Rychlý start: Registrace aplikace v Microsoft Entra ID

V tomto rychlém startu se dozvíte, jak zaregistrovat aplikaci v Microsoft Entra ID. Tento proces je nezbytný pro vytvoření vztahu důvěryhodnosti mezi vaší aplikací a platformou Microsoft Identity Platform. Dokončením tohoto rychlého startu povolíte správu identit a přístupu (IAM) pro vaši aplikaci a umožníte jí bezpečně pracovat se službami a rozhraními API Microsoftu.

Požadavky

• Účet Azure, který má aktivní předplatné. Vytvoření účtu zdarma
• Účet Azure musí být alespoň vývojářem aplikací.
• Pracovní síla nebo externí tenant. Pro tento rychlý start můžete použít svůj výchozí adresář. Pokud potřebujete externího tenanta, dokončete nastavte externítenanta .

Registrace aplikace

Registrace aplikace v Microsoft Entra vytvoří vztah důvěryhodnosti mezi vaší aplikací a platformou Microsoft Identity Platform. Důvěra je jednosměrná. Vaše aplikace důvěřuje platformě Microsoft Identity Platform, a ne naopak. Po vytvoření nelze objekt aplikace přesouvat mezi různými tenanty.

Pokud chcete vytvořit registraci aplikace, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat.

3. Přejděte na Identity>Applications> Registrace aplikací a vyberte Nová registrace.

4. Zadejte smysluplný Název, například identity-client-app . Uživatelé aplikace uvidí tento název a můžou ho kdykoli změnit. Můžete mít více registrací aplikací se stejným názvem.

5. V části Podporované typy účtůzadejte, kdo může aplikaci používat. Doporučujeme vybrat Účty v tomto organizačním adresáři pouze pro většinu aplikací. Další informace o jednotlivých možnostech najdete v následující tabulce.

   Typy podporovaných účtů	Popis
   Účty jen v tomto organizačním adresáři	Pro aplikace pro jednoho tenanta, které mohou používat pouze uživatelé (nebo hosté) v rámci vašeho tenanta .
   Účty v libovolném organizačním adresáři	Pro víceklientské aplikace, kde chcete, aby vaši aplikaci mohli používat uživatelé z libovolného tenanta služby Microsoft Entra. Ideální pro aplikace typu software jako služba (SaaS), které chcete poskytnout více organizacím.
   Účty v libovolném organizačním adresáři a osobní účty Microsoft	Pro víceklientské aplikace, které podporují jak organizační, tak osobní účty Microsoft (například Skype, Xbox, Live, Hotmail).
   Osobní účty Microsoft	Pro aplikace používané jenom osobními účty Microsoft (například Skype, Xbox, Live, Hotmail).

6. Výběrem možnosti Zaregistrovat dokončete registraci aplikace.

   

7. Zobrazí se stránka Přehled aplikace. Poznamenejte si ID aplikace (klienta) , které jednoznačně identifikuje vaši aplikaci a používá se v kódu vaší aplikace jako součást ověřování tokenů zabezpečení, které přijímá z platformy Microsoft identity.

   

Důležité

Registrace nových aplikací jsou ve výchozím nastavení uživatelům skryté. Až budete připravení, aby uživatelé aplikaci viděli na stránce Moje aplikace ji můžete povolit. Pokud chcete aplikaci povolit, v Centru pro správu Microsoft Entra přejděte do Identit>Aplikací>Podnikových aplikací a vyberte aplikaci. Potom na stránce Vlastnosti nastavte Viditelné pro uživatele? na Ano.

Udělení souhlasu správce (jenom externí tenanti)

Jakmile aplikaci zaregistrujete, přiřadí se mu oprávnění User.Read . U externích tenantů ale uživatelé zákazníka sami nemůžou udělit souhlas s tímto oprávněním. Jako správce musíte udělit souhlas s tímto oprávněním jménem všech uživatelů nájemce.

1. Na stránce Přehled registrace aplikace v části Spravovat vyberte oprávnění rozhraní API.
2. Vyberte Udělit souhlas správce pro název tenanta <>, a pak vyberte Ano.
3. Vyberte Aktualizovata ověřte, že uděleno pro < název tenanta > se zobrazí v části Stav oprávnění.

