Rychlý start: registrace aplikace pomocí platformy identity Microsoft

Začněte s platformou Microsoft Identity Platform registrací aplikace v Centru pro správu Microsoft Entra.

Platforma Microsoft Identity Platform provádí správu identit a přístupu (IAM) pouze pro registrované aplikace. Ať už se jedná o klientskou aplikaci, jako je webová nebo mobilní aplikace, nebo jde o webové rozhraní API, které zálohuje klientskou aplikaci, a zaregistruje se vztah důvěryhodnosti mezi vaší aplikací a zprostředkovatelem identity, platformou Microsoft Identity Platform.

Tip

Pokud chcete zaregistrovat aplikaci pro Azure AD B2C, postupujte podle kroků v kurzu: Registrace webové aplikace v Azure AD B2C.

Požadavky

• Účet Azure, který má aktivní předplatné. Vytvoření účtu zdarma
• Účet Azure musí být alespoň správcem cloudových aplikací.
• Dokončení rychlého startu Nastavení tenanta

Registrace aplikace

Registrace aplikace vytvoří vztah důvěryhodnosti mezi vaší aplikací a platformou Microsoft Identity Platform. Vztah důvěryhodnosti je jednosměrný: vaše aplikace důvěřuje platformě Microsoft Identity Platform a ne naopak. Po vytvoření nelze objekt aplikace přesouvat mezi různými tenanty.

Pokud chcete vytvořit registraci aplikace, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat z nabídky Adresáře a předplatná.

3. Přejděte na Identity>Applications> Registrace aplikací a vyberte Nová registrace.

4. Zadejte zobrazovaný název aplikace. Uživatelům vaší aplikace se může zobrazit zobrazované jméno, když aplikaci používají, například při přihlašování. Zobrazovaný název můžete kdykoli změnit a stejný název může sdílet více registrací aplikací. ID automaticky vygenerované aplikace (klienta) registrace aplikace, nikoli její zobrazovaný název, jednoznačně identifikuje vaši aplikaci na platformě Identity Platform.

5. Určete, kdo může aplikaci používat, někdy označovanou jako cílová skupina přihlašování.

   Typy podporovaných účtů	Popis
   Účty jen v tomto organizačním adresáři	Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele (nebo hosty) ve vašem tenantovi. Tato aplikace se často označuje jako obchodní aplikace (LOB), což je aplikace s jedním tenantem na platformě Microsoft Identity Platform.
   Účty v libovolném organizačním adresáři	Tuto možnost vyberte, pokud chcete, aby uživatelé v libovolném tenantovi Microsoft Entra mohli vaši aplikaci používat. Tato možnost je vhodná, pokud například vytváříte aplikaci saaS (software jako služba), kterou chcete poskytnout více organizacím. Tento typ aplikace se označuje jako víceklientní aplikace na platformě Microsoft Identity Platform.
   Účty v libovolném organizačním adresáři a osobní účty Microsoft	Tuto možnost vyberte, chcete-li zaměřit nejširší sadu odběratelů. Výběrem této možnosti zaregistrujete víceklientovou aplikaci, která může také podporovat uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.
   Osobní účty Microsoft	Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.

6. Pokud teď konfigurujete identifikátor URI přesměrování v další části, nechte identifikátor URI přesměrování (volitelný).

7. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.

   

Po dokončení registrace se v Centru pro správu Microsoft Entra zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta). Tato hodnota se označuje také jako ID klienta. Tato hodnota jednoznačně identifikuje vaši aplikaci na platformě Microsoft Identity Platform.

Důležité

Registrace nových aplikací jsou ve výchozím nastavení uživatelům skryté. Až budete připravení, aby uživatelé aplikaci viděli na Moje aplikace stránce, můžete ji povolit. Pokud chcete aplikaci povolit, přejděte v Centru pro správu Microsoft Entra do podnikových aplikací identit>a>vyberte aplikaci. Potom na stránce Vlastnosti přepněte možnost Viditelné pro uživatele? Na Ano.

Kód vaší aplikace nebo více obvykle knihovna ověřování používaná ve vaší aplikaci používá také ID klienta. ID se používá jako součást ověřování tokenů zabezpečení, které přijímá z platformy identity.

