Skapa en appregistrering som ska användas med Azure Digital Twins

I den här artikeln beskrivs hur du skapar en Microsoft Entra ID-appregistrering som kan komma åt Azure Digital Twins. Den här artikeln innehåller steg för Azure-portalen och Azure CLI.

När du arbetar med Azure Digital Twins är det vanligt att interagera med din instans via klientprogram. Dessa program måste autentiseras med Azure Digital Twins, och vissa av de autentiseringsmekanismer som appar kan använda omfattar en appregistrering.

Appregistreringen krävs inte för alla autentiseringsscenarier. Men om du använder en autentiseringsstrategi eller ett kodexempel som kräver en appregistrering visar den här artikeln hur du konfigurerar en och ger den behörighet till Azure Digital Twins-API:erna. Den beskriver också hur du samlar in viktiga värden som du behöver använda appregistreringen när du autentiserar.

Dricks

Du kanske föredrar att konfigurera en ny appregistrering varje gång du behöver en, eller att bara göra detta en gång, upprätta en enda appregistrering som delas mellan alla scenarier som kräver det.

Skapa registreringen

Börja med att välja fliken nedan för önskat gränssnitt.

Portal

Gå till Microsoft Entra-ID i Azure-portalen (du kan använda den här länken eller hitta den med portalens sökfält). Välj Appregistreringar på tjänstmenyn och sedan + Ny registrering.

På sidan Registrera ett program som följer fyller du i de begärda värdena:

• Namn: Ett Microsoft Entra-programvisningsnamn som ska associeras med registreringen.
• Kontotyper som stöds: Välj Endast konton i den här organisationskatalogen (endast standardkatalog – enskild klient).

När du är klar väljer du knappen Registrera .

När registreringen är klar omdirigerar portalen dig till dess informationssida.

CLI

Börja med att skapa en manifestfil som innehåller tjänstinformation som din appregistrering behöver för att få åtkomst till Azure Digital Twins-API:erna. Därefter skickar du den här filen till ett CLI-kommando för att skapa registreringen.

Skapa manifestet

Skapa en ny .json fil på datorn med namnet manifest.json. Kopiera den här texten till filen:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Det statiska värdet 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 är resurs-ID:t för Azure Digital Twins-tjänstslutpunkten, som din appregistrering behöver för att få åtkomst till Azure Digital Twins-API:erna.

Spara den färdiga filen.

Cloud Shell-användare: Ladda upp manifest

Om du använder Azure Cloud Shell för den här självstudien måste du ladda upp manifestfilen som du skapade till Cloud Shell, så att du kan komma åt den i Cloud Shell-kommandon när du konfigurerar appregistreringen. Om du använder en lokal installation av Azure CLI kan du gå vidare till nästa steg, kör kommandot skapa.

Om du vill ladda upp filen går du till Cloud Shell-fönstret i webbläsaren. Välj ikonen "Ladda upp/ladda ned filer" och välj "Ladda upp".

Gå till filen manifest.json på datorn och välj Öppna. Om du gör det laddas filen upp till roten för Cloud Shell-lagringen.

Kör kommandot för att skapa

I det här avsnittet kör du ett CLI-kommando för att skapa en appregistrering med följande inställningar:

• Valfritt namn
• Endast tillgängligt för konton i standardkatalogen (enskild klientorganisation)
• En webbsvars-URL för http://localhost
• Läs-/skrivbehörigheter till Azure Digital Twins-API:er

Kör följande kommando för att skapa registreringen. Om du använder Cloud Shell är @manifest.jsonsökvägen till filen manifest.json .

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

Utdata från kommandot är information om appregistreringen som du har skapat.

Kontrollera att det har lyckats

Du kan bekräfta att Azure Digital Twins-behörigheterna har beviljats genom att söka efter följande fält i utdata från kommandot för att skapa under requiredResourceAccess. Bekräfta att deras värden matchar det som anges nedan.

• resourceAccess > id är 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId är 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Samla in viktiga värden

Samla sedan in några viktiga värden om appregistreringen som du behöver använda appregistreringen för att autentisera ett klientprogram. Dessa värden är:

• resursnamn – När du arbetar med Azure Digital Twins är http://digitaltwins.azure.netresursnamnet .
• klient-ID
• klientorganisations-ID:
• klienthemlighet

I följande avsnitt beskrivs hur du hittar de återstående värdena.

Samla in klient-ID och klient-ID

Om du vill använda appregistreringen för autentisering kan du behöva ange dess program-ID (klient)-ID och katalog-ID (klientorganisation). Här samlar du in dessa värden så att du kan spara dem och använda dem när de behövs.

Portal

Klient-ID och klient-ID-värden kan samlas in från appregistreringens informationssida i Azure-portalen:

Anteckna program-ID :t och katalog-ID:t (klientorganisation) som visas på sidan.

CLI

Du hittar app-ID:t i utdata från az ad app create kommandot som du körde tidigare (eller hämta informationen igen med az ad app show).

Leta appId efter i resultatet:

Du kan visa ditt klient-ID i gränssnittet med kommandot az account tenant list .

Kommentar

Den här kommandogruppen är experimentell och håller för närvarande på att utvecklas.

Samla in klienthemlighet

Konfigurera en klienthemlighet för din appregistrering, som andra program kan använda för att autentisera via den.

Portal

Börja på appregistreringssidan i Azure-portalen.

1. Välj Certifikat och hemligheter på registreringsmenyn och välj sedan + Ny klienthemlighet.

   

2. Ange vilka värden du vill ha för Beskrivning och Upphör att gälla och välj Lägg till.

   

3. Kontrollera att klienthemligheten visas på sidan Certifikat och hemligheter med fälten Upphör att gälla och Värde.

4. Anteckna dess hemliga ID och värde för senare användning (du kan också kopiera dem till Urklipp med ikonerna Kopiera).

   

Viktigt!

Se till att kopiera värdena nu och lagra dem på en säker plats, eftersom de inte kan hämtas igen. Om du inte hittar dem senare måste du skapa en ny hemlighet.

CLI

För att skapa en klienthemlighet för din appregistrering behöver du appregistreringens klient-ID-värde som du samlade in i föregående steg. Använd värdet i följande CLI-kommando för att skapa en ny hemlighet:

az ad app credential reset --id <client-ID> --append

Du kan också lägga till valfria parametrar i det här kommandot för att ange en beskrivning av autentiseringsuppgifter, slutdatum och annan information. Mer information om kommandot och dess parametrar finns i az ad app credential reset documentation (Az ad app credential reset documentation).

Utdata från det här kommandot är information om klienthemligheten som du har skapat.

Kopiera värdet som password ska användas när du behöver klienthemligheten för autentisering.

Viktigt!

Se till att kopiera värdet nu och lagra det på en säker plats, eftersom det inte kan hämtas igen. Om du inte hittar värdet senare måste du skapa en ny hemlighet.

Ange Azure Digital Twins-behörigheter

Konfigurera sedan appregistreringen som du har skapat med behörighet att komma åt Azure Digital Twins. Det finns två typer av behörigheter som krävs:

• En rolltilldelning för appregistreringen i Azure Digital Twins-instansen
• API-behörigheter för appen att läsa och skriva till Azure Digital Twins-API:er

Skapa rolltilldelning

I det här avsnittet skapar du en rolltilldelning för appregistreringen på Azure Digital Twins-instansen. Den här rollen avgör vilka behörigheter appregistreringen har för instansen, så du bör välja den roll som matchar rätt behörighetsnivå för din situation. En möjlig roll är Azure Digital Twins Data Owner. En fullständig lista över roller och deras beskrivningar finns i Inbyggda Azure-roller.

Portal

Använd de här stegen för att skapa rolltilldelningen för din registrering.

1. Öppna sidan för din Azure Digital Twins-instans i Azure-portalen.

2. Välj Åtkomstkontroll (IAM) .

3. Klicka på Lägg till>Lägg till rolltilldelning för att öppna sidan Lägg till rolltilldelning.

4. Tilldela lämplig roll. Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

   Inställning	Värde
   Roll	Välj efter behov
   Medlemmar > Tilldela åtkomst till	Användaren, gruppen eller tjänstens huvudnamn
   Medlemmar >	+ Välj medlemmar och sök sedan efter namnet på appregistreringen

   

   

   När rollen har valts kan du granska + tilldela den.

Verifiera rolltilldelning

Du kan visa rolltilldelningen som du har konfigurerat under Rolltilldelningar för åtkomstkontroll (IAM). >

Appregistreringen bör visas i listan tillsammans med den roll som du har tilldelat den.

CLI

Använd kommandot az dt role-assignment create för att tilldela rollen (den måste köras av en användare med tillräcklig behörighet i Azure-prenumerationen). Kommandot kräver att du skickar namnet på den roll som du vill tilldela, namnet på din Azure Digital Twins-instans och antingen namnet eller objekt-ID:t för appregistreringen.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Resultatet av det här kommandot matas ut information om rolltilldelningen som har skapats för appregistreringen.

Om du vill verifiera rolltilldelningen ytterligare kan du söka efter den i Azure-portalen (växla till fliken Portalinstruktion).

Ange API-behörigheter

I det här avsnittet beviljar du din appbaslinje läs-/skrivbehörighet till Azure Digital Twins-API:erna.

Om du använder Azure CLI och konfigurerar din appregistrering tidigare med en manifestfil är det här steget redan klart. Om du använder Azure-portalen för att skapa din appregistrering fortsätter du med resten av det här avsnittet för att konfigurera API-behörigheter.

