如何：生成新的 Microsoft Entra ID 应用程序和 Service Principal

前期准备

• Azure 订阅
• Azure CLI
• jq
• OpenSSL（默认包含在所有 Linux 和 macOS 系统以及 WSL 上）
• 确保您正在使用 bash 或 zsh shell

使用 Azure CLI 登录到 Azure

在一个新的终端中，运行以下命令：

az login
az account set -s [your subscription id]

创建 Microsoft Entra ID 应用程序

使用以下命令创建 Microsoft Entra ID 应用程序：

# Friendly name for the application / Service Principal
APP_NAME="dapr-application"

# Create the app
APP_ID=$(az ad app create --display-name "${APP_NAME}"  | jq -r .appId)

选择您更喜欢的凭据传递方式。

• Client secret
• PFX certificate

az ad app credential reset \
  --id "${APP_ID}" \
  --years 2

{
  "appId": "<your-app-id>",
  "password": "<your-password>",
  "tenant": "<your-azure-tenant>"
}

az ad app credential reset \
  --id "${APP_ID}" \
  --create-cert

{
  "appId": "<your-app-id>",
  "fileWithCertAndPrivateKey": "<file-path>",
  "password": null,
  "tenant": "<your-azure-tenant>"
}

创建一个 Service Principal

一旦您创建了一个Microsoft Entra ID应用程序，请为该应用程序创建一个Service Principal。 通过这个 Service Principal，您可以授予它访问Azure资源的权限。

要创建Service Principal，请运行以下命令：

SERVICE_PRINCIPAL_ID=$(az ad sp create \
  --id "${APP_ID}" \
  | jq -r .id)
echo "Service Principal ID: ${SERVICE_PRINCIPAL_ID}"

预期输出：

Service Principal ID: 1d0ccf05-5427-4b5e-8eb4-005ac5f9f163

上面返回的值是Service Principal ID，它与Microsoft Entra ID 应用程序 ID（客户端ID）不同。 Service Principal ID在Azure租户中定义，并用于向应用程序授予访问Azure资源的权限 您将使用Service Principal ID来授予应用程序访问Azure资源的权限。

同时，客户端ID被你的应用程序用来验证。 您将在 Dapr 清单中使用客户端 ID 来配置与 Azure 服务的身份验证。

请记住，默认情况下，刚创建的服务主体无权访问任何 Azure 资源。 需要根据需要授予对每个资源的访问权限，如组件的文档中所述。

下一步