Freigeben über


Registrieren einer App in Ihrem externen Mandanten

Gilt für: Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

Microsoft Entra External ID ermöglicht Ihrer Organisation die Verwaltung der Kundenidentitäten und die sichere Steuerung des Zugriffs auf Ihre öffentlichen Anwendungen und APIs. Anwendungen, bei denen Ihre Kundinnen und Kunden Ihre Produkte kaufen, Ihre Dienste abonnieren oder auf ihr Konto und ihre Daten zugreifen können. Ihre Kundinnen und Kunden müssen sich nur einmal auf einem Gerät oder bei einem Webbrowser anmelden und haben dann Zugriff auf alle Ihre Anwendungen, für die Sie ihnen Berechtigungen erteilt haben.

Damit sich Ihre Anwendung mit External ID anmelden kann, müssen Sie Ihre App mit der External ID registrieren. Durch die App-Registrierung wird eine Vertrauensstellung zwischen der App und External ID eingerichtet. Bei der App-Registrierung geben Sie den Umleitungs-URI an. Der Umleitungs-URI ist der Endpunkt, an den die Benutzerinnen bzw. Benutzer nach Abschluss der Authentifizierung von External ID umgeleitet werden. Beim App-Registrierungsprozess wird eine Anwendungs-ID generiert, die auch als Client-ID bezeichnet wird und Ihre App eindeutig identifiziert.

External ID unterstützt die Authentifizierung für verschiedene moderne Anwendungsarchitekturen, z. B. Web-App oder Single-Page-Webanwendung. Die Interaktion der einzelnen Anwendungstypen mit dem externen Mandanten ist unterschiedlich, daher müssen Sie den Anwendungstyp angeben, den Sie registrieren möchten.

In diesem Artikel erfahren Sie, wie Sie eine Anwendung in Ihrem externen Mandanten registrieren.

Voraussetzungen

App-Typ auswählen

Registrieren Ihrer Single-Page-Webanwendung

Externe ID unterstützt die Authentifizierung für Einzelseiten-Apps (SPAs).

Die folgenden Schritte zeigen, wie Sie Ihre SPA im Microsoft Entra Admin Center registrieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.

  3. Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.

  4. Wählen Sie + Neue Registrierung aus.

  5. Geben Sie auf der daraufhin angezeigten Seite Anwendung registrieren die Registrierungsinformationen Ihrer Anwendung ein:

    1. Geben Sie im Abschnitt Name einen aussagekräftigen Anwendungsnamen ein, der den Benutzer*innen der Anwendung angezeigt werden soll (z. B. ciam-client-app).

    2. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis aus.

    3. Wählen Sie unter Umleitungs-URI (optional) die Option Single-Page-Webanwendung (SPA) aus, und geben Sie http://localhost:3000/ in das Feld „URL“ ein.

  6. Wählen Sie Registrieren.

  7. Der Bereich Übersicht der Anwendung wird angezeigt, wenn die Registrierung abgeschlossen ist. Notieren Sie sich die Verzeichnis-ID (Mandant) und die Anwendungs-ID (Client), die im Quellcode Ihrer Anwendung verwendet werden sollen.

Umleitungs-URI

Der Umleitungs-URI ist der Endpunkt, an den die Benutzerin bzw. der Benutzer vom Autorisierungsserver (in diesem Fall Microsoft Entra ID) nach Abschluss ihrer/seiner Interaktion gesendet wird und an den bei erfolgreicher Autorisierung ein Zugriffstoken oder Autorisierungscode gesendet wird.

In einer Produktionsanwendung handelt es sich in der Regel um einen öffentlich zugänglichen Endpunkt, an dem Ihre App ausgeführt wird, etwa um https://contoso.com/auth-response.

Während der Anwendungsentwicklung können Sie den Endpunkt hinzufügen, an dem die Anwendung lokal lauscht, etwa http://localhost:3000.. Sie können Umleitungs-URIs in Ihren registrierten Anwendungen jederzeit hinzufügen und ändern.

Für Umleitungs-URIs gelten die folgenden Einschränkungen:

  • Die Antwort-URL muss mit dem Schema https beginnen, sofern Sie keine localhost-Umleitungs-URL verwenden.

  • Bei der Antwort-URL muss die Groß-/Kleinschreibung beachtet werden. Die Groß-/Kleinschreibung muss der Groß-/Kleinschreibung des URL-Pfads Ihrer ausgeführten Anwendung entsprechen. Wenn Ihre Anwendung beispielsweise als Teil des Pfads .../abc/response-oidc enthält, geben Sie in der Antwort-URL nicht .../ABC/response-oidc an. Weil der Webbrowser bei Pfaden die Groß-/Kleinschreibung beachtet, werden Cookies, die .../abc/response-oidc zugeordnet sind, möglicherweise ausgeschlossen, wenn eine Umleitung an die anders geschriebene (nicht übereinstimmende) URL .../ABC/response-oidc erfolgt.

  • Die Antwort-URL sollte den nachgestellten Schrägstrich einschließen oder ausschließen, je nachdem, wie Ihre Anwendung dies erwartet. Beispielsweise könnten https://contoso.com/auth-response und https://contoso.com/auth-response/ in Ihrer Anwendung als nicht übereinstimmende URLs behandelt werden.

