Azure Stack Hub kaynaklarına uygulama erişimi verme

  • Makale

Azure Resource Manager aracılığıyla kaynakları dağıtan veya yapılandıran bir uygulama, güvenlik sorumlusu olarak bilinen kendi kimliğiyle temsil edilmelidir. Bir kullanıcı, kullanıcı sorumlusu tarafından temsil edilirken olduğu gibi, bir uygulama da hizmet sorumlusu tarafından temsil edilir.

Kimlik, kullanıcıya veya uygulamaya yalnızca gerekli izinleri temsilci olarak atamak için de kullanılabilir. Örneğin, bir yapılandırma yönetimi uygulaması Azure kaynaklarının envanterini oluşturmak için Azure Resource Manager'ı kullanabilir. Uygulama dizine kaydedilir, ardından uygun kapsamdaki "okuyucu" rolüne eklenir ve bu da uygulamayı salt okunur erişimle sınırlandırabilir.

Genel bakış

Bir kullanıcı gibi, bir uygulamanın kimlik doğrulaması sırasında kimlik bilgilerini sunması gerekir ve bu da iki öğe gerektirir:

  • Bazen İstemci Kimliği olarak da adlandırılan bir Uygulama Kimliği. Bu kimlik, uygulamanın Active Directory kiracınızdaki kaydını benzersiz olarak tanımlayan bir GUID'dir.
  • Bir sır. Bir istemci gizli dizisi dizesi (parolaya benzer) oluşturabilir veya bir X509 sertifika parmak izi (ortak anahtarını kullanan) belirtebilirsiniz.

Bir uygulamayı kendi kimliği altında çalıştırmak, aşağıdaki nedenlerle kullanıcının kimliği altında çalıştırmayı tercih eder:

  • Daha güçlü kimlik bilgileri: Bir uygulama, metinsel paylaşılan gizli dizi/parola yerine X509 sertifikası kullanarak oturum açabilir.
  • Uygulamaya daha kısıtlayıcı izinler atayabilirsiniz. Bu izinler genellikle yalnızca en az ayrıcalık ilkesi olarak bilinen uygulamanın yapması gerekenlerle sınırlıdır.
  • Kimlik bilgileri ve izinler, bir uygulama için kullanıcı kimlik bilgileri olarak sık sık değişmez. Örneğin, kullanıcının sorumlulukları değiştiğinde, parola gereksinimleri bir değişiklik dikte eder veya bir kullanıcı şirketten ayrıldığında.

İlk olarak dizininizde yeni bir uygulama kaydı oluşturarak başlarsınız. Bu kayıt, dizindeki uygulamanın kimliğini temsil etmek için ilişkili bir hizmet sorumlusu nesnesi oluşturur. Kayıt işlemi, Azure Stack Hub örneğin için seçtiğiniz dizine bağlı olarak değişir:

  • Microsoft Entra Id: Microsoft Entra Id çok kiracılı, bulut tabanlı, dizin ve kimlik yönetimi hizmetidir. Microsoft Entra Id'yi bağlı bir Azure Stack Hub örneğiyle kullanabilirsiniz. Bu makaledeki örneklerde Microsoft Entra uygulama kaydı için Azure portalı kullanılır.
  • Active Directory Federasyon Hizmetleri (AD FS) (AD FS): AD FS basitleştirilmiş, güvenli kimlik federasyonu ve web çoklu oturum açma (SSO) özellikleri sağlar. AD FS'i hem bağlı hem de bağlantısı kesilmiş Azure Stack Hub örnekleriyle kullanabilirsiniz. Bu makaledeki örneklerde AD FS uygulama kaydı için Azure Stack Hub PowerShell kullanılır.

Uygulamayı kaydettikten sonra bir role atamayı ve kaynak erişimini sınırlamayı öğrenirsiniz.

Microsoft Entra uygulamasını yönetme

Kimlik yönetimi hizmetiniz olarak Azure Stack Hub'ı Microsoft Entra ID ile dağıttıysanız, azure için yaptığınız gibi uygulamalar için kimlikler oluşturup yönetirsiniz. Bu bölümde, Azure portalını kullanarak adımları nasıl gerçekleştirebileceğiniz gösterilmektedir. Bir uygulamayı kaydetmek için yeterli izinlere sahip olduğunuzdan emin olmak için, başlamadan önce bir uygulamayı kaydetmek için gereken izinleri gözden geçirin.

