Comment ajouter une application à Azure AD par programmation?

Je veux automatiser la création de mon application dans Azure AD et de revenir le client id généré par Azure AD.

Sont là PowerShell commandlets pour ce faire? Est-il un autre moyen, comme une API de faire cela en plus de la console de gestion?

Pouvez-vous m'indiquer un exemple?

Merci!

InformationsquelleAutor Eric | 2015-07-28
  1. 40

    Il y a un certain nombre de façons dont vous pouvez créer une application dans AAD par programmation. Je parlerai brièvement de couverture de deux façons différentes, vous pouvez aller à ce sujet: les Applets de commande PowerShell et l'API Graphique. En général, j'aurais conseillons vivement donc à l'aide de l'API Graphique pour cette.

    PowerShell:

    Il ya quelques différents modules en cours d'exécution autour de qui ont la capacité de créer des AAD Applications/Service des Directeurs d'école. Si vous avez besoin de créer un nouvel objet application dans votre locataire, vous pouvez utiliser Azure PowerShell pour faire l'appel suivant:

    https://msdn.microsoft.com/en-us/library/mt603747.aspx

    PS C:\> New-AzureRmADApplication -DisplayName "NewApplication" -HomePage "http://www.Contoso.com" -IdentifierUris "http://NewApplication"

    Si vous avez besoin de créer un principal de service pour votre application dans votre locataire, vous pouvez utiliser Azure AD PowerShell:

    https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx

    https://msdn.microsoft.com/en-us/library/azure/dn194119.aspx

    New-MsolServicePrincipal -ServicePrincipalNames @("MyApp/Contoso.com") -DisplayName "My Application"

    API graphique:
    (recommandé)

    Vous pouvez également créer des applications en faisant un POST sur notre API Graphique:
    https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/entity-and-complex-type-reference#ApplicationEntity

    Nous avons des exemples qui montrent comment vous pouvez vous inscrire et créer un applicatoin de cibler l'API Graphique, et utiliser le Graphique de la Bibliothèque du Client pour vous aider à faire le bon appels à l'API:

    https://github.com/AzureADSamples/WebApp-GraphAPI-DotNet

    J'espère que cela aide!

    • Merci pour la réponse. Je upvote si j'avais la réputation.
    • si c'est la bonne réponse, alors que la personne qui a posé la question, vous pouvez la marquer comme réponse. Cette aide les autres à venir plus tard, et de regarder cette question.
    • Pour appeler la GraphAPI pour créer une nouvelle application, ai-je besoin d'une application client enregistré dans Azure AD? Dois-je créer ce client application dans Azure AD via le portail de gestion? Ou est-il une autre façon de résoudre ce 'bootstrap' problème?
    • Salut Eric, Vous avez besoin d'enregistrer un numéro de Client afin de parler de l'API Graphique. La méthode normale pour ce faire est via le Portail de Gestion Azure. Si vous pensez que vous êtes pris dans un "poulet vs oeuf" scénario, je crois que vous devriez être en mesure de créer un service princpial à l'aide de PowerShell, puis donner que le principal de service les autorisations pour créer des applications, cependant je pense que l'aide du portail de Gestion est une solution de nettoyage si cela correspond.
    • Edition présentée, mais s'il vous plaît noter que le Gestionnaire de Ressources itinéraires changé au T4 2015 - github.com/Azure/azure-powershell/wiki/.... Plus précisément, l'applet de commande est maintenant la Nouvelle-AzureRmADApplication (Rm être le changement). msdn.microsoft.com/en-us/library/mt603747.aspx
    • Salut Shawn, Le "poulet vs œuf" le scénario est un problème pour les éditeurs de logiciels indépendants qui veut le rendre facile pour les clients à créer un descripteur d'application dans leur AAD. Il n'est actuellement pas possible d'utiliser PowerShell New-AzureRmAdApplication pour définir d'autres Api de l'application doit avoir accès. (Les "autorisations à d'autres à la section" applications dans le Portail de Gestion). Ce serait formidable si les applets de commande Powershell peut télécharger et charger l'application du manifeste, de modifier tous les paramètres de l'application.
    • alors je utiliser si je avoir une AAD enregistrement de l'Application avec un manifeste, à répondre url d'Autorisation et les modifications que je veux copier/reproduire dans un autre Azure locataire? Ça serait bien si il y avait d'exportation, d'importation et même convivial installer une application de... peut-être qu'il est et je ne sais pas.
    • Je pense que dans cette situation particulière, il vous suffit de copier les parties du manifeste qui sont pertinents à votre demande pour le manifeste de la nouvelle application. Cependant, il semble que la meilleure option serait de créer une "application multi-locataires" qui peut être utilisée dans plusieurs locataires, sans avoir besoin d'importer ou de modifier quoi que ce soit

    InformationsquelleAutor Shawn Tabrizi
  2. 4

    Je suis un peu en retard à la fête, mais j'ai récemment fait face à ce défi trop. Voici les extraits pertinents de ma solution...

    Vous devez d'abord obtenir le jeton d'authentification. Pour cela, vous pouvez utiliser cette fonction très pratique.

    function GetAuthToken
{
       param
       (
              [Parameter(Mandatory=$true)]
              $TenantName
       )

       $adal = "${env:ProgramFiles(x86)}\Microsoft SDKs\Azure\PowerShell\ServiceManagement\Azure\Services\Microsoft.IdentityModel.Clients.ActiveDirectory.dll"

       $adalforms = "${env:ProgramFiles(x86)}\Microsoft SDKs\Azure\PowerShell\ServiceManagement\Azure\Services\Microsoft.IdentityModel.Clients.ActiveDirectory.WindowsForms.dll"

       [System.Reflection.Assembly]::LoadFrom($adal) | Out-Null

       [System.Reflection.Assembly]::LoadFrom($adalforms) | Out-Null

       $clientId = "1950a258-227b-4e31-a9cf-717495945fc2" 

       $redirectUri = "urn:ietf:wg:oauth:2.0:oob"

       $resourceAppIdURI = "https://graph.windows.net"

       $authority = "https://login.windows.net/$TenantName"

       $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority

       $authResult = $authContext.AcquireToken($resourceAppIdURI, $clientId,$redirectUri, "Auto")

       return $authResult
}

    (emprunté à Paulo Marques https://blogs.technet.microsoft.com/paulomarques/2016/03/21/working-with-azure-active-directory-graph-api-from-powershell/)

    Vous pouvez ensuite soumettre une requête POST à l'Azure Active Directory API Graphique pour la création de votre application. Cependant, il ya un peu de configuration requis.

    # The name of this AAD instance
$global:tenant = "mycompany.onmicorosft.com"
$global:aadSecretGuid = New-Guid
$global:aadDisplayName = "azure-ad-displayname"
$global:aadIdentifierUris = @("https://contoso.com")
$guidBytes = [System.Text.Encoding]::UTF8.GetBytes($global:aadSecretGuid)

$global:aadSecret = @{
    'type'='Symmetric';
    'usage'='Verify';
    'endDate'=[DateTime]::UtcNow.AddDays(365).ToString('u').Replace(' ', 'T');
    'keyId'=$global:aadSecretGuid;
    'startDate'=[DateTime]::UtcNow.AddDays(-1).ToString('u').Replace(' ', 'T');  
    'value'=[System.Convert]::ToBase64String($guidBytes);
}

# ADAL JSON token - necessary for making requests to Graph API
$global:token = GetAuthToken -TenantName $global:tenant
# REST API header with auth token
$global:authHeader = @{
    'Content-Type'='application/json';
    'Authorization'=$global:token.CreateAuthorizationHeader()
}

    Maintenant, vous pouvez frapper l'API Graphique.

    $resource = "applications"
$payload = @{
    'displayName'=$global:aadDisplayName;
    'homepage'='https://www.contoso.com';
    'identifierUris'= $global:aadIdentifierUris;
    'keyCredentials'=@($global:aadSecret)
}
$payload = ConvertTo-Json -InputObject $payload
$uri = "https://graph.windows.net/$($global:tenant)/$($resource)?api-version=1.6"
$result = (Invoke-RestMethod -Uri $uri -Headers $global:authHeader -Body $payload -Method POST -Verbose).value

    Une fois que la réponse est de retour, vous pouvez extraire les valeurs de configuration dont vous avez besoin.

    # Extract configuration values
$keyObject = foreach($i in $result.keyCredentials) { $i }

# Tenant ID
$global:aadTenantId = Get-AzureRmSubscription | Select-Object -ExpandProperty TenantId
# Application object ID
$global:aadApplicationObjectId = $result | Select-Object -ExpandProperty objectId
# App ID /Client ID
$global:aadClientId = $result | Select-Object -ExpandProperty appId
# Application Secret/Key
$global:aadAppSecret = $keyObject | Select-Object -ExpandProperty keyId

    J'espère que cela aide quelqu'un!

    • Brillante réponse mat 😉
    InformationsquelleAutor matt-ankerson
  3. 2

    Microsoft a publié un couple de supplémentaires les applets de commande PowerShell pour enregistrer une appli et définir les informations d'identification:

    New-AzureRmADApplication
New-AzureRmADServicePrincipal
New-AzureRmRoleAssignment 
Add-AzureADApplicationCredential

    Veuillez consulter leur documentation:
    https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-authenticate-service-principal

    InformationsquelleAutor Carl in 't Veld
  4. 0

    J'ai écrit certains powershell les scripts qui

    • Créer AAD applications (principalement grâce à Matt réponse)
    • Créer une Clé de Voûte dans Azure
    • Créer une clé dans la Clé de Voûte
    • Attribuer des autorisations à la clé de voûte pour l'AAD applications

    Je sais que c'est plus que ce que vous demandez, mais si, comme moi, vous êtes intéressés à obtenir le dos de la secret (aka clé) de l'application (le même que celui que vous ajoutez dans le portail qui vous avez à copier avant de ne jamais la voir à nouveau), puis le deuxième script va vous permettre d'envoyer explicitement que, en tant que partie de la charge utile dans un appel à l'API Graphique. Le script va enregistrer dans un fichier pour que vous vous y référer ultérieurement.

    Les autres scripts ne sont pas vraiment ce que vous demandez, mais vous pouvez encore les trouver utile si jamais vous avez besoin de configurer SQL Server pour fonctionner avec Azure Key Vault pour le chiffrement transparent des données ou au niveau de la colonne de chiffrement.

    • Trouvé une meilleure façon de maintenant. J'ai blogué à ce sujet ici: sabin.io/blog/...
    InformationsquelleAutor bjh1977