Een app toegang geven tot Azure Stack Hub-resources

Een toepassing die resources implementeert of configureert via Azure Resource Manager, moet worden vertegenwoordigd door een eigen identiteit, ook wel een beveiligingsprincipaal genoemd. Net zoals een gebruiker wordt vertegenwoordigd door een gebruikersprincipaal, wordt een app vertegenwoordigd door een service-principal.

De identiteit kan ook worden gebruikt om alleen de benodigde machtigingen voor de gebruiker of app te delegeren. Een configuratiebeheer-app kan bijvoorbeeld Azure Resource Manager gebruiken om Azure-resources te inventariseren. De app wordt geregistreerd in de map en vervolgens toegevoegd aan de rol Lezer in het juiste bereik, waardoor de app wordt beperkt tot alleen-lezentoegang.

Overzicht

Net als een gebruiker moet een app referenties presenteren tijdens verificatie. Hiervoor zijn twee elementen vereist:

• Een toepassings-id, ook wel een client-id genoemd. Een GUID die de registratie van de app uniek identificeert in uw Active Directory-tenant.
• Een geheim. U kunt een clientgeheimtekenreeks genereren (vergelijkbaar met een wachtwoord) of een X509-certificaatvingerafdruk opgeven (die gebruikmaakt van de openbare sleutel).

Het uitvoeren van een app onder een eigen identiteit verdient de voorkeur om deze uit te voeren onder de identiteit van de gebruiker om de volgende redenen:

• Sterkere referenties : een app kan zich aanmelden met een X509-certificaat in plaats van een tekstueel gedeeld geheim/wachtwoord.
• Er kunnen meer beperkende machtigingen worden toegewezen aan een app. Deze machtigingen zijn doorgaans beperkt tot alleen wat de app moet doen, ook wel het principe van minimale bevoegdheden genoemd.
• Referenties en machtigingen veranderen niet zo vaak voor een app als gebruikersreferenties. Wanneer de verantwoordelijkheden van de gebruiker bijvoorbeeld veranderen, dicteren wachtwoordvereisten een wijziging of wanneer een gebruiker het bedrijf verlaat.

U begint met het maken van een nieuwe app-registratie in uw directory, waarmee een gekoppeld service-principal-object wordt gemaakt om de identiteit van de app in de map weer te geven. Het registratieproces is afhankelijk van de map die u hebt gekozen voor uw Azure Stack Hub-exemplaar:

• Microsoft Entra-id: Microsoft Entra-id is een service voor multitenant, cloudgebaseerde directory- en identiteitsbeheer. U kunt Microsoft Entra-id gebruiken met een verbonden Azure Stack Hub-exemplaar. In de voorbeelden die later worden weergegeven, wordt de Azure-portal gebruikt voor de registratie van Microsoft Entra-apps.
• Active Directory Federation Services (AD FS): AD FS biedt vereenvoudigde, beveiligde identiteitsfederatie en mogelijkheden voor eenmalige aanmelding (SSO). U kunt AD FS gebruiken met zowel verbonden als niet-verbonden Azure Stack Hub-exemplaren. In de voorbeelden die later worden weergegeven, wordt Azure Stack Hub PowerShell gebruikt voor de registratie van AD FS-apps.

Nadat u de app hebt geregistreerd, leert u hoe u deze toewijst aan een rol, waardoor de toegang tot de resource wordt beperkt.

Een Microsoft Entra-app beheren

Als u Azure Stack Hub hebt geïmplementeerd met Microsoft Entra ID als uw identiteitsbeheerservice, maakt en beheert u identiteiten voor apps, net zoals voor Azure. In deze sectie ziet u hoe u de stappen uitvoert met behulp van Azure Portal. Controleer de vereiste machtigingen voor het registreren van een app voordat u begint, om ervoor te zorgen dat u over voldoende machtigingen beschikt om een app te registreren.

Een app-registratie maken die gebruikmaakt van een clientgeheimreferentie

In deze sectie registreert u uw app in uw Microsoft Entra-tenant met behulp van Azure Portal. In het volgende voorbeeld geeft u een referenties voor het clientgeheim op, maar de portal ondersteunt ook referenties op basis van X509-certificaten.

