Tworzenie rejestracji aplikacji do użycia z usługą Azure Digital Twins

W tym artykule opisano sposób tworzenia rejestracji aplikacji Microsoft Entra ID, która może uzyskiwać dostęp do usługi Azure Digital Twins. Ten artykuł zawiera kroki witryny Azure Portal i interfejsu wiersza polecenia platformy Azure.

Podczas pracy z usługą Azure Digital Twins często korzystasz z wystąpienia za pośrednictwem aplikacji klienckich. Aplikacje te muszą uwierzytelniać się w usłudze Azure Digital Twins, a niektóre mechanizmy uwierzytelniania, których aplikacje mogą używać, obejmują rejestrację aplikacji.

Rejestracja aplikacji nie jest wymagana dla wszystkich scenariuszy uwierzytelniania. Jeśli jednak używasz strategii uwierzytelniania lub przykładu kodu, który wymaga rejestracji aplikacji, w tym artykule pokazano, jak skonfigurować aplikację i udzielić jej uprawnień do interfejsów API usługi Azure Digital Twins. W tym artykule opisano również sposób zbierania ważnych wartości, które należy użyć podczas rejestracji aplikacji podczas uwierzytelniania.

Napiwek

Możesz wolisz skonfigurować nową rejestrację aplikacji za każdym razem, gdy jest potrzebna, lub zrobić to tylko raz, ustanowienie rejestracji pojedynczej aplikacji, która będzie współużytkowany we wszystkich scenariuszach, które tego wymagają.

Tworzenie rejestracji

Zacznij od wybrania karty poniżej dla preferowanego interfejsu.

Portal

Przejdź do pozycji Microsoft Entra ID w witrynie Azure Portal (możesz użyć tego linku lub znaleźć go za pomocą paska wyszukiwania portalu). Wybierz pozycję Rejestracje aplikacji z menu usługi, a następnie pozycję + Nowa rejestracja.

Na stronie Rejestrowanie aplikacji , która jest widoczna poniżej, wypełnij żądane wartości:

• Nazwa: nazwa wyświetlana aplikacji Microsoft Entra do skojarzenia z rejestracją
• Obsługiwane typy kont: wybierz pozycję Konta tylko w tym katalogu organizacyjnym (tylko katalog domyślny — pojedyncza dzierżawa)
• Identyfikator URI przekierowania: adres URL odpowiedzi aplikacji Entra firmy Microsoft dla aplikacji Microsoft Entra. Dodaj identyfikator URI klienta publicznego/natywnego (dla urządzeń przenośnych i komputerów) dla elementu http://localhost.

Po zakończeniu wybierz przycisk Zarejestruj .

Po zakończeniu konfigurowania rejestracji portal przekierowuje Cię do strony szczegółów.

Interfejs wiersza polecenia

Zacznij od utworzenia pliku manifestu zawierającego informacje o usłudze, które rejestracja aplikacji będzie musiała uzyskać dostęp do interfejsów API usługi Azure Digital Twins. Następnie przekażesz ten plik do polecenia interfejsu wiersza polecenia, aby utworzyć rejestrację.

Tworzenie manifestu

Utwórz nowy plik json na komputerze o nazwie manifest.json. Skopiuj ten tekst do pliku:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Wartość 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 statyczna to identyfikator zasobu punktu końcowego usługi Azure Digital Twins, który rejestracja aplikacji będzie musiała uzyskać dostęp do interfejsów API usługi Azure Digital Twins.

Zapisz gotowy plik.

Użytkownicy usługi Cloud Shell: przekazywanie manifestu

Jeśli używasz usługi Azure Cloud Shell na potrzeby tego samouczka, musisz przekazać plik manifestu utworzony do usługi Cloud Shell, aby można było uzyskać do niego dostęp w poleceniach usługi Cloud Shell podczas konfigurowania rejestracji aplikacji. Jeśli używasz lokalnej instalacji interfejsu wiersza polecenia platformy Azure, możesz przejść do następnego kroku, uruchom polecenie tworzenia.

Aby przekazać plik, przejdź do okna usługi Cloud Shell w przeglądarce. Wybierz ikonę "Przekaż/Pobierz pliki" i wybierz pozycję "Przekaż".

Przejdź do pliku manifest.json na maszynie i wybierz pozycję Otwórz. Spowoduje to przekazanie pliku do katalogu głównego magazynu usługi Cloud Shell.

Uruchom polecenie tworzenia

W tej sekcji uruchomisz polecenie interfejsu wiersza polecenia, aby utworzyć rejestrację aplikacji przy użyciu następujących ustawień:

• Wybrana nazwa
• Dostępne tylko dla kont w katalogu domyślnym (pojedyncza dzierżawa)
• Internetowy adres URL odpowiedzi http://localhost
• Uprawnienia do odczytu/zapisu w interfejsach API usługi Azure Digital Twins

Uruchom następujące polecenie, aby utworzyć rejestrację. Jeśli używasz usługi Cloud Shell, ścieżka do pliku manifest.json to @manifest.json.

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

Dane wyjściowe polecenia to informacje o utworzonej rejestracji aplikacji.

Weryfikowanie powodzenia

Możesz potwierdzić, że udzielono uprawnień usługi Azure Digital Twins, wyszukując następujące pola w danych wyjściowych polecenia tworzenia w obszarze requiredResourceAccess. Upewnij się, że ich wartości są zgodne z wartościami wymienionymi poniżej.

• resourceAccess > id is 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Uzyskanie ważnych wartości

Następnie zbierz kilka ważnych wartości dotyczących rejestracji aplikacji, które należy użyć do uwierzytelniania aplikacji klienckiej. Te wartości obejmują:

• nazwa zasobu — podczas pracy z usługą Azure Digital Twins nazwa zasobu to http://digitaltwins.azure.net.
• Identyfikator klienta
• Identyfikator dzierżawy
• klucz tajny klienta

W poniższych sekcjach opisano sposób znajdowania pozostałych wartości.

Zbieranie identyfikatora klienta i identyfikatora dzierżawy

Aby użyć rejestracji aplikacji do uwierzytelniania, może być konieczne podanie identyfikatora aplikacji (klienta) i identyfikatora katalogu (dzierżawy). W tym miejscu zbierzesz te wartości, aby można je było zapisać i używać ich zawsze, gdy będą potrzebne.

Portal

Wartości identyfikatora klienta i identyfikatora dzierżawy można zbierać ze strony szczegółów rejestracji aplikacji w witrynie Azure Portal:

Zanotuj identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy) wyświetlany na stronie.

Interfejs wiersza polecenia

Oba te wartości można znaleźć w danych wyjściowych polecenia az ad app create , które uruchomiono wcześniej. (Możesz również ponownie wyświetlić informacje dotyczące rejestracji aplikacji przy użyciu polecenia az ad app show).

Poszukaj tych wartości w wyniku:

Identyfikator aplikacji (klienta):

Identyfikator katalogu (dzierżawy):

Zbieranie wpisu tajnego klienta

Skonfiguruj wpis tajny klienta na potrzeby rejestracji aplikacji, którego inne aplikacje mogą używać do uwierzytelniania za jego pośrednictwem.

Portal

Rozpocznij na stronie rejestracji aplikacji w witrynie Azure Portal.

1. Wybierz pozycję Certyfikaty i wpisy tajne z menu rejestracji, a następnie wybierz pozycję + Nowy klucz tajny klienta.

   

2. Wprowadź dowolne wartości w polu Opis i Wygaśnięcie, a następnie wybierz pozycję Dodaj.

   

3. Sprawdź, czy wpis tajny klienta jest widoczny na stronie Certyfikaty i wpisy tajne z polami Wygasa i Wartość.

4. Zanotuj identyfikator wpisu tajnego i wartość , aby użyć ich później (możesz również skopiować je do schowka za pomocą ikon Kopiuj).

   

Ważne

Pamiętaj, aby skopiować wartości i zapisać je w bezpiecznym miejscu, ponieważ nie można ich ponownie pobrać. Jeśli nie możesz znaleźć ich później, musisz utworzyć nowy wpis tajny.

Interfejs wiersza polecenia

Aby utworzyć wpis tajny klienta dla rejestracji aplikacji, musisz mieć wartość identyfikatora klienta rejestracji aplikacji, która została zebrana w poprzednim kroku. Użyj wartości w następującym poleceniu interfejsu wiersza polecenia, aby utworzyć nowy wpis tajny:

az ad app credential reset --id <client-ID> --append

Możesz również dodać opcjonalne parametry do tego polecenia, aby określić opis poświadczeń, datę zakończenia i inne szczegóły. Aby uzyskać więcej informacji o poleceniu i jego parametrach, zobacz dokumentację az ad app credential reset (Az ad app credential reset).

Dane wyjściowe tego polecenia to informacje o utworzonym kluczu tajnym klienta.

Skopiuj wartość , password która ma być używana, gdy potrzebujesz klucza tajnego klienta do uwierzytelniania.

Ważne

Pamiętaj, aby skopiować teraz wartość i zapisać ją w bezpiecznym miejscu, ponieważ nie można go pobrać ponownie. Jeśli nie możesz znaleźć wartości później, musisz utworzyć nowy wpis tajny.

Zapewnianie uprawnień usługi Azure Digital Twins

Następnie skonfiguruj utworzoną rejestrację aplikacji z uprawnieniami dostępu do usługi Azure Digital Twins. Istnieją dwa typy wymaganych uprawnień:

• Przypisanie roli do rejestracji aplikacji w wystąpieniu usługi Azure Digital Twins
• Uprawnienia interfejsu API aplikacji do odczytu i zapisu w interfejsach API usługi Azure Digital Twins

Utworzenie przypisania roli

W tej sekcji utworzysz przypisanie roli do rejestracji aplikacji w wystąpieniu usługi Azure Digital Twins. Ta rola określi, jakie uprawnienia przechowuje rejestracja aplikacji w wystąpieniu, dlatego należy wybrać rolę zgodną z odpowiednim poziomem uprawnień w danej sytuacji. Jedną z możliwych ról jest właściciel danych usługi Azure Digital Twins. Aby uzyskać pełną listę ról i ich opisów, zobacz Role wbudowane platformy Azure.

Portal

Wykonaj następujące kroki, aby utworzyć przypisanie roli na potrzeby rejestracji.

1. Otwórz stronę wystąpienia usługi Azure Digital Twins w witrynie Azure Portal.

2. Wybierz pozycję Kontrola dostępu (IAM) .

3. Wybierz pozycję Dodaj>przypisanie roli, aby otworzyć stronę Dodawanie przypisania roli.

4. Przypisz odpowiednią rolę. Aby uzyskać szczegółowe instrukcje, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

   Ustawienie	Wartość
   Role	Wybierz odpowiednio
   Członkowie > Przypisz dostęp do	Użytkownik, grupa lub jednostka usługi
   Członkowie >	+ Wybierz członków, a następnie wyszukaj nazwę lub identyfikator klienta rejestracji aplikacji

   

   

   Po wybraniu roli przejrzyj i przypisz ją.

Weryfikowanie przypisania roli

Możesz wyświetlić przypisanie roli skonfigurowane w obszarze Przypisania ról kontroli dostępu (IAM). >

Rejestracja aplikacji powinna zostać wyświetlona na liście wraz z przypisaną do niej rolą.

Interfejs wiersza polecenia

Użyj polecenia az dt role-assignment create, aby przypisać rolę (musi być uruchamiana przez użytkownika z wystarczającymi uprawnieniami w subskrypcji platformy Azure). Polecenie wymaga przekazania nazwy roli, którą chcesz przypisać, nazwy wystąpienia usługi Azure Digital Twins oraz nazwy lub identyfikatora obiektu rejestracji aplikacji.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Wynikiem tego polecenia są dane wyjściowe dotyczące przypisania roli utworzonego na potrzeby rejestracji aplikacji.

Aby jeszcze bardziej zweryfikować przypisanie roli, możesz go wyszukać w witrynie Azure Portal (przejdź do karty Instrukcje portalu).

Zapewnianie uprawnień interfejsu API

W tej sekcji przyznasz aplikacji uprawnienia odczytu/zapisu do interfejsów API usługi Azure Digital Twins.

Jeśli używasz interfejsu wiersza polecenia platformy Azure i skonfigurujesz rejestrację aplikacji wcześniej z plikiem manifestu, ten krok jest już wykonywany. Jeśli używasz witryny Azure Portal do tworzenia rejestracji aplikacji, przejdź do pozostałej części tej sekcji, aby skonfigurować uprawnienia interfejsu API.

Portal

Na stronie portalu rejestracji aplikacji wybierz pozycję Uprawnienia interfejsu API z menu. Na poniższej stronie uprawnień wybierz przycisk + Dodaj uprawnienie .

Na stronie Uprawnienia interfejsu API żądania przejdź do interfejsów API używanych przez moją organizację i wyszukaj usługę Azure Digital Twins. Wybierz pozycję Azure Digital Twins z wyników wyszukiwania, aby kontynuować przypisywanie uprawnień do interfejsów API usługi Azure Digital Twins.

Uwaga

Jeśli Twoja subskrypcja nadal ma istniejące wystąpienie usługi Azure Digital Twins z poprzedniej publicznej wersji zapoznawczej usługi (przed lipcem 2020 r.), musisz wyszukać i wybrać usługę Azure Smart Spaces Service . Jest to starsza nazwa tego samego zestawu interfejsów API (zwróć uwagę, że identyfikator aplikacji (klienta) jest taki sam jak na powyższym zrzucie ekranu), a środowisko nie zostanie zmienione poza tym krokiem.

Następnie wybierzesz uprawnienia do udzielenia dla tych interfejsów API. Rozwiń uprawnienie Odczyt (1) i zaznacz pole wyboru Read.Write, aby udzielić tej aplikacji uprawnień czytelnika rejestracji i składnika zapisywania.

