注册应用以请求授权令牌并使用 API

1. 若要注册应用，请打开 Azure 门户中的“Active Directory 概述”页。

2. 从侧栏中选择“应用注册”。

3. 选择“新建注册”

4. 在“注册应用程序”页上，输入应用程序的名称。

5. 选择“注册”

6. 在应用的概述页上，选择“证书和机密”

7. 记下“应用程序(客户端) ID”。 在令牌的 HTTP 请求中会用到它。

8. 在“客户端密码”选项卡上，选择“新建客户端密码”

9. 输入说明并选择“添加”

10. 复制并保存客户端密码值。

    注意

    客户端密码值只能在创建后立即查看。 请确保在离开该页面之前保存该机密。

    

运行以下脚本以创建服务主体和应用。

az ad sp create-for-rbac -n <Service principal display name> 

响应如下所示：

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

为要使用 API 访问的资源添加角色和范围

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

以下示例中的 CLI 将 Reader 角色分配给 rg-001 资源组中所有资源的服务主体：

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

有关使用 Azure CLI 创建服务主体的详细信息，请参阅使用 Azure CLI 创建 Azure 服务主体。

以下示例脚本演示如何通过 PowerShell 创建 Microsoft Entra 服务主体。 有关更详细的演练，请参阅使用 Azure PowerShell 创建用于访问资源的服务主体

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount  -Environment AzureChinaCloud -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid