Erstellen einer App-Registrierung für die Verwendung mit Azure Digital Twins

In diesem Artikel wird beschrieben, wie Sie eine App-Registrierung für Microsoft Entra ID erstellen, die auf Azure Digital Twins zugreifen kann. Dieser Artikel enthält Schritte für Azure-Portal und Azure CLI.

Beim Arbeiten mit Azure Digital Twins ist es üblich, über Clientanwendungen mit Ihrer Instanz zu interagieren. Diese Anwendungen müssen sich bei Azure Digital Twins authentifizieren, und einige der Authentifizierungsmechanismen, die Apps verwenden können, umfassen eine App-Registrierung.

Die App-Registrierung ist nicht für alle Authentifizierungsszenarien erforderlich. Wenn Sie jedoch eine Authentifizierungsstrategie oder ein Codebeispiel verwenden, die/das eine App-Registrierung erfordert, erfahren Sie in diesem Artikel, wie Sie diese einrichten und ihr Berechtigungen für die Azure Digital Twins-APIs erteilen. Außerdem wird erläutert, wie Sie wichtige Werte erfassen, die Sie benötigen, um die App-Registrierung für die Authentifizierung zu verwenden.

Tipp

Es empfiehlt sich, bei Bedarf jeweils eine neue App-Registrierung einzurichten. Wenn Sie diesen Vorgang nur ein Mal ausführen möchten, können Sie alternativ eine einzelne App-Registrierung einrichten, die von allen Szenarien gemeinsam verwendet wird.

Erstellen der Registrierung

Beginnen Sie, indem Sie die Registerkarte unten für Ihre bevorzugte Schnittstelle auswählen.

Portal

Gehen Sie zu Microsoft Entra ID im Azure-Portal (Sie können diesen Link verwenden oder nach diesem Eintrag über die Suchleiste des Portals suchen). Wählen Sie App-Registrierungen aus dem Dienstmenü und dann + Neue Registrierung aus.

Geben Sie auf der folgenden Seite Anwendung registrieren die angeforderten Werte ein:

• Name: Ein Anzeigename einer Microsoft Entra-Anwendung, die der Registrierung zugeordnet werden soll.
• Unterstützte Kontotypen: Wählen die Option Nur Konten in diesem Organisationsverzeichnis (nur Standardverzeichnis – einzelner Mandant) aus.

Wenn Sie fertig sind, wählen Sie die Schaltfläche Registrieren aus.

Wenn die Einrichtung der Registrierung abgeschlossen ist, leitet das Portal Sie zur Detailseite weiter.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Beginnen Sie mit der Erstellung einer Manifestdatei, die Dienstinformationen enthält, die Ihre App-Registrierung für den Zugriff auf die Azure Digital Twins-APIs benötigt. Anschließend übergeben Sie diese Datei in einen CLI-Befehl, um die Registrierung zu erstellen.

Erstellen eines Manifests

Erstellen Sie auf Ihrem Computer eine neue JSON-Datei namens manifest.json. Kopieren Sie diesen Text in die Datei:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Der statische Wert 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 ist die Ressourcen-ID für den Azure Digital Twins-Dienstendpunkt, den Ihre App-Registrierung für den Zugriff auf die Azure Digital Twins-APIs benötigt.

Speichern Sie die fertige Datei.

Cloud Shell-Benutzer: Hochladen des Manifests

Wenn Sie Azure Cloud Shell für dieses Tutorial verwenden, müssen Sie als nächstes die erstellte Manifestdatei in die Cloud Shell hochladen, damit Sie beim Konfigurieren der App-Registrierung in Cloud Shell-Befehlen darauf zugreifen können. Wenn Sie eine lokale Installation von Azure CLI verwenden, können Sie zum nächsten Schritt übergehen Führen Sie den Erstellungsbefehl aus.

Um die Datei hochzuladen, wechseln Sie in Ihrem Browser zum Fenster „Cloud Shell“. auf das Symbol „Dateien hochladen/herunterladen“ und dann auf „Hochladen“.