Po zakończeniu wybierz pozycję Dodaj uprawnienia .

Weryfikowanie uprawnień interfejsu API

Na stronie Uprawnienia interfejsu API sprawdź, czy istnieje wpis dotyczący usługi Azure Digital Twins odzwierciedlający uprawnienia do odczytu.zapisu:

Możesz również zweryfikować połączenie z usługą Azure Digital Twins w pliku manifest.json rejestracji aplikacji, który został automatycznie zaktualizowany przy użyciu informacji usługi Azure Digital Twins po dodaniu uprawnień interfejsu API.

W tym celu wybierz pozycję Manifest z menu, aby wyświetlić kod manifestu rejestracji aplikacji. Przewiń do dołu okna kodu i poszukaj następujących pól i wartości w obszarze requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Te wartości są wyświetlane na poniższym zrzucie ekranu:

Jeśli brakuje tych wartości, spróbuj ponownie wykonać kroki opisane w sekcji dotyczącej dodawania uprawnienia interfejsu API.

Interfejs wiersza polecenia

Jeśli używasz interfejsu wiersza polecenia, uprawnienia interfejsu API zostały skonfigurowane wcześniej w ramach kroku Tworzenie rejestracji .

Możesz je teraz zweryfikować przy użyciu witryny Azure Portal (przejdź do karty Instrukcje portalu).

Inne możliwe kroki dla organizacji

Istnieje możliwość, że organizacja wymaga większej liczby akcji od właścicieli subskrypcji lub administratorów w celu zakończenia konfigurowania rejestracji aplikacji. Wymagane czynności mogą różnić się zależnie od ustawień specyficznych dla organizacji. Wybierz kartę poniżej, aby wyświetlić te informacje dostosowane do preferowanego interfejsu.

Portal

Poniżej przedstawiono niektóre typowe potencjalne działania, które może być konieczne dla właściciela lub administratora subskrypcji. Te i inne operacje można wykonać na stronie Microsoft Entra Rejestracje aplikacji w witrynie Azure Portal.

• Udzielenie zgody administratora na rejestrację aplikacji. Twoja organizacja może mieć Administracja zgoda wymagana globalnie w identyfikatorze Entra firmy Microsoft dla wszystkich rejestracji aplikacji w ramach subskrypcji. Jeśli tak, właściciel/administrator będzie musiał wybrać ten przycisk dla twojej firmy na stronie uprawnień interfejsu API rejestracji aplikacji, aby rejestracja aplikacji mogła być prawidłowa:

  

  • Jeśli zgoda została udzielona pomyślnie, wpis dla usługi Azure Digital Twins powinien zawierać wartość Status (Udzielono) dla (Twojej firmy)

  

• Aktywowanie dostępu klienta publicznego

• Ustawianie określonych adresów URL odpowiedzi dla dostępu do sieci Web i pulpitu

• Zezwalaj na niejawne przepływy uwierzytelniania OAuth2

Interfejs wiersza polecenia

Poniżej przedstawiono niektóre typowe potencjalne działania, które może być konieczne dla właściciela lub administratora subskrypcji.

• Udzielenie zgody administratora na rejestrację aplikacji. Twoja organizacja może mieć Administracja zgoda wymagana globalnie w identyfikatorze Entra firmy Microsoft dla wszystkich rejestracji aplikacji w ramach subskrypcji. Jeśli tak, właściciel/administrator może wymagać udzielenia dodatkowych uprawnień delegowanych lub aplikacji.
• Aktywuj dostęp klienta publicznego, dołączając --set publicClient=true polecenie tworzenia lub aktualizowania dla rejestracji.
• Ustaw określone adresy URL odpowiedzi dla dostępu do internetu i pulpitu przy użyciu parametru --reply-urls . Aby uzyskać więcej informacji na temat używania tego parametru z az ad poleceniami, zobacz dokumentację az ad app.
• Zezwalaj na niejawne przepływy uwierzytelniania OAuth2 przy użyciu parametru --oauth2-allow-implicit-flow . Aby uzyskać więcej informacji na temat używania tego parametru z az ad poleceniami, zobacz dokumentację az ad app.

Aby uzyskać więcej informacji na temat rejestracji aplikacji i jej różnych opcji konfiguracji, zobacz Rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft.

Następne kroki

W tym artykule skonfigurowaliśmy rejestrację aplikacji Firmy Microsoft Entra, która może służyć do uwierzytelniania aplikacji klienckich za pomocą interfejsów API usługi Azure Digital Twins.

Następnie zapoznaj się z mechanizmami uwierzytelniania, w tym mechanizmami korzystającymi z rejestracji aplikacji i innych, które nie:

• Pisanie kodu uwierzytelniania aplikacji