马铃薯草®生产服务器™管理员可以使用Microsoft®Azure®广告限制访问部署应用程序的访问,仅为某些用户或用户组。要启用应用程序访问控制,请与Azure AD管理员协商,配置Azure AD并指定访问控制策略。
要使用Azure AD用于应用程序访问控制,请在Azure Portal中注册服务器应用程序和客户端应用程序。这些应用程序与您可能已经注册仪表板访问控制的应用程序不同。这些应用程序与部署到的应用程序无关MATLAB生产服务器或使用MATLAB生产服务器客户端库。
笔记
应用程序注册过程由Azure决定,可能会发生变化。
从Azure Active Directory, 选择应用程序注册并点击新注册.
在生成的窗格中,输入应用程序的名称(例如,MATLAB生产服务器应用程序
)然后选择登记.
在您注册的应用程序中,选择公开一个API..
点击添加范围,并输入您申请的范围信息。点击添加范围.有关添加作用域的更多信息,请参见Microsoft Azure文档.下表列出了为添加范围而输入的字段和值。
场地 | 价值 |
---|---|
范围名称 | 输入名称,例如: |
谁能同意 | 选择管理员和用户 . |
管理员同意显示名 | 输入名称,例如: |
管理员同意描述 | 输入描述,例如, |
用户同意显示名称 | 输入名称,例如: |
用户同意描述 | 输入描述,例如, |
状态 | 选择启用 . |
点击清单在左侧导航窗格中。在显示的JSON中,设置值GroupMembershipClaims.
到“securitygroup”
.点击保存.
在Azure门户中,注册客户端应用程序。客户端应用程序可帮助客户端向服务器发送请求以生成访问令牌。您可以将客户端应用程序注册为a本地的app或a网络应用程序。如果将客户端应用程序注册为本机应用程序,则用户必须使用用户名和密码登录以生成访问令牌。如果将客户端应用程序注册为Web应用程序,则必须使用单点登录使用浏览器登录以生成访问令牌。
根据组织设置,在Azure中注册客户端应用程序需要更高的权限。
将客户端应用程序注册为本机客户端
从Azure Active Directory, 选择应用程序注册并点击新注册.
在打开的窗格中,为您的应用程序输入以下注册信息,然后单击登记.
场地 | 价值 |
---|---|
姓名 | 输入名称,例如: |
重定向的URI | 选择公共客户端/本地(移动和桌面) . |
点击清单在左侧导航窗格中。在JSON中,设置值为allowPublicClient
到真正的
.点击保存.
点击API权限并点击添加许可.
在打开的窗格中,单击API我的组织使用.
搜索MATLAB生产服务器应用程序
您先前注册的服务器应用程序。在打开的窗格中,选择范围名称(例如,user_impersonation.
)然后点击添加权限。
将客户端应用程序注册为Web客户端
从Azure Active Directory, 选择应用程序注册并点击新注册.
在打开的窗格中,为您的应用程序输入以下注册信息,然后单击登记.
场地 | 价值 |
---|---|
姓名 | 输入名称,例如: |
重定向的URI | 选择网络 .输入您的客户端应用程序使用的有效重定向URI |
选择证书和秘密在左侧导航窗格中。下客户机密,创建一个新的客户机密,保存秘密的值。
点击API权限,然后点击添加许可并选择API我的组织使用.
搜索MATLAB生产服务器应用程序
您先前注册的服务器应用程序。在打开的窗格中,选择范围名称,例如:user_impersonation.
,然后点击添加权限。
在Azure门户中注册服务器应用程序和客户端应用程序后,为Azure广告创建一个配置应用程序访问控制仪表板的标签。点击创建并选择Azure的广告.
在Azure门户中,为您的组织找到租户ID,以及您之前注册的服务器应用程序的应用程序ID。在仪表板下输入租户ID和应用程序ID为应用程序访问控制创建身份提供程序.
从Azure Active Directory, 选择特性.复制价值目录(租户)ID并粘贴到承租者ID仪表板中的字段。
从Azure Active Directory, 选择应用程序注册.选择用于的应用程序MATLAB生产服务器例如,MATLAB生产服务器应用程序
.复制价值应用程序(客户端)ID并粘贴到服务器应用ID.仪表板中的字段。
在仪表板中,单击创建.如果服务器在Windows上运行®虚拟机,保存值最多需要30秒。
指定某些用户组可以通过定义访问控制策略规则来访问某些用户组的应用程序。要定义规则,请单击添加规则在下面访问控制策略在应用程序访问控制仪表板的标签。指定以下值。
场地 | 价值 |
---|---|
规则的ID | 规则的名称 |
描述 | 规则描述 |
用户 | 在Azure AD中设置允许访问部署应用程序的用户名 |
团体 | 在Azure AD组中设置的组的对象id,允许访问部署的应用程序 |
应用程序 | 指定用户和组可以访问的应用程序。 要选择所有应用程序,请选择 |
配置标识提供程序并指定访问控制策略规则后,必须通过选择是的选项。
启用应用访问控制后,在访问控制策略规则中指定的用户可以生成承载访问令牌。如果注册的客户端应用程序是本地应用程序,则使用用户名和密码或集成的Windows身份验证来生成访问令牌。如果注册的客户端应用程序是web应用程序,使用浏览器通过单点登录来生成访问令牌。您可以使用Microsoft身份平台身份验证库(Microsoft支持的客户端库或不同编程语言的兼容客户端库)来生成访问令牌。金宝app有关更多信息,请参见微软文件.属性向服务器发出请求时,在HTTP授权头中使用此访问令牌MATLAB生产服务器RESTful API。此头文件的格式为授权:无记名<访问令牌>
.