Navigieren Sie zu der Datei manifest.json auf Ihrem Computer, und wählen Sie Öffnen aus. Dadurch wird die Datei in den Stamm Ihres Cloud Shell-Speichers hochgeladen.

Ausführen des Erstellungsbefehls

In diesem Abschnitt führen Sie einen CLI-Befehl aus, um eine App-Registrierung mit den folgenden Einstellungen zu erstellen:

• Name Ihrer Wahl
• Nur für Konten im Standardverzeichnis (einzelner Mandant) verfügbar.
• Eine Webantwort-URL der Form http://localhost
• Lese-/Schreibberechtigungen für die Azure Digital Twins-APIs

Führen Sie den folgenden Befehl aus, um die Registrierung zu erstellen. Wenn Sie Cloud Shell verwenden, lautet der Pfad zur Datei „manifest.json“ entsprechend @manifest.json.

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

Die Ausgabe des Befehls ist die Information über die App-Registrierung, die Sie erstellt haben.

Überprüfen des erfolgreichen Abschlusses

Sie können bestätigen, dass die Berechtigungen für Azure Digital Twins erteilt wurden, indem Sie in der Ausgabe des Erstellungsbefehls unter requiredResourceAccess suchen. Bestätigen Sie, dass ihre Werte mit den unten aufgeführten Werten übereinstimmen.

• resourceAccess > id is 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Erfassen wichtiger Werte

Erfassen Sie als Nächstes einige wichtige Werte zu der App-Registrierung, die Sie benötigen, um die App-Registrierung zum Authentifizieren einer Clientanwendung zu verwenden. Zu diesen Werten gehören:

• Ressourcenname – Wenn Sie mit Azure Digital Twins arbeiten, lautet der Ressourcennamehttp://digitaltwins.azure.net.
• Client-ID
• Mandanten-ID
• Geheimer Clientschlüssel

In den folgenden Abschnitten wird beschrieben, wie Sie die anderen Werte ermitteln.

Erfassen der Client-ID und Mandanten-ID

Um die App-Registrierung für die Authentifizierung zu verwenden, müssen Sie möglicherweise deren Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) angeben. An dieser Stelle werden Sie diese Werte sammeln, um sie zu speichern und bei Bedarf zu verwenden.

Portal

Die Werte für Client-ID und Mandanten-ID können auf der Detailseite der App-Registrierung im Azure-Portal abgefragt werden:

Notieren Sie sich die Anwendungs-ID (Client-ID) und Verzeichnis-ID (Mandanten-ID), die auf Ihrer Seite angezeigt wird.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Sie finden die App-ID in der Ausgabe des az ad app createBefehls, den Sie zuvor ausgeführt haben (oder rufen Sie die Informationen erneut mit az ad app show auf).

Suchen Sie im Ergebnis nach appId:

Sie können Ihre Mandanten-ID in der Shell mithilfe des az account tenant list Befehls anzeigen.

Hinweis

Diese Befehlsgruppe ist experimentell und wird derzeit entwickelt.

Erfassen des geheimen Clientschlüssels

Richten Sie einen geheimen Clientschlüssel für Ihre App-Registrierung ein, mit dem andere Anwendungen sich über ihn authentifizieren können.

Portal

Beginnen Sie auf der App-Registrierungsseite im Azure-Portal.

1. Wählen Sie im Menü der Registrierung die Option Zertifikate und Geheimnisse aus, und wählen Sie dann + Neuer geheimer Clientschlüssel aus.

   

2. Geben Sie die gewünschten Werte für die Beschreibung und den Ablauf ein, und wählen Sie Hinzufügen aus.

   

3. Vergewissern Sie sich, dass der geheime Clientschlüssel auf der Seite Zertifikate und Geheimnisse mit den Feldern „Ablauf“ und „Wert“ angezeigt wird.

