Поделиться через


Создание регистрации приложения для использования с Azure Digital Twins

В этой статье описывается, как создать регистрацию приложения идентификатора Microsoft Entra, доступ к Azure Digital Twins. В этой статье описаны действия по портал Azure и Azure CLI.

При работе с Azure Digital Twins обычно взаимодействуют с экземпляром с помощью клиентских приложений. Эти приложения должны пройти проверку подлинности с помощью Azure Digital Twins и некоторые механизмы проверки подлинности, которые приложения могут использовать для регистрации приложения.

Регистрация приложения не обязательна для всех сценариев аутентификации. Однако если вы используете стратегию проверки подлинности или пример кода, требующий регистрации приложения, в этой статье показано, как настроить и предоставить ему разрешения для API Azure Digital Twins. Здесь также описывается, как собирать важные значения, которые необходимо использовать при проверке подлинности приложения.

Совет

Вы можете настраивать регистрацию нового приложения каждый раз, когда это необходимо, или сделать это только один раз, установив единую регистрацию приложения, которая будет использоваться всеми соответствующими сценариями.

Создание регистраций

Начните с выбора вкладки ниже для предпочтительного интерфейса.

Перейдите к идентификатору Microsoft Entra в портал Azure (вы можете использовать эту ссылку или найти ее с помощью панели поиска на портале). Выберите Регистрация приложений в меню служб, а затем + Новая регистрация.

Снимок экрана: страница службы Microsoft Entra в портал Azure с инструкциями по созданию новой регистрации на странице

На следующей странице Регистрация приложения введите запрошенные значения.

  • Имя: отображаемое имя приложения Microsoft Entra для связи с регистрацией.
  • Поддерживаемые типы учетных записей: выберите учетные записи только в этом каталоге организации (только каталог по умолчанию — один клиент).

После завершения нажмите кнопку Зарегистрировать.

Снимок экрана: страница

После завершения настройки регистрации портал перенаправит вас на страницу сведений.

Сбор важных значений

Затем определите важные параметры регистрации приложения, которые понадобятся для его использования при проверке подлинности клиентского приложения. К этим значениям относятся:

  • имя ресурса — при работе с Azure Digital Twins имя ресурса — это имя http://digitaltwins.azure.net ресурса.
  • идентификатор клиента
  • идентификатор клиента
  • секрет клиента

В следующих разделах описывается, как найти оставшиеся значения.

Получение идентификатора клиента и идентификатора арендатора

Чтобы использовать регистрацию приложения для проверки подлинности, может потребоваться указать идентификатор приложения (клиента) и идентификатор каталога (арендатора). Здесь вы собираете эти значения, чтобы сохранить их и использовать их всякий раз, когда они нужны.

Значения идентификатора клиента и идентификатора арендатора можно найти на странице сведений о регистрации приложения на портале Azure:

Снимок экрана: портал Azure, где показаны важные значения для регистрации приложения.

Запишите идентификатор приложения (клиента) и идентификатор каталога (клиента), показанный на странице.

Получение секрета клиента

Настройте секрет клиента для регистрации приложения, который другие приложения могут использовать для проверки подлинности через него.

Начните со страницы регистрации приложения в портал Azure.

  1. Выберите сертификаты и секреты из меню регистрации, а затем нажмите кнопку +Создать секрет клиента.

    Снимок экрана: портал Azure с регистрацией приложения Microsoft Entra и выделением нового секрета клиента.

  2. Введите любые значения в поля "Описание" и "Срок действия", а затем нажмите кнопку Добавить.

    Снимок экрана: портал Azure на этапе добавления секрета клиента.

  3. Убедитесь, что секрет клиента отображается на странице Сертификаты и секреты с полями "Срок действия" и "Значение".

  4. Запишите идентификатор секрета и значение, которые понадобятся вам позже (вы также можете скопировать их в буфер обмена с помощью значка копирования).

    Снимок экрана: портал Azure, где показана процедура копирования секрета клиента.

Внимание

Не забудьте скопировать эти значения на данном этапе и сохранить их в надежном месте, так как получить их снова не удастся. Если позже вы не сможете их найти, вам потребуется создать новый секрет.

Предоставление разрешений Azure Digital Twins

Затем настройте регистрацию приложения, созданную с разрешениями для доступа к Azure Digital Twins. Существует два типа необходимых разрешений:

  • Назначение роли для регистрации приложения в экземпляре Azure Digital Twins
  • Разрешения API для приложения для чтения и записи в API Azure Digital Twins

Создание назначения роли

В этом разделе описано, как создать назначение ролей для регистрации приложения в экземпляре Azure Digital Twins. Эта роль определяет, какие разрешения на регистрацию приложения хранятся в экземпляре, поэтому следует выбрать роль, соответствующую соответствующему уровню разрешений для вашей ситуации. Одна из возможных ролей — владелец данных Azure Digital Twins. Полный список ролей и их описания см. в статье о встроенных ролях Azure.

Чтобы создать назначение ролей для регистрации, выполните следующие действия.

  1. Откройте страницу для экземпляра Azure Digital Twins в портал Azure.

  2. Выберите Управление доступом (IAM) .

  3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

  4. Назначьте соответствующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

    Параметр Значение
    Роль Выберите соответствующее значение
    Члены > назначают доступ к Пользователь, группа или субъект-служба
    Члены > + Выберите участников, а затем найдите имя регистрации приложения

    Снимок экрана: вкладка

    Снимок экрана: вкладка

    После выбора роли проверьте и назначьте ее.

Подтверждение назначения ролей

Вы можете просмотреть назначение ролей, настроенное в разделе "Назначения ролей управления доступом (IAM). >

Снимок экрана: страница

Регистрация приложения должна отображаться в списке вместе с назначенной ей ролью.

Предоставление разрешений API

В этом разделе описано, как предоставить базовым приложениям разрешения на чтение и запись API Azure Digital Twins.

Если вы используете Azure CLI и настроили регистрацию приложения ранее с помощью файла манифеста, это действие уже сделано. Если вы используете портал Azure для создания регистрации приложения, перейдите к остальной части этого раздела, чтобы настроить разрешения API.

На странице портала для регистрации приложения в меню выберите Разрешения API. На следующей странице разрешений нажмите кнопку + Добавить разрешение.

Снимок экрана: регистрация приложения на портале Azure, где выделены пункт меню

На следующей странице Запрос разрешений API откройте вкладку API-интерфейсы, используемые моей организацией и выполните поиск по запросу Azure Digital Twins. Выберите Azure Digital Twins из результатов поиска, чтобы продолжить назначение разрешений для интерфейсов API Azure Digital Twins.

Снимок экрана: результаты поиска на странице

Примечание.

Если в вашей подписки остался экземпляр Azure Digital Twins из предыдущей общедоступной предварительной версии службы (до июля 2020 г.), вам потребуется найти и выбрать Azure Smart Spaces Service. Это устаревшее имя для того же набора API-интерфейсов (обратите внимание, что идентификатор приложения (клиентского) аналогичен показанному на снимке экрана выше) и порядок работы после этого не изменится. Снимок экрана: результаты поиска на странице

Далее необходимо выбрать разрешения, которые будут предоставлены для этих API. Разверните разрешение Чтение (1) и установите флажок Чтение.Запись, чтобы это приложение могло проводить чтение и запись в ходе регистрации приложения.

Снимок экрана: страница

После завершения нажмите кнопку Добавить разрешения.

Проверка разрешений API

На странице разрешений API убедитесь, что теперь есть запись для Azure Digital Twins, отражающая разрешения Read.Write:

Снимок экрана: разрешения API для регистрации приложения Microsoft Entra в портал Azure, показывающие

Вы также можете проверить подключение к Azure Digital Twins в регистрации приложения manifest.js, которое автоматически обновляется с помощью сведений об Azure Digital Twins при добавлении разрешений API.

Для этого в меню выберите Манифест, чтобы просмотреть код манифеста регистрации приложения. Прокрутите окно кода вниз и найдите следующие поля и значения в разделе requiredResourceAccess:

  • "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
  • "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Эти значения показаны на следующем снимке экрана:

Снимок экрана: манифест регистрации приложения Microsoft Entra в портал Azure.

Если эти значения отсутствуют, повторите действия, описанные в разделе Добавление разрешения API.

Другие возможные действия для вашей организации

Возможно, вашей организации требуется больше действий от владельцев подписки или администраторов, чтобы завершить настройку регистрации приложения. Необходимые действия могут отличаться в зависимости от конкретных настроек в вашей организации. Выберите вкладку ниже, чтобы просмотреть эти сведения, адаптированные к предпочтительному интерфейсу.

Ниже приведены некоторые распространенные потенциальные действия, которые может потребоваться выполнить владелец или администратор подписки. Эти и другие операции можно выполнить на странице Регистрация приложений Microsoft Entra в портал Azure.

  • Предоставление согласия администратора на регистрацию приложения. Ваша организация может иметь согласие администратора, необходимое глобально, включено в идентификаторе Microsoft Entra для всех регистраций приложений в вашей подписке. Если это так, владельцу или администратору потребуется выбрать эту кнопку для вашей компании на странице разрешений API регистрации приложения, чтобы регистрация приложения была допустимой:

    Снимок экрана: портал Azure, где показана кнопка

    • Если согласие было предоставлено успешно, то запись Для Azure Digital Twins должна отобразить значение "Состояние предоставлено" (ваша компания)

    Снимок экрана: портал Azure, где показано, что компании предоставлено согласие администратора в разделе разрешений API.

  • Активация общедоступного клиентского доступа

  • Установка конкретных URL-адресов ответа для доступа к веб-адресу и рабочему столу

  • Разрешение неявных потоков проверки подлинности OAuth2

Дополнительные сведения о регистрации приложений и его различных параметрах установки см. в статье Регистрация приложения на платформе удостоверений Майкрософт.

Следующие шаги

В этой статье описана настройка регистрации приложения Microsoft Entra, которую можно использовать для проверки подлинности клиентских приложений с помощью API Azure Digital Twins.

Также ознакомьтесь с механизмами проверки подлинности, в том числе с помощью регистрации приложений и других функций: