Erstellen Sie ein Microsoft AzureService-Prinzipal

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Um sicher auf Ressourcen- und Abrechnungsdaten auf Ihrem zuzugreifen Microsoft AzureAccount, die DiscoveryDer Prozess muss angemessen sein Microsoft AzureAccount-Anmeldeinformationen. Sie erstellen einen speziellen programmgesteuerten Account – ein Microsoft AzureService-Prinzipal: Zum Generieren der erforderlichen Anmeldeinformationen.

    Vorbereitungen

    Erforderliche Rollen:
    • Rollen „Discovery_admin“, „Service_Mapping_admin“, „sn_CMP.Cloud_admin“ in Cloud Provisioning and GovernanceOder sn_cloud_ops_ws.cloud_ops_admin-Rolle in Cloud-Discovery-Arbeitsbereich.
    • Vorgänge im Microsoft Azure-Portal erfordern eine der folgenden Rollen:
      • Administrator für Azure oder Azure AD (Active Directory)
      • Applikationsadministrator
      • Anwendungsentwickler
      • Cloud-Anwendungsadministrator
      und die Rolle „Mitwirkender bei Ressourcenrichtlinien“ zum Erstellen oder Ändern von Ressourcenrichtlinien.
    • Aktivieren Sie die interne Netzwerkverbindung zwischen den MID-Servern und den Azure Cloud-API-Endpunkten:
      • Die US-GovCloud-URL ist https://management.usgovcloudapi.net/ .
      • Die kommerzielle Azure Cloud-URL ist management.azure.com .
        Hinweis:
        Dies ist beim Hinzufügen von Anmeldeinformationen nicht erforderlich, wenn der hinzuzufügende Account bereits ein GovCloud-Account ist.

    Prozedur

    1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Azure Active Directory .
    2. Navigieren Sie zu App-Registrierungen Abschnitt und klicken Sie auf Neue Anwendungsregistrierung .
      Geben Sie die folgenden Informationen für Ihre Anwendung ein:
      Registrieren Sie eine Anwendung
      Feld Beschreibung
      Name Eindeutiger Name für die Anwendung und ihre Integrationsanmeldeinformationen. Beispiel: ServiceNow-Integration .
      Unterstützte Account-Typen Geben Sie an, wer die Anwendung verwenden kann.
      Umleitungs-URI (optional) URL, die auf Azure zugreift. Normalerweise die URL von ServiceNowInstanz.
    3. Wählen Sie Aus Registrieren Um die App-Registrierung abzuschließen.
    4. Wenn die Registrierung abgeschlossen ist, kopieren Sie die Werte für die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant), und fügen Sie sie in den Texteditor ein.
    5. Bezeichnen Sie die Werte Anwendungs-ID Und Verzeichnis-ID Bzw.
    6. Navigieren Sie im Azure-Portal zu Zertifikate und Geheimnisse Abschnitt und Neues geheimes Clientgeheimnis Geben Sie dann die folgenden Werte an:
      Feld Beschreibung
      Schlüsselbeschreibung Beschreibung für den Schlüssel.
      Dauer Ablauf für den Schlüssel.
      Hinweis:
      Ihre Organisation kann Richtlinien anwenden, um die Dauerhaftigkeit von Schlüsseln einzuschränken. Wählen Sie die entsprechende Dauer aus.
    7. Klicken Sie auf Hinzufügen.
    8. Kopieren Sie den Schlüsselwert, fügen Sie ihn in den Texteditor ein, und benennen Sie den Wert Anwendungsschlüssel .
    9. Navigieren Sie zu , um zu ermöglichen, dass der Service-Prinzipal mit verschiedenen Azure-Abonnements funktioniert Abonnements .
      Um mehrere Abonnements zu verwalten, müssen Sie für jedes Abonnement das folgende Verfahren ausführen:
      1. Fügen Sie die Abonnement-ID in den Texteditor ein, und benennen Sie sie Abonnement-ID .
        Die Textdatei, die Sie während dieses Verfahrens generieren, sieht möglicherweise so aus: Textdatei, die vorübergehend die Anmeldeinformationswerte des Azure-Service-Prinzips enthält
      2. Navigieren Sie zum Abonnement, und wählen Sie aus Zugriffssteuerung (IAM) Aus dem Menü.
      3. Klicken Sie Auf + Hinzufügen Oben auf dem Bildschirm dann Fügen Sie eine Rollenzuweisung hinzu .
      4. Wählen Sie den Wert aus Leser Von Rolle Feld.
        Lassen Sie den Standardwert zu Anwender, Gruppe oder Serviceprinzipal Bleiben Sie wie in Weisen Sie Zugriff zu zu zu Feld.
        Hinweis:
        Die Ressourcenrichtlinie Beitragender Rolle ist nur für die Bereitstellung erforderlich.
      5. Wählen Sie den Namen aus, den Sie in Schritt 2 erstellt haben Wählen Sie Aus Feld und klicken Sie auf Speichern .
        Fügen Sie eine Rollenzuweisung hinzu
    10. Führen Sie die entsprechende Aktion aus.
      • Wenn Sie nicht verwenden Cloud-DiscoveryDurch Cloud-Discovery-Arbeitsbereich, Führen Sie Folgendes aus:

