建立應用程式註冊以搭配 Azure Digital Twins 使用
本文說明如何建立可存取 Azure Digital Twins 的 Microsoft Entra ID「應用程式註冊」。 本文包含 Azure 入口網站和 Azure CLI 的步驟。
使用 Azure Digital Twins 時,通常會透過用戶端應用程式與您的執行個體互動。 這些應用程式需要向 Azure Digital Twins 進行驗證,而應用程式可使用的一些驗證機制會涉及到應用程式註冊。
並非所有驗證案例都需要應用程式註冊。 但如果您使用的驗證策略或程式碼範例需要應用程式註冊,則本文可為您展示如何設定並授權給 Azure Digital Twins API。 內容還涵蓋如何收集使用應用程式註冊驗證時所需的重要值。
提示
您可能偏好在每次需要時設定一個新的應用程式註冊,或是只設定一次,而建立單一應用程式註冊,您便可在所有需要的案例之間共用。
建立註冊
首先,選取下方您慣用介面的索引標籤。
在 Azure 入口網站中瀏覽至 Microsoft Entra ID (您可以使用此連結,或使用入口網站搜尋列來尋找)。 從服務功能表中選取 [應用程式註冊],然後選取 [+ 新增註冊]。
在後續的 [註冊應用程式] 頁面中,填入要求的值:
- 名稱:要與註冊建立關聯的Microsoft Entra 應用程式顯示名稱。
- 支援的帳戶類型:僅選取此組織目錄中的帳戶(僅限預設目錄 - 單一租使用者)。
完成之後,請選取 [註冊] 按鈕。
完成註冊設定後,入口網站會將您重新導向至詳細資料頁面。
取得重要的值
接下來,請收集一些有關應用程式註冊的重要值,在使用應用程式註冊來驗證用戶端應用程式時會用到這些值。 這些值包括:
- 資源名稱:使用 Azure Digital Twins 時,資源名稱為
http://digitaltwins.azure.net
。 - 用戶端識別碼
- 租用戶識別碼
- 用戶端密碼
下列各節會說明如何尋找其餘的值。
收集用戶端識別碼和租用戶識別碼
若要使用應用程式註冊進行驗證,您可能需要提供其應用程式 (用戶端) 識別碼以及目錄 (租用戶) 識別碼。 您需要收集此處的這些值,進行儲存以便在需要時使用。
收集用戶端密碼
設定應用程式註冊的用戶端密碼,以供其他應用程式用於進行驗證。
首先前往 Azure 入口網站中的應用程式註冊頁面。
從註冊功能表選取 [憑證和秘密],然後選取 [+ 新增用戶端密碼]。
針對 [描述] 和 [到期日] 輸入您需要的值,然後選取 [新增]。
確認 [憑證和秘密] 頁面上有顯示用戶端密碼,並包含 [到期日] 和 [值] 欄位。
記下其 [秘密識別碼] 和 [值],以便稍後使用 (您也可以使用複製圖示以複製到剪貼簿)。
重要
請務必立即複製值,並將其儲存在安全的地方,因為這些值無法再次擷取。 如果您稍後找不到這些秘密,則必須建立新的秘密。
提供 Azure Digital Twins 權限
接下來,請為已建立的應用程式註冊設定存取 Azure Digital Twins 權限。 一共需要兩種類型的權限:
- Azure Digital Twins 執行個體內應用程式註冊的角色指派
- 應用程式讀取和寫入 Azure Digital Twins API 的 API 權限
建立角色指派
在本節中,您將為 Azure Digital Twins 執行個體上的應用程式註冊建立角色指派。 此角色會決定應用程式註冊在執行個體上保留的權限,因此您應該根據需求,選取適當權限層級的角色。 可能的角色之一是 Azure Digital Twins 資料擁有者。 如需角色及其描述的完整清單,請參閱 Azure 內建角色。
使用下列步驟來建立註冊的角色指派。
在 Azure 入口網站中,開啟您的 Azure Digital Twins 執行個體頁面。
選取 [存取控制 (IAM)]。
選取 [新增 > 角色指派 ] 以開啟 [新增角色指派] 頁面。
指派適當的角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
設定 值 角色 視需要選取 成員 > 指派存取權給 使用者、群組或服務主體 成員 > 成員 + 選取成員,然後搜尋應用程式註冊的名稱 選取角色後,加以檢閱 + 指派。
驗證角色指派
您可以在 [存取控制 (IAM)] > [角色指派] 下檢視已設定的角色指派。
應用程式註冊應該會顯示在清單中,並包含您為其指派的角色。
提供 API 權限
在本節中,您會將應用程式基準的讀取/寫入權限授與 Azure Digital Twins API。
如果您是使用 Azure CLI,並在稍早透過資訊清單檔案設定應用程式註冊,則此步驟已經完成。 如果您是使用 Azure 入口網站來建立應用程式註冊,請繼續進行本節的其餘部分來設定 API 權限。
在應用程式註冊的入口網站頁面,從功能表選取 [API 權限]。 在下列權限頁面上,選取 [+ 新增權限] 按鈕。
在後續的 [要求 API 權限] 頁面中,切換至 [我的組織使用的 API] 索引標籤,並搜尋「Azure Digital Twins」。 從搜尋結果中選取 [Azure Digital Twins] 以繼續指派 Azure Digital Twins API 的權限。
接下來,您需要選取這些 API 可獲得的權限。 展開 [讀取 (1)] 權限,然後勾選顯示 [Read.Write] 的核取方塊,即可授與此應用程式註冊讀取者和寫入者的權限。
完成時,選取 [新增權限]。
驗證 API 權限
在 [API 權限] 頁面上,確認 Azure Digital Twins 現在具有反映 [Read.Write] 權限的項目:
您也可以在應用程式註冊的 manifest.json 內驗證與 Azure Digital Twins 的連線,當您新增 API 權限時,該檔案會根據 Azure Digital Twins 資訊自動更新。
若要這樣做,請從功能表中選取 [資訊清單],以檢視應用程式註冊的資訊清單程式碼。 捲動至程式碼視窗底部,並在 requiredResourceAccess
下方尋找下列欄位和值:
"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
(這是 Azure Digital Twins 服務端點的資源識別符。"resourceAccess"
>"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"
(這是 Azure Digital Twins 中讀取.Write 委派許可權的許可權標識符。
這些值如以下螢幕擷取畫面所示:
如果缺少這些值,請重新嘗試新增 API 權限一節中的步驟。
貴組織可能需要的其他步驟
在某些情況下,您的組織可能需要由訂用帳戶擁有者或系統管理員執行更多動作,才能完成應用程式註冊。 這些必要步驟可能會根據您組織的專有設定而有所不同。 選擇下方的索引標籤,以查看您慣用介面適用的資訊。
如需應用程式註冊及其不同設定選項的詳細資訊,請參閱使用 Microsoft 身分識別平台來註冊應用程式。
下一步
在本文中,您設定了可用於透過 Azure Digital Twins API 驗證用戶端應用程式的 Microsoft Entra 應用程式註冊。
接下來,請閱讀驗證機制,包括使用應用程式註冊的驗證機制,以及不使用該註冊的其他機制: