Vytvoření registrace aplikace pro použití se službou Azure Digital Twins

Tento článek popisuje, jak vytvořit registraci aplikace Microsoft Entra ID, která má přístup ke službě Azure Digital Twins. Tento článek obsahuje kroky pro Azure Portal a Azure CLI.

Při práci s Azure Digital Twins je běžné pracovat s vaší instancí prostřednictvím klientských aplikací. Tyto aplikace se musí ověřovat pomocí služby Azure Digital Twins a některé mechanismy ověřování, které můžou aplikace používat, zahrnují registraci aplikace.

Registrace aplikace se nevyžaduje pro všechny scénáře ověřování. Pokud ale používáte strategii ověřování nebo ukázku kódu, která vyžaduje registraci aplikace, v tomto článku se dozvíte, jak ho nastavit a udělit jí oprávnění k rozhraním API služby Azure Digital Twins. Popisuje také, jak shromáždit důležité hodnoty, které budete při ověřování potřebovat k registraci aplikace.

Tip

Můžete raději nastavit novou registraci aplikace pokaždé, když ji potřebujete, nebo to udělat jenom jednou a vytvořit jednu registraci aplikace, která se bude sdílet mezi všemi scénáři, které ji vyžadují.

Vytvoření registrace

Začněte tím, že vyberete kartu níže pro vaše upřednostňované rozhraní.

Azure Portal

Na webu Azure Portal přejděte na ID Microsoft Entra (můžete použít tento odkaz nebo ho najít pomocí panelu hledání na portálu). V nabídce služby vyberte Registrace aplikací a pak + Nová registrace.

Na stránce Zaregistrovat aplikaci , která následuje, vyplňte požadované hodnoty:

• Název: Zobrazovaný název aplikace Microsoft Entra, který se přidruží k registraci.
• Podporované typy účtů: Vyberte účty pouze v tomto adresáři organizace (pouze výchozí adresář – jeden tenant).

Až budete hotovi, vyberte tlačítko Zaregistrovat .

Po dokončení nastavení registrace vás portál přesměruje na stránku s podrobnostmi.

Rozhraní příkazového řádku

Začněte vytvořením souboru manifestu, který obsahuje informace o službě, které vaše registrace aplikace bude potřebovat pro přístup k rozhraním API služby Azure Digital Twins. Potom tento soubor předáte do příkazu rozhraní příkazového řádku pro vytvoření registrace.

Vytvoření manifestu

Na počítači vytvořte nový soubor .json s názvem manifest.json. Zkopírujte tento text do souboru:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Statická hodnota 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 je ID prostředku pro koncový bod služby Azure Digital Twins, který bude registrace vaší aplikace potřebovat pro přístup k rozhraním API služby Azure Digital Twins.

Uložte hotový soubor.

Uživatelé Cloud Shellu: Nahrání manifestu

Pokud pro účely tohoto kurzu používáte Azure Cloud Shell, budete muset nahrát soubor manifestu, který jste vytvořili do Cloud Shellu, abyste k němu měli přístup v příkazech Cloud Shellu při konfiguraci registrace aplikace. Pokud používáte místní instalaci Azure CLI, můžete přeskočit k dalšímu kroku, spusťte příkaz pro vytvoření.

Pokud chcete soubor nahrát, přejděte v prohlížeči do okna Cloud Shellu. Vyberte ikonu Nahrát nebo stáhnout soubory a zvolte Nahrát.

Na počítači přejděte do souboru manifest.json a vyberte Otevřít. Tím soubor nahrajete do kořenového adresáře vašeho úložiště Cloud Shell.

Spuštění příkazu pro vytvoření

V této části spustíte příkaz rozhraní příkazového řádku pro vytvoření registrace aplikace s následujícími nastaveními:

• Název podle vašeho výběru
• K dispozici pouze pro účty ve výchozím adresáři (jeden tenant)
• Adresa URL webové odpovědi http://localhost
• Oprávnění ke čtení a zápisu pro rozhraní API služby Azure Digital Twins

Spuštěním následujícího příkazu vytvořte registraci. Pokud používáte Cloud Shell, cesta k souboru manifest.json je @manifest.json.

