Creación de un registro de aplicaciones para usar con Azure Digital Twins
En este artículo se describe cómo crear un registro de aplicación de Microsoft Entra ID que pueda acceder a Azure Digital Twins. En este artículo se incluyen los pasos para el Azure Portal y la CLI de Azure.
Cuando se trabaja con Azure Digital Twins, es habitual interactuar con la instancia a través de aplicaciones cliente. Estas aplicaciones deben autenticarse con Azure Digital Twins y algunos de los mecanismos de autenticación que las aplicaciones pueden usar conllevan un registro de aplicación.
El registro de la aplicación no es necesario en todos los escenarios de autenticación. Pero si va a usar una estrategia de autenticación o un ejemplo de código que exige registrar una aplicación, en este artículo se muestra cómo configurarlo y concederle permisos a las API de Azure Digital Twins. También se explica cómo recopilar valores importantes necesarios para usar el registro de la aplicación al realizar la autenticación.
Sugerencia
Es posible que prefiera configurar un nuevo registro de aplicaciones cada vez que lo necesite, o, hacer esto solo una vez, y establecer un solo registro de aplicaciones que se compartirá entre todos los escenarios que lo requieran.
Creación del registro
Para empezar, seleccione la pestaña siguiente para su interfaz preferida.
Vaya a Microsoft Entra ID en el Azure Portal (puede usar este enlace o encontrarlo en la barra de búsqueda del portal). Seleccione Registros de aplicaciones en el menú del servicio y, luego, + Nuevo registro.
En la página Registrar una aplicación que sigue, rellene los valores solicitados:
- Nombre: nombre para mostrar de una aplicación de Microsoft Entra para asociar al registro.
- Tipos de cuenta admitidos: seleccione Solo cuentas de este directorio organizativo (Solo directorio predeterminado: inquilino único).
Cuando haya terminado, pulse el botón Registrar.
Cuando termine la configuración del registro, el portal lo redirigirá a su página de detalles.
Recopilación de valores importantes
Luego, recopile algunos valores importantes sobre el registro de la aplicación que va a necesitar para usar el registro a fin de autenticar una aplicación cliente. Estos valores incluyen:
- nombre del recurso: cuando se trabaja con Azure Digital Twins, el nombre del recurso es
http://digitaltwins.azure.net
. - identificador del cliente
- Id. de inquilino
- secreto de cliente
Las siguientes secciones describen cómo encontrar los valores restantes.
Recopilación de los identificadores de cliente y de inquilino
Para usar el registro de la aplicación para la autenticación, es posible que tenga que especificar su identificador de aplicación (cliente) e identificador de directorio (inquilino). En esta sección, se recopilan estos valores para que pueda guardarlos y usarlos siempre que los necesite.
Los valores de identificador de cliente e identificador de inquilino se pueden recopilar de la página de detalles del registro de la aplicación en Azure Portal:
Anote el identificador de aplicación (cliente) y el identificador de directorio (inquilino), como se muestra en su página.
Recopilación del secreto de cliente
Configure un secreto de cliente para el registro de la aplicación, que otras aplicaciones pueden usar para autenticarse a través de ella.
Comience en la página de registro de la aplicación en el Azure Portal.
Seleccione Certificados y secretos en el menú del registro y, después, + Nuevo secreto de cliente.
Escriba los valores que desee en Descripción y Caduca, y seleccione Agregar.
Compruebe que el secreto de cliente está visible en la página Certificados y secretos con los campos Caduca y Valor.
Tome nota de los valores de Secret ID (Identificador de secreto) y Value (Valor) para usarlo más adelante (también puede copiarlos en el Portapapeles con los iconos de Copia).
Importante
Asegúrese de copiar los valores ahora y almacenarlos en un lugar seguro, ya que no se pueden volver a recuperar. Si no los encuentra posteriormente, tendrá que crear un secreto.
Concesión de permisos de Azure Digital Twins
A continuación, configure el registro de la aplicación que ha creado con permisos de acceso a Azure Digital Twins. Hay dos tipos de permisos necesarios:
- Una asignación de rol para el registro de la aplicación dentro de la instancia de Azure Digital Twins
- Permisos de la API para que la aplicación pueda leer y escribir en las API de Azure Digital Twins
Creación de asignaciones de roles
En esta sección, creará una asignación de roles para el registro de la aplicación en la instancia de Azure Digital Twins. Este rol determinará qué permisos tiene el registro de la aplicación en la instancia, por lo que debe seleccionar el rol que coincida con el nivel de permiso adecuado para su situación. Un rol posible es Propietario de datos de Azure Digital Twins. Para obtener una lista completa de los roles y sus descripciones, consulte Roles integrados de Azure.