        Klicken Sie im Discovery Manager auf das Plussymbol ( + ) Und dann auswählen Azure-Serviceprinzipal Aus der Liste.

      • Wenn Sie verwenden Cloud-DiscoveryDurch Cloud-Discovery-Arbeitsbereich, Führen Sie Folgendes aus:
        1. Navigieren zu Alle > Verbindungen und Anmeldeinformationen > Anmeldeinformationenan.
        2. Wählen Sie Neu.
        3. Wählen Sie Aus Azure-Serviceprinzipal .
    11. Geben Sie die folgenden Werte im Formular „Azure-Serviceprinzipal“ an:
      Feld Wert
      Name Name des Service-Prinzipals, der bei der Instanz registriert werden soll. Beispiel: Azure-Serviceprinzip-Anmeldeinformationen .
      Authentifizierungsmethode Wählen Sie Aus Geheimer Client .

      Die Geheimer Schlüssel Feld wird angezeigt, wenn Sie auswählen Geheimer Client .

      Hinweis:
      Client-Assertion Wird nicht unterstützt.
    12. Kopieren Sie Werte aus der temporären Textdatei, und fügen Sie sie in die verbleibenden Felder ein.
      Azure-Anmeldeinformationen
      Formularfeld für Anmeldeinformationen Azure-Service-Prinzipalwert
      Mandanten-ID Azure Verzeichnis-ID Wert aus der Textdatei.
      Client-ID Azure Anwendungs-ID Wert aus der Textdatei.
      Geheimer Schlüssel Azure Anwendungsschlüssel Wert aus der Textdatei.
    13. Klicken Sie Auf Speichern Zum Erstellen des Azure-Service-Prinzipals.
    14. Klicken Sie auf Abonnements Erkennen Zugehöriger Link, um alle Abonnements für den Azure-Service-Prinzipal zu finden.
      Die Instanz erstellt einen Service-Account für jedes erkannte Abonnement. Die Azure-Abonnements Zugehörige Liste zeigt alle Abonnements für den Azure-Service-Prinzipal an.
    15. Klicken Sie auf ein Abonnement, um den für das Abonnement erstellten Service-Account anzuzeigen.
    16. Klicken Sie auf A DiscoveryStatuseintrag in Discovery-Status Für Anmeldeinformationen Liste zum Anzeigen von DiscoveryProtokoll.
      Jedes Mal, wenn Sie klicken Abonnement Erkennen , Die Instanz generiert eine neue DiscoveryStatus und zeigt ihn in an Discovery-Status Für Anmeldeinformationen Liste.

    Nächste Maßnahme

    Cloud Provisioning and GovernanceNur: Erstellen Sie einen Datensatz der Service-Prinzipal-Anmeldeinformationen auf ServiceNowInstanz so Cloud Provisioning and GovernanceProzesse können zugreifen Microsoft AzureDaten. Weitere Informationen finden Sie unter Speichern Sie AzureService-Prinzipal-Anmeldeinformationen in der Instanz.