Создание регистрации приложения для использования с Azure Digital Twins

Перейдите к Microsoft Entra ID в портале Azure (вы можете использовать эту ссылку или найти её с помощью панели поиска на портале). Выберите Регистрация приложений в меню служб, а затем + Новая регистрация.

На следующей странице Регистрация приложения введите запрошенные значения.

• Имя: отображаемое имя приложения Microsoft Entra для ассоциации с регистрацией.
• Поддерживаемые типы учетных записей: выберите учетные записи только в этом каталоге организации (только каталог по умолчанию — один клиент).

После завершения нажмите кнопку Зарегистрировать.

После завершения настройки регистрации портал перенаправляет вас на страницу сведений.

Начните с создания файла манифеста, содержащего сведения о службе, необходимые для регистрации приложения для доступа к API Azure Digital Twins. После этого этот файл передается в команду CLI для создания регистрации.

Создание манифеста

Создайте на компьютере новый JSON-файл с именем manifest.json. Скопируйте в файл этот текст:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Статическое значение 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 — это идентификатор ресурса для конечной точки сервиса Azure Digital Twins, к которой регистрация приложения должна иметь доступ для работы с API Azure Digital Twins.

Сохраните готовый файл.

Пользователи Cloud Shell: отправка манифеста

Если вы используете Azure Cloud Shell для этого руководства, необходимо отправить файл манифеста, созданный в Cloud Shell, чтобы получить доступ к нему в командах Cloud Shell при настройке регистрации приложения. Если вы используете локальную установку Azure CLI, вы можете перейти к следующему шагу, выполнению команды создания.

Чтобы отправить файл, откройте окно Cloud Shell в браузере. Выберите значок "Отправка/скачивание файлов", а затем — пункт "Отправить".

Перейдите к файлу manifest.json на компьютере и нажмите кнопку "Открыть". При этом файл передается в корневой каталог хранилища Cloud Shell.

Выполните команду создания

В этом разделе вы запустите команду CLI, чтобы создать регистрацию приложения со следующими параметрами:

• Имя (на ваш выбор)
• Доступно только для учетных записей в каталоге по умолчанию (один арендатор)
• URL-адрес веб-ответа http://localhost
• Разрешения на чтение и запись для API Azure Digital Twins

Чтобы создать регистрацию приложения, выполните следующую команду. Если вы используете Cloud Shell, путь к файлу manifest.json имеет значение @manifest.json.

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

Результат выполнения команды — это информация о регистрации приложения, которую вы создали.

Проверка успешного выполнения

Вы можете убедиться, что разрешения Azure Digital Twins были предоставлены, проверив наличие следующих полей в результатах выполнения команды создания в разделе requiredResourceAccess. Убедитесь, что их значения соответствуют следующим значениям.

• resourceAccess > id ИС 4589BD03-58CB-4e6C-B17F-B580E39652F8
• resourceAppId is 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Значения идентификатора клиента и идентификатора арендатора можно найти на странице сведений о регистрации приложения на портале Azure:

Запишите идентификатор приложения (клиента) и идентификатор каталога (арендатора), показанные на вашей странице.

Идентификатор приложения можно найти в выходных данных из az ad app create команды, которая была запущена ранее (или снова отобразить информацию с помощью az ad app show).

Найдите appId в результате:

Идентификатор клиента можно отобразить в оболочке с помощью команды az account tenant list .

Начните со страницы регистрации приложения в портал Azure.

1. Выберите сертификаты и секреты из меню регистрации, а затем нажмите кнопку +Создать секрет клиента.

   

2. Введите любые значения в поля "Описание" и "Срок действия", а затем нажмите кнопку Добавить.

   

3. Убедитесь, что секрет клиента отображается на странице Сертификаты и секреты с полями "Срок действия" и "Значение".

4. Запишите идентификатор секрета и значение, которые понадобятся вам позже (вы также можете скопировать их в буфер обмена с помощью значка копирования).

   

Чтобы создать секрет клиента для регистрации приложения, вам потребуется значение идентификатора клиента регистрации приложения, которое вы собрали на предыдущем шаге. Чтобы создать новый секрет, используйте значение идентификатора клиента в следующей команде CLI:

az ad app credential reset --id <client-ID> --append

Кроме того, можно добавить в эту команду необязательные параметры для описания учетных данных, даты окончания и других сведений. Дополнительные сведения о команде и ее параметрах см. в документации по сбросу учетных данных приложения az ad.

Выходные данные этой команды — это сведения о созданном секрете клиента.

Скопируйте значение параметра password, чтобы использовать его в качестве секрета клиента для проверки подлинности.

Чтобы создать назначение ролей для регистрации, выполните следующие действия.

1. Откройте страницу вашего инстанса Azure Digital Twins в портале Azure.

2. Выберите Управление доступом (IAM) .

