Azure AD Tworzenie rejestracji aplikacji

  • 7 min

Jednym z Twoich pierwszych zadań jako dewelopera aplikacji jest zarejestrowanie Azure AD aplikacji. Aplikacja Azure AD ustanawia tożsamość dla aplikacji i określa uprawnienia do Power BI zasobów interfejsu API REST. Aplikacja może używać Azure AD rejestracji aplikacji do generowania Azure AD tokenów.

Każda Azure AD aplikacja ma identyfikator aplikacji, który jest czasami nazywany identyfikatorem klienta. Jest to globalnie unikatowy identyfikator, który identyfikuje aplikację na Microsoft platformie tożsamości. Aplikacja używa identyfikatora aplikacji podczas żądania tokenu Azure AD , dlatego jego wartość powinna być zakodowana na stałe w pliku konfiguracyjnym aplikacji.

Aplikacja musi ustawić Azure AD poświadczenia aplikacji tak, aby uwierzytelniały się jako ona, bez konieczności interakcji ze strony użytkownika aplikacji. Do rejestracji aplikacji można dodać zarówno certyfikaty , jak i klucze tajne klienta jako poświadczenia.

Certyfikat, który jest czasami nazywany kluczem publicznym, jest zalecanym typem poświadczeń dla aplikacji produkcyjnych, ponieważ jest uważany za bezpieczniejszy niż klucze tajne klienta. Aby uzyskać więcej informacji na temat używania certyfikatu jako metody uwierzytelniania w aplikacji, zobacz Microsoft Poświadczenia certyfikatu uwierzytelniania aplikacji platformy tożsamości.

Alternatywnie klucz tajny klienta to wartość ciągu, której aplikacja może używać zamiast certyfikatu do identyfikowania się. Czasami nazywa się to hasłem aplikacji.

Ważny

Klucze tajne klienta są mniej bezpieczne niż poświadczenia certyfikatu. Deweloperzy czasami używają wpisów tajnych klienta podczas lokalnego tworzenia aplikacji ze względu na łatwość użycia. Należy jednak używać poświadczeń certyfikatu dla aplikacji produkcyjnych.

Niezależnie od tego, czy używasz certyfikatów, czy kluczy tajnych klienta, należy podjąć kroki w celu chronienia poświadczeń przed nieautoryzowanym dostępem i użyciem. Zalecamy korzystanie z usługi Azure Key Vault, która chroni klucze kryptograficzne, certyfikaty i wpisy tajne w chmurze.

Istnieją trzy opcje tworzenia rejestracji aplikacji:

  • Korzystanie z witryny Azure Portal
  • Korzystanie z narzędzia konfiguracji osadzania
  • Opracowywanie skryptu programu PowerShell

Korzystanie z witryny Azure Portal

Użyj rejestracji aplikacji w Azure Portal, aby tworzyć i wyświetlać listę obiektów aplikacji oraz zarządzać nimi w dzierżawie głównej. Możesz również dodać wpisy tajne lub certyfikaty i zakresy, aby aplikacja działała, dostosować znakowanie aplikacji w oknie dialogowym logowania i nie tylko.

Nuta

Po zarejestrowaniu aplikacji w Azure Portal portal automatycznie tworzy obiekt jednostki usługi w tym samym czasie.

Zaletą korzystania z Azure Portal jest to, że uwidacznia wszystkie obsługiwane Power BI uprawnienia usługi. Uprawnienia obejmują prawa do wyświetlania wszystkich raportów, odczytywania i zapisywania wszystkich raportów i innych.

Zrzut ekranu przedstawiający okno Żądanie uprawnień interfejsu API z Azure Portal. Wyświetlane są dwa przyznane uprawnienia: Wyświetlanie wszystkich raportów oraz Odczyt i zapis wszystkich raportów.

Azure Portal umożliwia udzielanie tych uprawnień dla głównego konta użytkownika, aby uniknąć Azure AD monitowania o zgodę. Co więcej, uprawnienia można przyznać wszystkim użytkownikom w organizacji, aby uniknąć monitów dla wszystkich użytkowników aplikacji.

Nuta

Nie jest konieczne udzielanie uprawnień, gdy tożsamość osadzania aplikacji jest jednostką usługi. Dzieje się tak, ponieważ Power BI administratorzy zarządzają jego uprawnieniami w portalu administracyjnym Power BI .

Jednak wadą korzystania z Azure Portal jest to, że deweloperzy mogą uznać to za czasochłonne i złożone.

Korzystanie z narzędzia konfiguracji osadzania

Aby uprościć i przyspieszyć konfigurowanie środowiska projektowego, użyj narzędzia Konfiguracja osadzania. Oferuje dwie opcje rozwiązania do osadzania: Osadź dla swoich klientów i Osadź dla swojej organizacji.

Nuta

Przykładowa aplikacja Osadź dla swoich klientów nie obsługuje używania tożsamości osadzania jednostki usługi, jednak można ją dostosować do jej obsługi.

Zrzut ekranu przedstawiający dwie opcje widoczne w narzędziu konfiguracji osadzania, którymi są: Osadź dla klientów i Osadź dla swojej organizacji.

Narzędzie eliminuje ciężką pracę związaną z konfiguracją. Praca z przepływem pracy podobnym do kreatora zajmuje tylko kilka minut. Gdy skończysz, narzędzie automatycznie:

  • Tworzy rejestrację Azure AD aplikacji i żąda odpowiednich Power BI uprawnień interfejsu API REST.
  • Opcjonalnie tworzy obszar roboczy.
  • Opcjonalnie importuje zestaw danych i raport do obszaru roboczego. Możesz zaimportować przykładowy raport lub przesłać Power BI Desktop wybrany plik (.pbix).
  • Udziela uprawnień, aby uniknąć Azure AD monitowania o zgodę.
  • Zwraca ważne wartości konfiguracji, w tym identyfikator aplikacji, identyfikator obszaru roboczego (GroupID) i identyfikator raportu.
  • Tworzy przykładową ASP.NET aplikację napisaną w języku C#, którą można pobrać jako plik zip. Plik konfiguracyjny aplikacji zawiera wszystkie wartości konfiguracji (opisane w poprzednim punkcie), ale nie zawiera głównego konta użytkownika ani jego poświadczeń. Musisz wprowadzić te wartości konfiguracji.

To świetna wiadomość dla początkującego Power BI programisty analityki wbudowanej. Po pierwsze, możesz uzyskać funkcjonalną aplikację w ciągu kilku minut. Po drugie, Microsoft opracowaliśmy przykładowe aplikacje przy użyciu aktualnych bibliotek oprogramowania i dobrych praktyk projektowych, dzięki czemu można je odtworzyć, aby zrozumieć, jak działają i uczyć się na ich podstawie. To od Ciebie zależy, czy zdecydujesz się kontynuować tworzenie aplikacji, czy zacząć od zera i opracować nową aplikację, stosując swoje nowe umiejętności.

Opracowywanie skryptu programu PowerShell

Opcja opracowania skryptu w celu utworzenia rejestracji aplikacji jest dobra, gdy trzeba odtworzyć operacje zarządzania. Na przykład możesz utworzyć skrypt w celu dołączenia nowej dzierżawy w aplikacji wielodostępnej. Dobrze napisane skrypty mogą skutkować szybszymi i dokładniejszymi wynikami.

Microsoft Graph zapewnia ujednolicony model programowalności. Uwidacznia interfejsy API REST i bibliotekę klienta w celu uzyskania dostępu do danych i wykonywania operacji na różnych Microsoft usługach w chmurze. Istotne dla tworzenia rejestracji aplikacji jest użycie Microsoft programu Graph, aby:

  • Generowanie wpisów tajnych aplikacji
  • Tworzenie rejestracji aplikacji
  • Tworzenie jednostki usługi aplikacji
  • Przypisywanie użytkownika jako właściciela aplikacji
  • Dodawanie jednostek usługi do grupy zabezpieczeń

Nuta

Podczas programowego tworzenia rejestracji aplikacji jednostka usługi nie jest tworzona automatycznie. Skrypt musi jawnie dodać jednostkę usługi do aplikacji.

Napiwek

Aby zapoznać się z przykładem tworzenia skryptu, który tworzy rejestrację aplikacji, zobacz moduł Automatyzowanie Power BI zarządzania rozwiązaniami.