注册应用以请求授权令牌并使用 API

1. 若要注册应用，请打开 Azure 门户中的“Active Directory 概述”页。

2. 从侧栏中选择 “应用注册 ”。

3. 选择“新建注册”

4. 在“注册应用程序”页上，输入应用程序的名称。

5. 选择注册

6. 在应用的概述页上，选择 “证书和机密”

7. 记下 应用程序（客户端）ID。 它用于获取令牌的 HTTP 请求中。

8. 在“客户端机密”选项卡中，选择“新建客户端密码”

9. 输入说明并选择添加

10. 复制并保存客户端密码值。

    注释

    客户端密码值只能在创建后立即查看。 请确保在离开该页面之前保存该机密。

    

运行以下脚本以创建服务主体和应用。

az ad sp create-for-rbac -n <Service principal display name> 

响应如下所示：

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
}

为想要使用 API 访问的资源添加角色和范围

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

以下命令行界面示例将 Reader 角色分配给 rg-001 资源组中所有资源的服务主体：

 az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 --role Reader --scope '\/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg-001'

有关使用 Azure CLI 创建服务主体的详细信息，请参阅 使用 Azure CLI 创建 Azure 服务主体。

以下示例脚本演示如何通过 PowerShell 创建 Microsoft Entra 服务主体。 有关更详细的演练，请参阅 使用 Azure PowerShell 创建用于访问资源的服务主体

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount  -Environment AzureChinaCloud -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid