Använd portalen för att skapa ett Azure AD-program och huvudnamn för tjänsten som kan komma åt resurser

Den här artikeln visar hur du skapar ett nytt Azure Active Directory-program (Azure AD) och tjänstens huvudnamn som kan användas med den rollbaserade åtkomstkontrollen. När du har program, värdbaserade tjänster eller automatiserade verktyg som behöver komma åt eller ändra resurser kan du skapa en identitet för appen. Den här identiteten kallas tjänstens huvudnamn. Åtkomsten till resurser begränsas av de roller som tilldelats tjänstens huvudnamn, vilket ger dig kontroll över vilka resurser som kan nås och på vilken nivå. Av säkerhetsskäl rekommenderar vi att du alltid använder tjänstens huvudnamn med automatiserade verktyg i stället för att tillåta inloggning med en användaridentitet.

Den här artikeln visar hur du använder portalen för att skapa tjänstens huvudnamn i Azure Portal. Den fokuserar på ett program med en enda klientorganisation där programmet är avsett att köras inom endast en organisation. Du använder vanligtvis program med en enda klientorganisation för verksamhetsspecifika program som körs i din organisation. Du kan också använda Azure PowerShell för att skapa ett huvudnamn för tjänsten.

Viktigt

I stället för att skapa ett huvudnamn för tjänsten bör du överväga att använda hanterade identiteter för Azure-resurser för din programidentitet. Om koden körs på en tjänst som stöder hanterade identiteter och har åtkomst till resurser som stöder Azure AD autentisering är hanterade identiteter ett bättre alternativ för dig. Mer information om hanterade identiteter för Azure-resurser, inklusive vilka tjänster som för närvarande stöder det, finns i Vad är hanterade identiteter för Azure-resurser?.

Appregistrering, appobjekt och tjänstens huvudnamn

Det finns inget sätt att direkt skapa ett huvudnamn för tjänsten med hjälp av Azure Portal. När du registrerar ett program via Azure Portal skapas automatiskt ett programobjekt och tjänstens huvudnamn i din hemkatalog eller klientorganisation. Mer information om relationen mellan appregistrering, programobjekt och tjänstens huvudnamn finns i Objekt för program och tjänstens huvudnamn i Azure Active Directory.

Behörigheter som krävs för att registrera en app

Du måste ha tillräcklig behörighet för att registrera ett program med din Azure AD klientorganisation och tilldela programmet en roll i din Azure-prenumeration.

Kontrollera Azure AD behörigheter

  1. Välj Azure Active Directory.

  2. Hitta din roll under Översikt –>Min feed. Om du har rollen Användare måste du se till att icke-administratörer kan registrera program.

    Skärmbild som visar hur du hittar din roll.

  3. I den vänstra rutan väljer du Användare och sedan Användarinställningar.

  4. Kontrollera inställningen för Appregistreringar. Det här värdet kan bara anges av en administratör. Om värdet är Ja kan alla användare i Azure AD klientorganisation registrera en app.

Om inställningen för appregistreringar är inställd på Nej kan endast användare med administratörsroll registrera dessa typer av program. Se Azure AD inbyggda roller för att lära dig mer om tillgängliga administratörsroller och specifika behörigheter i Azure AD som ges till varje roll. Om ditt konto har tilldelats användarrollen, men appregistreringsinställningen är begränsad till administratörsanvändare, ber du administratören att antingen tilldela dig en av de administratörsroller som kan skapa och hantera alla aspekter av appregistreringar eller att låta användarna registrera appar.

Kontrollera azure-prenumerationsbehörigheter

I din Azure-prenumeration måste ditt konto ha Microsoft.Authorization/*/Write åtkomst för att tilldela en roll till en AD-app. Den här åtgärden beviljas genom rollen Ägare eller Administratör för användaråtkomst. Om ditt konto har tilldelats rollen Deltagare har du inte tillräcklig behörighet. Du får ett felmeddelande när du försöker tilldela tjänstens huvudnamn en roll.

Så här kontrollerar du dina prenumerationsbehörigheter:

  1. Sök efter och välj Prenumerationer eller välj Prenumerationerpå startsidan .

    Skärmbild som visar hur du söker efter prenumerationsbehörigheter.

  2. Välj den prenumeration som du vill skapa tjänstens huvudnamn i.

    Välj prenumeration för tilldelning.

    Om du inte ser den prenumeration som du letar efter väljer du globalt prenumerationsfilter. Kontrollera att den prenumeration som du vill använda är markerad för portalen.

  3. Välj Mina behörigheter. Välj sedan Klicka här för att visa fullständig åtkomstinformation för den här prenumerationen.

    Välj den prenumeration som du vill skapa tjänstens huvudnamn i.

  4. Välj Rolltilldelningar för att visa dina tilldelade roller och kontrollera om du har tillräckliga behörigheter för att tilldela en roll till en AD-app. Om inte ber du prenumerationsadministratören att lägga till dig i rollen Administratör för användaråtkomst. I följande bild tilldelas användaren rollen Ägare, vilket innebär att användaren har tillräcklig behörighet.

    Skärmbild som visar att användaren har tilldelats rollen Ägare.

Registrera ett program med Azure AD och skapa ett huvudnamn för tjänsten

Nu ska vi gå direkt till att skapa identiteten. Om du stöter på ett problem kontrollerar du de behörigheter som krävs för att se till att ditt konto kan skapa identiteten.

  1. Logga in på ditt Azure-konto via Azure Portal.

  2. Välj Azure Active Directory.

  3. Välj Appregistreringar.

  4. Välj Ny registrering.

  5. Ge programmet ett namn, till exempel "example-app". Välj en kontotyp som stöds, som avgör vem som kan använda programmet. Under Omdirigerings-URI väljer du Webb för den typ av program som du vill skapa. Ange den URI som åtkomsttoken skickas till. Du kan inte skapa autentiseringsuppgifter för ett internt program. Du kan inte använda den typen för ett automatiserat program. När du har angett värdena väljer du Registrera.

    Ange ett namn för ditt program.

Du har skapat ditt Azure AD program och tjänstens huvudnamn.

Anteckning

Du kan registrera flera program med samma namn i Azure AD, men programmen måste ha olika program-ID:t (klient).

Tilldela en roll till programmet

Om du vill komma åt resurser i din prenumeration måste du tilldela programmet en roll. Bestäm vilken roll som ger rätt behörigheter för programmet. Mer information om tillgängliga roller finns i Inbyggda Roller i Azure.

Du kan ange omfånget på nivån för prenumerationen, resursgruppen eller resursen. Behörigheter ärvs till lägre omfångsnivåer. Om du till exempel lägger till ett program i rollen Läsare för en resursgrupp kan det läsa resursgruppen och alla resurser som den innehåller.

  1. I Azure Portal väljer du den omfångsnivå som du vill tilldela programmet till. Om du till exempel vill tilldela en roll i prenumerationsomfånget söker du efter och väljer Prenumerationer eller väljer Prenumerationerstartsidan .

    Du kan till exempel tilldela en roll i prenumerationsomfånget.

  2. Välj den specifika prenumeration som programmet ska tilldelas till.

    Välj prenumeration för tilldelning.

    Om du inte ser den prenumeration som du letar efter väljer du globalt prenumerationsfilter. Kontrollera att den prenumeration som du vill använda är markerad för portalen.

  3. Välj Åtkomstkontroll (IAM) .

  4. Välj Lägg tillLägg till >rolltilldelning för att öppna sidan Lägg till rolltilldelning.

  5. På fliken Roll väljer du den roll som du vill tilldela till programmet i listan. Om du till exempel vill att programmet ska kunna köra åtgärder som omstart, starta och stoppa instanser väljer du rollen Deltagare . Läs mer om tillgängliga roller.

    Välj knappen Nästa för att gå till fliken Medlemmar . Välj Tilldela åtkomst till användare>, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar. Som standard visas inte Azure AD program i de tillgängliga alternativen. Sök efter ditt program genom att söka efter namn (till exempel "example-app") och välja det från den returnerade listan. Klicka på knappen Välj . Klicka sedan på knappen Granska + tilldela .

    Skärmbild som visar rolltilldelning.

Tjänstens huvudnamn har konfigurerats. Du kan börja använda den för att köra skript eller appar. Om du vill hantera tjänstens huvudnamn (behörigheter, användarmedgivande behörigheter, se vilka användare som har samtyckt, granska behörigheter, se inloggningsinformation med mera) går du till Företagsprogram.

Nästa avsnitt visar hur du hämtar värden som behövs när du loggar in programmatiskt.