Siga estos pasos para crear la asignación de roles para el registro.
Abra la página de la instancia de Azure Digital Twins en Azure Portal.
Seleccione Access Control (IAM) .
Seleccione Agregar>Agregar asignación de roles para abrir la página Agregar asignación de roles.
Asigne el rol adecuado. Para acceder a los pasos detallados, vea Asignación de roles de Azure mediante Azure Portal.
Configuración Valor Role Seleccione según corresponda. Los miembros > asignan el acceso a Usuario, grupo o entidad de servicio Miembros > Miembros + Seleccione miembros y, a continuación, busque el nombre del registro de la aplicación Una vez seleccionado el rol, revíselo y asígnelo.
Comprobación de la asignación de roles
Puede ver la asignación de roles que ha configurado en Control de acceso (IAM) > Asignaciones de roles.
El registro de la aplicación debe aparecer en la lista junto con el rol que le asignó.
Concesión de permisos de API
En esta sección, concederá permisos de lectura y escritura de línea de base de la aplicación a las API de Azure Digital Twins.
Si usa la CLI de Azure y configura el registro de la aplicación anteriormente con un archivo de manifiesto, este paso ya se ha realizado. Si usa el Azure Portal para crear el registro de la aplicación, continúe con el resto de esta sección para configurar permisos de API.
En la página del portal de registro de aplicación, seleccione Permisos de API en el menú. En la siguiente página de permisos, seleccione el botón + Agregar un permiso.
En la página Solicitud de permisos de API que sigue, cambie a la pestaña API usadas en mi organización y busque Azure Digital Twins. Seleccione Azure Digital Twins en los resultados de búsqueda para continuar asignando permisos para las API de Azure Digital Twins.
A continuación, seleccione los permisos que quiere conceder para estas API. Expanda el permiso Lectura (1) y marque la casilla que indica Read.Write para conceder permisos de lectura y escritura para el registro de la aplicación.
Cuando termine, seleccione Agregar permisos.
Comprobación de permisos de API
En la página Permisos de API, compruebe que ahora haya una entrada para Azure Digital Twins que muestre los permisos de lectura y escritura:
También puede comprobar la conexión a Azure Digital Twins en el archivo manifest.json del registro de la aplicación, que se actualizó automáticamente con la información de Azure Digital Twins cuando agregó los permisos de API.
Seleccione Manifiesto en el menú para ver el código del archivo de manifiesto del registro de la aplicación. Desplácese hasta la parte inferior de la ventana de código y busque los siguientes campos y valores en requiredResourceAccess
:
"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
(este es el identificador de recurso para el punto de conexión de servicio de Azure Digital Twins.)"resourceAccess"
>"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"
(este es el identificador de permiso para el permiso delegado Read.Write en Azure Digital Twins.)
Estos valores se muestran en la siguiente captura de pantalla:
Si faltan estos valores, vuelva a intentar los pasos de la sección para agregar el permiso de API.
Otros posibles pasos para la organización
Es posible que su organización requiera más acciones por parte de los propietarios o administradores de la suscripción para terminar de configurar el registro de la aplicación. Los pasos necesarios pueden variar en función de la configuración específica de su organización. Elija una pestaña a continuación para ver esta información adaptada a su interfaz preferida.
Estas son algunas posibles actividades comunes que puede que el propietario o administrador de la suscripción tenga que realizar. Estas y otras operaciones se pueden realizar desde la página Registros de aplicaciones de Microsoft Entra en Azure Portal.
Conceda el consentimiento del administrador para el registro de aplicaciones. Es posible que la organización tenga habilitado globalmente el Consentimiento del administrador necesario en Microsoft Entra ID para todos los registros de aplicaciones dentro de la suscripción. Si es así, el propietario o el administrador tendrán que seleccionar este botón para la empresa en la página Permisos de API del registro de aplicaciones para que este sea válido:
- Si el consentimiento se concedió correctamente, la entrada de Azure Digital Twins debería mostrar en Estado el valor Concedido para (su empresa)
Activar el acceso de cliente público
Establecer direcciones URL de respuesta específicas para el acceso web y de escritorio
Permitir flujos de autenticación de OAuth2 implícitos
Para más información sobre el registro de aplicaciones y sus distintas opciones de configuración, consulte Registro de una aplicación en la plataforma de identidad de Microsoft.
Pasos siguientes
En este artículo, ha configurado un registro de aplicaciones de Microsoft Entra que se puede usar para autenticar las aplicaciones cliente con las API de Azure Digital Twins.
A continuación, lea información sobre los mecanismos de autenticación, incluido el mecanismo que usa los registros de aplicaciones y los que no lo usan: