Erstellen einer App-Registrierung für die Verwendung mit Azure Digital Twins

Gehen Sie zu Microsoft Entra ID im Azure-Portal (Sie können diesen Link verwenden oder nach diesem Eintrag über die Suchleiste des Portals suchen). Wählen Sie App-Registrierungen aus dem Dienstmenü und dann + Neue Registrierung aus.

Geben Sie auf der folgenden Seite Anwendung registrieren die angeforderten Werte ein:

• Name: Ein Anzeigename einer Microsoft Entra-Anwendung, die der Registrierung zugeordnet werden soll.
• Unterstützte Kontotypen: Wählen die Option Nur Konten in diesem Organisationsverzeichnis (nur Standardverzeichnis – einzelner Mandant) aus.

Wenn Sie fertig sind, wählen Sie die Schaltfläche Registrieren aus.

Wenn die Registrierung abgeschlossen ist, leitet das Portal Sie zur Detailseite um.

Erstellen Sie zunächst eine Manifestdatei, die Dienstinformationen enthält, die Ihre App-Registrierung benötigt, um auf die Azure Digital Twins-APIs zuzugreifen. Anschließend übergeben Sie diese Datei an einen CLI-Befehl, um die Registrierung zu erstellen.

Erstellen eines Manifests

Erstellen Sie auf Ihrem Computer eine neue JSON-Datei namens manifest.json. Kopieren Sie diesen Text in die Datei:

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

Der statische Wert 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 ist die Ressourcen-ID für den Azure Digital Twins-Dienstendpunkt, den Ihre App-Registrierung für den Zugriff auf die Azure Digital Twins-APIs benötigt.

Speichern Sie die fertige Datei.

Cloud Shell-Benutzer: Hochladen des Manifests

Wenn Sie Azure Cloud Shell für dieses Lernprogramm verwenden, müssen Sie die Manifestdatei, die Sie erstellt haben, in die Cloud Shell hochladen, damit Sie bei der Konfiguration der App-Registrierung in Cloud Shell-Befehlen darauf zugreifen können. Wenn Sie eine lokale Installation von Azure CLI verwenden, können Sie zum nächsten Schritt übergehen Führen Sie den Erstellungsbefehl aus.

Um die Datei hochzuladen, wechseln Sie in Ihrem Browser zum Fenster „Cloud Shell“. Wählen Sie das Symbol „Dateien hochladen/herunterladen“ aus und klicken Sie dann auf „Hochladen“.

Navigieren Sie zu der Datei manifest.json auf Ihrem Computer, und wählen Sie Öffnen aus. Sie laden dadurch die Datei in das Stammverzeichnis Ihres Cloud Shell-Speichers hoch.

Ausführen des Erstellungsbefehls

In diesem Abschnitt führen Sie einen CLI-Befehl aus, um eine App-Registrierung mit den folgenden Einstellungen zu erstellen:

• Name Ihrer Wahl
• Nur für Konten im Standardverzeichnis (einzelner Mandant) verfügbar.
• Eine Webantwort-URL der Form http://localhost
• Lese-/Schreibberechtigungen für die Azure Digital Twins-APIs

Führen Sie zum Erstellen der App-Registrierung den folgenden Befehl aus. Wenn Sie Cloud Shell verwenden, lautet der Pfad zur Datei „manifest.json“ entsprechend @manifest.json.

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

Die Ausgabe des Befehls ist die Information über die App-Registrierung, die Sie erstellt haben.

Erfolg überprüfen

Sie können bestätigen, dass die Berechtigungen für Azure Digital Twins erteilt wurden, indem Sie in der Ausgabe des Erstellungsbefehls unter requiredResourceAccess suchen. Vergewissern Sie sich, dass ihre Werte den folgenden Werten entsprechen.

• resourceAccess > id ist 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId ist 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Die Werte für Client-ID und Mandanten-ID können auf der Detailseite der App-Registrierung im Azure-Portal abgefragt werden:

Notieren Sie sich die Anwendungs-ID (Client-ID) und Verzeichnis-ID (Mandanten-ID), die auf Ihrer Seite angezeigt wird.

Sie finden die App-ID in der Ausgabe des az ad app createBefehls, den Sie zuvor ausgeführt haben (oder rufen Sie die Informationen erneut mit az ad app show auf).