1. Meld u met uw Azure-account aan bij Azure Portal.

2. Selecteer Microsoft Entra ID> App-registraties> Nieuwe registratie.

3. Geef een naam op voor de app.

4. Selecteer de juiste ondersteunde accounttypen.

5. Selecteer onder Omleidings-URI web als het app-type en (optioneel) geef een omleidings-URI op als uw app dit vereist.

6. Nadat het instellen van de waarden, kiest u Registreren. De app-registratie wordt gemaakt en de pagina Overzicht wordt weergegeven.

7. Kopieer de toepassings-id voor gebruik in uw app-code. Deze waarde wordt ook wel de client-id genoemd.

8. Als u een clientgeheim wilt genereren, selecteert u de pagina Certificaten en geheimen . Selecteer Nieuw clientgeheim.

9. Geef een beschrijving op voor het geheim en een verlopen duur.

10. Selecteer Toevoegen wanneer u klaar bent.

11. De waarde van het geheim wordt weergegeven. Kopieer en sla deze waarde op een andere locatie op, omdat u deze later niet meer kunt ophalen. U geeft het geheim op met de toepassings-id in uw client-app voor aanmelding.

    

Ga door naar Een rol toewijzen om te leren hoe u op rollen gebaseerd toegangsbeheer voor de identiteit van de app tot stand brengt.

Aanvullende microsoft Entra-artikelen over app-beheer

Zie de volgende Azure-artikelen voor meer informatie over het beheren van Microsoft Entra-apps:

• Meer informatie over het registreren van een Microsoft Entra-app, waaronder het maken van een app-registratie die gebruikmaakt van een certificaatreferentie.
• Een app-registratie verwijderen.
• Een onlangs verwijderde app-registratie herstellen of verwijderen.

Een AD FS-app beheren

Als u Azure Stack Hub met AD FS hebt geïmplementeerd als uw identiteitsbeheerservice, moet u PowerShell gebruiken om de identiteit van uw app te beheren. In de volgende voorbeelden ziet u zowel een X509-certificaat als een clientgeheimreferentie.

De scripts moeten worden uitgevoerd in een PowerShell-console met verhoogde bevoegdheid (Uitvoeren als administrator). Hiermee wordt een andere sessie geopend op een VIRTUELE machine die als host fungeert voor een bevoegd eindpunt voor uw Azure Stack Hub-exemplaar. Zodra de bevoegde eindpuntsessie tot stand is gebracht, worden extra cmdlets gebruikt om de app-registratie te maken en te beheren. Zie Het bevoegde eindpunt gebruiken in Azure Stack Hub voor meer informatie over het bevoegde eindpunt.

Een app-registratie maken die gebruikmaakt van een certificaatreferentie

Wanneer u een certificaatreferentie maakt, moet aan de volgende vereisten worden voldaan:

• Voor productie moet het certificaat worden uitgegeven door een interne certificeringsinstantie of een openbare certificeringsinstantie. Wanneer u een openbare instantie gebruikt, moet u de instantie opnemen in de installatiekopieën van het basisbesturingssysteem als onderdeel van het Microsoft Trusted Root Authority Program. Zie Lijst met deelnemers - Microsoft Trusted Root Program voor de volledige lijst. Een voorbeeld van het maken van een zelfondertekend testcertificaat wordt later ook weergegeven tijdens het bijwerken van een certificaatreferentie.
• De cryptografische provider moet worden opgegeven als een verouderde CSP-sleutelprovider (Cryptografische serviceprovider) van Microsoft.
• De certificaatindeling moet zich in het PFX-bestand bevinden, omdat zowel de openbare als de persoonlijke sleutels vereist zijn. Windows-servers gebruiken PFX-bestanden die het openbare-sleutelbestand (TLS/SSL-certificaatbestand) en het bijbehorende persoonlijke-sleutelbestand bevatten.
• Uw Azure Stack Hub-infrastructuur moet netwerktoegang hebben tot de locatie van de certificaatintrekkingslijst (CRL) van de certificeringsinstantie die in het certificaat is gepubliceerd. Deze CRL moet een HTTP-eindpunt zijn.

Zodra u een certificaat hebt, gebruikt u het onderstaande PowerShell-script om uw app te registreren en u aan te melden met de identiteit van de app. Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Plaatsaanduiding	Omschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<YourCertificateLocation>	De locatie van uw X509-certificaat in het lokale certificaatarchief.	"Certificaat:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<YourAppName>	Een beschrijvende naam voor de nieuwe app-registratie.	"Mijn beheerhulpprogramma"

Az-modules

1. Open een Windows PowerShell-sessie met verhoogde bevoegdheid en voer het volgende script uit.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en Thumbprint worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 00001111-aaaa-2222-bbbb-3333cccc4444
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

AzureRM-modules

1. Open een Windows PowerShell-sessie met verhoogde bevoegdheid en voer het volgende script uit.

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # To use a managed certificate from the certificate store, use the Get-Item cmdlet.
   # To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # To use a self-signed test certificate, use the New-SelfSignedCertificate cmdlet
   #   See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   #   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" `
   -ServicePrincipal `
   -CertificateThumbprint $SpObject.Thumbprint `
   -ApplicationId $SpObject.ClientId `
   -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en Thumbprint worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 00001111-aaaa-2222-bbbb-3333cccc4444
   Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          :
   PSComputerName        : azs-ercs01
   RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

Een certificaatreferentie bijwerken

Nu u de toepassing hebt geregistreerd, ziet u in deze sectie hoe u het volgende kunt doen:

1. Maak een nieuw zelfondertekend X509-certificaat voor testen.
2. Werk de referenties van de toepassing bij door de vingerafdrukeigenschap bij te werken zodat deze overeenkomt met het nieuwe certificaat.

Werk de certificaatreferentie bij met behulp van PowerShell, waarbij u uw eigen waarden vervangt door de volgende tijdelijke aanduidingen:

Plaatsaanduiding	Omschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<YourAppName>	Een beschrijvende naam voor de nieuwe app-registratie.	"Mijn beheerhulpprogramma"
<YourCertificateLocation>	De locatie van uw X509-certificaat in het lokale certificaatarchief.	"Certificaat:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<AppIdentifier>	De id die is toegewezen aan de toepassingsregistratie.	"S-1-5-21-1512385356-3796245103-1243299919-1356"

1. Voer met behulp van uw Windows PowerShell-sessie met verhoogde bevoegdheid de volgende cmdlets uit:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Create a self-signed certificate for testing purposes, using the New-SelfSignedCertificate cmdlet 
   # See https://learn.microsoft.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
   $NewCert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
   # In production, use Get-Item to retrieve a managed certificate from the certificate store.
   # Alteratively, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
   # $Cert = Get-Item "<YourCertificateLocation>"
   
   # Use the privileged endpoint to update the certificate thumbprint, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ClientCertificates $using:NewCert}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de bijgewerkte app-registratiegegevens weergegeven, inclusief de vingerafdrukwaarde voor het nieuwe zelfondertekende certificaat.

   ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
   ClientId              : 
   Thumbprint            : AF22EE716909041055A01FE6C6F5C5CDE78948E9
   ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
   ClientSecret          : 
   PSComputerName        : azs-ercs01
   RunspaceId            : a580f894-8f9b-40ee-aa10-77d4d142b4e5
   

Een app-registratie maken die gebruikmaakt van een clientgeheimreferentie

Waarschuwing

Het gebruik van een clientgeheim is minder veilig dan het gebruik van een X509-certificaatreferentie. Het verificatiemechanisme is niet alleen minder veilig, maar vereist ook meestal het insluiten van het geheim in de broncode van de client-app. Daarom wordt u voor productie-apps sterk aangeraden een certificaatreferentie te gebruiken.

