如何:生成新的 Microsoft Entra ID 应用程序和 Service Principal
了解如何生成Microsoft Entra ID并将其用作Service Principal
前期准备
使用 Azure CLI 登录到 Azure
在一个新的终端中,运行以下命令:
az login
az account set -s [your subscription id]
创建 Microsoft Entra ID 应用程序
使用以下命令创建 Microsoft Entra ID 应用程序:
# Friendly name for the application / Service Principal
APP_NAME="dapr-application"
# Create the app
APP_ID=$(az ad app create --display-name "${APP_NAME}" | jq -r .appId)
选择您更喜欢的凭据传递方式。
要创建一个客户端密钥,请运行以下命令。
az ad app credential reset \
--id "${APP_ID}" \
--years 2
这将基于base64
字符集生成一个随机的40个字符长的密码。 此密码将在2年后过期,请在此之前进行更换。
保存返回的输出值;您将需要它们来使 Dapr 与 Azure 进行身份验证。 预期输出:
{
"appId": "<your-app-id>",
"password": "<your-password>",
"tenant": "<your-azure-tenant>"
}
将返回的值添加到您的 Dapr 组件的元数据中:
appId
是azureClientId
的值password
是azureClientSecret
的值 (这是随机生成的)tenant
是azureTenantId
的值
For a PFX (PKCS#12) certificate, run the following command to create a self-signed certificate:
az ad app credential reset \
--id "${APP_ID}" \
--create-cert
**注意:**仅建议将自签名证书用于开发。 对于生产环境,应使用由 CA 签名并使用
--cert
标志导入的证书。
上述命令的输出应如下所示:
保存返回的输出值;您将需要它们来使 Dapr 与 Azure 进行身份验证。 预期输出:
{
"appId": "<your-app-id>",
"fileWithCertAndPrivateKey": "<file-path>",
"password": null,
"tenant": "<your-azure-tenant>"
}
将返回的值添加到您的 Dapr 组件的元数据中:
appId
是azureClientId
的值tenant
是azureTenantId
的值fileWithCertAndPrivateKey
指示自签名PFX证书和私钥的位置。 将该文件的内容用作azureCertificate
(或将其写入服务器上的文件并使用azureCertificateFile
)
注意: 虽然生成的文件有
.pem
扩展名,但它包含了一个编码为PFX(PKCS#12)的证书和私钥。
创建一个 Service Principal
一旦您创建了一个Microsoft Entra ID应用程序,请为该应用程序创建一个Service Principal。 通过这个 Service Principal,您可以授予它访问Azure资源的权限。
要创建Service Principal,请运行以下命令:
SERVICE_PRINCIPAL_ID=$(az ad sp create \
--id "${APP_ID}" \
| jq -r .id)
echo "Service Principal ID: ${SERVICE_PRINCIPAL_ID}"
预期输出:
Service Principal ID: 1d0ccf05-5427-4b5e-8eb4-005ac5f9f163
上面返回的值是Service Principal ID,它与Microsoft Entra ID 应用程序 ID(客户端ID)不同。 Service Principal ID在Azure租户中定义,并用于向应用程序授予访问Azure资源的权限 您将使用Service Principal ID来授予应用程序访问Azure资源的权限。
同时,客户端ID被你的应用程序用来验证。 您将在 Dapr 清单中使用客户端 ID 来配置与 Azure 服务的身份验证。
请记住,默认情况下,刚创建的服务主体无权访问任何 Azure 资源。 需要根据需要授予对每个资源的访问权限,如组件的文档中所述。