Suchen Sie im Ergebnis nach appId:

Sie können Ihre Mandanten-ID in der Shell mithilfe des az account tenant list Befehls anzeigen.

Beginnen Sie auf der App-Registrierungsseite im Azure-Portal.

1. Wählen Sie im Menü der Registrierung die Option Zertifikate und Geheimnisse aus, und wählen Sie dann + Neuer geheimer Clientschlüssel aus.

   

2. Geben Sie die gewünschten Werte für die Beschreibung und den Ablauf ein, und wählen Sie Hinzufügen aus.

   

3. Vergewissern Sie sich, dass der geheime Clientschlüssel auf der Seite Zertifikate und Geheimnisse mit den Feldern „Ablauf“ und „Wert“ angezeigt wird.

4. Notieren Sie sich die Geheimnis-ID und den Wert für später. (Sie können diese auch mithilfe der Kopiersymbole in die Zwischenablage kopieren.)

   

Um einen geheimen Clientschlüssel für Ihre App-Registrierung zu erstellen, benötigen Sie den Client-ID-Wert der App-Registrierung, den Sie im vorherigen Schritt gesammelt haben. Verwenden Sie zum Erstellen eines neuen geheimen Schlüssels den Client-ID-Wert im folgenden CLI-Befehl:

az ad app credential reset --id <client-ID> --append

Sie können diesem Befehl auch optionale Parameter hinzufügen, um eine Beschreibung der Anmeldeinformationen, ein Enddatum und andere Details anzugeben. Weitere Informationen zu dem Befehl und seinen Parametern finden Sie in der Dokumentation zu „az ad app credential reset“.

Die Ausgabe dieses Befehls enthält Informationen zu dem geheimen Clientschlüssel, den Sie erstellt haben.

Kopieren Sie den Wert für password, um ihn zu verwenden, wenn Sie den geheimen Clientschlüssel für die Authentifizierung benötigen.

Führen Sie die folgenden Schritte aus, um die Rollenzuweisung für Ihre Registrierung zu erstellen.

1. Öffnen Sie die Seite für Ihre Azure Digital Twins-Instanz im Azure-Portal.

2. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus, um den Bereich „Rollenzuweisung hinzufügen“ zu öffnen.

4. Weisen Sie die entsprechende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

   Einstellung	Wert
   Rolle	Zutreffendes auswählen
   Mitglieder > Zuweisen des Zugriffs auf	Benutzer, Gruppe oder Dienstprinzipal
   Mitglieder > Mitglieder	+ Mitglieder auswählen und dann nach dem Namen der App-Registrierung suchen

   

   

   Nachdem die Rolle ausgewählt wurde, überprüfen Sie sie, und weisen Sie sie zu.

Überprüfen der Rollenzuweisung

Sie können die Rollenzuweisung, die Sie eingerichtet haben, unter Zugriffssteuerung (IAM) > Rollenzuweisungen anzeigen.

Die App-Registrierung sollte in der Liste zusammen mit der Rolle angezeigt werden, die Sie ihr zugewiesen haben.

Verwenden Sie den Befehl "az dt role-assignment create" zum Zuweisen der Rolle (Sie müssen über ausreichende Berechtigungen im Azure-Abonnement verfügen). Für den Befehl müssen Sie den Namen der Rolle, die Sie zuweisen möchten, den Namen Ihrer Azure Digital Twins-Instanz und entweder den Namen oder die Objekt-ID der App-Registrierung eingeben.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Die Ausgabe dieses Befehls enthält Informationen zur Rollenzuweisung, die für die App-Registrierung erstellt wurde.

Um die Rollenzuweisung weiter zu überprüfen, können Sie sie im Azure-Portal nach ihr suchen (wechseln Sie zur Registerkarte Portalanweisung).

Wählen Sie auf der Portalseite für Ihre App-Registrierung im Menü API-Berechtigungen aus. Wählen Sie auf der folgenden Berechtigungsseite die Schaltfläche + Berechtigung hinzufügen aus.

Wechseln Sie auf der folgenden Seite API-Berechtigungen anfordern zur Registerkarte Von meiner Organisation verwendete APIs, und suchen Sie nach Azure Digital Twins. Wählen Sie Azure Digital Twins aus den Suchergebnissen aus, um mit dem Zuweisen von Berechtigungen für die Azure Digital Twins-APIs fortzufahren.