İstemci gizli anahtarı kimlik bilgilerini kullanan bir uygulama kaydı oluşturma

Bu bölümde, Azure portalını kullanarak uygulamanızı Microsoft Entra kiracınıza kaydedersiniz. Aşağıdaki örnekte, bir istemci gizli anahtarı kimlik bilgisi belirtirsiniz, ancak portal X509 sertifika tabanlı kimlik bilgilerini de destekler.

  1. Azure hesabınızı kullanarak Azure portalda oturum açın.

  2. Microsoft Entra Id>> seçin.

  3. Uygulama için bir ad belirtin.

  4. Uygun Desteklenen hesap türlerini seçin.

  5. Yeniden Yönlendirme URI'sinin altında, uygulama türü olarak Web'i seçin ve (isteğe bağlı olarak) uygulamanız gerektiriyorsa yeniden yönlendirme URI'sini belirtin.

  6. Değerleri ayarladıktan sonra Kaydet'i seçin. Uygulama kaydı oluşturulur ve Genel Bakış sayfası görüntülenir.

  7. Uygulama kodunuzda kullanmak üzere Uygulama Kimliğini kopyalayın. Bu değer, İstemci Kimliği olarak da adlandırılır.

  8. İstemci gizli dizisi oluşturmak için Sertifikalar ve gizli diziler sayfasını seçin. Yeni gizli anahtar'ı seçin.

  9. Gizli dizi için bir açıklama sağlayın ve süresi doldu.

  10. İşiniz bittiğinde Ekle'yi seçin.

  11. Gizli dizinin değeri görüntülenir. Daha sonra alamadığınız için bu değeri kopyalayıp başka bir konuma kaydedin. Gizli diziyi oturum açmak için istemci uygulamanızda Uygulama Kimliği ile birlikte sağlarsınız.

    İstemci gizli dizilerinde kaydedilen anahtar

Uygulamanın kimliği için rol tabanlı erişim denetimi oluşturmayı öğrenmek için Rol atama'ya geçin.

Ek Microsoft Entra uygulama yönetimi makaleleri

Microsoft Entra uygulamalarını yönetme hakkında daha fazla ayrıntı için aşağıdaki Azure makalelerine bakın:

AD FS uygulamasını yönetme

Kimlik yönetimi hizmetiniz olarak AD FS ile Azure Stack Hub'ı dağıttıysanız, uygulamanızın kimliğini yönetmek için PowerShell kullanmanız gerekir. Aşağıdaki örneklerde hem X509 sertifikası hem de istemci gizli anahtarı kimlik bilgileri gösterilmektedir.

Betikler yükseltilmiş ("Yönetici olarak çalıştır") PowerShell konsolunda çalıştırılmalıdır. Bu konsol, Azure Stack Hub örneğinin ayrıcalıklı uç noktasını barındıran bir VM'ye başka bir oturum açar. Ayrıcalıklı uç nokta oturumu oluşturulduktan sonra, uygulama kaydını oluşturmak ve yönetmek için ek cmdlet'ler kullanılır. Ayrıcalıklı uç nokta hakkında daha fazla bilgi için bkz . Azure Stack Hub'da ayrıcalıklı uç noktayı kullanma.

Sertifika kimlik bilgilerini kullanan bir uygulama kaydı oluşturma

Sertifika kimlik bilgileri oluşturulurken aşağıdaki gereksinimler karşılanmalıdır:

  • Üretim için sertifikanın bir iç Sertifika Yetkilisinden veya Genel Sertifika Yetkilisi'nden verilmesi gerekir. Bir kamu yetkilisi kullanırken, yetkiliyi Microsoft Güvenilen Kök Yetkili Programı'nın bir parçası olarak temel işletim sistemi görüntüsüne eklemeniz gerekir. Tam liste için bkz . Katılımcı Listesi - Microsoft Güvenilen Kök Programı. "Otomatik olarak imzalanan" bir test sertifikası oluşturma örneği daha sonra sertifika kimlik bilgilerini güncelleştirme sırasında da gösterilecektir.
  • Şifreleme sağlayıcısı, Microsoft'un eski Şifreleme Hizmeti Sağlayıcısı (CSP) anahtar sağlayıcısı olarak belirtilmelidir.
  • Hem genel hem de özel anahtarlar gerektiğinden sertifika biçimi PFX dosyasında olmalıdır. Windows sunucuları, ortak anahtar dosyasını (TLS/SSL sertifika dosyası) ve ilişkili özel anahtar dosyasını içeren .pfx dosyalarını kullanır.
  • Azure Stack Hub altyapınızın sertifikada yayımlanan sertifika yetkilisinin Sertifika İptal Listesi (CRL) konumuna ağ erişimi olmalıdır. Bu CRL bir HTTP uç noktası olmalıdır.