Přidání identifikátoru URI přesměrování

Identifikátor URI přesměrování je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

Například v produkční webové aplikaci je identifikátor URI přesměrování často veřejným koncovým bodem, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response. Během vývoje je běžné také přidat koncový bod, ve kterém aplikaci spouštíte místně, například https://127.0.0.1/auth-response nebo http://localhost/auth-response. Ujistěte se, že všechna nepotřebná vývojová prostředí nebo identifikátory URI přesměrování nejsou v produkční aplikaci vystavené. Můžete to provést tak, že budete mít samostatné registrace aplikací pro vývoj a produkci.

Identifikátory URI pro přesměrování registrovaných aplikací přidáte a upravíte tak, že nakonfigurujete jejich nastavení platformy.

Konfigurace nastavení platformy

Nastavení pro každý typ aplikace, včetně identifikátorů URI přesměrování, se konfigurují v konfiguracích platformy na webu Azure Portal. Některé platformy, jako jsou webové a jednostrábové aplikace, vyžadují ruční zadání identifikátoru URI přesměrování. U jiných platforem, jako jsou mobilní a desktopové platformy, si můžete vybrat z identifikátorů URI přesměrování vygenerovaných za vás, když nakonfigurujete jejich další nastavení.

Pokud chcete nakonfigurovat nastavení aplikace na základě platformy nebo zařízení, na které cílíte, postupujte takto:

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.

2. V části Spravovat vyberte Ověřování.

3. V části Konfigurace platformy vyberte Přidat platformu.

4. V části Konfigurovat platformy vyberte dlaždici pro váš typ aplikace (platforma) a nakonfigurujte jeho nastavení.

   

   Platforma	Nastavení konfigurace
   Webová	Zadejte identifikátor URI přesměrování aplikace. Tento identifikátor URI je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení. Můžete také nakonfigurovat adresu URL odhlášení front-channel a implicitní a hybridní vlastnosti toku. Tuto platformu vyberte pro standardní webové aplikace, které běží na serveru.
   Jednostránková aplikace	Zadejte identifikátor URI přesměrování aplikace. Tento identifikátor URI je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení. Můžete také nakonfigurovat adresu URL odhlášení front-channel a implicitní a hybridní vlastnosti toku. Tuto platformu vyberte, pokud vytváříte webovou aplikaci na straně klienta pomocí JavaScriptu nebo architektury, jako je Angular, Vue.js, React.js nebo Blazor WebAssembly.
   iOS / macOS	Zadejte ID sady prostředků aplikace. Najdete ho v nastavení sestavení nebo v Xcode v souboru Info.plist. Identifikátor URI přesměrování se vygeneruje za vás při zadání ID sady.
   Android	Zadejte název balíčku aplikace. Najděte ho v souboru AndroidManifest.xml . Vygenerujte a zadejte hodnotu hash podpisu. Identifikátor URI přesměrování se vygeneruje za vás, když zadáte tato nastavení.
   Mobilní a desktopové aplikace	Vyberte jednu z navrhovaných identifikátorů URI přesměrování. Nebo zadejte jednu nebo více identifikátorů URI pro vlastní přesměrování. Pro desktopové aplikace používající vložený prohlížeč doporučujeme https://login.microsoftonline.com/common/oauth2/nativeclient Pro desktopové aplikace používající systémový prohlížeč doporučujeme http://localhost Tuto platformu vyberte pro mobilní aplikace, které nepoužívají nejnovější knihovnu MSAL (Microsoft Authentication Library) nebo nepoužívají zprostředkovatele. Vyberte také tuto platformu pro desktopové aplikace.

5. Výběrem možnosti Konfigurovat dokončete konfiguraci platformy.

Omezení identifikátoru URI přesměrování

Formát identifikátorů URI přesměrování, které přidáte do registrace aplikace, existují určitá omezení. Podrobnosti o těchto omezeních najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidat přihlašovací údaje

Přihlašovací údaje používají důvěrné klientské aplikace , které přistupují k webovému rozhraní API. Mezi příklady důvěrných klientů patří webové aplikace, jiná webová rozhraní API nebo aplikace typu služby a démona. Přihlašovací údaje umožňují, aby se vaše aplikace ověřila jako sama, což nevyžaduje žádnou interakci uživatele za běhu.