4. Notieren Sie sich die Geheimnis-ID und den Wert für später. (Sie können diese auch mithilfe der Kopiersymbole in die Zwischenablage kopieren.)

   

Wichtig

Kopieren Sie die Werte jetzt und bewahren Sie sie an einem sicheren Ort auf, da sie nicht wieder abgerufen werden können. Wenn Sie die Werte später nicht mehr finden können, müssen Sie ein neues Geheimnis erstellen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Um einen geheimen Clientschlüssel für Ihre App-Registrierung zu erstellen, benötigen Sie den Wert der Client-ID Ihrer App-Registrierung, den Sie im vorherigen Schritt erfasst haben. Verwenden Sie den Wert im folgenden CLI-Befehl, um ein neues Geheimnis zu erstellen:

az ad app credential reset --id <client-ID> --append

Sie können diesem Befehl auch optionale Parameter hinzufügen, um eine Beschreibung der Anmeldeinformationen, ein Enddatum und andere Details anzugeben. Weitere Informationen zu dem Befehl und seinen Parametern finden Sie in der Dokumentation zu „az ad app credential reset“.

Die Ausgabe dieses Befehls enthält Informationen zu dem geheimen Clientschlüssel, den Sie erstellt haben.

Kopieren Sie den Wert für password, um ihn zu verwenden, wenn Sie den geheimen Clientschlüssel für die Authentifizierung benötigen.

Wichtig

Stellen Sie sicher, dass Sie den Wert jetzt kopieren, und speichern Sie ihn an einem sicheren Ort, da er nicht erneut abgerufen werden kann. Wenn Sie den Wert später nicht finden können, müssen Sie ein neues Geheimnis erstellen.

Bereitstellen der Berechtigungen für Azure Digital Twins

Konfigurieren Sie nun die App-Registrierung, die Sie mit Berechtigungen für den Zugriff auf Azure Digital Twins erstellt haben. Es gibt zwei Arten von Berechtigungen, die erforderlich sind:

• Eine Rollenzuweisung für die App-Registrierung innerhalb der Azure Digital Twins-Instanz
• API-Berechtigungen für die App zum Lesen und Schreiben auf die Azure Digital Twins APIs

Erstellen von Rollenzuweisungen

In diesem Abschnitt erstellen Sie eine Rollenzuweisung für die App-Registrierung auf der Azure Digital Twins-Instanz. Diese Rolle bestimmt, welche Berechtigungen die App-Registrierung auf der Instanz besitzt, sodass Sie die Rolle auswählen sollten, die der entsprechenden Berechtigungsebene für Ihre Situation entspricht. Eine mögliche Rolle ist Azure Digital Twins-Datenbesitzer. Eine vollständige Liste der Rollen und deren Beschreibungen finden Sie unter Integrierte Azure-Rollen.

Portal

Führen Sie die folgenden Schritte aus, um die Rollenzuweisung für Ihre Registrierung zu erstellen.

1. Öffnen Sie die Seite für Ihre Azure Digital Twins-Instanz im Azure-Portal.

2. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um den Bereich „Rollenzuweisung hinzufügen“ zu öffnen.

4. Weisen Sie die entsprechende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

   Einstellung	Wert
   Rolle	Zutreffendes auswählen
   Mitglieder > Zuweisen des Zugriffs auf	Benutzer, Gruppe oder Dienstprinzipal
   Mitglieder > Mitglieder	+ Mitglieder auswählen und dann nach dem Namen der App-Registrierung suchen

   

   

   Nachdem die Rolle ausgewählt wurde, können Sie sie Überprüfen und Zuweisen.

Überprüfen der Rollenzuweisung

Sie können die Rollenzuweisung, die Sie eingerichtet haben, unter Zugriffssteuerung (IAM) > Rollenzuweisungen anzeigen.