Nu maakt u nog een app-registratie, maar deze keer geeft u een referenties voor het clientgeheim op. In tegenstelling tot een certificaatreferentie heeft de map de mogelijkheid om een clientgeheimreferentie te genereren. In plaats van het clientgeheim op te geven, gebruikt u de -GenerateClientSecret switch om aan te vragen dat het wordt gegenereerd. Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Plaatsaanduiding	Omschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<YourAppName>	Een beschrijvende naam voor de nieuwe app-registratie.	"Mijn beheerhulpprogramma"

Az-modules

1. Open een Windows PowerShell-sessie met verhoogde bevoegdheid en voer de volgende cmdlets uit:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - Az endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an Az environment that targets your Azure Stack Hub instance
   Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en ClientSecret worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

AzureRM-modules

1. Open een Windows PowerShell-sessie met verhoogde bevoegdheid en voer de volgende cmdlets uit:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
   $Creds = Get-Credential
   
   # Create a PSSession to the Privileged Endpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to create the new app registration
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
   $AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
   $Session | Remove-PSSession
   
   # Using the stamp info for your Azure Stack Hub instance, populate the following variables:
   # - AzureRM endpoint used for Azure Resource Manager operations 
   # - Audience for acquiring an OAuth token used to access Graph API 
   # - GUID of the directory tenant
   $ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
   $GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
   $TenantID = $AzureStackInfo.AADTenantID
   
   # Register and set an AzureRM environment that targets your Azure Stack Hub instance
   Add-AzureRMEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint
   
   # Sign in using the new service principal
   $securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
   $credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
   $SpSignin = Connect-AzureRMAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID
   
   # Output the service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de app-registratiegegevens weergegeven. De ClientID en ClientSecret worden geverifieerd en later geautoriseerd voor toegang tot resources die worden beheerd door Azure Resource Manager.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
   PSComputerName        : azs-ercs01
   RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998
   

Houd uw PowerShell-consolesessie geopend, omdat u deze gebruikt met de ApplicationIdentifier waarde in de volgende sectie.

Een clientgeheimreferentie bijwerken

Werk de referenties van het clientgeheim bij met behulp van PowerShell, met behulp van de parameter ResetClientSecret , waarmee het clientgeheim onmiddellijk wordt gewijzigd. Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Plaatsaanduiding	Omschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<AppIdentifier>	De id die is toegewezen aan de toepassingsregistratie.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

1. Voer met behulp van uw Windows PowerShell-sessie met verhoogde bevoegdheid de volgende cmdlets uit:

   # Create a PSSession to the PrivilegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to update the client secret, used by <AppIdentifier>
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ResetClientSecret}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   

2. Nadat het script is voltooid, worden de bijgewerkte app-registratiegegevens weergegeven, inclusief het zojuist gegenereerde clientgeheim.

   ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
   ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
   Thumbprint            : 
   ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
   ClientSecret          : MKUNzeL6PwmlhWdHB59c25WDDZlJ1A6IWzwgv_Kn
   PSComputerName        : azs-ercs01
   RunspaceId            : 6ed9f903-f1be-44e3-9fef-e7e0e3f48564
   

Een app-registratie verwijderen

Nu ziet u hoe u een app-registratie uit uw directory verwijdert met behulp van PowerShell.

Vervang uw eigen waarden door de volgende tijdelijke aanduidingen:

Plaatsaanduiding	Omschrijving	Voorbeeld
<PepVM>	De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar.	"AzS-ERCS01"
<AppIdentifier>	De id die is toegewezen aan de toepassingsregistratie.	"S-1-5-21-1634563105-1224503876-2692824315-2623"

# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
$Creds = Get-Credential

# Create a PSSession to the PrivilegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# OPTIONAL: Use the privileged endpoint to get a list of applications registered in AD FS
$AppList = Invoke-Command -Session $Session -ScriptBlock {Get-GraphApplication}

# Use the privileged endpoint to remove application <AppIdentifier>
Invoke-Command -Session $Session -ScriptBlock {Remove-GraphApplication -ApplicationIdentifier "<AppIdentifier>"}

