Microsoft Entra alkalmazásregisztráció létrehozása az Azure Data Explorer
Microsoft Entra alkalmazáshitelesítés olyan alkalmazásokhoz használható, például felügyelet nélküli szolgáltatásokhoz vagy ütemezett folyamatokhoz, amelyeknek felhasználói beavatkozás nélkül kell hozzáférnie az Azure Data Explorer. Ha egy Azure Data Explorer-adatbázishoz csatlakozik egy alkalmazással, például egy webalkalmazással, hitelesítést kell végeznie szolgáltatásnév-hitelesítéssel. Ez a cikk ismerteti, hogyan hozhat létre és regisztrálhat Microsoft Entra szolgáltatásnevet, majd hogyan engedélyezheti az Azure Data Explorer-adatbázishoz való hozzáférést.
Microsoft Entra alkalmazásregisztráció létrehozása
Microsoft Entra alkalmazáshitelesítéshez létre kell hoznia és regisztrálnia kell egy alkalmazást a Microsoft Entra ID. A rendszer automatikusan létrehoz egy szolgáltatásnevet, amikor az alkalmazásregisztráció egy Microsoft Entra-bérlőben jön létre.
Az alkalmazásregisztráció létrehozható a Azure Portal, vagy programozott módon az Azure CLI-vel. Válassza ki a forgatókönyvnek megfelelő lapot.
Az alkalmazás regisztrálása
Jelentkezzen be Azure Portal, és nyissa meg a Microsoft Entra ID panelt.
Tallózással keresse meg a Alkalmazásregisztrációk, és válassza az Új regisztráció lehetőséget.
Nevezze el az alkalmazást, például "example-app".
Válasszon egy támogatott fióktípust, amely meghatározza, hogy ki használhatja az alkalmazást.
Az Átirányítási URI területen válassza a Web lehetőséget a létrehozni kívánt alkalmazástípushoz. Az URI nem kötelező, és ebben az esetben üresen marad.
Válassza a Regisztráció lehetőséget.
Hitelesítés beállítása
A szolgáltatásnevek esetében kétféle hitelesítési típus érhető el: Jelszóalapú hitelesítés (alkalmazáskulcs) és tanúsítványalapú hitelesítés. A következő szakasz az alkalmazás hitelesítő adataihoz használt jelszóalapú hitelesítést ismerteti. Alternatív megoldásként X509-tanúsítványt is használhat az alkalmazás hitelesítéséhez. További információ: Microsoft Entra tanúsítványalapú hitelesítés konfigurálása.
A szakasz során a következő értékeket másolja ki: Alkalmazásazonosító és kulcsérték. Illessze be ezeket az értékeket valahová, például egy szövegszerkesztőbe, hogy a lépésben használhassa az ügyfél-hitelesítő adatokat az adatbázishoz.
Tallózással keresse meg az Áttekintés panelt.
Másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.
Megjegyzés
Az alkalmazásazonosítóra és a bérlőazonosítóra lesz szüksége ahhoz, hogy a szolgáltatásnév hozzáférhessen az adatbázishoz.
A Tanúsítványok & titkos kulcsok panelen válassza az Új titkos ügyfélkulcs lehetőséget.
Adja meg a leírást és a lejáratot.
Válassza a Hozzáadás lehetőséget.
Másolja a kulcs értékét.
Megjegyzés
Ha elhagyja ezt a lapot, a kulcs értéke nem lesz elérhető.
Létrehozta a Microsoft Entra alkalmazást és szolgáltatásnevet.
Delegált engedélyek konfigurálása az alkalmazáshoz – nem kötelező
Ha az alkalmazásnak a hívó felhasználó hitelesítő adataival kell hozzáférnie az adatbázishoz, konfiguráljon delegált engedélyeket az alkalmazáshoz. Ha például webes API-t hoz létre, és az API-t hívó felhasználó hitelesítő adataival szeretne hitelesíteni.
Ha csak egy engedélyezett adaterőforráshoz kell hozzáférnie, kihagyhatja ezt a szakaszt, és folytathatja a Szolgáltatásnév hozzáférésének biztosítása az adatbázishoz című szakaszt.
Keresse meg az alkalmazásregisztrációAPI-engedélyek paneljét.
Válassza az Engedély hozzáadása lehetőséget.
