通过

设置 Entra ID 应用程序

  • 项目

若要在 Fabric 中运行工作负荷,您需要向 Microsoft 标识平台(也称为 Microsoft Entra ID)注册应用程序。 此应用程序用于对 Azure 的工作负荷进行身份验证。

先决条件

步骤 1:注册 Entra ID 应用程序

若要创建新的 Entra ID 应用程序,请执行以下步骤:

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到“标识”>“应用程序”>“应用注册”,然后选择“新建注册”。

  3. 输入应用程序的显示名称。

  4. 在“支持的帐户类型”部分中,请选择“任何组织目录中的帐户(任何 Microsoft Entra ID 租户 - 多租户)”。

  5. 选择“注册”。

步骤 2:配置重定向 URI

需要将重定向 URI 配置为在导航到该 URI 时立即关闭页面。 有关详细信息,请参阅 重定向 URI(回复 URL)概述和限制

若要配置 Entra ID 应用程序,请执行以下步骤:

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到“应用程序”>“应用注册”,然后选择你的应用程序。

  3. 选择“添加重定向 URI”。

  4. 从平台配置中,* 选择 添加平台

  5. 配置平台 窗格中,选择 单页应用程序

  6. 在“配置单页应用程序”中,将重定向 URI 添加到“重定向 URI”中。 示例示例 使用 http://localhost:60006/close 作为重定向 URI。

  7. 选择“配置”。

步骤 3:验证你是否拥有多租户应用

若要验证应用是否为多租户应用,请执行以下步骤。

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到“应用程序”>“应用注册”,然后选择你的应用程序。

  3. 在应用程序中,在 “管理”部分中,选择 身份验证

  4. 在“支持的帐户类型”中,验证是否选择了“任何组织目录中的帐户(任何 Microsoft Entra ID 租户 - 多租户)”。 如果不是,请将其选中,然后选择“保存”。

步骤 4:输入应用程序 ID URI

使用以下格式创建应用程序 ID URI:api://localdevinstance/<tenant ID>/<workload name>/<(optional)subpath>。 ID URI 不能以斜杠结尾。

  • 工作负荷名称 - 要开发的工作负荷的名称。 工作负荷名称必须与后端清单中指定的 WorkloadName 相同,然后以 Org.开头。
  • 租户 ID - 这是你的租户 ID。 如果不知道租户 ID 是什么,请参阅 如何查找Microsoft Entra 租户 ID
  • 子路径 - (可选) 小写字母、数字和短划线的英文字符串。 子路径字符串长度可达 36 个字符。

下面是租户 ID bbbbcccc-1111-dddd-2222-eeee3333ffff时的有效和无效 URI 的示例,工作负荷名称为 Fabric.WorkloadSample

  • 有效的 URI

    • api://localdevinstance/bbbbcccc-1111-dddd-2222-eeee3333ffff/Org.WorkloadSample
    • api://localdevinstance/bbbbcccc-1111-dddd-2222-eeee3333ffff/Org.WorkloadSample/abc

  • 无效的 URI

    • api://localdevinstance/bbbbcccc-1111-dddd-2222-eeee3333ffff/Org.WorkloadSample/af/
    • api://localdevinstance/bbbbcccc-1111-dddd-2222-eeee3333ffff/Org.WorkloadSample/af/a

若要向应用添加应用程序 ID URI,请执行以下步骤。

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到 应用程序 > 应用注册 并选择你的应用。

  3. 在应用程序中,在 管理 部分中,选择 公开 API

  4. 在“应用程序 ID URI”旁边,选择“添加”。

  5. 在“编辑应用 ID URI”窗格中,添加应用 ID URI。

步骤 5:添加范围

需要为应用定义范围(也称为权限)。 这些范围允许其他人使用应用的功能。 例如,工作负荷示例 提供了其他可以使用的 API 权限的四个示例。 可以在 scopes.cs中看到这些模拟权限:

  • Item1.Read.All - 用于读取工作负载项

  • Item1.ReadWrite.All - 用于读取和写入工作负载项

  • FabricLakehouse.Read.All - 用于读取湖屋文件

  • FabricLakehouse.ReadWrite.All - 用于读取和写入湖屋文件

若要将范围添加到应用,请执行以下步骤。

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到“应用程序”>“应用注册”,然后选择你的应用程序。

  3. 在应用程序中,在 管理 部分中,选择 公开 API

  4. 在“此 API 定义的范围”中,选择“添加范围”。

  5. 选择 添加范围,并按照 添加范围中的说明进行操作。

步骤 6:添加客户端应用程序

允许 Fabric 在未经用户同意的情况下请求应用程序的令牌。

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到 应用程序 > 应用注册 并选择您的应用程序。

  3. 在应用程序中,在 管理 部分中,选择 公开 API

  4. 在“此 API 定义的范围”中,选择“添加范围”。

  5. 选择“添加客户端应用程序”。

  6. 添加下面列出的客户端应用程序。 可以在 常用 Microsoft 应用程序的应用程序 ID中找到这些应用的应用程序 ID。 需要单独添加每个客户端应用程序。

    • d2450708-699c-41e3-8077-b0c8341509aa - 用于后端操作的 Fabric 客户端。
    • 871c010f-5e61-4fb1-83ac-98610a7e9110 - 用于前端操作的 Fabric 客户端。

步骤 7:添加 API 权限

API 权限允许应用使用外部服务依赖项。 若要向应用添加 API 权限,请按照 向应用程序添加权限中的步骤作。

步骤 8:为应用程序生成机密

若要配置 后端,需要为应用程序配置机密。

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到 应用 > 应用注册 并选择您的应用程序。

  3. 在应用程序中,在“管理”部分选择“证书和机密”。

  4. 选择 客户端机密,然后选择 新客户端密码

  5. 在“添加客户端密码”窗格中,输入以下内容:

    • 说明 - 你想用作秘密的名称。
    • 过期 - 选择机密的到期日期。

  6. 选择 并添加

步骤 9:添加 idtyp 可选声明

idtypeclaim 表明工作负载从 Fabric 获得的令牌是仅限应用的令牌。

  1. 登录到 Microsoft Entra 管理中心

  2. 导航到 应用程序 > 应用注册 并选择你的应用程序。

  3. 在应用程序中,在 管理 部分中,选择 令牌配置

  4. 选择“添加可选声明”。

  5. 在“添加可选声明”窗格中,对于“令牌类型”,请选择“访问”。

  6. 在“声明”中,选择“idtyp”。

  7. 选择 并添加

相关内容

  • 了解如何在工作负载 中使用身份验证。