Metody ověřování pomocí Azure Active Directory

Důležité

Toto je dokumentace k Azure Sphere (starší verze). Azure Sphere (starší verze) se vyřazuje 27. září 2027 a uživatelé musí do této doby migrovat do Azure Sphere (integrované). K zobrazení dokumentace k Azure Sphere (integrované) použijte selektor verzí umístěný nad obsahem.

Veřejné rozhraní API Azure Sphere (PAPI) podporuje více metod ověřování a autorizace uživatelů v Azure Active Directory (AAD).

Pomocí Azure Active Directory se token aplikace dá použít k ověření a udělení přístupu ke konkrétním prostředkům Azure z uživatelské aplikace, služby nebo nástroje automatizace pomocí instančního objektu nebo metody spravované identity pro ověřování.

Důležité

Při vytváření instančního objektu musíte chránit vygenerované přihlašovací údaje aplikace, jako jsou tajné klíče klienta nebo klientské certifikáty. Ujistěte se, že do kódu nezahrnete přihlašovací údaje aplikace ani nezaškrtnete přihlašovací údaje do správy zdrojového kódu. Jako alternativu zvažte použití spravované identity, abyste se vyhnuli nutnosti používat přihlašovací údaje.

Následující obrázek znázorňuje podporované metody ověřování pomocí Azure Active Directory:

Metoda instančního objektu

Instanční objekt Azure je možné nastavit tak, aby pro ověřování používal tajný klíč klienta nebo klientský certifikát. Instanční objekty jsou účty, které nejsou vázané na konkrétního uživatele, ale můžou mít přiřazená oprávnění prostřednictvím předdefinovaných rolí. Ověřování pomocí instančního objektu je nejlepší způsob, jak psát zabezpečené skripty nebo programy, což vám umožní použít omezení oprávnění i místně uložené statické přihlašovací údaje. Další informace najdete v tématu Instanční objekt Azure.

Pro instanční objekty jsou k dispozici dvě možnosti: tajné klíče klienta a klientské certifikáty. Další informace najdete v tématu Metoda ověřování instančního objektu.

Metoda spravované identity

Spravovanou identitu Azure je možné použít také ke komunikaci se službou veřejného rozhraní API Azure Sphere. Spravovaná identita se podporuje v různých službách Azure. Výhodou použití spravované identity pro metodu ověřování prostředků Azure je, že nemusíte spravovat žádné tajné klíče klienta ani klientské certifikáty. Další informace najdete v tématu Spravovaná identita pro metodu prostředku.

Metoda identity uživatele

Pomocí této metody se nemusíte ověřovat pomocí tenanta Azure Sphere. Můžete se přihlásit pomocí identity uživatele Azure Active Directory. Další informace naleznete v tématu Metoda ověřování uživatele.

Přidání ID aplikace veřejného rozhraní API Azure Sphere do tenanta Azure

Nejprve musíte přidat ID aplikace veřejného rozhraní API Azure Sphere do tenanta Azure pomocí jednorázového nastavení:

Poznámka:

• Ke spuštění tohoto příkazu použijte účet globálního správce tenanta Azure Active Directory (Azure AD).
• Hodnota parametru AppId je statická.
• Doporučujeme použít Azure Sphere Public API pro tento běžný -DisplayName zobrazovaný název napříč tenanty.

1. Otevřete okno příkazového řádku Windows PowerShellu se zvýšenými oprávněními (spusťte Windows PowerShell jako správce) a spuštěním následujícího příkazu nainstalujte modul Azure AD PowerShell:

   Install-Module AzureAD
   

2. Přihlaste se k Azure AD PowerShellu pomocí účtu správce. Zadejte parametr, který -TenantId se má ověřit jako instanční objekt:

   Connect-AzureAD -TenantId <Azure Active Directory TenantID>
   

   <ID tenanta> Azure Active Directory představuje ID tenanta Azure Active Directory. Další informace najdete v tématu Jak najít ID tenanta Azure Active Directory.

3. Vytvořte instanční objekt a připojte ho k Azure Sphere Public API aplikaci zadáním ID aplikace veřejného rozhraní API Azure Sphere, jak je popsáno níže:

   New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"