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

Výstupem příkazu jsou informace o registraci aplikace, kterou jste vytvořili.

Ověření úspěchu

Oprávnění Azure Digital Twins můžete potvrdit vyhledáním následujících polí ve výstupu příkazu pro vytvoření v části requiredResourceAccess. Potvrďte, že jejich hodnoty odpovídají níže uvedeným hodnotám.

• resourceAccess > id is 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Shromáždění důležitých hodnot

Dále shromážděte některé důležité hodnoty týkající se registrace aplikace, kterou budete muset použít k ověření klientské aplikace. Mezi tyto hodnoty patří:

• název prostředku – Při práci s Azure Digital Twins je http://digitaltwins.azure.netnázev prostředku .
• ID klienta
• ID tenanta
• tajný klíč klienta

Následující části popisují, jak najít zbývající hodnoty.

Shromažďování ID klienta a ID tenanta

Pokud chcete použít registraci aplikace k ověřování, možná budete muset zadat ID aplikace (klienta) a ID adresáře (tenanta). Tady tyto hodnoty shromáždíte, abyste je mohli uložit a použít, kdykoli je budete potřebovat.

Azure Portal

ID klienta a hodnoty ID tenanta je možné shromažďovat ze stránky s podrobnostmi o registraci aplikace na webu Azure Portal:

Poznamenejte si ID aplikace (klienta) a ID adresáře (tenanta) zobrazené na vaší stránce.

Rozhraní příkazového řádku

ID aplikace můžete najít ve výstupu az ad app create příkazu, který jste spustili dříve (nebo znovu zobrazit informace pomocí příkazu az ad app show).

appId Vyhledejte výsledek:

ID tenanta můžete zobrazit v prostředí pomocí příkazu az account tenant list .

Poznámka:

Tato skupina příkazů je experimentální a aktuálně ve vývoji.

Shromažďování tajného klíče klienta

Nastavte tajný klíč klienta pro registraci vaší aplikace, které můžou ostatní aplikace použít k ověření.

Azure Portal

Začněte na stránce registrace aplikace na webu Azure Portal.

1. V nabídce registrace vyberte Certifikáty a tajné kódy a pak vyberte + Nový tajný klíč klienta.

   

2. Zadejte libovolné hodnoty pro popis a konec platnosti a vyberte Přidat.

   

3. Ověřte, že je tajný klíč klienta viditelný na stránce Certifikáty a tajné kódy s poli Konec platnosti a Hodnota.

4. Poznamenejte si jeho ID a hodnotu tajného kódu, abyste je mohli později použít (můžete je také zkopírovat do schránky pomocí ikon kopírování).

   

Důležité

Nezapomeňte teď hodnoty zkopírovat a uložit je na bezpečném místě, protože je už nejde znovu načíst. Pokud je později nemůžete najít, budete muset vytvořit nový tajný kód.

Rozhraní příkazového řádku

K vytvoření tajného klíče klienta pro registraci aplikace budete potřebovat hodnotu ID klienta registrace vaší aplikace, kterou jste shromáždili v předchozím kroku. K vytvoření nového tajného kódu použijte hodnotu v následujícím příkazu rozhraní příkazového řádku:

az ad app credential reset --id <client-ID> --append

Do tohoto příkazu můžete také přidat volitelné parametry pro zadání popisu přihlašovacích údajů, koncového data a dalších podrobností. Další informace o příkazu a jeho parametrech najdete v dokumentaci az ad app credential reset.

Výstupem tohoto příkazu jsou informace o tajném kódu klienta, který jste vytvořili.

Zkopírujte hodnotu, password kterou chcete použít, pokud potřebujete tajný klíč klienta pro ověření.

Důležité

Nezapomeňte teď zkopírovat hodnotu a uložit ji na bezpečném místě, protože ji nelze znovu načíst. Pokud hodnotu později nemůžete najít, budete muset vytvořit nový tajný kód.

