Erstellen Sie ein Microsoft AzureService-Prinzipal
Freigeben Version: Yokohama
Aktualisiert 30. Januar 2025
3 Minuten Lesedauer
Um sicher auf Ressourcen- und Abrechnungsdaten auf Ihrem zuzugreifen Microsoft AzureAccount, die DiscoveryDer Prozess muss angemessen sein Microsoft AzureAccount-Anmeldeinformationen. Sie erstellen einen speziellen programmgesteuerten Account – ein Microsoft AzureService-Prinzipal: Zum Generieren der erforderlichen Anmeldeinformationen.
Vorbereitungen
Erforderliche Rollen:
Rollen „Discovery_admin“, „Service_Mapping_admin“, „sn_CMP.Cloud_admin“ in Cloud Provisioning and GovernanceOder sn_cloud_ops_ws.cloud_ops_admin-Rolle in Cloud-Discovery-Arbeitsbereich.
Vorgänge im Microsoft Azure-Portal erfordern eine der folgenden Rollen:
Administrator für Azure oder Azure AD (Active Directory)
Applikationsadministrator
Anwendungsentwickler
Cloud-Anwendungsadministrator
und die Rolle „Mitwirkender bei Ressourcenrichtlinien“ zum Erstellen oder Ändern von Ressourcenrichtlinien.
Aktivieren Sie die interne Netzwerkverbindung zwischen den MID-Servern und den Azure Cloud-API-Endpunkten:
Die US-GovCloud-URL ist https://management.usgovcloudapi.net/ .
Die kommerzielle Azure Cloud-URL ist management.azure.com .
Hinweis:
Dies ist beim Hinzufügen von Anmeldeinformationen nicht erforderlich, wenn der hinzuzufügende Account bereits ein GovCloud-Account ist.
Prozedur
Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Azure Active Directory .
Navigieren Sie zu App-Registrierungen Abschnitt und klicken Sie auf Neue Anwendungsregistrierung .
Geben Sie die folgenden Informationen für Ihre Anwendung ein:
Feld
Beschreibung
Name
Eindeutiger Name für die Anwendung und ihre Integrationsanmeldeinformationen. Beispiel: ServiceNow-Integration .
Unterstützte Account-Typen
Geben Sie an, wer die Anwendung verwenden kann.
Umleitungs-URI (optional)
URL, die auf Azure zugreift. Normalerweise die URL von ServiceNowInstanz.
Wählen Sie Aus Registrieren Um die App-Registrierung abzuschließen.
Wenn die Registrierung abgeschlossen ist, kopieren Sie die Werte für die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant), und fügen Sie sie in den Texteditor ein.
Bezeichnen Sie die Werte Anwendungs-ID Und Verzeichnis-ID Bzw.
Navigieren Sie im Azure-Portal zu Zertifikate und Geheimnisse Abschnitt und Neues geheimes Clientgeheimnis Geben Sie dann die folgenden Werte an:
Feld
Beschreibung
Schlüsselbeschreibung
Beschreibung für den Schlüssel.
Dauer
Ablauf für den Schlüssel.
Hinweis:
Ihre Organisation kann Richtlinien anwenden, um die Dauerhaftigkeit von Schlüsseln einzuschränken. Wählen Sie die entsprechende Dauer aus.
Klicken Sie auf Hinzufügen.
Kopieren Sie den Schlüsselwert, fügen Sie ihn in den Texteditor ein, und benennen Sie den Wert Anwendungsschlüssel .
Navigieren Sie zu , um zu ermöglichen, dass der Service-Prinzipal mit verschiedenen Azure-Abonnements funktioniert Abonnements .
Um mehrere Abonnements zu verwalten, müssen Sie für jedes Abonnement das folgende Verfahren ausführen:
Fügen Sie die Abonnement-ID in den Texteditor ein, und benennen Sie sie Abonnement-ID .