Als Nächstes wählen Sie aus, welche Berechtigungen für diese APIs gewährt werden sollen. Erweitern Sie die Berechtigung Lesen (1), und aktivieren Sie das Kontrollkästchen Read.Write, um diesem App-Registrierungsleser und -writer Berechtigungen zu erteilen.

Wählen Sie Berechtigungen hinzufügen aus, wenn Sie fertig sind.

Überprüfen der API-Berechtigungen

Vergewissern Sie sich, dass auf der Seite API-Berechtigungen nun ein Eintrag für Azure Digital Twins vorhanden ist, der Berechtigungen vom Typ Read.Write widerspiegelt:

Sie können die Verbindung mit Azure Digital Twins auch in der Datei manifest.json der App-Registrierung überprüfen, die automatisch mit den Informationen zu Azure Digital Twins aktualisiert wurde, als Sie die API-Berechtigungen hinzugefügt haben.

Wählen Sie hierzu Manifest aus dem Menü aus, um den Manifestcode der App-Registrierung anzuzeigen. Scrollen Sie zum unteren Rand des Codefensters, und suchen Sie unter requiredResourceAccess nach den folgenden Feldern und Werten:

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0" (Dieser Wert ist die Ressourcen-ID für den Azure Digital Twins-Dienstendpunkt.)
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8" (Dieser Wert ist die Berechtigungs-ID für die delegierte Berechtigung "Read.Write" in Azure Digital Twins.)

Diese Werte werden im folgenden Screenshot gezeigt:

Wenn diese Werte fehlen, wiederholen Sie die Schritte im Abschnitt zum Hinzufügen der API-Berechtigung.

Wenn Sie die CLI verwenden, wurden die API-Berechtigungen bereits im Schritt Erstellen der Registrierung eingerichtet.

Sie können sie jetzt mithilfe des Azure-Portals überprüfen (wechseln Sie zur Registerkarte Portalanweisung).

Nachfolgend finden Sie einige häufige potenzielle Aktivitäten, die ein Besitzer oder Administrator für das Abonnement möglicherweise ausführen muss. Diese und andere Vorgänge können über die Seite Microsoft Entra-App-Registrierungen im Azure-Portal ausgeführt werden.

• Erteilen Sie eine Administratoreinwilligung für die App-Registrierung. Ihre Organisation hat möglicherweise Administratorzustimmung erforderlich global in der Microsoft Entra ID für alle App-Registrierungen innerhalb Ihres Abonnements aktiviert. In diesem Fall muss der Besitzer/Administrator diese Schaltfläche für Ihr Unternehmen auf der API-Berechtigungsseite der App-Registrierung auswählen, damit die App-Registrierung gültig ist:

  

  • Wenn die Einwilligung erfolgreich erteilt wurde, sollte der Eintrag für Azure Digital Twins unter Status dann den Wert Gewährt für (Ihr Unternehmen) anzeigen.

  

• Aktivieren des öffentlichen Clientzugriffs

• Festlegen bestimmter Antwort-URLs für den Web- und Desktopzugriff

• Zulassen von impliziten OAuth2-Authentifizierungsflows

Nachfolgend finden Sie einige häufige potenzielle Aktivitäten, die ein Besitzer oder Administrator für das Abonnement möglicherweise ausführen muss.

• Erteilen Sie eine Administratoreinwilligung für die App-Registrierung. Ihre Organisation hat möglicherweise Administratorzustimmung erforderlich global in der Microsoft Entra ID für alle App-Registrierungen innerhalb Ihres Abonnements aktiviert. Wenn ja, muss der Besitzer/Administrator möglicherweise delegiertere oder Anwendungsberechtigungen erteilen.
• Aktivieren Sie den öffentlichen Clientzugriff, indem Sie --set publicClient=true an einen Erstellungs- oder Aktualisierungsbefehl für die Registrierung anfügen.
• Legen Sie spezifische Antwort-URLs für den Web- und Desktopzugriff mithilfe des Parameters --reply-urls fest. Weitere Informationen zur Verwendung dieses Parameters mit az ad-Befehlen finden Sie in der Dokumentation zu „az ad app“.
• Lassen Sie implizite OAuth2-Authentifizierungsflows mithilfe des Parameters --oauth2-allow-implicit-flow zu. Weitere Informationen zur Verwendung dieses Parameters mit az ad-Befehlen finden Sie in der Dokumentation zu „az ad app“.