Válassza ki a szervezet által használt API-kat.
Keresse meg és válassza az Azure Data Explorer lehetőséget.
A Delegált engedélyek területen válassza a user_impersonation mezőt.
Válassza az Engedélyek hozzáadása lehetőséget.
Szolgáltatásnév-hozzáférés biztosítása az adatbázishoz
Az alkalmazásregisztráció létrehozása után hozzáférést kell adnia a megfelelő szolgáltatásnévnek az adatbázishoz. Az alábbi példa hozzáférést ad a megtekintőhöz. További szerepkörökért lásd: Adatbázis-engedélyek kezelése.
Használja az alkalmazásazonosító és a bérlőazonosító értékét az előző lépésben másolt módon.
Hajtsa végre a következő parancsot a lekérdezésszerkesztőben, és cserélje le az ApplicationID és a TenantID helyőrző értékeket a tényleges értékekre:
.add database <DatabaseName> viewers ('aadapp=<ApplicationID>;<TenantID>') '<Notes>'
Például:
.add database Logs viewers ('aadapp=1234abcd-e5f6-g7h8-i9j0-1234kl5678mn;9876abcd-e5f6-g7h8-i9j0-1234kl5678mn') 'App Registration'
Az utolsó paraméter egy sztring, amely jegyzetekként jelenik meg az adatbázishoz társított szerepkörök lekérdezésekor.
Megjegyzés
Az alkalmazásregisztráció létrehozása után néhány perc késéssel lehet hivatkozni rá. Ha hibaüzenetet kap arról, hogy az alkalmazás nem található, várjon, és próbálkozzon újra.
További információ a szerepkörökről: Szerepköralapú hozzáférés-vezérlés.
Adatbázis elérése alkalmazás hitelesítő adataival
Az alkalmazás hitelesítő adataival programozott módon érheti el az adatbázist az ügyfélkódtár használatával.
. . .
string applicationClientId = "<myClientID>";
string applicationKey = "<myApplicationKey>";
string authority = "<myApplicationTenantID>";
. . .
var kcsb = new KustoConnectionStringBuilder($"https://{clusterName}.kusto.windows.net/{databaseName}")
.WithAadApplicationKeyAuthentication(
applicationClientId,
applicationKey,
authority);
var client = KustoClientFactory.CreateCslQueryProvider(kcsb);
var queryResult = client.ExecuteQuery($"{query}");
Megjegyzés
Adja meg a korábban létrehozott alkalmazásregisztráció (szolgáltatásnév) alkalmazásazonosítóját és kulcsát.
További információ: Hogyan végezhet hitelesítést a Microsoft Authentication Library (MSAL) használatával az alkalmazásokban, és hogyan használhatja az Azure Key Vault a .NET Core-webalkalmazással.
Hibaelhárítás
Érvénytelen erőforráshiba
Ha az alkalmazást felhasználók vagy hozzáférési alkalmazások hitelesítésére használják, delegált engedélyeket kell beállítania a szolgáltatásalkalmazáshoz. Deklarálja, hogy az alkalmazás hitelesíteni tudja a felhasználókat vagy alkalmazásokat a hozzáféréshez. Ha ezt nem teszi meg, az a következőhöz hasonló hibát eredményez, amikor hitelesítési kísérlet történik:
AADSTS650057: Invalid resource. The client has requested access to a resource which is not listed in the requested permissions in the client's application registration...
Az alkalmazás delegált engedélyeinek konfigurálásához kövesse az utasításokat.
Felhasználói hozzájárulás engedélyezése hiba
A Microsoft Entra bérlői rendszergazdája olyan szabályzatot hozhat létre, amely megakadályozza, hogy a bérlői felhasználók hozzájárulást adjanak az alkalmazásokhoz. Ez a helyzet a következőhöz hasonló hibát eredményez, amikor egy felhasználó megpróbál bejelentkezni az alkalmazásba:
AADSTS65001: The user or administrator has not consented to use the application with ID '<App ID>' named 'App Name'
Ahhoz, hogy a bérlő összes felhasználója számára jóváhagyást adjon, fel kell vennie a kapcsolatot a Microsoft Entra rendszergazdájával, vagy engedélyeznie kell a felhasználói hozzájárulást az adott alkalmazáshoz.