sytuacji. Jedną z możliwych ról jest właściciel danych usługi Azure Digital Twins. Aby uzyskać pełną listę ról i ich opisów, zobacz Role wbudowane platformy Azure.

Wykonaj następujące kroki, aby utworzyć przypisanie roli na potrzeby rejestracji.

  1. Otwórz stronę wystąpienia usługi Azure Digital Twins w witrynie Azure Portal.

  2. Wybierz pozycję Kontrola dostępu (IAM) .

  3. Kliknij pozycję Dodaj>Dodaj przypisanie roli, aby otworzyć stronę Dodawanie przypisania roli.

  4. Przypisz odpowiednią rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

    Ustawienie Wartość
    Rola Wybierz odpowiednio
    Członkowie > Przypisz dostęp do Użytkownik, grupa lub jednostka usługi
    Członkowie > + Wybierz członków, a następnie wyszukaj nazwę rejestracji aplikacji

    Zrzut ekranu przedstawiający kartę Role na stronie Dodawanie przypisania roli.

    Zrzut ekranu przedstawiający kartę Członkowie na stronie Dodawanie przypisania roli.

    Po wybraniu roli przejrzyj i przypisz ją.

Weryfikowanie przypisania roli

Możesz wyświetlić przypisanie roli skonfigurowane w obszarze Przypisania ról kontroli dostępu (IAM). >

Zrzut ekranu przedstawiający stronę Przypisania ról dla wystąpienia usługi Azure Digital Twins w witrynie Azure Portal.

Rejestracja aplikacji powinna zostać wyświetlona na liście wraz z przypisaną do niej rolą.

Zapewnianie uprawnień interfejsu API

W tej sekcji przyznasz aplikacji uprawnienia odczytu/zapisu do interfejsów API usługi Azure Digital Twins.

Jeśli używasz interfejsu wiersza polecenia platformy Azure i skonfigurujesz rejestrację aplikacji wcześniej z plikiem manifestu, ten krok jest już wykonywany. Jeśli używasz witryny Azure Portal do tworzenia rejestracji aplikacji, przejdź do pozostałej części tej sekcji, aby skonfigurować uprawnienia interfejsu API.

Na stronie portalu rejestracji aplikacji wybierz pozycję Uprawnienia interfejsu API z menu. Na poniższej stronie uprawnień wybierz przycisk + Dodaj uprawnienie .

Zrzut ekranu przedstawiający rejestrację aplikacji w witrynie Azure Portal z wyróżnioną opcją menu

Na stronie Uprawnienia interfejsu API żądania przejdź do interfejsów API używanych przez moją organizację i wyszukaj usługę Azure Digital Twins. Wybierz pozycję Azure Digital Twins z wyników wyszukiwania, aby kontynuować przypisywanie uprawnień do interfejsów API usługi Azure Digital Twins.

Zrzut ekranu przedstawiający wynik wyszukiwania strony

Uwaga

Jeśli Twoja subskrypcja nadal ma istniejące wystąpienie usługi Azure Digital Twins z poprzedniej publicznej wersji zapoznawczej usługi (przed lipcem 2020 r.), musisz wyszukać i wybrać usługę Azure Smart Spaces Service . Jest to starsza nazwa tego samego zestawu interfejsów API (zwróć uwagę, że identyfikator aplikacji (klienta) jest taki sam jak na powyższym zrzucie ekranu), a środowisko nie zostanie zmienione poza tym krokiem. Zrzut ekranu przedstawiający wynik wyszukiwania strony

Następnie wybierzesz uprawnienia do udzielenia dla tych interfejsów API. Rozwiń uprawnienie Odczyt (1) i zaznacz pole wyboru Read.Write, aby udzielić tej aplikacji uprawnień czytelnika rejestracji i składnika zapisywania.

Zrzut ekranu przedstawiający stronę

Po zakończeniu wybierz pozycję Dodaj uprawnienia .

Weryfikowanie uprawnień interfejsu API

Na stronie Uprawnienia interfejsu API sprawdź, czy istnieje wpis dotyczący usługi Azure Digital Twins odzwierciedlający uprawnienia do odczytu.zapisu:

Zrzut ekranu przedstawiający uprawnienia interfejsu API do rejestracji aplikacji Microsoft Entra w witrynie Azure Portal z wyświetlonym komunikatem

Możesz również zweryfikować połączenie z usługą Azure Digital Twins w ramach manifest.json rejestracji aplikacji, która została automatycznie zaktualizowana przy użyciu informacji usługi Azure Digital Twins po dodaniu uprawnień interfejsu API.

W tym celu wybierz pozycję Manifest z menu, aby wyświetlić kod manifestu rejestracji aplikacji. Przewiń do dołu okna kodu i poszukaj następujących pól i wartości w obszarze requiredResourceAccess:

  • "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
  • "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Te wartości są wyświetlane na poniższym zrzucie ekranu:

Zrzut ekranu przedstawiający manifest rejestracji aplikacji Microsoft Entra w witrynie Azure Portal.

Jeśli brakuje tych wartości, spróbuj ponownie wykonać kroki opisane w sekcji dotyczącej dodawania uprawnienia interfejsu API.

Inne możliwe kroki dla organizacji

Istnieje możliwość, że organizacja wymaga większej liczby akcji od właścicieli subskrypcji lub administratorów w celu zakończenia konfigurowania rejestracji aplikacji. Wymagane czynności mogą różnić się zależnie od ustawień specyficznych dla organizacji. Wybierz kartę poniżej, aby wyświetlić te informacje dostosowane do preferowanego interfejsu.

Poniżej przedstawiono niektóre typowe potencjalne działania, które może być konieczne dla właściciela lub administratora subskrypcji. Te i inne operacje można wykonać na stronie Microsoft Entra Rejestracje aplikacji w witrynie Azure Portal.

  • Udzielenie zgody administratora na rejestrację aplikacji. Twoja organizacja może mieć włączoną globalnie zgodę administratora w identyfikatorze Entra firmy Microsoft dla wszystkich rejestracji aplikacji w ramach subskrypcji. Jeśli tak, właściciel/administrator będzie musiał wybrać ten przycisk dla twojej firmy na stronie uprawnień interfejsu API rejestracji aplikacji, aby rejestracja aplikacji mogła być prawidłowa:

    Zrzut ekranu witryny Azure Portal przedstawiający przycisk

    • Jeśli zgoda została udzielona pomyślnie, wpis dla usługi Azure Digital Twins powinien zawierać wartość Status (Udzielono) dla (Twojej firmy)

    Zrzut ekranu witryny Azure Portal przedstawiający zgodę administratora udzieloną firmie w obszarze Uprawnienia interfejsu API.

  • Aktywowanie dostępu klienta publicznego

  • Ustawianie określonych adresów URL odpowiedzi dla dostępu do sieci Web i pulpitu

  • Zezwalaj na niejawne przepływy uwierzytelniania OAuth2

Aby uzyskać więcej informacji na temat rejestracji aplikacji i jej różnych opcji konfiguracji, zobacz Rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.

Następne kroki

W tym artykule skonfigurowaliśmy rejestrację aplikacji Firmy Microsoft Entra, która może służyć do uwierzytelniania aplikacji klienckich za pomocą interfejsów API usługi Azure Digital Twins.

Następnie zapoznaj się z mechanizmami uwierzytelniania, w tym mechanizmami korzystającymi z rejestracji aplikacji i innych, które nie: