Регистрация приложения для запроса маркеров авторизации и работы с API

Чтобы получить доступ к REST API Azure, таким как API Log Analytics, или отправить пользовательские метрики, можно создать маркер авторизации на основе идентификатора и секрета клиента. Затем маркер передается в запросе REST API. В этой статье показано, как зарегистрировать клиентское приложение и создать секрет клиента, чтобы можно было создать маркер.

Регистрация приложения

Создайте субъект-службу и зарегистрируйте приложение с помощью портал Azure, Azure CLI или PowerShell.

Портал Azure

1. Чтобы зарегистрировать приложение, откройте страницу Обзор Active Directory в портал Azure.

2. Выберите Регистрация приложений на боковой панели.

3. Выберите Создать регистрацию.

4. На странице Регистрация приложения введите имя приложения.

5. Нажмите кнопку Зарегистрировать.

6. На странице обзора приложения выберите Сертификаты и секреты.

7. Обратите внимание на идентификатор приложения (клиента). Он используется в HTTP-запросе маркера.

8. На вкладке Секреты клиента выберите Новый секрет клиента.

9. Введите описание и выберите Добавить

10. Скопируйте и сохраните значение секрета клиента.

    Примечание

    Значения секретов клиента можно просмотреть только сразу после создания. Перед выходом со страницы обязательно сохраните секрет.

    

Azure CLI

Выполните следующий скрипт, чтобы создать субъект-службу и приложение.

az ad sp create-for-rbac -n <Service principal display name> 

Ответ выглядит следующим образом:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Важно!

Выходные данные содержат учетные данные, которые необходимо защитить. Убедитесь, что эти учетные данные не включены в код, или проверьте учетные данные в системе управления версиями.

Добавьте роль и область для ресурсов, к которым вы хотите получить доступ с помощью API.

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

В следующем примере CLI субъекту-службе назначается Reader роль для всех ресурсов в rg-001группе ресурсов:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Дополнительные сведения о создании субъекта-службы с помощью Azure CLI см. в статье Создание субъекта-службы Azure с помощью Azure CLI.

PowerShell

В следующем примере скрипта показано создание субъекта-службы Azure Active Directory с помощью PowerShell. Более подробное пошаговое руководство см. в статье Использование Azure PowerShell для создания субъекта-службы для доступа к ресурсам.

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Дальнейшие действия

Прежде чем создавать маркер с помощью приложения, идентификатора клиента и секрета, назначьте приложению роль с помощью управления доступом (IAM) для ресурса, к которому вы хотите получить доступ. Роль будет зависеть от типа ресурса и API, который вы хотите использовать.
Например,

• Чтобы предоставить приложению чтение из рабочей области Log Analytics, добавьте приложение в качестве участника в роль читателя с помощью управления доступом (IAM) для рабочей области Log Analytics. Дополнительные сведения см. в статье Доступ к API.

• Чтобы предоставить доступ к отправке пользовательских метрик для ресурса, добавьте приложение в качестве участника в роль Издатель метрик мониторинга с помощью управления доступом (IAM) для ресурса. Дополнительные сведения см. в статье Отправка метрик в базу данных метрик Azure Monitor с помощью REST API.

Дополнительные сведения см. в статье Назначение ролей Azure с помощью портал Azure

После назначения роли можно использовать приложение, идентификатор клиента и секрет клиента для создания маркера носителя для доступа к REST API.

Примечание

При использовании аутентификации Azure AD интерфейсу REST API службы Azure Application Insights может потребоваться до 60 минут, чтобы распознать новые разрешений управления доступом на основе ролей (RBAC). Во время распространения разрешений вызовы REST API могут завершаться ошибкой с кодом 403.