以下是创建 Azure AD 运用,并授权其可以访问管理 Azure 的资源的步骤:
获取更好的阅读体验也可以点击此处。
Note
以下认证办法,只适用于 Azure Resource Manager 的 API。 即 endpoint 为 management.chinacloudapi.cn 的 API,不适用于 Azure Service Manager 的 API(endpoint 为 management.core.chinacloudapi.cn 的 API)。
登录 Azure 账户(PowerShell)记录获取到的 TenantID 以供后续程序利用。
选择当前订阅 ID设置当前订阅,多订阅环境下须要实行该步骤 :
创建 AD 运用
查看新创建的运用工具,属性 ApplicationId,在后续会用来创建做事凭据,角色设置和 Access Token。
创建做事凭据
Azure AD 运用创建做事凭据:
当创建完成做事凭据后,初始是没有任何权限的,我们须要为其设置权限范围。
授权为您的做事凭据添加角色设置,在该例中,为您的做事凭据设置访问您订阅下所有资源的读权限。 如果想理解更多内容,请参考:Azure Role-based Access Control。
个中 RoleDefinitionName 有三种权限设置:
Reader 对Azure资源有读取权限。
Contributor 对Azure资源有管理权限,但无法授权他人。
Owner 对Azure资源拥有管理权限,也可以授权他人管理。
调用 Oauth2 API 获取 Token
这样 Azure AD Application 就创建完成了,我们可以利用以下三个信息,来获取认证的 Token。
telent-id 对应订阅信息上利用的 telentID。
application-id 创建运用返回的 ApplicationID。
app password 创建运用时填写的密码。
获取 Token 的办法,利用 Azure login oauth2 的认证接口,如果想理解更多,请参考此文档:Using the Azure Resource Manager REST API。
请参考以下代码:
实行查询后会得到 Token 数据, access_token 即为访问 Token。
然后将您要访问的 API 要求头上加上 Authorization 的 Header 设置,并将其值设置为:
Token 之前要加上 Bearer。
调用示例:
