Методы проверки подлинности с помощью Azure Active Directory
Общедоступный API Azure Sphere (PAPI) поддерживает несколько методов проверки подлинности и авторизации пользователей в Azure Active Directory (AAD).
С помощью Azure Active Directory маркер приложения можно использовать для проверки подлинности и предоставления доступа к определенным ресурсам Azure из пользовательского приложения, службы или средства автоматизации с помощью субъекта-службы или метода управляемого удостоверения для проверки подлинности.
Важно
При создании субъекта-службы необходимо защитить созданные учетные данные приложения, такие как секреты клиента или сертификаты клиента. Убедитесь, что учетные данные приложения не включены в код или проверка учетные данные в систему управления версиями. В качестве альтернативы рассмотрите возможность использования управляемого удостоверения, чтобы избежать необходимости использования учетных данных.
На следующем рисунке показаны поддерживаемые методы проверки подлинности с помощью Azure Active Directory.
Метод субъекта-службы
Субъект-службу Azure можно настроить на использование секрета клиента или сертификата клиента для проверки подлинности. Субъекты-службы — это учетные записи, не привязанные к конкретному пользователю, но могут иметь разрешения, назначенные с помощью предварительно определенных ролей. Проверка подлинности с помощью субъекта-службы — это лучший способ написания безопасных скриптов или программ, позволяющий применять ограничения разрешений и локально хранящиеся статические учетные данные. Дополнительные сведения см. в статье Субъект-служба Azure.
Для субъектов-служб доступны два варианта: секреты клиента и сертификаты клиента. Дополнительные сведения см. в разделе Метод проверки подлинности субъекта-службы.
Метод управляемого удостоверения
Управляемое удостоверение Azure также можно использовать для взаимодействия со службой Общедоступного API Azure Sphere . Управляемое удостоверение поддерживается в различных службах Azure. Преимущество использования управляемого удостоверения для метода проверки подлинности ресурсов Azure заключается в том, что вам не нужно управлять секретами клиента или сертификатами клиента. Дополнительные сведения см. в разделе Управляемое удостоверение для метода ресурса.
Метод удостоверения пользователя
При использовании этого метода не требуется проходить проверку подлинности с помощью клиента Azure Sphere. Вы можете войти с помощью удостоверения пользователя Azure Active Directory. Дополнительные сведения см. в статье Метод проверки подлинности пользователя.
Добавление идентификатора общедоступного приложения API Azure Sphere в клиент Azure
Сначала необходимо добавить идентификатор общедоступного приложения API Azure Sphere в клиент Azure с помощью одноразовой настройки:
Примечание
- Используйте учетную запись глобального администратора для клиента Azure Active Directory (Azure AD) для выполнения этой команды.
- Значение параметра является статическим
AppId
. - Мы рекомендуем использовать
Azure Sphere Public API
для ,-DisplayName
чтобы общее отображаемое имя можно было использовать в клиентах.
Откройте окно командной строки Windows PowerShell с повышенными привилегиями (запустите Windows PowerShell от имени администратора) и выполните следующую команду, чтобы установить модуль PowerShell Azure AD:
Install-Module AzureAD
Войдите в Azure AD PowerShell с учетной записью администратора.
-TenantId
Укажите параметр для проверки подлинности в качестве субъекта-службы:Connect-AzureAD -TenantId <Azure Active Directory TenantID>
<Идентификатор клиента> Azure Active Directory представляет идентификатор клиента Azure Active Directory. Дополнительные сведения см. в статье Поиск идентификатора клиента Azure Active Directory.
Создайте субъект-службу и подключите его к приложению
Azure Sphere Public API
, указав идентификатор приложения Общедоступного API Azure Sphere, как описано ниже.New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"