Sertifikanız olduktan sonra, uygulamanızı kaydetmek ve uygulamanın kimliğini kullanarak oturum açmak için aşağıdaki PowerShell betiğini kullanın. Aşağıdaki yer tutucular için kendi değerlerinizi değiştirin:

Yer tutucu Veri Akışı Açıklaması Örnek
<PepVM> Azure Stack Hub örneğinizdeki ayrıcalıklı uç nokta VM'sinin adı. "AzS-ERCS01"
<YourCertificateLocation> X509 sertifikanızın yerel sertifika deposundaki konumu. "Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<YourAppName> Yeni uygulama kaydı için açıklayıcı bir ad. "Yönetim aracım"

  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve aşağıdaki betiği çalıştırın.

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
$Creds = Get-Credential

# Create a PSSession to the Privileged Endpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# To use a managed certificate from the certificate store, use the Get-Item cmdlet.
# To use a certificate file, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
# To use a test certificate, use the New-SelfSignedCertificate cmdlet
#   See https://video2.skills-academy.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
#   $Cert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
$Cert = Get-Item "<YourCertificateLocation>"

# Use the privileged endpoint to create the new app registration
$SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -ClientCertificates $using:cert}
$AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
$Session | Remove-PSSession

# Using the stamp info for your Azure Stack Hub instance, populate the following variables:
# - Az endpoint used for Azure Resource Manager operations 
# - Audience for acquiring an OAuth token used to access Graph API 
# - GUID of the directory tenant
$ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
$GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
$TenantID = $AzureStackInfo.AADTenantID

# Register and set an Az environment that targets your Azure Stack Hub instance
Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint

# Sign in using the new service principal
$SpSignin = Connect-AzAccount -Environment "AzureStackUser" `
-ServicePrincipal `
-CertificateThumbprint $SpObject.Thumbprint `
-ApplicationId $SpObject.ClientId `
-TenantId $TenantID

# Output the service principal details
$SpObject

  2. Betik tamamlandıktan sonra uygulama kayıt bilgilerini görüntüler. ClientID ve Thumbprint kimliği doğrulanır ve daha sonra Azure Resource Manager tarafından yönetilen kaynaklara erişim için yetkilendirilir.

    ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
ClientId              : 00001111-aaaa-2222-bbbb-3333cccc4444
Thumbprint            : 30202C11BE6864437B64CE36C8D988442082A0F1
ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
ClientSecret          :
PSComputerName        : azs-ercs01
RunspaceId            : a78c76bb-8cae-4db4-a45a-c1420613e01b

Sonraki bölümdeki değerle ApplicationIdentifier birlikte kullandığınızdan PowerShell konsol oturumunuzu açık tutun.

Sertifika kimlik bilgilerini güncelleştirme

Uygulamayı kaydettiğinize göre, bu bölümde şunların nasıl yapılacağını göreceksiniz:

  1. Test için otomatik olarak imzalanan yeni bir X509 sertifikası oluşturun.
  2. Thumbprint özelliğini yeni sertifikayla eşleşecek şekilde güncelleştirerek uygulamanın kimlik bilgilerini güncelleştirin.

Aşağıdaki yer tutucular için kendi değerlerinizi değiştirerek PowerShell kullanarak sertifika kimlik bilgilerini güncelleştirin:

Yer tutucu Veri Akışı Açıklaması Örnek
<PepVM> Azure Stack Hub örneğinizdeki ayrıcalıklı uç nokta VM'sinin adı. "AzS-ERCS01"
<YourAppName> Yeni uygulama kaydı için açıklayıcı bir ad. "Yönetim aracım"
<YourCertificateLocation> X509 sertifikanızın yerel sertifika deposundaki konumu. "Cert:\CurrentUser\My\AB5A8A3533CC7AA2025BF05120117E06DE407B34"
<AppIdentifier> Uygulama kaydına atanan tanımlayıcı. "S-1-5-21-1512385356-3796245103-1243299919-1356"

  1. Yükseltilmiş Windows PowerShell oturumunuzu kullanarak aşağıdaki cmdlet'leri çalıştırın:

    # Create a PSSession to the PrivilegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create a self-signed certificate for testing purposes, using the New-SelfSignedCertificate cmdlet 
# See https://video2.skills-academy.com/powershell/module/pki/new-selfsignedcertificate for usage details, including using the -Provider parameter
$NewCert = New-SelfSignedCertificate -CertStoreLocation "cert:\CurrentUser\My" -Subject "CN=<YourAppName>" -KeySpec KeyExchange
# In production, use Get-Item to retrieve a managed certificate from the certificate store.
# Alteratively, use Get-Certificate for a .cer file, or Get-PfxCertificate for a .pfx file.
# $Cert = Get-Item "<YourCertificateLocation>"

# Use the privileged endpoint to update the certificate thumbprint, used by <AppIdentifier>
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ClientCertificates $using:NewCert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. Betik tamamlandıktan sonra, yeni otomatik olarak imzalanan sertifikanın parmak izi değeri de dahil olmak üzere güncelleştirilmiş uygulama kayıt bilgilerini görüntüler.

    ApplicationIdentifier : S-1-5-21-1512385356-3796245103-1243299919-1356
ClientId              : 
Thumbprint            : AF22EE716909041055A01FE6C6F5C5CDE78948E9
ApplicationName       : Azurestack-MyApp-c30febe7-1311-4fd8-9077-3d869db28342
ClientSecret          : 
PSComputerName        : azs-ercs01
RunspaceId            : a580f894-8f9b-40ee-aa10-77d4d142b4e5

İstemci gizli anahtarı kimlik bilgilerini kullanan bir uygulama kaydı oluşturma

Uyarı

İstemci gizli dizisi kullanmak, X509 sertifika kimlik bilgilerini kullanmaktan daha az güvenlidir. Kimlik doğrulama mekanizması yalnızca daha az güvenli olmakla kalmaz, aynı zamanda genellikle gizli diziyi istemci uygulama kaynak koduna eklemeyi de gerektirir. Bu nedenle üretim uygulamaları için sertifika kimlik bilgilerini kullanmanız kesinlikle tavsiye edilir.

Şimdi başka bir uygulama kaydı oluşturursunuz, ancak bu kez bir istemci gizli anahtarı kimlik bilgisi belirtin. Sertifika kimlik bilgilerinin aksine, dizinin bir istemci gizli anahtarı kimlik bilgisi oluşturma özelliği vardır. İstemci gizli dizisini belirtmek yerine anahtarı kullanarak -GenerateClientSecret oluşturulmasını isteyebilirsiniz. Aşağıdaki yer tutucular için kendi değerlerinizi değiştirin:

Yer tutucu Veri Akışı Açıklaması Örnek
<PepVM> Azure Stack Hub örneğinizdeki ayrıcalıklı uç nokta VM'sinin adı. "AzS-ERCS01"
<YourAppName> Yeni uygulama kaydı için açıklayıcı bir ad. "Yönetim aracım"

  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve aşağıdaki cmdlet'leri çalıştırın:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
$Creds = Get-Credential

# Create a PSSession to the Privileged Endpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to create the new app registration
$SpObject = Invoke-Command -Session $Session -ScriptBlock {New-GraphApplication -Name "<YourAppName>" -GenerateClientSecret}
$AzureStackInfo = Invoke-Command -Session $Session -ScriptBlock {Get-AzureStackStampInformation}
$Session | Remove-PSSession

# Using the stamp info for your Azure Stack Hub instance, populate the following variables:
# - Az endpoint used for Azure Resource Manager operations 
# - Audience for acquiring an OAuth token used to access Graph API 
# - GUID of the directory tenant
$ArmEndpoint = $AzureStackInfo.TenantExternalEndpoints.TenantResourceManager
$GraphAudience = "https://graph." + $AzureStackInfo.ExternalDomainFQDN + "/"
$TenantID = $AzureStackInfo.AADTenantID

