Методы проверки подлинности с помощью Azure Active Directory

Общедоступный API Azure Sphere (PAPI) поддерживает несколько методов проверки подлинности и авторизации пользователей в Azure Active Directory (AAD).

С помощью Azure Active Directory маркер приложения можно использовать для проверки подлинности и предоставления доступа к определенным ресурсам Azure из пользовательского приложения, службы или средства автоматизации с помощью субъекта-службы или метода управляемого удостоверения для проверки подлинности.

Важно

При создании субъекта-службы необходимо защитить созданные учетные данные приложения, такие как секреты клиента или сертификаты клиента. Убедитесь, что учетные данные приложения не включены в код или проверка учетные данные в систему управления версиями. В качестве альтернативы рассмотрите возможность использования управляемого удостоверения, чтобы избежать необходимости использования учетных данных.

На следующем рисунке показаны поддерживаемые методы проверки подлинности с помощью Azure Active Directory.

Метод субъекта-службы

Субъект-службу Azure можно настроить на использование секрета клиента или сертификата клиента для проверки подлинности. Субъекты-службы — это учетные записи, не привязанные к конкретному пользователю, но могут иметь разрешения, назначенные с помощью предварительно определенных ролей. Проверка подлинности с помощью субъекта-службы — это лучший способ написания безопасных скриптов или программ, позволяющий применять ограничения разрешений и локально хранящиеся статические учетные данные. Дополнительные сведения см. в статье Субъект-служба Azure.

Для субъектов-служб доступны два варианта: секреты клиента и сертификаты клиента. Дополнительные сведения см. в разделе Метод проверки подлинности субъекта-службы.

Метод управляемого удостоверения

Управляемое удостоверение Azure также можно использовать для взаимодействия со службой Общедоступного API Azure Sphere . Управляемое удостоверение поддерживается в различных службах Azure. Преимущество использования управляемого удостоверения для метода проверки подлинности ресурсов Azure заключается в том, что вам не нужно управлять секретами клиента или сертификатами клиента. Дополнительные сведения см. в разделе Управляемое удостоверение для метода ресурса.

Метод удостоверения пользователя

При использовании этого метода не требуется проходить проверку подлинности с помощью клиента Azure Sphere. Вы можете войти с помощью удостоверения пользователя Azure Active Directory. Дополнительные сведения см. в статье Метод проверки подлинности пользователя.

Добавление идентификатора общедоступного приложения API Azure Sphere в клиент Azure

Сначала необходимо добавить идентификатор общедоступного приложения API Azure Sphere в клиент Azure с помощью одноразовой настройки:

Примечание

• Используйте учетную запись глобального администратора для клиента Azure Active Directory (Azure AD) для выполнения этой команды.
• Значение параметра является статическим AppId .
• Мы рекомендуем использовать Azure Sphere Public API для , -DisplayName чтобы общее отображаемое имя можно было использовать в клиентах.

1. Откройте окно командной строки Windows PowerShell с повышенными привилегиями (запустите Windows PowerShell от имени администратора) и выполните следующую команду, чтобы установить модуль PowerShell Azure AD:

   Install-Module AzureAD
   

2. Войдите в Azure AD PowerShell с учетной записью администратора. -TenantId Укажите параметр для проверки подлинности в качестве субъекта-службы:

   Connect-AzureAD -TenantId <Azure Active Directory TenantID>
   

   <Идентификатор клиента> Azure Active Directory представляет идентификатор клиента Azure Active Directory. Дополнительные сведения см. в статье Поиск идентификатора клиента Azure Active Directory.

3. Создайте субъект-службу и подключите его к приложению Azure Sphere Public API , указав идентификатор приложения Общедоступного API Azure Sphere, как описано ниже.

   New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"