Registrar um aplicativo para solicitar tokens de autorização e trabalhar com APIs

Para acessar APIs REST do Azure, como a API de análise de log, ou para enviar métricas personalizadas, você pode gerar um token de autorização com base em uma ID de cliente e segredo. O token é então passado em sua solicitação de API REST. Este artigo mostra como registrar um aplicativo cliente e criar um segredo do cliente para que você possa gerar um token.

Registar uma aplicação

Crie uma entidade de serviço e registre um aplicativo usando o portal do Azure, a CLI do Azure ou o PowerShell.

Portal do Azure

1. Para registrar um aplicativo, abra a página Visão Geral do Ative Directory no portal do Azure.

2. Selecione Registos de aplicações na barra lateral.

3. Selecione Novo registo

4. Na página Registrar um aplicativo, insira um Nome para o aplicativo.

5. Selecione Registrar

6. Na página de visão geral do aplicativo, selecione Certificados e Segredos

7. Observe a ID do aplicativo (cliente). Ele é usado na solicitação HTTP para um token.

8. Na guia Segredos do cliente, selecione Novo segredo do cliente

9. Insira uma Descrição e selecione Adicionar

10. Copie e salve o valor secreto do cliente.

    Nota

    Os valores secretos do cliente só podem ser visualizados imediatamente após a criação. Certifique-se de salvar o segredo antes de sair da página.

    

CLI do Azure

Execute o script a seguir para criar uma entidade de serviço e um aplicativo.

az ad sp create-for-rbac -n <Service principal display name> 

A resposta tem a seguinte aparência:

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}

Importante

A saída inclui credenciais que você deve proteger. Certifique-se de que não inclui estas credenciais no seu código nem regista as credenciais no seu controlo de código fonte.

Adicione uma função e um escopo para os recursos que você deseja acessar usando a API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

O exemplo da CLI a seguir atribui a Reader função à entidade de serviço para todos os recursos no grupo de rg-001recursos:

 az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 --role Reader --scope '\/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001'

Para obter mais informações sobre como criar uma entidade de serviço usando a CLI do Azure, consulte Criar uma entidade de serviço do Azure com a CLI do Azure.

PowerShell

O script de exemplo a seguir demonstra a criação de uma entidade de serviço do Microsoft Entra por meio do PowerShell. Para obter um passo a passo mais detalhado, consulte Usando o Azure PowerShell para criar uma entidade de serviço para acessar recursos

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Próximos passos

Antes de gerar um token usando seu aplicativo, ID do cliente e segredo, atribua o aplicativo a uma função usando o controle de acesso (IAM) para o recurso que você deseja acessar. A função dependerá do tipo de recurso e da API que você deseja usar.
Por exemplo,

• Para conceder que seu aplicativo seja lido a partir de um espaço de trabalho do Log Analytics, adicione seu aplicativo como membro à função Leitor usando o controle de acesso (IAM) para seu espaço de trabalho do Log Analytics. Para obter mais informações, consulte Acessar a API

• Para conceder acesso para enviar métricas personalizadas para um recurso, adicione seu aplicativo como membro à função Publicador de Métricas de Monitoramento usando o Controle de acesso (IAM) para seu recurso. Para obter mais informações, consulte Enviar métricas para o banco de dados de métricas do Azure Monitor usando a API REST

Para obter mais informações, consulte Atribuir funções do Azure usando o portal do Azure

Depois de atribuir uma função, você pode usar seu aplicativo, ID do cliente e segredo do cliente para gerar um token de portador para acessar a API REST.

Nota

Ao usar a autenticação do Microsoft Entra, pode levar até 60 minutos para que a API REST do Azure Application Insights reconheça novas permissões RBAC (controle de acesso baseado em função). Enquanto as permissões estão se propagando, as chamadas de API REST podem falhar com o código de erro 403.