3. Выберите Добавить>Добавить назначение ролей, чтобы открыть страницу "Добавление назначения ролей".

4. Назначьте соответствующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Настройка	Значение
   Роль	Выберите по необходимости
   Члены > назначают доступ к	Пользователь, группа или основная служба
   Члены > Члены	+ Выберите участников, а затем найдите имя регистрации приложения

   

   

   После выбора роли проверьте и назначьте ее.

Подтверждение назначения ролей

Вы можете просмотреть назначение роли, которое вы настроили в разделе Управление доступом (IAM)> Назначения ролей.

Регистрация приложения должна отображаться в списке вместе с той ролью, которую вы ему назначили.

Используйте команду az dt role-assignment create , чтобы назначить роль (у вас должны быть достаточные разрешения в подписке Azure). Для выполнения команды необходимо указать имя роли, имя экземпляра Azure Digital Twins и имя или идентификатор объекта регистрации приложения.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Результат этой команды выводит сведения о назначении ролей, созданном для регистрации приложения.

Чтобы дополнительно проверить назначение роли, вы можете найти его в портале Azure (перейдите на вкладку инструкций портала).

На странице портала для регистрации приложения в меню выберите Разрешения API. На следующей странице разрешений нажмите кнопку + Добавить разрешение.

На следующей странице Запрос разрешений API откройте вкладку API-интерфейсы, используемые моей организацией и выполните поиск по запросу Azure Digital Twins. Выберите Azure Digital Twins из результатов поиска, чтобы продолжить назначение разрешений для интерфейсов API Azure Digital Twins.

Затем выберите разрешения, которые необходимо предоставить для этих API. Разверните разрешение Чтение (1) и установите флажок Чтение.Запись, чтобы предоставить этому приложению разрешения на чтение и запись.

После завершения нажмите кнопку Добавить разрешения.

Проверка разрешений API

На странице разрешений API убедитесь, что теперь есть запись для Azure Digital Twins, отражающая разрешения Read.Write:

Вы также можете проверить подключение к Azure Digital Twins в регистрации приложения manifest.js, которое автоматически обновляется с помощью сведений об Azure Digital Twins при добавлении разрешений API.

Для этого в меню выберите Манифест, чтобы просмотреть код манифеста регистрации приложения. Прокрутите окно кода вниз и найдите следующие поля и значения в разделе requiredResourceAccess:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0" (Это значение является идентификатором ресурса для конечной точки службы Azure Digital Twins.)
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8" (Это значение является идентификатором разрешения делегированного разрешения Read.Write в Azure Digital Twins.)

Эти значения показаны на следующем снимке экрана:

Если эти значения отсутствуют, повторите действия, описанные в разделе Добавление разрешения API.

Если вы используете интерфейс командной строки, разрешения API были настроены ранее в рамках шага создания регистрации .

Теперь их можно проверить с помощью портал Azure (перейдите на вкладку инструкций портала).

Ниже приведены некоторые распространенные потенциальные действия, которые может потребоваться выполнить владелец или администратор подписки. Эти и другие операции можно выполнить на странице Регистрация приложений Microsoft Entra в портале Azure.

• Предоставление согласия администратора на регистрацию приложения. В вашей организации может быть включена глобальная настройка Требуется согласие администратора в Microsoft Entra ID для всех регистраций приложений в вашей подписке. Если это так, владелец или администратор должен выбрать эту кнопку для вашей компании на странице разрешений API регистрации приложения, чтобы регистрация приложения была допустимой:

  

  • Если согласие было предоставлено успешно, то запись для Azure Digital Twins должна показать Состояние со значением предоставлено для (ваша компания)

  

• Активация общедоступного клиентского доступа

• Установите конкретные URL-адреса ответа для доступа через веб и настольные приложения.

• Позволить использование неявных потоков аутентификации OAuth2

Ниже приведены некоторые распространенные потенциальные действия, которые может потребоваться выполнить владелец или администратор подписки.

• Предоставление согласия администратора на регистрацию приложения. В вашей организации может быть включена глобальная настройка Требуется согласие администратора в Microsoft Entra ID для всех регистраций приложений в вашей подписке. В этом случае владельцу или администратору может потребоваться предоставить больше делегированных или разрешений для приложения.
• Активация доступа общедоступного клиента путем добавления параметра --set publicClient=true к команде создания или обновления учетной записи.
• Настройка определенных URL-адресов ответа для доступа из браузера и с рабочего стола с помощью параметра --reply-urls. Дополнительные сведения об использовании этого параметра с командами az ad см. в документации по приложению az ad.
• Разрешение неявных процедур проверки подлинности OAuth2 с помощью параметра --oauth2-allow-implicit-flow. Дополнительные сведения об использовании этого параметра с командами az ad см. в документации по приложению az ad.