Přidejte identifikátor URI přesměrování

Identifikátor URI přesměrování je místem, kam platforma Microsoft odesílá tokeny zabezpečení po ověření. Identifikátory URI přesměrování můžete nakonfigurovat v konfiguracích platformy v Centru pro správu Microsoft Entra. Pro webové a jednostránkové aplikaceje nutné zadat adresu URI přesměrování ručně. Na platformách Mobile a desktopových vybíráte z vygenerovaných identifikátorů URI přesměrování. Podle těchto kroků nakonfigurujte nastavení na základě cílové platformy nebo zařízení:

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.

2. V části Spravovat vyberte Ověřování.

3. V části Konfigurace platformy vyberte Přidat platformu.

4. V části Konfigurovat platformy vyberte dlaždici pro váš typ aplikace (platforma) a nakonfigurujte jeho nastavení.

   

   Platforma	Nastavení konfigurace	Příklad
   Web	Zadejte přesměrovací URI pro webovou aplikaci, která běží na serveru. Můžete také přidat adresy URL odhlášení z frontového kanálu.	Node.js: • http://localhost:3000/auth/redirect ASP.NET Core: • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc (adresa URL odhlášení front-channel) Python • http://localhost:3000/getAToken
   Jednostránková aplikace	Zadejte přesměrovací URI pro aplikace na straně klienta pomocí JavaScriptu, Angularu, React.jsnebo Blazor WebAssembly. Můžete také přidat adresy URL odhlášení z frontového kanálu.	JavaScript, React: • http://localhost:3000 Úhlový: • http://localhost:4200/
   iOS / macOS	Zadejte ID balíčku , který pro vás vygeneruje URI přesměrování. Najdete ho v Nastavení sestavení nebo v Xcode v Info.plist.	Tenant pracovních sil: • com.<yourname>.identitysample.MSALMacOS Externí nájemce • com.microsoft.identitysample.ciam.MSALiOS
   Android	Zadejte název balíčku aplikace, který za vás vygeneruje identifikátor URI přesměrování. Najděte ho v souboru AndroidManifest.xml . Vygenerujte a zadejte signature hash.	Kotlin: • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI: • msal{CLIENT_ID}://auth Java: • com.azuresamples.msalandroidapp
   Mobilní a desktopové aplikace	Tuto platformu vyberte pro desktopové aplikace nebo mobilní aplikace, které nepoužívají MSAL nebo zprostředkovatele. Vyberte navrhovaný přesměrovací identifikátor URI nebo zadejte jeden nebo více vlastních přesměrovacích identifikátorů URI	Vložená desktopová aplikace prohlížeče: • https://login.microsoftonline.com/common/oauth2/nativeclient Desktopová aplikace systémového prohlížeče: • http://localhost

5. Výběrem možnosti Konfigurovat dokončete konfiguraci platformy.

Omezení adresy URI pro přesměrování

Na formát identifikátorů URI přesměrování, které přidáte do registrace aplikace, existují určitá omezení. Podrobnosti o těchto omezeních a limitech najdete v sekci Omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidat přihlašovací údaje

Po registraci aplikace můžete přidat certifikáty, tajné kódy klienta (řetězec) nebo přihlašovací údaje federované identity jako přihlašovací údaje k registraci důvěrné klientské aplikace. Přihlašovací údaje umožňují, aby se vaše aplikace ověřila jako sama, nevyžaduje žádnou interakci uživatele za běhu a používají důvěrné klientské aplikace, které přistupují k webovému rozhraní API.

Přidání certifikátu

Někdy nazývaný veřejným klíčem, je certifikát doporučeným typem přihlašovacího údaje, protože se považuje za bezpečnější než klientské tajemství.

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
2. Vyberte Certifikáty & tajemstvíCertifikátyNahrát certifikát.
3. Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
4. Vyberte Přidat.

V produkčním prostředí byste měli použít certifikát podepsaný známou certifikační autoritou, jako je azure Key Vault. Další informace o použití certifikátu jako metody ověřování ve vaší aplikaci najdete v tématu Přihlašovací údaje ověřovacího certifikátu aplikace platformy Microsoft Identity Platform.

Přidání tajného klíče klienta

Někdy se označuje jako heslo aplikace, tajemství klienta je řetězcová hodnota, kterou může vaše aplikace použít místo certifikátu k tomu, aby se sama identifikovala.

Tajné kódy klientů jsou méně zabezpečené než certifikáty nebo federované přihlašovací údaje, a proto by se neměly používat v produkčních prostředích. I když můžou být vhodné pro místní vývoj aplikací, je nezbytné použít certifikát nebo federované přihlašovací údaje pro všechny aplikace spuštěné v produkčním prostředí, aby se zajistilo vyšší zabezpečení.

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
2. Vyberte Certifikáty a tajemství>Klientská tajemství>Nové klientské tajemství.
3. Přidejte popis tajného kódu klienta.
4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
   • Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
   • Microsoft doporučuje nastavit hodnotu vypršení platnosti kratší než 12 měsíců.
5. Vyberte Přidat.
6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Tato hodnota tajného kódu se po opuštění této stránky už nikdy nezobrazí.

Další informace o ohroženích zabezpečení tajných kódů klienta najdete v tématu Migrace aplikací mimo ověřování na základě tajných kódů.

Pokud používáte připojení služby Azure DevOps, které automaticky vytvoří serverový principál, musíte aktualizovat tajný klíč klienta z portálu Azure DevOps a ne přímo tajný klíč klienta. V tomto dokumentu se dozvíte, jak aktualizovat tajný klíč klienta z portálového webu Azure DevOps: Řešení potíží s připojeními služby Azure Resource Manager.

Přidání federovaných přihlašovacích údajů

Přihlašovací údaje federované identity jsou typem přihlašovacích údajů, které umožňují úlohy, jako jsou GitHub Actions, úlohy spuštěné v Kubernetes nebo úlohy běžící na výpočetních platformách mimo Azure, přistupovat k prostředkům chráněným Microsoft Entra, aniž by bylo nutné spravovat tajné kódy pomocí federace identit úloh.

Pokud chcete přidat federované přihlašovací údaje, postupujte takto:

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.

2. Vyberte Služby a tajemství>Federovaná pověření>Přidat přihlašovací údaje.

3. V rozevíracím seznamu scénářů federovaných přihlašovacích údajů vyberte jeden z podporovaných scénářů a postupujte podle příslušných pokynů k dokončení konfigurace.

   • Klíče spravované zákazníkem pro šifrování dat ve vašem tenantovi pomocí služby Azure Key Vault v jiném tenantovi.
   • Akce GitHubu nasazující prostředky Azure pro konfiguraci pracovního postupu GitHubu pro získání tokenů pro vaši aplikaci a nasazení prostředků do Azure
   • Kubernetes přistupující k prostředkům Azure za účelem konfigurace účtu služby Kubernetes za účelem získání tokenů pro vaši aplikaci a přístupu k prostředkům Azure
   • jiného vystavitele nakonfigurovat aplikaci tak, aby důvěřovala spravované identitě nebo identitě spravované externím poskytovatelem OpenID Connect, aby získala tokeny pro vaši aplikaci a přístup k prostředkům Azure.

Další informace o tom, jak získat přístupový token s federovanými přihlašovacími údaji, najdete v tématu platformu Microsoft Identity a tok přihlašovacích údajů klienta OAuth 2.0.

Další krok

Uvolnit webové rozhraní API

Po registraci aplikace ji můžete nakonfigurovat tak, aby zpřístupnil webové rozhraní API. Podívejte se na informace o tom, jak na to.

Konfigurace aplikace pro zveřejnění webového rozhraní API

Prozkoumání vzorového kódu

Platforma Microsoft Identity Platform nabízí celou řadu ukázek kódu přizpůsobených různým typům a platformám aplikací. Pokud chcete tyto ukázky prozkoumat, přečtěte si:

Ukázky kódu platformy Microsoft Identity Platform

Přidání aplikace do toku uživatele

U aplikací v externích tenantech můžete aplikaci přidat do uživatelského toku, aby zákazníci měli zjednodušený zážitek. Informace o tom, jak zjistit více, najdete v;

Přidání aplikace do toku uživatele