Compartilhar via


Criar um registro de aplicativo para usar com os Gêmeos Digitais do Azure

Este artigo descreve como criar um registro de aplicativo doMicrosoft Entra ID que possa acessar os Gêmeos Digitais do Azure. Este artigo inclui etapas para o portal do Azure e a CLI do Azure.

Ao trabalhar com Gêmeos Digitais do Azure, é comum interagir com seua instância por meio das aplicativos clientes. Será preciso autenticar esses aplicativos nos Gêmeos Digitais do Azure, e alguns dos mecanismos de autenticação que os aplicativos podem usar envolvem a obtenção de um registro de aplicativo.

O registro do aplicativo não é necessário para todos os cenários de autenticação. No entanto, caso esteja usando uma estratégia de autenticação ou um exemplo de código que exija um registro de aplicativo, este artigo mostrará como configurar isso e conceder a ele permissões para as APIs dos Gêmeos Digitais do Azure. Ele também abordará como coletar valores importantes que você precisará para usar o registro do aplicativo durante a autenticação.

Dica

Talvez você prefira configurar um novo registro de aplicativo sempre que precisar de um ou fazer isso somente uma vez, estabelecendo um registro de aplicativo único que será compartilhado entre todos os cenários em que ele é necessário.

Criar o registro

Comece selecionando a guia abaixo para sua interface de preferência.

Acesse o Microsoft Entra ID no portal do Azure (é possível usar este link ou localizá-lo na barra de pesquisa do portal). Selecione a opção Registros de aplicativo no menu de serviço, depois clique em +Novo registro.

Captura de tela da página de serviço do Microsoft Entra no portal do Azure, mostrando as etapas para criar um registro na página

Na seguinte página Registrar um aplicativo, preencha os valores solicitados:

  • Nome: Um nome de exibição do aplicativo Microsoft Entra a ser associado ao registro.
  • Tipos de conta suportados: Selecione Contas apenas neste diretório organizacional (somente diretório padrão - locatário único).

Quando terminar, escolha o botão Registrar.

Captura de tela da página

Quando a configuração do registro for concluída, o portal vai redirecionar você para a página de detalhes.

Coletar valores importantes

Em seguida, colete alguns valores importantes sobre o registro de aplicativo que você precisará para usar o registro de aplicativo para autenticar um aplicativo cliente. Esses valores incluem:

  • nome do recurso — Ao trabalhar com Gêmeos Digitais do Azure, o nome do recurso é http://digitaltwins.azure.net.
  • ID do cliente
  • ID do locatário
  • segredo do cliente

As seções a seguir descrevem como encontrar os valores restantes.

Coletar a ID do cliente e a ID do locatário

Para usar o registro de aplicativo para autenticação, talvez seja necessário fornecer a ID do aplicativo (cliente) e a ID do diretório (locatário). Aqui, você coletará esses valores para que possa salvá-los e usá-los sempre que eles forem necessários.

Os valores ID do cliente e ID do locatário podem ser coletados na página de detalhes do registro de aplicativo no portal do Azure:

Captura de tela do portal do Azure mostrando os valores importantes para o registro do aplicativo.

Anote a ID de aplicativo (cliente) e a ID de diretório (locatário) mostradas em sua página.

Coletar segredo do cliente

Configure um segredo do cliente para o registro do aplicativo, que outros aplicativos podem usar para autenticar.

Comece na página de registro do aplicativo no portal do Azure.

  1. Selecione Certificados e segredos no menu do registro e, em seguida, selecione + Novo segredo do cliente.

    Captura de tela do portal do Azure mostrando um registro de aplicativo do Microsoft Entra e um realçamento em

  2. Insira os valores que você desejar em Descrição e Expira e selecione Adicionar.

    Captura de tela do portal do Azure durante a adição de um segredo do cliente.

  3. Confirme se o segredo do cliente aparece na página Certificados e segredos com os campos Expira e Valor.

  4. Anote o a ID do Segredo e o Valor para usar posteriormente ou use os ícones Copiar para copiá-los para a área de transferência.

    Captura de tela do portal do Azure mostrando como copiar o valor do segredo do cliente.

Importante

Copie os valores agora e armazene-os em um local seguro, pois eles não poderão ser recuperados novamente. Se você não os encontrar mais tarde, precisará criar outro segredo.

Fornecer permissões aos Gêmeos Digitais do Azure

Em seguida, configure o registro de aplicativo criado com permissões para acessar os Gêmeos Digitais do Azure. Há dois tipos de permissões necessárias:

  • Uma atribuição de função para o registro do aplicativo na instância do Gêmeos Digitais do Azure
  • Permissões de API para o aplicativo ler e gravar nas APIs dos Gêmeos Digitais do Azure

Criar atribuição de função

Nesta seção, você criará uma atribuição de função para o registro do aplicativo na instância do Gêmeos Digitais do Azure. Essa função determinará quais permissões o registro do aplicativo mantém na instância, portanto, você deve selecionar a função que corresponde ao nível apropriado de permissão para sua situação. Uma função possível é o Proprietário dos Dados dos Gêmeos Digitais do Azure. Para ver uma lista completa de funções e suas descrições, confira Funções interna do Azure.

Use estas etapas para criar a atribuição de função para o registro.

  1. Abra a página da instância dos Gêmeos Digitais do Azure no portal do Azure.

  2. Selecione IAM (Controle de acesso) .

  3. Selecione Adicionar>Adicionar atribuição de função para abrir a página Adicionar atribuição de função.

  4. Atribua a função adequado. Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.

    Configuração Valor
    Função Selecione conforme adequado
    Membros > Atribuir acesso a Usuário, grupo ou entidade de serviço
    Membros > Membros + Selecione membros e pesquise o nome do registro do aplicativo

    Captura de tela da guia Funções na página Adicionar atribuição de função.

    Captura de tela da guia Membros na página Adicionar atribuição de função.

    Depois que a função tiver sido selecionada, Examinar + atribuir.

Verificar atribuição de função

É possível ver uma atribuição de função configurada em Controle de acesso (IAM) > Atribuições de função.

Captura de tela da página Atribuições de Função de uma instância dos Gêmeos Digitais do Azure no portal do Azure.

O registro do aplicativo deve aparecer na lista junto com a função que você atribuiu a ele.

Fornecer permissões de API

Nesta seção, você concederá ao aplicativo permissões de leitura/gravação de linha de base do aplicativo às APIs dos Gêmeos Digitais do Azure.

Se você estiver usando a CLI do Azure e configurar seu registro de aplicativo anteriormente com um arquivo de manifesto, essa etapa já estará pronta. Se você estiver usando o portal do Azure para criar o registro do aplicativo, continue nesta seção para configurar as permissões de API.

Na página do portal do registro de aplicativo, selecione a opção Permissões de API no menu. Na página de permissões a seguir, selecione o botão + Adicionar uma permissão.

Captura de tela do registro de aplicativo no portal do Azure realçando a opção de menu

Na página Solicitar permissões de API exibida a seguir, mude para a guia APIs que minha organização usa e procure por Gêmeos Digitais do Azure. Selecione a opção Gêmeos Digitais do Azure nos resultados da pesquisa a fim de continuar com a atribuição de permissões para as APIs dos Gêmeos Digitais do Azure.

Captura de tela do resultado da pesquisa de página

Observação

Caso sua assinatura ainda tenha uma instância existente dos Gêmeos Digitais do Azure da versão prévia pública anterior ao serviço (antes de julho de 2020), será preciso pesquisar e selecionar o Serviço de Espaços Inteligentes do Azure como alternativa. Esse é um nome anterior do mesmo conjunto de APIs (observe que a ID de aplicativo (cliente) é igual à captura de tela acima). Além disso, sua experiência não será alterada além desta etapa. Captura de tela do resultado da pesquisa da página

Depois, será preciso selecionar quais permissões conceder a essas APIs. Expanda a permissão Leitura (1) e marque a caixa que exibe a opção Leitura/Gravação para conceder a esse registro de aplicativo permissões de leitura e gravação de registro.

Captura de tela da página “Solicitar permissões de API” e seleção das permissões “Read.Write” para as APIs dos Gêmeos Digitais do Azure no portal do Azure.

Clique em Adicionar permissões após a conclusão.

Verifique as Permissões de API

Na página Permissões de API, verifique se agora há uma entrada para os Gêmeos Digitais do Azure representando as permissões de Leitura/Gravação:

Captura de tela das permissões de API para o registro de aplicativo do Microsoft Entra no portal do Azure mostrando a opção de

Também é possível verificar se a conexão com os Gêmeos Digitais do Azure está no arquivo manifest.json do registro de aplicativo, que foi atualizado de modo automático com as informações dos Gêmeos Digitais do Azure quando você adicionou as permissões de API.

Para fazer isso, selecione a opção Manifesto na barra de menus para ver o código do manifesto do registro de aplicativo. Role até a parte inferior da janela de código e procure os seguintes campos e valores em requiredResourceAccess:

  • "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
  • "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Esses valores são mostrados na captura de tela abaixo:

Captura de tela do manifesto do registro de aplicativo do Microsoft Entra no portal do Azure.

Caso esses valores estejam ausentes, repita as etapas da seção criada para adicionar a permissão de API.

Outras etapas possíveis para sua organização

É possível que sua organização precise de ações adicionais de proprietários ou administradores de assinatura para concluir a configuração do registro de aplicativo. As etapas necessárias podem variar dependendo das configurações específicas da organização. Escolha uma guia abaixo para que essas informações sejam adaptadas à interface de preferência.

Aqui, temos algumas atividades comuns que um proprietário ou administrador da assinatura poderá ter que fazer. Todas as operações podem ser executadas na página de Registros de aplicativo do Microsoft Entra no portal do Azure.

  • Conceda consentimento do administrador para o registro do aplicativo. Sua organização poderá ter o Consentimento do Administrador Necessário ativado de modo global no Microsoft Entra ID para todos os Registros de aplicativo em sua assinatura. Nesse caso, o proprietário/administrador precisará clicar neste botão na página de permissões de API do registro de aplicativo a fim de validar o registro de aplicativo para sua empresa:

    Captura de tela do portal do Azure mostrando o botão

    • Caso o consentimento seja fornecido com êxito, a entrada para os Gêmeos Digitais do Azure deverá mostrar um valor de Status da opção Fornecido para (sua empresa)

    Captura de tela do portal do Azure mostrando o consentimento do administrador para a empresa em Permissões de API.

  • Ativar o acesso de cliente público

  • Definir URLs de resposta específicas para obter acesso à Web e à área de trabalho

  • Permitir fluxos de autenticação implícitos do OAuth2

Para obter mais informações sobre o registro de aplicativo e as diferentes opções de configuração, confira como Registrar um aplicativo na plataforma de identidade da Microsoft.

Próximas etapas

Neste artigo, você configurou um registro de aplicativo do Microsoft Entra que pode ser usado para autenticar aplicativos cliente nas APIs dos Gêmeos Digitais do Azure.

Em seguida, leia informações sobre os mecanismos de autenticação, incluindo um que usa Registros de aplicativo e outros que não usam: