註冊應用程式以要求授權權杖並使用 API

發行項
10/15/2024

若要存取 Azure REST API (例如 Log Analytics API) 或傳送自訂計量，您可以根據用戶端識別碼和秘密產生授權權杖。權杖隨後會傳入 REST API 要求中。本文說明如何註冊用戶端應用程式及建立用戶端密碼，以便您產生權杖。

針對自訂位置

使用 Azure 入口網站、Azure CLI 或 PowerShell 建立服務主體並註冊應用程式。

若要註冊應用程式，請在 Azure 入口網站中開啟 Active Directory 概觀頁面。
從側邊欄中選取 [應用程式註冊]。
選取[新的註冊]
在 [註冊應用程式] 頁面上，輸入應用程式的 [名稱]。
選取 [註冊]
在應用程式的概觀頁面，選取 [憑證和祕密]
記下 [應用程式 (用戶端) 識別碼]。在權杖的 HTTP 要求中將會用到。
在 [用戶端密碼] 索引標籤中，選取 [新增用戶端密碼]
輸入 [描述]，然後選取 [新增]
複製並儲存用戶端密碼值。

注意

用戶端密碼值只能在建立之後立即檢視。請務必先儲存該密碼值，再離開頁面。

執行下列指令碼，以建立服務主體和應用程式。

az ad sp create-for-rbac -n <Service principal display name>

回應顯示如下：

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}

重要

輸出中包含您必須保護的認證。請務必不要在程式碼中包含這些認證，或是將認證簽入原始檔控制中。

為您想要使用 API 存取的資源新增角色和範圍

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

下列 CLI 範例會將 Reader 角色指派給 rg-001 資源群組中所有資源的服務主體：

 az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 --role Reader --scope '\/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001'

如需使用 Azure CLI 建立服務主體的詳細資訊，請參閱使用 Azure CLI 建立 Azure 服務主體。

下列範例指令碼示範透過 PowerShell 建立 Microsoft Entra 服務主體的方法。如需更詳細的逐步解說，請參閱使用 Azure PowerShell 建立用來存取資源的服務主體

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

下一步

您必須先根據您要存取的資源使用存取控制 (IAM) 將應用程式指派給角色，才能使用您的應用程式、用戶端識別碼和秘密產生權杖。該角色取決於您想要使用的資源類型和 API。
例如，

若要授權給應用程式讀取 Log Analytics 工作區，請使用存取控制 (IAM) 將您的應用程式新增為 Log Analytics 工作區的讀者角色成員。如需詳細資訊，請參閱存取 API
若要授與為資源傳送自訂計量的存取權，請使用存取控制 (IAM) 將您的應用程式新增為資源的監視計量發行者角色成員。如需詳細資訊，請參閱使用 REST API 將計量傳送至 Azure 監視器計量資料庫

如需詳細資訊，請參閱使用 Azure 入口網站指派 Azure 角色

指派角色之後，您可以使用應用程式、用戶端識別碼和用戶端密碼來產生持有人權杖，以存取 REST API。

注意

使用 Microsoft Entra 驗證時，Azure Application Insights REST API 辨識新的角色型存取控制 (RBAC) 權限最多可能需耗時 60 分鐘。雖然權限正在傳播，但 REST API 呼叫可能會失敗，錯誤碼為 403。

共用方式為

註冊應用程式以要求授權權杖並使用 API

針對自訂位置

下一步

意見反應

其他資源