Sdílet prostřednictvím

Webové aplikace

  • Článek

Upozornění

Tento obsah je určený pro starší koncový bod Azure AD verze 1.0. Pro nové projekty použijte Microsoft identity platform.

Webové aplikace jsou aplikace, které ověřují uživatele ve webovém prohlížeči ve webové aplikaci. V tomto scénáři webová aplikace nasměruje prohlížeč uživatele, aby se přihlásil k Azure AD. Azure AD vrátí odpověď na přihlášení prostřednictvím prohlížeče uživatele, která obsahuje deklarace identity uživatele v tokenu zabezpečení. Tento scénář podporuje přihlašování pomocí protokolů OpenID Connect, SAML 2.0 a WS-Federation.

Diagram

Tok ověřování pro aplikaci z prohlížeče do webové aplikace

Tok protokolu

  1. Když uživatel navštíví aplikaci a potřebuje se přihlásit, přesměruje se prostřednictvím žádosti o přihlášení do koncového bodu ověřování v Azure AD.
  2. Uživatel se přihlásí na přihlašovací stránce.
  3. Pokud je ověřování úspěšné, Azure AD vytvoří ověřovací token a vrátí přihlašovací odpověď na adresu URL odpovědi aplikace, která byla nakonfigurována v Azure Portal. Pro produkční aplikaci by tato adresa URL odpovědi měla být HTTPS. Vrácený token zahrnuje deklarace identity uživatele a Azure AD, které aplikace vyžaduje k ověření tokenu.
  4. Aplikace ověří token pomocí veřejného podpisového klíče a informací o vystaviteli, které jsou k dispozici v dokumentu federačních metadat pro Azure AD. Jakmile aplikace token ověří, spustí novou relaci s uživatelem. Tato relace umožňuje uživateli přístup k aplikaci, dokud nevyprší její platnost.

Ukázky kódů

Projděte si ukázky kódu pro scénáře webových prohlížečů a webových aplikací. A často se vracet, protože se často přidávají nové vzorky.

Registrace aplikace

Informace o registraci webové aplikace najdete v tématu Registrace aplikace.

  • Jeden tenant – Pokud vytváříte aplikaci jenom pro vaši organizaci, musí být zaregistrovaná v adresáři vaší společnosti pomocí Azure Portal.
  • Víceklientské – pokud vytváříte aplikaci, kterou můžou používat uživatelé mimo vaši organizaci, musí být zaregistrovaná v adresáři vaší společnosti, ale také v adresáři každé organizace, která bude aplikaci používat. Pokud chcete aplikaci zpřístupnit v jejich adresáři, můžete zahrnout proces registrace pro zákazníky, který jim umožní vyjádřit souhlas s vaší aplikací. Když se zaregistruje k vaší aplikaci, zobrazí se jim dialogové okno s oprávněními, která aplikace vyžaduje, a pak možnost souhlasu. V závislosti na požadovaných oprávněních může být vyžadován souhlas správce v jiné organizaci. Když uživatel nebo správce souhlasí, aplikace se zaregistruje v jeho adresáři.

Vypršení platnosti tokenu

Relace uživatele vyprší, když vyprší životnost tokenu vydaného Azure AD. Vaše aplikace může v případě potřeby toto časové období zkrátit, například odhlásit uživatele na základě období nečinnosti. Po vypršení platnosti relace se uživateli zobrazí výzva k opětovnému přihlášení.

Další kroky