Portal

På portalsidan för din appregistrering väljer du API-behörigheter på menyn. På följande behörighetssida väljer du knappen + Lägg till en behörighet .

På sidan Förfrågnings-API-behörigheter som följer växlar du till de API:er som min organisation använder fliken och söker efter digitala Azure-tvillingar. Välj Azure Digital Twins i sökresultaten för att fortsätta med att tilldela behörigheter för Azure Digital Twins-API:erna.

Kommentar

Om din prenumeration fortfarande har en befintlig Azure Digital Twins-instans från den tidigare offentliga förhandsversionen av tjänsten (före juli 2020) måste du söka efter och välja Azure Smart Spaces Service i stället. Det här är ett äldre namn för samma uppsättning API:er (observera att program-ID:t (klient)-ID :t är detsamma som i skärmbilden ovan) och att din upplevelse inte ändras utöver det här steget.

Därefter väljer du vilka behörigheter som ska beviljas för dessa API:er. Expandera läsbehörigheten (1) och markera kryssrutan read.write för att ge den här appregistreringsläsaren och skrivbehörigheterna.

Välj Lägg till behörigheter när du är klar.

Verifiera API-behörigheter

På sidan API-behörigheter kontrollerar du att det nu finns en post för Azure Digital Twins som återspeglar läsbehörigheter:

Du kan också kontrollera anslutningen till Azure Digital Twins i appregistreringens manifest.json, som uppdaterades automatiskt med Azure Digital Twins-informationen när du lade till API-behörigheterna.

Det gör du genom att välja Manifest på menyn för att visa appregistreringens manifestkod. Rulla längst ned i kodfönstret och leta efter följande fält och värden under requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Dessa värden visas i skärmbilden nedan:

Om dessa värden saknas kan du försöka utföra stegen i avsnittet för att lägga till API-behörigheten igen.

CLI

Om du använder CLI konfigurerades API-behörigheterna tidigare som en del av steget Skapa registrering .

Du kan verifiera dem nu med hjälp av Azure-portalen (växla till fliken Portalinstruktion).

Andra möjliga steg för din organisation

Det är möjligt att din organisation kräver fler åtgärder från prenumerationsägare eller administratörer för att slutföra konfigurationen av appregistreringen. Vilka steg som krävs kan variera beroende på organisationens aktuella inställningar. Välj en flik nedan för att se den här informationen som är anpassad efter önskat gränssnitt.

Portal

Här följer några vanliga potentiella aktiviteter som en ägare eller administratör i prenumerationen kan behöva utföra. Dessa och andra åtgärder kan utföras från sidan Registreringar av Microsoft Entra-appar i Azure-portalen.

• Bevilja administratörsmedgivande för appregistreringen. Din organisation kan ha administratörsmedgivande krävs globalt aktiverat i Microsoft Entra-ID för alla appregistreringar i din prenumeration. I så fall måste ägaren/administratören välja den här knappen för ditt företag på appregistreringens API-behörighetssida för att appregistreringen ska vara giltig:

  

  • Om medgivande har beviljats bör posten för Azure Digital Twins sedan visa statusvärdet Beviljad för (ditt företag)

  

• Aktivera offentlig klientåtkomst

• Ange specifika svars-URL:er för webb- och skrivbordsåtkomst

• Tillåt implicitAAuth2-autentiseringsflöden

CLI

Här följer några vanliga potentiella aktiviteter som en ägare eller administratör i prenumerationen kan behöva utföra.

• Bevilja administratörsmedgivande för appregistreringen. Din organisation kan ha administratörsmedgivande krävs globalt aktiverat i Microsoft Entra-ID för alla appregistreringar i din prenumeration. I så fall kan ägaren/administratören behöva bevilja ytterligare delegerade behörigheter eller programbehörigheter.
• Aktivera offentlig klientåtkomst genom att lägga --set publicClient=true till ett skapa- eller uppdateringskommando för registreringen.
• Ange specifika svars-URL:er för webb- och skrivbordsåtkomst med hjälp av parametern --reply-urls . Mer information om hur du använder den här parametern med az ad kommandon finns i az ad app-dokumentationen.
• Tillåt implicitAAuth2-autentiseringsflöden med hjälp av parametern --oauth2-allow-implicit-flow . Mer information om hur du använder den här parametern med az ad kommandon finns i az ad app-dokumentationen.

Mer information om appregistrering och dess olika konfigurationsalternativ finns i Registrera ett program med Microsoft platforma za identitete.

Nästa steg

I den här artikeln konfigurerar du en Microsoft Entra-appregistrering som kan användas för att autentisera klientprogram med Azure Digital Twins-API:erna.

Läs sedan om autentiseringsmekanismer, inklusive en som använder appregistreringar och andra som inte gör det:

• Skriva kod för appautentisering