Udělení přístupu aplikace k prostředkům služby Azure Stack Hub

Aplikace, která nasazuje nebo konfiguruje prostředky prostřednictvím Azure Resource Manageru, musí být reprezentovaná vlastní identitou, označovanou jako objekt zabezpečení. Stejně jako je uživatel reprezentován instančním objektem, je aplikace reprezentována instančním objektem.

Identitu lze také použít k delegování pouze potřebných oprávnění uživateli nebo aplikaci. Aplikace pro správu konfigurace může například použít Azure Resource Manager k inventarizaci prostředků Azure. Aplikace by se zaregistrovala v adresáři a pak se přidala do role čtenáře v příslušném oboru a omezila aplikaci na přístup jen pro čtení.

Přehled

Stejně jako uživatel musí aplikace během ověřování prezentovat přihlašovací údaje, které vyžadují dva prvky:

• ID aplikace, někdy označované jako ID klienta. Identifikátor GUID, který jednoznačně identifikuje registraci aplikace ve vašem tenantovi Active Directory.
• Tajemství. Můžete buď vygenerovat tajný řetězec klienta (podobný heslu), nebo zadat kryptografický otisk certifikátu X509 (který používá jeho veřejný klíč).

Spuštění aplikace pod vlastní identitou je vhodnější spustit ji pod identitou uživatele z následujících důvodů:

• Silnější přihlašovací údaje – aplikace se může přihlásit pomocí certifikátu X509 místo textového sdíleného tajného kódu nebo hesla.
• Více omezující oprávnění je možné přiřadit aplikaci. Tato oprávnění jsou obvykle omezena jenom na to, co aplikace potřebuje udělat, označované jako princip nejnižších oprávnění.
• Přihlašovací údaje a oprávnění se nemění tak často jako přihlašovací údaje uživatele aplikace. Když se například změní odpovědnost uživatele, požadavky na heslo diktují změnu nebo když uživatel odejde ze společnosti.

Začnete vytvořením nové registrace aplikace v adresáři, který vytvoří přidružený objekt instančního objektu , který bude představovat identitu aplikace v rámci adresáře. Proces registrace se liší v závislosti na adresáři, který jste zvolili pro instanci služby Azure Stack Hub:

• Microsoft Entra ID: Microsoft Entra ID je víceklientština, cloudová, adresářová služba a služba pro správu identit. Id Microsoft Entra můžete použít s připojenou instancí služby Azure Stack Hub. Příklady uvedené později použijí Azure Portal pro registraci aplikace Microsoft Entra.
• Active Directory Federation Services (AD FS) (AD FS): Služba AD FS poskytuje zjednodušené, zabezpečené federace identit a funkce jednotného přihlašování (SSO). Službu AD FS můžete použít s připojenými i odpojenými instancemi služby Azure Stack Hub. Uvedené příklady později použijí Azure Stack Hub PowerShell pro registraci aplikace AD FS.

Po registraci aplikace se dozvíte, jak ji přiřadit k roli a omezit přístup k prostředkům.

Správa aplikace Microsoft Entra

Pokud jste jako službu pro správu identit nasadili Azure Stack Hub s Microsoft Entra ID, vytvoříte a spravujete identity pro aplikace stejně jako v Azure. V této části se dozvíte, jak provést kroky pomocí webu Azure Portal. Zkontrolujte oprávnění potřebná k registraci aplikace před začátkem a ujistěte se, že máte dostatečná oprávnění k registraci aplikace.

Vytvoření registrace aplikace, která používá přihlašovací údaje tajného klíče klienta

V této části zaregistrujete aplikaci v tenantovi Microsoft Entra pomocí webu Azure Portal. V následujícím příkladu zadáte přihlašovací údaje tajného klíče klienta, ale portál také podporuje přihlašovací údaje založené na certifikátech X509.

1. Přihlaste se pomocí svého účtu Azure k webu Azure Portal.

2. Vyberte Microsoft Entra ID> Registrace aplikací> New registration.

3. Zadejte název aplikace.

4. Vyberte vhodné typy podporovaných účtů.

5. V části Identifikátor URI pro přesměrování vyberte jako typ aplikace web a (volitelně) zadejte identifikátor URI přesměrování, pokud ji vaše aplikace vyžaduje.

6. Po nastavení hodnot vyberte Zaregistrovat. Vytvoří se registrace aplikace a zobrazí se stránka Přehled .

7. Zkopírujte ID aplikace pro použití v kódu aplikace. Tato hodnota se také označuje jako ID klienta.

8. Pokud chcete vygenerovat tajný klíč klienta, vyberte stránku Certifikáty a tajné kódy . Vyberte Nový tajný klíč klienta.