Er wordt geen uitvoer geretourneerd van het aanroepen van de cmdlet Remove-GraphApplication op het bevoegde eindpunt, maar u ziet een exacte bevestigingsuitvoer voor de console tijdens het uitvoeren van de cmdlet:

VERBOSE: Deleting graph application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623.
VERBOSE: Remove-GraphApplication : BEGIN on AZS-ADFS01 on ADFSGraphEndpoint
VERBOSE: Application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623 was deleted.
VERBOSE: Remove-GraphApplication : END on AZS-ADFS01 under ADFSGraphEndpoint configuration

Een rol toewijzen

Toegang tot Azure-resources door gebruikers en apps is geautoriseerd via op rollen gebaseerd toegangsbeheer (RBAC). Als u een app toegang wilt geven tot resources in uw abonnement, moet u de bijbehorende service-principal toewijzen aan een rol voor een specifieke resource. Bepaal eerst welke rol de juiste machtigingen voor de app vertegenwoordigt. Zie Ingebouwde rollen voor Azure-resources voor meer informatie over de beschikbare rollen.

Met het type resource dat u kiest, wordt ook het toegangsbereik voor de app vastgesteld. U kunt het toegangsbereik instellen op abonnements-, resourcegroep- of resourceniveau. Machtigingen worden overgenomen door lagere niveaus van het bereik. Als u bijvoorbeeld een app toevoegt aan de rol Lezer voor een resourcegroep, betekent dit dat deze de resourcegroep en alle resources die deze bevat, kan lezen.

1. Meld u aan bij de juiste portal, op basis van de map die u hebt opgegeven tijdens de installatie van Azure Stack Hub (de Azure-portal voor Microsoft Entra-id of de Azure Stack Hub-gebruikersportal voor AD FS, bijvoorbeeld). In dit voorbeeld laten we een gebruiker zien die is aangemeld bij de Azure Stack Hub-gebruikersportal.

   Notitie

   Als u roltoewijzingen voor een bepaalde resource wilt toevoegen, moet uw gebruikersaccount deel uitmaken van een rol die de Microsoft.Authorization/roleAssignments/write machtiging declareert. Bijvoorbeeld de ingebouwde rollen Eigenaar of Beheerder voor gebruikerstoegang.

2. Navigeer naar de resource die u wilt toestaan dat de app toegang heeft. Wijs in dit voorbeeld de app toe aan een rol in het abonnementsbereik door Abonnementen en vervolgens een specifiek abonnement te selecteren. U kunt in plaats daarvan een resourcegroep of een specifieke resource, zoals een virtuele machine, selecteren.

   

3. Selecteer de pagina Toegangsbeheer (IAM), die universeel is voor alle resources die ondersteuning bieden voor RBAC.

4. Selecteer + Toevoegen

5. Kies onder Rol de rol die u aan de app wilt toewijzen.

6. Zoek onder Selecteren naar uw app met behulp van een volledige of gedeeltelijke toepassingsnaam. Tijdens de registratie wordt de toepassingsnaam gegenereerd als Azurestack-YourAppName-GUID><<>. Als u bijvoorbeeld een toepassingsnaam van App2 en GUID 2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff hebt gebruikt tijdens het maken, is de volledige naam Azurestack-App2-2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff. U kunt zoeken naar de exacte tekenreeks of een gedeelte, zoals Azurestack of Azurestack-App2.

7. Zodra u de app hebt gevonden, selecteert u deze en wordt deze weergegeven onder Geselecteerde leden.

8. Selecteer Opslaan om de rol toe te wijzen.

   

9. Wanneer u klaar bent, wordt de app weergegeven in de lijst met principals die zijn toegewezen voor het huidige bereik, voor de opgegeven rol.

   

Nu u uw app een identiteit hebt gegeven en deze hebt geautoriseerd voor toegang tot resources, kunt u uw script of code inschakelen om u aan te melden en veilig toegang te krijgen tot Azure Stack Hub-resources.

Volgende stappen

Gebruikersmachtigingen beheren
Documentatie voor Microsoft Entra
Active Directory Federation Services