Nachdem Sie die Anwendung registriert haben, wird ihr die Berechtigung User.Read zugewiesen. Da der Mandant jedoch ein externer Mandant ist, können die Kundenbenutzer selbst in diese Berechtigung einwilligen. Als Administrator müssen Sie im Namen aller Benutzer im Mandanten dieser Berechtigung zustimmen:

  1. Wählen Sie auf der Seite App-Registrierungen die von Ihnen erstellte Anwendung (z. B. ciam-client-app) aus, um die Seite Übersicht zu öffnen.

  2. Wählen Sie unter Verwalten die Option API-Berechtigungen.

    1. Wählen Sie Administratorzustimmung für <Name Ihres Mandanten> erteilen und dann Ja aus.
    2. Wählen Sie Aktualisieren aus, und vergewissern Sie sich, dass für die Berechtigung unter Status der Status Erteilt für <Name Ihres Mandanten> angezeigt wird.

Erteilen von API-Berechtigungen (optional)

Wenn Ihre SPA eine API aufrufen muss, müssen Sie Ihrer SPA API-Berechtigungen erteilen, damit sie die API aufrufen kann. Sie müssen auch die Web-API registrieren, die Sie aufrufen müssen.

Führen Sie die folgenden Schritte aus, um Ihrer Clientanwendung (ciam-client-app) API-Berechtigungen zuzuweisen:

  1. Wählen Sie auf der Seite App-Registrierungen die von Ihnen erstellte Anwendung (z. B. ciam-client-app) aus, um ihre Seite Übersicht zu öffnen.

  2. Wählen Sie unter Verwalten die Option API-Berechtigungen.

  3. Wählen Sie unter Konfigurierte Berechtigungen die Option Berechtigung hinzufügen aus.

  4. Wählen Sie die Registerkarte Von meiner Organisation verwendete APIs aus.

  5. Wählen Sie in der Liste der APIs die API aus, z. B. ciam-ToDoList-api.

  6. Wählen Sie Delegierte Berechtigungen aus.

  7. Wählen Sie in der Berechtigungsliste ToDoList.Read, ToDoList.ReadWrite aus (verwenden Sie bei Bedarf das Suchfeld).

  8. Wählen Sie die Schaltfläche Berechtigungen hinzufügen aus. An diesem Punkt haben Sie die Berechtigungen ordnungsgemäß zugewiesen. Da der Mandant jedoch der Mandant eines Kunden ist, können die Consumer-Benutzer selbst diesen Berechtigungen nicht zustimmen. Um dieses Problem zu beheben, müssen Sie als Administrator im Namen aller Benutzer im Mandanten diesen Berechtigungen zustimmen:

    1. Wählen Sie Administratorzustimmung für <Name Ihres Mandanten> erteilen und dann Ja aus.

    2. Wählen Sie Aktualisieren aus, und vergewissern Sie sich, dass für beide Bereiche unter Status der Status Erteilt für <Name Ihres Mandanten> angezeigt wird.

  9. Wählen Sie in der Liste Konfigurierte Berechtigungen die Berechtigungen ToDoList.Read und ToDoList.ReadWrite nacheinander aus, und kopieren Sie dann den vollständigen URI der Berechtigung zur späteren Verwendung. Der vollständige Berechtigungs-URI ähnelt api://{clientId}/{ToDoList.Read} oder api://{clientId}/{ToDoList.ReadWrite}.

Wenn Sie erfahren möchten, wie Sie die Berechtigungen durch Hinzufügen eines Links verfügbar machen können, wechseln Sie zum Abschnitt Web-API.

Testen des Benutzerflusses (optional)

Um einen Benutzerfluss mit dieser App-Registrierung zu testen, aktivieren Sie den impliziten Genehmigungsfluss für die Authentifizierung.

Wichtig

Der implizite Fluss sollte nur zu Testzwecken und nicht zur Authentifizierung von benutzenden Personen in Ihren Produktionsapps verwendet werden. Nachdem Sie die Tests abgeschlossen haben, empfehlen wir, sie zu entfernen.

Führen Sie die folgenden Schritte aus, um den impliziten Fluss zu aktivieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.
  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Einstellungen-Symbol im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu Ihrem externen Mandanten zu wechseln.
  3. Browsen Sie zu Identität>Anwendungen>App-Registrierungen.
  4. Wählen Sie die App-Registrierung aus, die Sie erstellt haben.
  5. Wählen Sie unter Verwalten die Option Authentifizierung aus.
  6. Aktivieren Sie unter Implizite Genehmigung und Hybridflows das Kontrollkästchen ID-Token (für implizite und Hybridflows verwendet).
  7. Wählen Sie Speichern.

Ermitteln der Anwendungs-ID (Client)

Nachdem Sie eine neue Anwendung registriert haben, finden Sie die Anwendungs-ID (Client-ID) in der Übersicht im Microsoft Entra Admin Center.

  1. Wählen Sie auf der Seite App-Registrierungen die Registerkarte Alle Anwendungen oder die Registerkarte Anwendungen mit Besitzer aus.

  2. Wählen Sie die Anwendung aus, um ihre Übersicht-Seite zu öffnen.

  3. Unter Essentials finden Sie alle App-Details, einschließlich der Anwendungs-ID (Client-ID).

    Screenshot der Anwendungs-ID (Client-ID).

Nächste Schritte