9. Zadejte popis tajného kódu a dobu platnosti.

10. Až budete hotovi, vyberte Přidat.

11. Zobrazí se hodnota tajného kódu. Zkopírujte a uložte tuto hodnotu do jiného umístění, protože ji později nemůžete načíst. Tajný kód zadáte s ID aplikace v klientské aplikaci pro přihlášení.

    

Pokračujte přiřazením role , abyste se dozvěděli, jak vytvořit řízení přístupu na základě role pro identitu aplikace.

Další články o správě aplikací Microsoft Entra

Další podrobnosti o správě aplikací Microsoft Entra najdete v následujících článcích Azure:

• Další podrobnosti o registraci aplikace Microsoft Entra, včetně postupu vytvoření registrace aplikace, která používá přihlašovací údaje certifikátu.
• Odebrání registrace aplikace
• Jak obnovit nebo odebrat nedávno odstraněnou registraci aplikace

Správa aplikace AD FS

Pokud jste jako službu pro správu identit nasadili Službu Azure Stack Hub se službou AD FS, musíte ke správě identity vaší aplikace použít PowerShell. Následující příklady ukazují jak certifikát X509, tak přihlašovací údaje tajného klíče klienta.

Skripty se musí spouštět v konzole PowerShellu se zvýšenými oprávněními (Spustit jako správce), která otevře další relaci pro virtuální počítač, který je hostitelem privilegovaného koncového bodu pro vaši instanci služby Azure Stack Hub. Po vytvoření relace privilegovaného koncového bodu se k vytvoření a správě registrace aplikace použijí další rutiny. Další informace o privilegovaném koncovém bodu najdete v tématu Použití privilegovaného koncového bodu ve službě Azure Stack Hub.

Vytvoření registrace aplikace, která používá přihlašovací údaje certifikátu

Při vytváření přihlašovacích údajů certifikátu musí být splněny následující požadavky:

• V produkčním prostředí musí být certifikát vystavený buď z interní certifikační autority, nebo od veřejné certifikační autority. Při použití veřejné autority musíte zahrnout autoritu do základní image operačního systému jako součást programu Microsoft Trusted Root Authority Program. Úplný seznam najdete v tématu Seznam účastníků – Důvěryhodný kořenový program Microsoftu. Příklad vytvoření testovacího certifikátu podepsaného svým držitelem se také zobrazí později během aktualizace přihlašovacích údajů certifikátu.
• Kryptografický zprostředkovatel musí být zadán jako starší zprostředkovatel klíčů CSP (Microsoft Cryptographic Service Provider).
• Formát certifikátu musí být v souboru PFX, protože jsou vyžadovány veřejné i privátní klíče. Servery s Windows používají soubory .pfx, které obsahují soubor veřejného klíče (soubor certifikátu TLS/SSL) a přidružený soubor privátního klíče.
• Vaše infrastruktura služby Azure Stack Hub musí mít síťový přístup k umístění seznamu odvolaných certifikátů certifikační autority (CRL) publikovanému v certifikátu. Tento CRL musí být koncovým bodem HTTP.

Jakmile máte certifikát, pomocí následujícího skriptu PowerShellu zaregistrujte aplikaci a přihlaste se pomocí identity aplikace. Nahraďte následující zástupné symboly vlastními hodnotami:

Zástupný symbol	Popis	Příklad
<PepVM>	Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub.	AzS-ERCS01
<YourCertificateLocation>	Umístění certifikátu X509 v místním úložišti certifikátů.	"Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<YourAppName>	Popisný název registrace nové aplikace	"Můj nástroj pro správu"

Moduly Az

1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující skript.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   
   

2. Po dokončení skriptu se zobrazí informace o registraci aplikace. Ověřování ClientID a Thumbprint pozdější autorizace pro přístup k prostředkům spravovaným Azure Resource Managerem.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 00001111-aaaa-2222-bbbb-3333cccc4444
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Nechte relaci konzoly PowerShellu otevřenou ApplicationIdentifier , když ji použijete s hodnotou v další části.

Moduly AzureRM

1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující skript.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a self-signed test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Po dokončení skriptu se zobrazí informace o registraci aplikace. Ověřování ClientID a Thumbprint pozdější autorizace pro přístup k prostředkům spravovaným Azure Resource Managerem.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 00001111-aaaa-2222-bbbb-3333cccc4444
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Nechte relaci konzoly PowerShellu otevřenou ApplicationIdentifier , když ji použijete s hodnotou v další části.

Aktualizace přihlašovacích údajů certifikátu

Když jste aplikaci zaregistrovali, v této části se dozvíte, jak:

1. Vytvořte nový certifikát X509 podepsaný svým držitelem pro testování.
2. Aktualizujte přihlašovací údaje aplikace tak, že aktualizujete jeho vlastnost kryptografického otisku tak, aby odpovídala novému certifikátu.

Aktualizujte přihlašovací údaje certifikátu pomocí PowerShellu a nahraďte vlastní hodnoty následujícími zástupnými symboly:

Zástupný symbol	Popis	Příklad
<PepVM>	Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub.	AzS-ERCS01
<YourAppName>	Popisný název registrace nové aplikace	"Můj nástroj pro správu"
<YourCertificateLocation>	Umístění certifikátu X509 v místním úložišti certifikátů.	"Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<AppIdentifier>	Identifikátor přiřazený k registraci aplikace.	"S-1-5-21-1512385356-3796245103-1243299919-1356"

1. Pomocí relace Windows PowerShellu se zvýšenými oprávněními spusťte následující rutiny:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Create a self-signed certificate for testing purposes, using the New-SelfSignedCertificate cmdlet 
   # See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   $NewCert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   # In production, use Get-Item to retrieve a managed certificate from the certificate store.
   # Alteratively, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to update the certificate thumbprint, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ClientCertificates $using:NewCert}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. Po dokončení skriptu se zobrazí aktualizované informace o registraci aplikace, včetně hodnoty kryptografického otisku pro nový certifikát podepsaný svým držitelem.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 
   Thumbprint            : AF22EE716909041055A01FE6C6F5C5CDE78948E9
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          : 
   PSComputerName        : azs-ercs01
   RunspaceId            : a580f894-8f9b-40ee-aa10-77d4d142b4e5
   

Vytvoření registrace aplikace, která používá přihlašovací údaje tajného klíče klienta

Upozorňující

Použití tajného klíče klienta je méně bezpečné než použití přihlašovacích údajů certifikátu X509. Ověřovací mechanismus je nejen méně zabezpečený, ale obvykle vyžaduje vložení tajného kódu do zdrojového kódu klientské aplikace. Proto pro produkční aplikace důrazně doporučujeme používat přihlašovací údaje certifikátu.

Teď vytvoříte další registraci aplikace, ale tentokrát zadáte přihlašovací údaje tajného klíče klienta. Na rozdíl od přihlašovacích údajů certifikátu má adresář možnost vygenerovat tajné přihlašovací údaje klienta. Místo zadání tajného klíče klienta použijete -GenerateClientSecret přepínač k vyžádání, aby se vygeneroval. Nahraďte následující zástupné symboly vlastními hodnotami:

Zástupný symbol	Popis	Příklad
<PepVM>	Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub.	AzS-ERCS01
<YourAppName>	Popisný název registrace nové aplikace	"Můj nástroj pro správu"

Moduly Az

1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující rutiny:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Po dokončení skriptu se zobrazí informace o registraci aplikace. Ověřování ClientID a ClientSecret pozdější autorizace pro přístup k prostředkům spravovaným Azure Resource Managerem.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Nechte relaci konzoly PowerShellu otevřenou ApplicationIdentifier , když ji použijete s hodnotou v další části.

Moduly AzureRM

1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující rutiny:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Po dokončení skriptu se zobrazí informace o registraci aplikace. Ověřování ClientID a ClientSecret pozdější autorizace pro přístup k prostředkům spravovaným Azure Resource Managerem.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Nechte relaci konzoly PowerShellu otevřenou ApplicationIdentifier , když ji použijete s hodnotou v další části.

Aktualizace přihlašovacích údajů tajného klíče klienta

Aktualizujte přihlašovací údaje tajného klíče klienta pomocí PowerShellu pomocí parametru ResetClientSecret , který okamžitě změní tajný klíč klienta. Nahraďte následující zástupné symboly vlastními hodnotami:

Zástupný symbol	Popis	Příklad
<PepVM>	Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub.	AzS-ERCS01
<AppIdentifier>	Identifikátor přiřazený k registraci aplikace.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

1. Pomocí relace Windows PowerShellu se zvýšenými oprávněními spusťte následující rutiny:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to update the client secret, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ResetClientSecret}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. Po dokončení skriptu se zobrazí aktualizované informace o registraci aplikace, včetně nově generovaného tajného klíče klienta.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : MKUNzeL6PwmlhWdHB59c25WDDZlJ1A6IWzwgv_Kn
   PSComputerName        : azs-ercs01
   RunspaceId            : 6ed9f903-f1be-44e3-9fef-e7e0e3f48564
   

Odebrání registrace aplikace

Teď se dozvíte, jak odebrat registraci aplikace z adresáře pomocí PowerShellu.

Nahraďte následující zástupné symboly vlastními hodnotami:

Zástupný symbol	Popis	Příklad
<PepVM>	Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub.	AzS-ERCS01
<AppIdentifier>	Identifikátor přiřazený k registraci aplikace.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
$Creds = Get-Credential

# Create a PSSession to the PrivilegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# OPTIONAL: Use the privileged endpoint to get a list of applications registered in AD FS
$AppList = Invoke-Command -Session $Session -ScriptBlock {Get-GraphApplication}

# Use the privileged endpoint to remove application <AppIdentifier>
Invoke-Command -Session $Session -ScriptBlock {Remove-GraphApplication -ApplicationIdentifier "<AppIdentifier>"}

Z volání rutiny Remove-GraphApplication v privilegovaném koncovém bodu nebude vrácen žádný výstup, ale během provádění rutiny uvidíte doslovný výstup potvrzení do konzoly:

VERBOSE: Deleting graph application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623.
VERBOSE: Remove-GraphApplication : BEGIN on AZS-ADFS01 on ADFSGraphEndpoint
VERBOSE: Application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623 was deleted.
VERBOSE: Remove-GraphApplication : END on AZS-ADFS01 under ADFSGraphEndpoint configuration

Přiřaďte roli

Přístup k prostředkům Azure podle uživatelů a aplikací je autorizovaný prostřednictvím řízení přístupu na základě role (RBAC). Pokud chcete aplikaci povolit přístup k prostředkům ve vašem předplatném, musíte přiřadit jeho instanční objekt roli pro konkrétní prostředek. Nejprve se rozhodněte, která role představuje správná oprávnění pro aplikaci. Další informace o dostupných rolích najdete v tématu Předdefinované role pro prostředky Azure.

Typ prostředku, který zvolíte, také vytvoří obor přístupu pro aplikaci. Obor přístupu můžete nastavit na úrovni předplatného, skupiny prostředků nebo prostředku. Oprávnění se dědí do nižších úrovní oboru. Například přidání aplikace do role Čtenář pro skupinu prostředků znamená, že může číst skupinu prostředků a všechny prostředky, které obsahuje.

1. Přihlaste se k příslušnému portálu v závislosti na adresáři, který jste zadali během instalace služby Azure Stack Hub (portál Azure Portal pro ID Microsoft Entra nebo uživatelský portál služby Azure Stack Hub pro službu AD FS, například). V tomto příkladu zobrazíme uživatele přihlášeného k uživatelskému portálu Azure Stack Hub.

   Poznámka:

   Pokud chcete přidat přiřazení rolí pro daný prostředek, musí váš uživatelský účet patřit do role, která deklaruje Microsoft.Authorization/roleAssignments/write oprávnění. Například předdefinované role Vlastník nebo Správce uživatelských přístupů.

2. Přejděte k prostředku, ke kterého chcete aplikaci povolit přístup. V tomto příkladu přiřaďte aplikaci k roli v oboru předplatného tak, že vyberete Předplatná a pak konkrétní předplatné. Místo toho můžete vybrat skupinu prostředků nebo konkrétní prostředek, jako je virtuální počítač.

   

3. Vyberte stránku Řízení přístupu (IAM), která je univerzální pro všechny prostředky, které podporují řízení přístupu na základě role.

4. Vyberte +Přidat.

5. V části Role vyberte roli, kterou chcete přiřadit k aplikaci.

6. V části Vybrat vyhledejte aplikaci pomocí úplného nebo částečného názvu aplikace. Během registrace se název aplikace vygeneruje jako Azurestack-YourAppName-GUID><><. Pokud jste například použili název aplikace App2 a GUID 2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff byl přiřazen během vytváření, bude úplný název Azurestack-App2-2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff. Můžete vyhledat přesný řetězec nebo část, jako je Azurestack nebo Azurestack-App2.

7. Jakmile aplikaci najdete, vyberte ji a zobrazí se v části Vybrané členy.

8. Výběrem možnosti Uložit dokončíte přiřazení role.

   

9. Po dokončení se aplikace zobrazí v seznamu objektů zabezpečení přiřazených pro aktuální obor pro danou roli.

   

Teď, když jste aplikaci dali identitu a autorizovali ji pro přístup k prostředkům, můžete povolit skript nebo kód pro přihlášení a bezpečný přístup k prostředkům služby Azure Stack Hub.

Další kroky

Správa uživatelských oprávnění
Dokumentace k Microsoft Entra
Active Directory Federation Services (AD FS)