Poskytnutí oprávnění Azure Digital Twins

Dále nakonfigurujte registraci aplikace, kterou jste vytvořili s oprávněními pro přístup ke službě Azure Digital Twins. Existují dva typy požadovaných oprávnění:

• Přiřazení role pro registraci aplikace v instanci Azure Digital Twins
• Oprávnění rozhraní API pro aplikaci ke čtení a zápisu do rozhraní API služby Azure Digital Twins

Vytvořit přiřazení role

V této části vytvoříte přiřazení role pro registraci aplikace v instanci Azure Digital Twins. Tato role určí, jaká oprávnění má registrace aplikace v instanci, takže byste měli vybrat roli, která odpovídá příslušné úrovni oprávnění pro vaši situaci. Jednou z možných rolí je vlastník dat Azure Digital Twins. Úplný seznam rolí a jejich popisů najdete v tématu Předdefinované role Azure.

Azure Portal

Pomocí těchto kroků vytvořte přiřazení role pro vaši registraci.

1. Na webu Azure Portal otevřete stránku vaší instance služby Azure Digital Twins.

2. Vyberte Řízení přístupu (IAM) .

3. Kliknutím na Přidat>Přidat přiřazení role otevřete stránku Přidat přiřazení role.

4. Přiřaďte odpovídající roli. Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

   Nastavení	Hodnota
   Role	Podle potřeby vyberte
   Členové > přiřazují přístup k	Uživatel, skupina nebo instanční objekt
   Členové >	+ Vyberte členy a vyhledejte název registrace aplikace.

   

   

   Jakmile je role vybraná, zkontrolujte a přiřaďte ji.

Ověření přiřazení role

Přiřazení role, které jste nastavili, můžete zobrazit v části Přiřazení rolí řízení přístupu (IAM). >

Registrace aplikace by se měla zobrazit v seznamu spolu s rolí, kterou jste k ní přiřadili.

Rozhraní příkazového řádku

Pomocí příkazu az dt role-assignment create přiřaďte roli (musí ji spustit uživatel s dostatečnými oprávněními v předplatném Azure). Tento příkaz vyžaduje předání názvu role, kterou chcete přiřadit, název instance služby Azure Digital Twins a název nebo ID objektu registrace aplikace.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Výsledkem tohoto příkazu jsou informace o přiřazení role vytvořené pro registraci aplikace.

Pokud chcete přiřazení role dále ověřit, můžete ho vyhledat na webu Azure Portal (přejděte na kartu Pokyny k portálu).

Poskytnutí oprávnění rozhraní API

V této části udělíte standardním hodnotám aplikace oprávnění ke čtení a zápisu do rozhraní API služby Azure Digital Twins.

Pokud používáte Azure CLI a nastavíte registraci aplikace dříve v souboru manifestu, tento krok už je hotový. Pokud k vytvoření registrace aplikace používáte Azure Portal, pokračujte ve zbývající části této části a nastavte oprávnění rozhraní API.

Azure Portal

Na stránce portálu pro registraci vaší aplikace vyberte v nabídce oprávnění rozhraní API. Na následující stránce oprávnění vyberte tlačítko + Přidat oprávnění .

Na následující stránce oprávnění rozhraní API požadavku přejděte na rozhraní API, která moje organizace používá, kartu a vyhledejte digitální dvojčata Azure. Ve výsledcích hledání vyberte Azure Digital Twins a pokračujte přiřazením oprávnění pro rozhraní API služby Azure Digital Twins.

Dále vyberete oprávnění, která se mají udělit pro tato rozhraní API. Rozbalte oprávnění Ke čtení (1) a zaškrtněte políčko Read.Write a udělte tomuto čtenáři registrace a zapisovači této aplikace oprávnění.

Po dokončení vyberte Přidat oprávnění .

