Criar um registro de aplicativo para usar com os Gêmeos Digitais do Azure
Este artigo descreve como criar um registro de aplicativo doMicrosoft Entra ID que possa acessar os Gêmeos Digitais do Azure. Este artigo inclui etapas para o portal do Azure e a CLI do Azure.
Ao trabalhar com Gêmeos Digitais do Azure, é comum interagir com seua instância por meio das aplicativos clientes. Será preciso autenticar esses aplicativos nos Gêmeos Digitais do Azure, e alguns dos mecanismos de autenticação que os aplicativos podem usar envolvem a obtenção de um registro de aplicativo.
O registro do aplicativo não é necessário para todos os cenários de autenticação. No entanto, caso esteja usando uma estratégia de autenticação ou um exemplo de código que exija um registro de aplicativo, este artigo mostrará como configurar isso e conceder a ele permissões para as APIs dos Gêmeos Digitais do Azure. Ele também abordará como coletar valores importantes que você precisará para usar o registro do aplicativo durante a autenticação.
Dica
Talvez você prefira configurar um novo registro de aplicativo sempre que precisar de um ou fazer isso somente uma vez, estabelecendo um registro de aplicativo único que será compartilhado entre todos os cenários em que ele é necessário.
Criar o registro
Comece selecionando a guia abaixo para sua interface de preferência.
Acesse o Microsoft Entra ID no portal do Azure (é possível usar este link ou localizá-lo na barra de pesquisa do portal). Selecione a opção Registros de aplicativo no menu de serviço, depois clique em +Novo registro.
Na seguinte página Registrar um aplicativo, preencha os valores solicitados:
- Nome: Um nome de exibição do aplicativo Microsoft Entra a ser associado ao registro.
- Tipos de conta suportados: Selecione Contas apenas neste diretório organizacional (somente diretório padrão - locatário único).
Quando terminar, escolha o botão Registrar.
Quando a configuração do registro for concluída, o portal vai redirecionar você para a página de detalhes.
Coletar valores importantes
Em seguida, colete alguns valores importantes sobre o registro de aplicativo que você precisará para usar o registro de aplicativo para autenticar um aplicativo cliente. Esses valores incluem:
- nome do recurso — Ao trabalhar com Gêmeos Digitais do Azure, o nome do recurso é
http://digitaltwins.azure.net
. - ID do cliente
- ID do locatário
- segredo do cliente
As seções a seguir descrevem como encontrar os valores restantes.
Coletar a ID do cliente e a ID do locatário
Para usar o registro de aplicativo para autenticação, talvez seja necessário fornecer a ID do aplicativo (cliente) e a ID do diretório (locatário). Aqui, você coletará esses valores para que possa salvá-los e usá-los sempre que eles forem necessários.
Os valores ID do cliente e ID do locatário podem ser coletados na página de detalhes do registro de aplicativo no portal do Azure:
Anote a ID de aplicativo (cliente) e a ID de diretório (locatário) mostradas em sua página.
Coletar segredo do cliente
Configure um segredo do cliente para o registro do aplicativo, que outros aplicativos podem usar para autenticar.
Comece na página de registro do aplicativo no portal do Azure.
Selecione Certificados e segredos no menu do registro e, em seguida, selecione + Novo segredo do cliente.
Insira os valores que você desejar em Descrição e Expira e selecione Adicionar.
Confirme se o segredo do cliente aparece na página Certificados e segredos com os campos Expira e Valor.
Anote o a ID do Segredo e o Valor para usar posteriormente ou use os ícones Copiar para copiá-los para a área de transferência.
Importante
Copie os valores agora e armazene-os em um local seguro, pois eles não poderão ser recuperados novamente. Se você não os encontrar mais tarde, precisará criar outro segredo.
Fornecer permissões aos Gêmeos Digitais do Azure
Em seguida, configure o registro de aplicativo criado com permissões para acessar os Gêmeos Digitais do Azure. Há dois tipos de permissões necessárias:
- Uma atribuição de função para o registro do aplicativo na instância do Gêmeos Digitais do Azure
- Permissões de API para o aplicativo ler e gravar nas APIs dos Gêmeos Digitais do Azure
Criar atribuição de função
Nesta seção, você criará uma atribuição de função para o registro do aplicativo na instância do Gêmeos Digitais do Azure. Essa função determinará quais permissões o registro do aplicativo mantém na instância, portanto, você deve selecionar a função que corresponde ao nível apropriado de permissão para sua situação. Uma função possível é o Proprietário dos Dados dos Gêmeos Digitais do Azure. Para ver uma lista completa de funções e suas descrições, confira Funções interna do Azure.
Use estas etapas para criar a atribuição de função para o registro.