Hämta klient- och app-ID-värden för inloggning

När du loggar in programmatiskt skickar du klient-ID:t med din autentiseringsbegäran och program-ID:t. Du behöver också ett certifikat eller en autentiseringsnyckel (beskrivs i följande avsnitt). Hämta dessa värden med följande steg:

  1. Välj Azure Active Directory.

  2. Välj ditt program från Appregistreringar i Azure AD.

  3. Kopiera katalog-ID:t (klientorganisationen) och lagra det i programkoden.

    Kopiera katalogen (klientorganisations-ID) och lagra den i din appkod.

    Katalog-ID:t (klientorganisation) finns också på standardsidan för katalogöversikt.

  4. Kopiera Program-ID:t och lagra det i din programkod.

    Kopiera programmets (klientens) ID.

Autentisering: Två alternativ

Det finns två typer av autentisering för tjänsthuvudnamn: lösenordsbaserad autentisering (programhemlighet) och certifikatbaserad autentisering. Vi rekommenderar att du använder ett certifikat, men du kan också skapa en programhemlighet.

Alternativ 1: Ladda upp ett certifikat

Du kan använda ett befintligt certifikat om du har ett. Du kan också skapa ett självsignerat certifikat endast i testsyfte. Om du vill skapa ett självsignerat certifikat öppnar du PowerShell och kör New-SelfSignedCertificate med följande parametrar för att skapa certifikatet i användarcertifikatarkivet på datorn:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Exportera det här certifikatet till en fil med mmc-snapin-modulen Hantera användarcertifikat som är tillgänglig från Windows Kontrollpanelen.

  1. Välj KörStart-menyn och ange sedan certmgr.msc.

    Certifikathanterarens verktyg för den aktuella användaren visas.

  2. Om du vill visa dina certifikat expanderar du katalogen Personlig under Certifikat – Aktuell användare i den vänstra rutan.

  3. Högerklicka på certifikatet som du skapade och välj Alla uppgifter–>Exportera.

  4. Följ guiden Certifikatexport. Exportera inte den privata nyckeln och exportera inte till en . CER-fil.

Så här laddar du upp certifikatet:

  1. Välj Azure Active Directory.

  2. Välj ditt program från Appregistreringar i Azure AD.

  3. Välj Certifikathemligheter&.

  4. Välj Certifikat>Ladda upp certifikat och välj certifikatet (ett befintligt certifikat eller det självsignerade certifikatet som du exporterade).

    Välj Ladda upp certifikat och välj det du vill lägga till.

  5. Välj Lägg till.

När du har registrerat certifikatet med ditt program i programregistreringsportalen aktiverar du klientprogramkoden för att använda certifikatet.

Alternativ 2: Skapa en ny programhemlighet

Om du väljer att inte använda ett certifikat kan du skapa en ny programhemlighet.

  1. Välj Azure Active Directory.

  2. Välj ditt program från Appregistreringar i Azure AD.

  3. Välj Certifikathemligheter&.

  4. Välj Klienthemligheter –> Ny klienthemlighet.

  5. Ange en beskrivning av hemligheten och en varaktighet. När du är klar väljer du Lägg till.

    När klienthemligheten har sparats visas värdet för klienthemligheten. Kopiera det här värdet eftersom du inte kan hämta nyckeln senare. Du anger nyckelvärdet med program-ID:t för att logga in som programmet. Lagra nyckelvärdet där programmet kan hämta det.

    Kopiera det hemliga värdet eftersom du inte kan hämta det senare.

Konfigurera åtkomstprinciper för resurser

Tänk på att du kan behöva konfigurera ytterligare behörigheter för resurser som programmet behöver åtkomst till. Du måste till exempel även uppdatera åtkomstprinciperna för ett nyckelvalv för att ge ditt program åtkomst till nycklar, hemligheter eller certifikat.

  1. I Azure Portal navigerar du till ditt nyckelvalv och väljer Åtkomstprinciper.
  2. Välj Lägg till åtkomstprincip och välj sedan de nyckel-, hemlighets- och certifikatbehörigheter som du vill bevilja ditt program. Välj tjänstens huvudnamn som du skapade tidigare.
  3. Välj Lägg till för att lägga till åtkomstprincipen och sedan Spara för att checka in ändringarna. Lägg till åtkomstprincip

Nästa steg