Регистрация приложения для запроса токенов авторизации и работы с API

Чтобы получить доступ к REST API Azure, таким как API Log Analytics, или отправить пользовательские метрики, можно создать маркер авторизации на основе идентификатора клиента и секрета. Затем маркер передается в запросе REST API. В этой статье рассказывается, как зарегистрировать приложение клиента и создать секрет клиента для генерации токена.

Регистрация приложения

Создайте учетную запись службы и зарегистрируйте приложение с помощью портала Azure, Azure CLI или PowerShell.

Чтобы зарегистрировать приложение, откройте страницу обзора Active Directory в портале Azure.
Выберите Регистрация приложений на боковой панели.
Выбор новой регистрации
На странице регистрации приложения введите имя приложения.
Нажмите кнопку Зарегистрировать.
На странице обзора приложения выберите сертификаты и секреты
Обратите внимание на идентификатор приложения (клиента). Он используется в HTTP-запросе для токена.
На вкладке "Секреты клиента" выберите новый секрет клиента
Введите описание и нажмите кнопку "Добавить"
Скопируйте и сохраните значение секрета клиента.

Примечание.

Значения клиентского секрета можно просматривать только сразу после создания. Перед выходом из страницы обязательно сохраните секрет.

Выполните следующий сценарий, чтобы создать субъект-службу и приложение.

az ad sp create-for-rbac -n <Service principal display name>

Ответ выглядит следующим образом:

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}

Внимание

Выходные данные включают учетные данные, которые необходимо защитить. Убедитесь, что вы не включаете эти учетные данные в свой код и не загружаете их в систему контроля версий.

Добавление роли и области для ресурсов, к которым вы хотите получить доступ с помощью API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

В следующем примере использования CLI роль Reader назначается субъекту-службе для всех ресурсов в группе ресурсов rg-001.

 az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 --role Reader --scope '\/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001'

Дополнительные сведения о создании субъекта-службы с помощью Azure CLI см. в статье "Создание субъекта-службы Azure" с помощью Azure CLI.

Пример скрипта ниже демонстрирует создание принципала службы Microsoft Entra с помощью PowerShell. Для более подробного пошагового руководства по созданию субъекта-службы с помощью Azure PowerShell для доступа к ресурсам, см. этот материал

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Следующие шаги

Прежде чем создавать маркер с помощью приложения, идентификатора клиента и секрета, назначьте приложению роль с помощью управления доступом (IAM) для ресурса, доступ к которому требуется получить. Роль будет зависеть от типа ресурса и API, который требуется использовать.
Например,

Чтобы предоставить приложению чтение из рабочей области Log Analytics, добавьте приложение в роль читателя с помощью управления доступом (IAM) для рабочей области Log Analytics. Дополнительные сведения см. в разделе "Доступ к API"
Чтобы предоставить доступ к отправке пользовательских метрик для ресурса, добавьте ваше приложение в качестве участника в роль Публикация метрик мониторинга с помощью управления доступом (IAM) для вашего ресурса. Дополнительные сведения см. в статье "Отправка метрик в базу данных метрик Azure Monitor с помощью REST API"

Дополнительные сведения см. в статье «Назначение ролей Azure с помощью портала Azure»

Назначив роль, вы можете использовать приложение, идентификатор клиента и секрет клиента для создания токена доступа для доступа к REST API.

Примечание.

При использовании проверки подлинности Microsoft Entra может потребоваться до 60 минут, чтобы REST API Azure Application Insights распознал новые разрешения управления доступом на основе ролей (RBAC). Во время распространения разрешений вызовы REST API могут завершаться ошибкой с кодом 403.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-04-18

Регистрация приложения для запроса токенов авторизации и работы с API