Die App-Registrierung sollte in der Liste zusammen mit der Rolle angezeigt werden, die Sie ihr zugewiesen haben.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Verwenden Sie den Befehl az dt rollenzuweisung erstellen, um die Rolle zuzuweisen (dieser Vorgang muss von einem Benutzer mit ausreichenden Berechtigungen im Azure-Abonnement ausgeführt werden). Für den Befehl müssen Sie den Namen der Rolle, die Sie zuweisen möchten, den Namen Ihrer Azure Digital Twins-Instanz und entweder den Namen oder die Objekt-ID der App-Registrierung eingeben.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Die Ausgabe dieses Befehls enthält Informationen zur Rollenzuweisung, die für die App-Registrierung erstellt wurde.

Um die Rollenzuweisung weiter zu überprüfen, können Sie sie im Azure-Portal nach ihr suchen (wechseln Sie zur Registerkarte Portalanweisung).

Bereitstellen von API-Berechtigungen

In diesem Abschnitt gewähren Sie Ihrer App grundlegende Lese-/Schreibberechtigungen für die Azure Digital Twins-APIs.

Wenn Sie die Azure CLI verwenden und Ihre App-Registrierung bereits mit einer Manifestdatei eingerichtet haben, ist dieser Schritt bereits abgeschlossen. Wenn Sie das Azure-Portal zur Erstellung Ihrer App-Registrierung verwenden, fahren Sie mit dem Rest dieses Abschnitts fort, um API-Berechtigungen einzurichten.

Portal

Wählen Sie auf der Portalseite für Ihre App-Registrierung im Menü API-Berechtigungen aus. Wählen Sie auf der folgenden Berechtigungsseite die Schaltfläche + Berechtigung hinzufügen aus.

Wechseln Sie auf der folgenden Seite API-Berechtigungen anfordern zur Registerkarte Von meiner Organisation verwendete APIs, und suchen Sie nach Azure Digital Twins. Wählen Sie Azure Digital Twins aus den Suchergebnissen aus, um mit dem Zuweisen von Berechtigungen für die Azure Digital Twins-APIs fortzufahren.

Hinweis

Wenn Ihr Abonnement noch über eine vorhandene Azure Digital Twins-Instanz aus der vorherigen öffentlichen Vorschau des Diensts (vor Juli 2020) verfügt, müssen Sie stattdessen nach Azure Smart Spaces Service suchen und diese Option auswählen. Dies ist ein älterer Name für die gleiche Sammlung von APIs (beachten Sie, dass die Anwendungs-ID (Client) mit der ID im Screenshot oben identisch ist), und Ihre Vorgehensweise ändert sich über diesen Schritt hinaus nicht mehr.

Nun wählen Sie die Berechtigungen aus, die für diese APIs erteilt werden sollen. Erweitern Sie die Berechtigung Lesen (1), und aktivieren Sie das Kontrollkästchen Read.Write, um diesem App-Registrierungsleser und -writer Berechtigungen zu erteilen.

Wählen Sie Berechtigungen hinzufügen aus, wenn Sie fertig sind.

Überprüfen der API-Berechtigungen

Vergewissern Sie sich, dass auf der Seite API-Berechtigungen nun ein Eintrag für Azure Digital Twins vorhanden ist, der Berechtigungen vom Typ Read.Write widerspiegelt:

Sie können die Verbindung mit Azure Digital Twins auch in der Datei manifest.json der App-Registrierung überprüfen, die automatisch mit den Informationen zu Azure Digital Twins aktualisiert wurde, als Sie die API-Berechtigungen hinzugefügt haben.

Wählen Sie hierzu Manifest aus dem Menü aus, um den Manifestcode der App-Registrierung anzuzeigen. Scrollen Sie zum unteren Rand des Codefensters, und suchen Sie unter requiredResourceAccess nach den folgenden Feldern und Werten:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Diese Werte werden im nachfolgenden Screenshot gezeigt:

Wenn diese Werte fehlen, wiederholen Sie die Schritte im Abschnitt zum Hinzufügen der API-Berechtigung.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Wenn Sie die CLI verwenden, wurden die API-Berechtigungen bereits im Schritt Erstellen der Registrierung eingerichtet.

Sie können sie jetzt mithilfe der Azure-Portal überprüfen (wechseln Sie zur Registerkarte Portalanweisung).

Weitere mögliche Schritte für Ihre Organisation

Es ist möglich, dass in Ihrer Organisation weitere Aktionen von den Abonnementinhabern oder Administratoren erforderlich sind, um die Registrierung der App abzuschließen. Welche Schritte erforderlich sind, hängt von den spezifischen Einstellungen Ihrer Organisation ab. Wählen Sie unten eine Registerkarte, um die Informationen auf Ihrer bevorzugten Schnittstelle anzuzeigen.

Portal

Im Folgenden finden Sie einige häufig vorkommende Aktivitäten, die ein Besitzer oder Administrator für das Abonnement möglicherweise ausführen muss. Diese und andere Vorgänge können über die Seite Microsoft Entra-App-Registrierungen im Azure-Portal ausgeführt werden.

• Erteilen Sie eine Administratoreinwilligung für die App-Registrierung. In Ihrer Organisation ist möglicherweise die Einstellung Administratoreinwilligung erforderlich global in Microsoft Entra ID für alle App-Registrierungen in Ihrem Abonnement aktiviert. Wenn dies der Fall ist, muss der Besitzer/Administrator diese Schaltfläche für Ihr Unternehmen auf der Seite API-Berechtigungen der App-Registrierung auswählen, damit die App-Registrierung gültig ist:

  

  • Wenn die Einwilligung erfolgreich erteilt wurde, sollte der Eintrag für Azure Digital Twins unter Status dann den Wert Gewährt für (Ihr Unternehmen) anzeigen.

  

• Aktivieren des öffentlichen Clientzugriffs

• Festlegen bestimmter Antwort-URLs für den Web- und Desktopzugriff

• Zulassen von impliziten OAuth2-Authentifizierungsflows

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Im Folgenden finden Sie einige häufig vorkommende Aktivitäten, die ein Besitzer oder Administrator für das Abonnement möglicherweise ausführen muss.

• Erteilen Sie eine Administratoreinwilligung für die App-Registrierung. In Ihrer Organisation ist möglicherweise die Einstellung Administratoreinwilligung erforderlich global in Microsoft Entra ID für alle App-Registrierungen in Ihrem Abonnement aktiviert. In diesem Falle muss der Besitzer/Administrator möglicherweise zusätzliche delegierte Berechtigungen oder Anwendungsberechtigungen erteilen.
• Aktivieren Sie den öffentlichen Clientzugriff, indem Sie --set publicClient=true an einen Erstellungs- oder Aktualisierungsbefehl für die Registrierung anfügen.
• Legen Sie spezifische Antwort-URLs für den Web- und Desktopzugriff mithilfe des Parameters --reply-urls fest. Weitere Informationen zur Verwendung dieses Parameters mit az ad-Befehlen finden Sie in der Dokumentation zu „az ad app“.
• Lassen Sie implizite OAuth2-Authentifizierungsflows mithilfe des Parameters --oauth2-allow-implicit-flow zu. Weitere Informationen zur Verwendung dieses Parameters mit az ad-Befehlen finden Sie in der Dokumentation zu „az ad app“.

Weitere Informationen zur App-Registrierung und zu den verschiedenen diesbezüglichen Einrichtungsoptionen finden Sie unter Registrieren einer Anwendung bei der Microsoft Identity Platform.

Nächste Schritte

In diesem Artikel haben Sie eine Microsoft Entra-App-Registrierung festgelegt, die zur Authentifizierung von Clientanwendungen mit den Azure Digital Twins-APIs verwendet werden kann.

Informieren Sie sich im nächsten Schritt über Authentifizierungsmechanismen, darunter einen Mechanismus, der App-Registrierungen verwendet, und andere, bei denen dies nicht der Fall ist:

• Schreiben von App-Authentifizierungscode