Autorisieren von mandantenübergreifenden Partneranwendungen für Microsoft Planetary Computer Pro

Dieser Artikel führt IT- und Cloudadministratoren durch den Prozess der Autorisierung einer Drittanbieter-Partneranwendung für den Zugriff auf GeoCatalog-Ressourcen. Durch Ausführen dieser Schritte ermöglichen Sie Partnerorganisationen wie Geospatialdatenanbieter oder Analysedienste, Daten aus Ihren Microsoft Planetary Computer Pro GeoCatalogs zu lesen und zu schreiben.

Voraussetzungen

  • Azure-Konto mit einem aktiven Abonnement (kostenloses Azure-Konto erstellen)
  • Eine vorhandene GeoCatalog-Ressource
  • Eine der folgenden Microsoft Entra-ID-Rollen:
    • Globaler Administrator
    • Anwendungsadministrator
    • Cloudanwendungsadministrator
  • Rolle "Besitzer" oder "Benutzerzugriffsadministrator" in der GeoCatalog-Ressource
  • Azure CLI installiert und konfiguriert – Installieren der Azure CLI
  • Informationen von Ihrem Partner:
    • Anwendungs-ID (Client) des Partners
    • Umleitungs-URI, die in der Anwendungsregistrierung des Partners eingerichtet (optional) ist.

Überblick

Die Autorisierung einer Partneranwendung umfasst drei Hauptschritte:

  1. Erstellen eines Dienstprinzipals für die Anwendung des Partners in Ihrem Mandanten
  2. Administratorzustimmung erteilen für die Berechtigungsanforderungen der Anwendung
  3. Zuweisen von GeoCatalog-Rollen zum Dienstprinzipal
flowchart LR
    A[Receive partner<br/>app details] --> B[Create service<br/>principal]
    B --> C[Grant admin<br/>consent]
    C --> D[Assign GeoCatalog<br/>Administrator role]
    D --> E[Partner can<br/>access GeoCatalog]

Erstellen eines Serviceprinzipals für die Partneranwendung

Ein Dienstprinzipal ist die Darstellung einer Anwendung in Ihrem Microsoft Entra-Mandanten. Durch das Erstellen eines Dienstprinzipals für die Anwendungs-ID des Partners wird die Identität erstellt, für die Sie dann Berechtigungen erteilen können.

  1. Melden Sie sich mit einem Konto mit Anwendungsadministratorberechtigungen bei Azure CLI an:

    az login --tenant <your-tenant-id>

  2. Überprüfen Sie, ob Sie beim richtigen Mandanten angemeldet sind:

    az account show --query "{TenantId:tenantId, User:user.name}" -o table

  3. Überprüfen Sie, ob für die Partneranwendung bereits ein Dienstprinzipal vorhanden ist:

    az ad sp list --filter "appId eq '<partner-application-id>'" --query "[0].id" -o tsv

    Wenn dieser Befehl eine Objekt-ID zurückgibt, ist der Dienstprinzipal bereits vorhanden. Überspringen Sie den nächsten Abschnitt.

  4. Erstellen des Dienstprinzipals:

    az ad sp create --id <partner-application-id>

    Beispielausgabe:

    {
  "accountEnabled": true,
  "appId": "f914857f-af79-4a22-8a37-85e772c01b7f",
  "displayName": "Partner Geospatial App",
  "id": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
  ...
}

  5. Speichern Sie den id-Wert (Objekt-ID) des Dienstprinzipals zur Verwendung in den nachfolgenden Schritten:

    # Store the service principal object ID
SP_ID=$(az ad sp list --filter "appId eq '<partner-application-id>'" --query "[0].id" -o tsv)
echo "Service Principal ID: $SP_ID"

Der Administrator genehmigt die Partneranwendung, die angeforderten Berechtigungen zu verwenden. Dieser Schritt ist erforderlich, bevor sich die Anwendung gegenüber Ihrem Mandanten authentifizieren kann. Ihr Partner sollte einen Link bereitstellen, um diese Aktion als Teil des Onboardingprozesses der Anwendung auszuführen.

Hinweis

Sie können optional diese URL selbst konstruieren:

Erstellen Sie die Admin-Zustimmungs-URL mit Ihrer Mandanten-ID und der Anwendungs-ID des Partners.

https://login.microsoftonline.com/<your-tenant-id>/adminconsent?client_id=<partner-application-id>&redirect_uri=https://localhost:8080/callback

Der Umleitungs-URI muss mit einer der URIs übereinstimmen, die in der Anwendungsregistrierung des Partners konfiguriert sind. Bestätigen Sie den richtigen URI mit Ihrem Partner.

  1. Öffnen Sie die URL in einem Webbrowser, und melden Sie sich mit einem globalen Administrator- oder Anwendungsadministratorkonto an.

  2. Überprüfen Sie die angeforderten Berechtigungen, und wählen Sie "Akzeptieren" aus, um die Zustimmung zu erteilen.

    Nachdem die Zustimmung erteilt wurde, werden Sie an den angegebenen Umleitungs-URI umgeleitet. Sie können dieses Browserfenster schließen.

  3. Überprüfen Sie, ob die Administratorzustimmung erteilt wurde, indem Sie die Berechtigungen des Dienstprinzipals überprüfen:

    az rest --method GET --url "https://graph.microsoft.com/v1.0/servicePrincipals/$SP_ID/oauth2PermissionGrants"

    Beispielausgabe, wenn die Zustimmung erteilt wurde:

    {
  "value": [
    {
      "clientId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
      "consentType": "AllPrincipals",
      "id": "abc123def456",
      "principalId": null,
      "resourceId": "98765432-abcd-ef12-3456-7890abcdef12",
      "scope": "User.Read"
    }
  ]
}

    Wenn das value Array leer ist, wurde die Administratorzustimmung noch nicht erteilt.

Sie können auch über das Microsoft Entra Admin Center Die Administratorzustimmung erteilen:

  1. Melden Sie sich beim Microsoft Entra Admin Center an
  2. Navigieren Sie zu Identity>Anwendungen>Enterprise-Anwendungen
  3. Wählen Sie den Anwendungstypfilter aus, und legen Sie den Wert "Alle Anwendungen" fest.
  4. Suchen Sie die Partneranwendung mithilfe der Suchleiste, um den Anwendungsnamen oder die ID einzugeben. Wählen Sie die Partneranwendung aus der gefilterten Liste aus.
  5. > Sicherheitsberechtigungen in der linken Randleiste auswählen
  6. Wählen Sie "Administratorzustimmung für [Ihren Mandanten] erteilen" aus.
  7. Überprüfen und akzeptieren Sie die Berechtigungen

Zuweisen der entsprechenden GeoCatalog-Rolle

Der Dienstprinzipal für Ihre Daten oder Dienstanbieter benötigt die entsprechende Rolle, um mit Ihren GeoCatalog-Ressourcen zu interagieren. Weisen Sie die Rolle " GeoCatalog Reader " Anwendungen zu, die nur Lesezugriff auf Ihren GeoCatalog benötigen. Weisen Sie die Rolle "GeoCatalog-Administrator " Anwendungen zu, die Sammlungen erstellen, Daten aufnehmen und Elemente in Ihrem GeoCatalog verwalten müssen.

Hinweis

Das Feature für die Partneranwendungsintegration befindet sich derzeit in der Vorschau und unterstützt keine bestimmte, eingeschränkte Zugriffsrolle für Daten- oder Dienstanbieterpartner. Aus diesem Grund wird während des Vorschauzeitraums empfohlen, dass Kunden eine GeoCatalog-Ressource erstellen, die einem bestimmten Partner zugeordnet ist, um den Zugriff auf andere private, organisatorische Daten zu verhindern.

  1. Rufen Sie Ihre GeoCatalog-Ressourcen-ID ab:

    # Set your resource details
SUBSCRIPTION_ID="<your-subscription-id>"
RESOURCE_GROUP="<your-resource-group>"
GEOCATALOG_NAME="<your-geocatalog-name>"

# Construct the resource ID
GEOCATALOG_RESOURCE_ID="/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.Orbital/geoCatalogs/$GEOCATALOG_NAME"

  2. Überprüfen Sie, ob die GeoCatalog-Ressource vorhanden ist, und Sie haben Zugriff:

    az resource show --ids $GEOCATALOG_RESOURCE_ID --query "{Name:name, Location:location, Type:type}" -o table

  3. Suchen Sie die gewünschte Rollendefinition:

    az role definition list --name "GeoCatalog Administrator" --query "[0].id" -o tsv

  4. Überprüfen Sie, ob die Rollenzuweisung bereits vorhanden ist:

    az role assignment list --assignee $SP_ID --scope $GEOCATALOG_RESOURCE_ID --query "[?roleDefinitionName=='GeoCatalog Administrator']" -o table

  5. Erstellen Sie die Rollenzuweisung:

    az role assignment create \
  --assignee $SP_ID \
  --role "GeoCatalog Administrator" \
  --scope $GEOCATALOG_RESOURCE_ID

    Beispielausgabe:

    {
  "id": "/subscriptions/.../providers/Microsoft.Authorization/roleAssignments/...",
  "principalId": "a1b2c3d4-e5f6-7890-abcd-ef1234567890",
  "roleDefinitionName": "GeoCatalog Administrator",
  "scope": "/subscriptions/.../resourceGroups/.../providers/Microsoft.Orbital/geoCatalogs/...",
  ...
}
  • Last updated on