Jako přihlašovací údaje k registraci důvěrné klientské aplikace můžete přidat certifikáty, tajné klíče klienta (řetězec) nebo přihlašovací údaje federované identity. Pokud je to možné, doporučujeme používat certifikáty od důvěryhodné certifikační autority.

Přidání certifikátu

Někdy se označuje jako veřejný klíč, je doporučeným typem přihlašovacích údajů certifikát, protože jsou považovány za bezpečnější než tajné kódy klienta. Další informace o použití certifikátu jako metody ověřování ve vaší aplikaci najdete v tématu Přihlašovací údaje ověřovacího certifikátu aplikace platformy Microsoft Identity Platform.

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
2. Vyberte Certifikáty a certifikáty>pro nahrání certifikátů.>
3. Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
4. Vyberte Přidat.

Přidání tajného klíče klienta

Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota, kterou může aplikace místo certifikátu použít k identifikaci samotného certifikátu.

Tajné kódy klienta jsou považovány za méně bezpečné než přihlašovací údaje certifikátu. Vývojáři aplikací někdy používají tajné kódy klienta během vývoje místních aplikací kvůli jejich snadnému použití. Pro všechny aplikace spuštěné v produkčním prostředí byste ale měli použít přihlašovací údaje certifikátu.

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
2. Vyberte >> klienta.
3. Přidejte popis tajného kódu klienta.
4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
   • Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
   • Microsoft doporučuje nastavit hodnotu vypršení platnosti kratší než 12 měsíců.
5. Vyberte Přidat.
6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Tato hodnota tajného kódu se po opuštění této stránky už nikdy nezobrazí.

Doporučení k zabezpečení aplikací najdete v osvědčených postupech a doporučeních platformy Microsoft Identity Platform.

Pokud používáte připojení služby Azure DevOps, které automaticky vytvoří instanční objekt, musíte aktualizovat tajný klíč klienta z portálového webu Azure DevOps místo přímé aktualizace tajného klíče klienta. V tomto dokumentu se dozvíte, jak aktualizovat tajný klíč klienta z portálového webu Azure DevOps: Řešení potíží s připojeními služby Azure Resource Manager.

Přidání federovaných přihlašovacích údajů

Přihlašovací údaje federované identity jsou typem přihlašovacích údajů, které umožňují úlohy, jako jsou GitHub Actions, úlohy spuštěné v Kubernetes nebo úlohy běžící na výpočetních platformách mimo Azure, přistupovat k prostředkům chráněným Microsoft Entra, aniž by bylo nutné spravovat tajné kódy pomocí federace identit úloh.

Pokud chcete přidat federované přihlašovací údaje, postupujte takto:

1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.

2. Vyberte >– Přidejte přihlašovací údaje.

3. V rozevíracím seznamu Scénář federovaných přihlašovacích údajů vyberte jeden z podporovaných scénářů a podle odpovídajících pokynů dokončete konfiguraci.

   • Klíče spravované zákazníkem pro šifrování dat ve vašem tenantovi pomocí služby Azure Key Vault v jiném tenantovi.
   • Akce GitHubu nasazující prostředky Azure pro konfiguraci pracovního postupu GitHubu pro získání tokenů pro vaši aplikaci a nasazení prostředků do Azure
   • Kubernetes přistupující k prostředkům Azure za účelem konfigurace účtu služby Kubernetes za účelem získání tokenů pro vaši aplikaci a přístupu k prostředkům Azure
   • jiného vystavitele nakonfigurovat aplikaci tak, aby důvěřovala spravované identitě nebo identitě spravované externím poskytovatelem OpenID Connect, aby získala tokeny pro vaši aplikaci a přístup k prostředkům Azure.

Další informace o tom, jak získat přístupový token s federovanými přihlašovacími údaji, najdete v článku o toku přihlašovacích údajů klienta OAuth 2.0 na platformě Microsoft Identity Platform.

Další krok

Konfigurace aplikace pro zveřejnění webového rozhraní API