Ověření oprávnění rozhraní API

Na stránce oprávnění rozhraní API ověřte, že teď existuje položka pro Azure Digital Twins s oprávněními ke čtení.zápisu:

Můžete také ověřit připojení ke službě Azure Digital Twins v rámci manifest.json registrace aplikace, která se automaticky aktualizovala informacemi o službě Azure Digital Twins při přidání oprávnění rozhraní API.

Uděláte to tak, že v nabídce vyberete Manifest a zobrazíte kód manifestu registrace aplikace. Posuňte se do dolní části okna kódu a vyhledejte následující pole a hodnoty v části requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0" (Toto je ID prostředku pro koncový bod služby Azure Digital Twins.)
• "resourceAccess">"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8" (Toto je ID oprávnění delegovaného oprávnění Read.Write ve službě Azure Digital Twins.)

Tyto hodnoty jsou znázorněny na následujícím snímku obrazovky:

Pokud tyto hodnoty chybí, zkuste kroky v části pro přidání oprávnění rozhraní API.

Rozhraní příkazového řádku

Pokud používáte rozhraní příkazového řádku, byla oprávnění rozhraní API nastavena dříve v rámci kroku Vytvoření registrace .

Teď je můžete ověřit pomocí webu Azure Portal (přejděte na kartu Pokyny k portálu).

Další možné kroky pro vaši organizaci

Je možné, že vaše organizace vyžaduje od vlastníků nebo správců předplatného další akce, aby dokončila nastavení registrace aplikace. Požadované kroky se mohou lišit v závislosti na konkrétním nastavení vaší organizace. Pokud chcete zobrazit tyto informace přizpůsobené vašemu preferovanému rozhraní, zvolte kartu níže.

Azure Portal

Tady je několik běžných potenciálních aktivit, které může udělat vlastník nebo správce předplatného. Tyto a další operace je možné provádět na stránce Microsoft Entra Registrace aplikací na webu Azure Portal.

• Udělte souhlas správce s registrací aplikace. Vaše organizace může mít globálně zapnutý souhlas správce v Microsoft Entra ID pro všechny registrace aplikací v rámci vašeho předplatného. Pokud ano, bude muset vlastník nebo správce vybrat toto tlačítko pro vaši společnost na stránce oprávnění rozhraní API registrace aplikace, aby registrace aplikace byla platná:

  

  • Pokud byl souhlas úspěšně udělen, měla by položka pro Azure Digital Twins zobrazit hodnotu Status (Uděleno) (vaše společnost).

  

• Aktivace přístupu k veřejnému klientovi

• Nastavení konkrétních adres URL odpovědí pro přístup k webu a desktopu

• Povolit implicitní toky ověřování OAuth2

Rozhraní příkazového řádku

Tady je několik běžných potenciálních aktivit, které může udělat vlastník nebo správce předplatného.

• Udělte souhlas správce s registrací aplikace. Vaše organizace může mít globálně zapnutý souhlas správce v Microsoft Entra ID pro všechny registrace aplikací v rámci vašeho předplatného. Pokud ano, vlastník nebo správce může potřebovat udělit další delegovaná oprávnění nebo oprávnění aplikace.
• Aktivujte veřejný klientský přístup připojením --set publicClient=true k příkazu create nebo update pro registraci.
• Pomocí parametru nastavte konkrétní adresy URL odpovědí pro přístup k webu a desktopu --reply-urls . Další informace o použití tohoto parametru s az ad příkazy najdete v dokumentaci k az ad app.
• Povolte implicitní toky ověřování OAuth2 pomocí parametru --oauth2-allow-implicit-flow . Další informace o použití tohoto parametru s az ad příkazy najdete v dokumentaci k az ad app.

Další informace o registraci aplikace a jejích různých možnostech nastavení najdete v tématu Registrace aplikace na platformě Microsoft Identity Platform.

Další kroky

V tomto článku jste nastavili registraci aplikace Microsoft Entra, která se dá použít k ověřování klientských aplikací pomocí rozhraní API služby Azure Digital Twins.

Dále si přečtěte o mechanismech ověřování, včetně mechanismů, které používají registrace aplikací a další, které nepoužívají:

• Psaní ověřovacího kódu aplikace