# Register and set an Az environment that targets your Azure Stack Hub instance
Add-AzEnvironment -Name "AzureStackUser" -ArmEndpoint $ArmEndpoint

# Sign in using the new service principal
$securePassword = $SpObject.ClientSecret | ConvertTo-SecureString -AsPlainText -Force
$credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $SpObject.ClientId, $securePassword
$SpSignin = Connect-AzAccount -Environment "AzureStackUser" -ServicePrincipal -Credential $credential -TenantId $TenantID

# Output the service principal details
$SpObject

  2. Betik tamamlandıktan sonra uygulama kayıt bilgilerini görüntüler. ClientID ve ClientSecret kimliği doğrulanır ve daha sonra Azure Resource Manager tarafından yönetilen kaynaklara erişim için yetkilendirilir.

    ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
Thumbprint            : 
ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
ClientSecret          : 6RUWLRoBw3EebBLgaWGiowCkoko5_j_ujIPjA8dS
PSComputerName        : azs-ercs01
RunspaceId            : 286daaa1-c9a6-4176-a1a8-03f543f90998

Sonraki bölümdeki değerle ApplicationIdentifier birlikte kullandığınızdan PowerShell konsol oturumunuzu açık tutun.

İstemci gizli anahtarı kimlik bilgilerini güncelleştirme

İstemci gizli dizisini hemen değiştiren ResetClientSecret parametresini kullanarak PowerShell kullanarak istemci gizli anahtarı kimlik bilgilerini güncelleştirin. Aşağıdaki yer tutucular için kendi değerlerinizi değiştirin:

Yer tutucu Veri Akışı Açıklaması Örnek
<PepVM> Azure Stack Hub örneğinizdeki ayrıcalıklı uç nokta VM'sinin adı. "AzS-ERCS01"
<AppIdentifier> Uygulama kaydına atanan tanımlayıcı. "S-1-5-21-1634563105-1224503876-2692824315-2623"

  1. Yükseltilmiş Windows PowerShell oturumunuzu kullanarak aşağıdaki cmdlet'leri çalıştırın:

    # Create a PSSession to the PrivilegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the client secret, used by <AppIdentifier>
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<AppIdentifier>" -ResetClientSecret}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. Betik tamamlandıktan sonra, yeni oluşturulan istemci gizli dizisi de dahil olmak üzere güncelleştirilmiş uygulama kayıt bilgilerini görüntüler.

    ApplicationIdentifier : S-1-5-21-1634563105-1224503876-2692824315-2623
ClientId              : 11112222-bbbb-3333-cccc-4444dddd5555
Thumbprint            : 
ApplicationName       : Azurestack-YourApp-6967581b-497e-4f5a-87b5-0c8d01a9f146
ClientSecret          : MKUNzeL6PwmlhWdHB59c25WDDZlJ1A6IWzwgv_Kn
PSComputerName        : azs-ercs01
RunspaceId            : 6ed9f903-f1be-44e3-9fef-e7e0e3f48564

Uygulama kaydını kaldırma

Bu bölümde PowerShell kullanarak dizininizden uygulama kaydının nasıl kaldırılacağı gösterilmektedir.

Aşağıdaki yer tutucular için kendi değerlerinizi değiştirin:

Yer tutucu Veri Akışı Açıklaması Örnek
<PepVM> Azure Stack Hub örneğinizdeki ayrıcalıklı uç nokta VM'sinin adı. "AzS-ERCS01"
<AppIdentifier> Uygulama kaydına atanan tanımlayıcı. "S-1-5-21-1634563105-1224503876-2692824315-2623" 
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint (typically <domain>\cloudadmin)
$Creds = Get-Credential

# Create a PSSession to the PrivilegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVM>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# OPTIONAL: Use the privileged endpoint to get a list of applications registered in AD FS
$AppList = Invoke-Command -Session $Session -ScriptBlock {Get-GraphApplication}

# Use the privileged endpoint to remove application <AppIdentifier>
Invoke-Command -Session $Session -ScriptBlock {Remove-GraphApplication -ApplicationIdentifier "<AppIdentifier>"}

Ayrıcalıklı uç noktada Remove-GraphApplication cmdlet'ini çağırmaktan döndürülen bir çıkış yoktur, ancak cmdlet'in yürütülmesi sırasında konsola yönelik ayrıntılı onay çıktısını görebilirsiniz:

VERBOSE: Deleting graph application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623.
VERBOSE: Remove-GraphApplication : BEGIN on AZS-ADFS01 on ADFSGraphEndpoint
VERBOSE: Application with identifier S-1-5-21-1634563105-1224503876-2692824315-2623 was deleted.
VERBOSE: Remove-GraphApplication : END on AZS-ADFS01 under ADFSGraphEndpoint configuration

Rol atama

Kullanıcılar ve uygulamalar tarafından Azure kaynaklarına erişim, Rol Tabanlı Erişim Denetimi (RBAC) aracılığıyla yetkilendirilmiştir. Bir uygulamanın aboneliğinizdeki kaynaklara erişmesine izin vermek için hizmet sorumlusunu belirli bir kaynak için bir role atamanız gerekir. İlk olarak, hangi rolün uygulama için doğru izinleri temsil ettiğine karar verin. Kullanılabilir roller hakkında bilgi için bkz. Azure kaynakları için yerleşik roller.

Seçtiğiniz kaynak türü, uygulamanın erişim kapsamını da belirler. Erişim kapsamını abonelik, kaynak grubu veya kaynak düzeyinde ayarlayabilirsiniz. İzinler daha düşük kapsam düzeylerine devralınır. Örneğin, bir kaynak grubunun "Okuyucu" rolüne uygulama eklemek, kaynak grubunu ve içerdiği tüm kaynakları okuyabileceği anlamına gelir.

  1. Azure Stack Hub yüklemesi sırasında belirttiğiniz dizine (Örneğin, Microsoft Entra Kimliği için Azure portalı veya AD FS için Azure Stack Hub kullanıcı portalı) bağlı olarak uygun portalda oturum açın. Bu örnekte, Azure Stack Hub kullanıcı portalında oturum açmış bir kullanıcı gösterilmektedir.

    Not

    Belirli bir kaynağa rol atamaları eklemek için kullanıcı hesabınızın izni bildiren Microsoft.Authorization/roleAssignments/write bir role ait olması gerekir. Örneğin, Sahip veya Kullanıcı Erişimi Yöneticisi yerleşik rolleri.

  2. Uygulamanın erişmesine izin vermek istediğiniz kaynağa gidin. Bu örnekte, Abonelikler'i ve ardından belirli bir aboneliği seçerek uygulamayı abonelik kapsamındaki bir role atayın. Bunun yerine bir kaynak grubu veya sanal makine gibi belirli bir kaynağı seçebilirsiniz.

    Atama için abonelik seçin

  3. RBAC'yi destekleyen tüm kaynaklar arasında evrensel olan Erişim Denetimi (IAM) sayfasını seçin.

  4. +Ekle’yi seçin

  5. Rol altında, uygulamaya atamak istediğiniz rolü seçin.

  6. seçeneğinde'i seçin, ardından tam veya kısmi bir uygulama adı kullanarak uygulamanızı arayın. Kayıt sırasında, uygulama adı Azurestack-<YourAppName>-<GUID>olarak oluşturulur. tr-TR: Örneğin, App2bir uygulama adı kullandıysanız ve oluşturma sırasında 2bbe67d8-3fdb-4b62-87cf-cc41dd4344ff bir GUID atandıysa, tam ad Azurestack-App2-2bbe67d8-3fdb-4b62-87cf-cc41dd4344ffolur. Tam dizeyi veya Azurestack veya Azurestack-App2gibi bir kısmını arayabilirsiniz.

  7. Uygulamayı bulduğunuzda uygulamayı seçtiğinizde Seçili üyeler altında gösterilir.

  8. Rolü atamayı tamamlamak için Kaydet'i seçin.

    Rol atama

  9. Uygulama tamamlandığında, belirtilen rol için geçerli olan kapsamda atanmış yetkililer listesinde görünür.

    Atanan rol

Artık uygulamanıza bir kimlik verip bunu kaynak erişimi için yetkilendirdiğinize göre, betiğinizi veya kodunuzun oturum açmasını ve Azure Stack Hub kaynaklarına güvenli bir şekilde erişmesini sağlayabilirsiniz.

Sonraki adımlar