Abra a página da instância dos Gêmeos Digitais do Azure no portal do Azure.
Selecione IAM (Controle de acesso) .
Selecione Adicionar>Adicionar atribuição de função para abrir a página Adicionar atribuição de função.
Atribua a função adequado. Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.
Configuração Valor Função Selecione conforme adequado Membros > Atribuir acesso a Usuário, grupo ou entidade de serviço Membros > Membros + Selecione membros e pesquise o nome do registro do aplicativo Depois que a função tiver sido selecionada, Examinar + atribuir.
Verificar atribuição de função
É possível ver uma atribuição de função configurada em Controle de acesso (IAM) > Atribuições de função.
O registro do aplicativo deve aparecer na lista junto com a função que você atribuiu a ele.
Fornecer permissões de API
Nesta seção, você concederá ao aplicativo permissões de leitura/gravação de linha de base do aplicativo às APIs dos Gêmeos Digitais do Azure.
Se você estiver usando a CLI do Azure e configurar seu registro de aplicativo anteriormente com um arquivo de manifesto, essa etapa já estará pronta. Se você estiver usando o portal do Azure para criar o registro do aplicativo, continue nesta seção para configurar as permissões de API.
Na página do portal do registro de aplicativo, selecione a opção Permissões de API no menu. Na página de permissões a seguir, selecione o botão + Adicionar uma permissão.
Na página Solicitar permissões de API exibida a seguir, mude para a guia APIs que minha organização usa e procure por Gêmeos Digitais do Azure. Selecione a opção Gêmeos Digitais do Azure nos resultados da pesquisa a fim de continuar com a atribuição de permissões para as APIs dos Gêmeos Digitais do Azure.
Depois, será preciso selecionar quais permissões conceder a essas APIs. Expanda a permissão Leitura (1) e marque a caixa que exibe a opção Leitura/Gravação para conceder a esse registro de aplicativo permissões de leitura e gravação de registro.
Clique em Adicionar permissões após a conclusão.
Verifique as Permissões de API
Na página Permissões de API, verifique se agora há uma entrada para os Gêmeos Digitais do Azure representando as permissões de Leitura/Gravação:
Também é possível verificar se a conexão com os Gêmeos Digitais do Azure está no arquivo manifest.json do registro de aplicativo, que foi atualizado de modo automático com as informações dos Gêmeos Digitais do Azure quando você adicionou as permissões de API.
Para fazer isso, selecione a opção Manifesto na barra de menus para ver o código do manifesto do registro de aplicativo. Role até a parte inferior da janela de código e procure os seguintes campos e valores em requiredResourceAccess
:
"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
(Esta é a ID de recurso para o ponto de extremidade de serviço dos Gêmeos Digitais do Azure.)"resourceAccess"
>"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"
(Esta é a ID de permissão para a permissão delegada Read.Write nos Gêmeos Digitais do Azure.)
Esses valores são mostrados na captura de tela abaixo:
Caso esses valores estejam ausentes, repita as etapas da seção criada para adicionar a permissão de API.
Outras etapas possíveis para sua organização
É possível que sua organização precise de ações adicionais de proprietários ou administradores de assinatura para concluir a configuração do registro de aplicativo. As etapas necessárias podem variar dependendo das configurações específicas da organização. Escolha uma guia abaixo para que essas informações sejam adaptadas à interface de preferência.
Aqui, temos algumas atividades comuns que um proprietário ou administrador da assinatura poderá ter que fazer. Todas as operações podem ser executadas na página de Registros de aplicativo do Microsoft Entra no portal do Azure.
Conceda consentimento do administrador para o registro do aplicativo. Sua organização poderá ter o Consentimento do Administrador Necessário ativado de modo global no Microsoft Entra ID para todos os Registros de aplicativo em sua assinatura. Nesse caso, o proprietário/administrador precisará clicar neste botão na página de permissões de API do registro de aplicativo a fim de validar o registro de aplicativo para sua empresa:
- Caso o consentimento seja fornecido com êxito, a entrada para os Gêmeos Digitais do Azure deverá mostrar um valor de Status da opção Fornecido para (sua empresa)
Ativar o acesso de cliente público
Definir URLs de resposta específicas para obter acesso à Web e à área de trabalho
Permitir fluxos de autenticação implícitos do OAuth2
Para obter mais informações sobre o registro de aplicativo e as diferentes opções de configuração, confira como Registrar um aplicativo na plataforma de identidade da Microsoft.
Próximas etapas
Neste artigo, você configurou um registro de aplicativo do Microsoft Entra que pode ser usado para autenticar aplicativos cliente nas APIs dos Gêmeos Digitais do Azure.
Em seguida, leia informações sobre os mecanismos de autenticação, incluindo um que usa Registros de aplicativo e outros que não usam: