Registrera en app för att begära auktoriseringstoken och arbeta med API:er

Om du vill komma åt Azure REST-API:er, till exempel Log Analytics API eller skicka anpassade mått, kan du generera en auktoriseringstoken baserat på ett klient-ID och en hemlighet. Token skickas sedan i din REST API-begäran. Den här artikeln visar hur du registrerar en klientapp och skapar en klienthemlighet så att du kan generera en token.

Registrera en app

Skapa ett huvudnamn för tjänsten och registrera en app med hjälp av Azure-portalen, Azure CLI eller PowerShell.

Azure-portalen

1. Om du vill registrera en app öppnar du sidan Active Directory-översikt i Azure-portalen.

2. Välj Appregistreringar i sidofältet.

3. Välj Ny registrering

4. På sidan Registrera ett program anger du ett namn för programmet.

5. Välj Registrera

6. På appens översiktssida väljer du Certifikat och hemligheter

7. Observera program-ID (klient)-ID:t. Den används i HTTP-begäran för en token.

8. På fliken Klienthemligheter väljer du Ny klienthemlighet

9. Ange en beskrivning och välj Lägg till

10. Kopiera och spara klientens hemliga värde.

    Kommentar

    Klienthemlighetsvärden kan bara visas omedelbart efter att de har skapats. Se till att spara hemligheten innan du lämnar sidan.

    

Azure CLI

Kör följande skript för att skapa tjänstens huvudnamn och app.

az ad sp create-for-rbac -n <Service principal display name> 

Svaret ser ut så här:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Viktigt!

Utdata innehåller autentiseringsuppgifter som du måste skydda. Se till att du inte inkluderar dessa autentiseringsuppgifter i din kod eller kontrollera autentiseringsuppgifterna i källkontrollen.

Lägga till en roll och omfång för de resurser som du vill komma åt med hjälp av API:et

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

I följande CLI-exempel tilldelas rollen till tjänstens Reader huvudnamn för alla resurser i rg-001resursgruppen:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Mer information om hur du skapar ett huvudnamn för tjänsten med Hjälp av Azure CLI finns i Skapa ett Huvudnamn för Azure-tjänsten med Azure CLI.

PowerShell

Följande exempelskript visar hur du skapar ett Microsoft Entra-tjänsthuvudnamn via PowerShell. En mer detaljerad genomgång finns i Använda Azure PowerShell för att skapa ett huvudnamn för tjänsten för åtkomst till resurser

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Nästa steg

Innan du kan generera en token med hjälp av din app, klient-ID och hemlighet ska du tilldela appen till en roll med hjälp av åtkomstkontroll (IAM) för resurser som du vill komma åt. Rollen beror på resurstypen och det API som du vill använda.
De prestandaobjekt

• Om du vill ge appen läsbehörighet från en Log Analytics-arbetsyta lägger du till din app som medlem i rollen Läsare med hjälp av åtkomstkontroll (IAM) för Log Analytics-arbetsytan. Mer information finns i Åtkomst till API:et

• Om du vill ge åtkomst till att skicka anpassade mått för en resurs lägger du till din app som medlem i rollen Monitoring Metrics Publisher med hjälp av åtkomstkontroll (IAM) för din resurs. Mer information finns i Skicka mått till Azure Monitor-måttdatabasen med hjälp av REST API

Mer information finns i Tilldela Azure-roller med hjälp av Azure-portalen

När du har tilldelat en roll kan du använda din app, ditt klient-ID och din klienthemlighet för att generera en ägartoken för att få åtkomst till REST-API:et.

Kommentar

När du använder Microsoft Entra-autentisering kan det ta upp till 60 minuter innan REST-API:et för Azure Application Insights identifierar nya rbac-behörigheter (rollbaserad åtkomstkontroll). Medan behörigheter sprids kan REST API-anrop misslyckas med felkoden 403.