使用 Azure Active Directory 的驗證方法
重要
這是 Azure Sphere (舊版) 檔。 Azure Sphere(舊版)將於 2027 年 9 月 27 日淘汰,且使用者此時必須移轉至 Azure Sphere(整合式)。 使用位於 TOC 上方的版本選取器來檢視 Azure Sphere (整合式) 檔。
Azure Sphere 公用 API (PAPI) 支援 Azure Active Directory (AAD) 中的多個使用者驗證和授權方法。
透過 Azure Active Directory, 應用程式令牌 可用來使用 服務主體或受控識別方法來驗證及授與使用者應用程式、服務或自動化工具對特定 Azure 資源的存取權。
重要
當您建立服務主體時,您必須保護產生的應用程式認證,例如客戶端密碼或客戶端憑證。 請確定您未在程式代碼中包含應用程式認證,或將認證簽入原始 檔控制。 或者,請考慮使用受控識別,以避免需要使用認證。
下圖顯示使用 Azure Active Directory 支援的驗證方法:
服務主體方法
您可以設定 Azure 服務主體,以使用用戶端密碼或客戶端憑證進行驗證。 服務主體不是系結至任何特定用戶的帳戶,但可以透過預先定義的角色指派許可權。 使用服務主體進行驗證是撰寫安全腳本或程式的最佳方式,可讓您同時套用許可權限制和本機儲存的靜態認證資訊。 如需詳細資訊,請參閱 Azure 服務主體。
服務主體 有兩個選項:客戶端密碼和客戶端憑證。 如需詳細資訊,請參閱 服務主體驗證方法。
受控識別方法
Azure 受控識別 也可用來與 Azure Sphere 公用 API 服務通訊。 各種 Azure 服務都支援受控識別。 針對 Azure 資源驗證方法使用受控識別的優點是,您不需要管理任何用戶端密碼或客戶端憑證。 如需詳細資訊,請參閱 資源方法的受控識別。
使用者身分識別方法
使用此方法時,您不需要使用 Azure Sphere 租使用者進行驗證。 您可以使用 Azure Active Directory 使用者身分識別登入。 如需詳細資訊,請參閱 使用者驗證方法。
將 Azure Sphere 公用 API 應用程式識別碼新增至您的 Azure 租使用者
您必須先使用一次性設定,將 Azure Sphere 公用 API 應用程式識別碼新增至 Azure 租使用者:
注意
- 使用 Azure Active Directory (Azure AD) 租使用者的全域管理員帳戶來執行此命令。
- 參數的值
AppId是靜態的。 - 我們建議針對
-DisplayName使用Azure Sphere Public API,以便跨租使用者使用一般顯示名稱。
開啟提升許可權的 Windows PowerShell 命令提示字元 視窗(以系統管理員身分執行 Windows PowerShell),然後執行下列命令來安裝 Azure AD Powershell 模組:
Install-Module AzureAD使用系統管理員帳戶登入 Azure AD PowerShell。
-TenantId指定要驗證為服務主體的參數:Connect-AzureAD -TenantId <Azure Active Directory TenantID><Azure Active Directory TenantID> 代表 Azure Active Directory 的 TenantID。 如需詳細資訊,請參閱 如何尋找您的 Azure Active Directory 租使用者標識碼。
藉由指定 Azure Sphere 公用 API 應用程式識別碼,建立服務主體並將其連線到
Azure Sphere Public API應用程式,如下所示:New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"