Die Textdatei, die Sie während dieses Verfahrens generieren, sieht möglicherweise so aus:
Navigieren Sie zum Abonnement, und wählen Sie aus Zugriffssteuerung (IAM) Aus dem Menü.
Klicken Sie Auf + Hinzufügen Oben auf dem Bildschirm dann Fügen Sie eine Rollenzuweisung hinzu .
Wählen Sie den Wert aus Leser Von Rolle Feld.
Lassen Sie den Standardwert zu Anwender, Gruppe oder Serviceprinzipal Bleiben Sie wie in Weisen Sie Zugriff zu zu zu Feld.
Hinweis:
Die Ressourcenrichtlinie Beitragender Rolle ist nur für die Bereitstellung erforderlich.
Wählen Sie den Namen aus, den Sie in Schritt 2 erstellt haben Wählen Sie Aus Feld und klicken Sie auf Speichern .
Führen Sie die entsprechende Aktion aus.
Wenn Sie nicht verwenden Cloud-DiscoveryDurch Cloud-Discovery-Arbeitsbereich, Führen Sie Folgendes aus:
Klicken Sie im Discovery Manager auf das Plussymbol ( + ) Und dann auswählen Azure-Serviceprinzipal Aus der Liste.
Wenn Sie verwenden Cloud-DiscoveryDurch Cloud-Discovery-Arbeitsbereich, Führen Sie Folgendes aus:
Navigieren zu Alle > Verbindungen und Anmeldeinformationen > Anmeldeinformationenan.
Wählen Sie Neu.
Wählen Sie Aus Azure-Serviceprinzipal .
Geben Sie die folgenden Werte im Formular „Azure-Serviceprinzipal“ an:
Feld
Wert
Name
Name des Service-Prinzipals, der bei der Instanz registriert werden soll. Beispiel: Azure-Serviceprinzip-Anmeldeinformationen .
Authentifizierungsmethode
Wählen Sie Aus Geheimer Client .
Die Geheimer Schlüssel Feld wird angezeigt, wenn Sie auswählen Geheimer Client .
Hinweis:
Client-Assertion Wird nicht unterstützt.
Kopieren Sie Werte aus der temporären Textdatei, und fügen Sie sie in die verbleibenden Felder ein.
Formularfeld für Anmeldeinformationen
Azure-Service-Prinzipalwert
Mandanten-ID
Azure Verzeichnis-ID Wert aus der Textdatei.
Client-ID
Azure Anwendungs-ID Wert aus der Textdatei.
Geheimer Schlüssel
Azure Anwendungsschlüssel Wert aus der Textdatei.
Klicken Sie Auf Speichern Zum Erstellen des Azure-Service-Prinzipals.
Klicken Sie auf Abonnements Erkennen Zugehöriger Link, um alle Abonnements für den Azure-Service-Prinzipal zu finden.
Die Instanz erstellt einen Service-Account für jedes erkannte Abonnement. Die Azure-Abonnements Zugehörige Liste zeigt alle Abonnements für den Azure-Service-Prinzipal an.
Klicken Sie auf ein Abonnement, um den für das Abonnement erstellten Service-Account anzuzeigen.
Klicken Sie auf A DiscoveryStatuseintrag in Discovery-Status Für Anmeldeinformationen Liste zum Anzeigen von DiscoveryProtokoll.
Jedes Mal, wenn Sie klicken Abonnement Erkennen , Die Instanz generiert eine neue DiscoveryStatus und zeigt ihn in an Discovery-Status Für Anmeldeinformationen Liste.
Nächste Maßnahme
Cloud Provisioning and GovernanceNur: Erstellen Sie einen Datensatz der Service-Prinzipal-Anmeldeinformationen auf ServiceNowInstanz so Cloud Provisioning and GovernanceProzesse können zugreifen Microsoft AzureDaten. Weitere Informationen finden Sie unter Speichern Sie AzureService-Prinzipal-Anmeldeinformationen in der Instanz.