Een app registreren om autorisatietokens aan te vragen en te werken met API's

Voor toegang tot Azure REST API's zoals de Log Analytics-API of voor het verzenden van aangepaste metrische gegevens, kunt u een autorisatietoken genereren op basis van een client-id en geheim. Het token wordt vervolgens doorgegeven in uw REST API-aanvraag. In dit artikel leest u hoe u een client-app registreert en een clientgeheim maakt, zodat u een token kunt genereren.

Een app registreren

Maak een service-principal en registreer een app met behulp van Azure Portal, Azure CLI of PowerShell.

Azure-portal

1. Als u een app wilt registreren, opent u de pagina Overzicht van Active Directory in Azure Portal.

2. Selecteer App-registraties in de zijbalk.

3. Nieuwe registratie selecteren

4. Voer op de pagina Een toepassing registreren een naam voor de toepassing in.

5. Selecteer Registreren

6. Selecteer certificaten en geheimen op de overzichtspagina van de app

7. Noteer de toepassings-id (client). Deze wordt gebruikt in de HTTP-aanvraag voor een token.

8. Selecteer nieuw clientgeheim op het tabblad Clientgeheimen

9. Voer een beschrijving in en selecteer Toevoegen

10. Kopieer en sla de waarde van het clientgeheim op.

    Notitie

    Clientgeheimwaarden kunnen alleen direct na het maken worden weergegeven. Sla het geheim op voordat u de pagina verlaat.

    

Azure-CLI

Voer het volgende script uit om een service-principal en app te maken.

az ad sp create-for-rbac -n <Service principal display name> 

Het antwoord ziet er als volgt uit:

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Belangrijk

De uitvoer bevat referenties die u moet beveiligen. Zorg ervoor dat u deze referenties niet in uw code opneemt of incheckt bij uw broncodebeheer.

Een rol en bereik toevoegen voor de resources waartoe u toegang wilt krijgen met behulp van de API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

In het volgende CLI-voorbeeld wordt de Reader rol toegewezen aan de service-principal voor alle resources in de rg-001resourcegroep:

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Zie Een Azure-service-principal maken met de Azure CLI voor meer informatie over het maken van een service-principal met behulp van Azure CLI.

Powershell

Het volgende voorbeeldscript laat zien hoe u een Microsoft Entra-service-principal maakt via PowerShell. Zie Azure PowerShell gebruiken om een service-principal te maken voor toegang tot resources voor een gedetailleerdere procedure

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Volgende stappen

Voordat u een token kunt genereren met behulp van uw app, client-id en geheim, wijst u de app toe aan een rol met behulp van Toegangsbeheer (IAM) voor de resource waartoe u toegang wilt krijgen. De rol is afhankelijk van het resourcetype en de API die u wilt gebruiken.
Bijvoorbeeld:

• Als u uw app wilt laten lezen uit een Log Analytics-werkruimte, voegt u uw app toe als lid aan de rol Lezer met behulp van Toegangsbeheer (IAM) voor uw Log Analytics-werkruimte. Zie Access the API (Access the API) voor meer informatie

• Als u toegang wilt verlenen tot het verzenden van aangepaste metrische gegevens voor een resource, voegt u uw app toe als lid aan de rol Monitoring Metrics Publisher met behulp van Toegangsbeheer (IAM) voor uw resource. Zie Metrische gegevens verzenden naar de metrische Azure Monitor-database met behulp van REST API voor meer informatie

Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie

Zodra u een rol hebt toegewezen, kunt u uw app, client-id en clientgeheim gebruiken om een Bearer-token te genereren voor toegang tot de REST API.

Notitie

Wanneer u Microsoft Entra-verificatie gebruikt, kan het tot 60 minuten duren voordat de AZURE-TOEPASSING Insights REST API nieuwe RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) herkent. Hoewel machtigingen worden doorgegeven, kunnen REST API-aanroepen mislukken met foutcode 403.