Quickstart: Een toepassing registreren in Microsoft Entra-id

In deze quickstart leert u hoe u een toepassing registreert in Microsoft Entra ID. Dit proces is essentieel voor het tot stand brengen van een vertrouwensrelatie tussen uw toepassing en het Microsoft Identity Platform. Door deze quickstart te voltooien, schakelt u identiteits- en toegangsbeheer (IAM) in voor uw app, zodat deze veilig kan communiceren met Microsoft-services en API's.

Voorwaarden

• Een Azure-account met een actief abonnement. Gratis een account maken
• Het Azure-account moet ten minste een Application Developer-zijn.
• Een personeelsbestand of externe tenant. U kunt voor deze quickstart uw Default Directory- gebruiken. Als u een externe tenant nodig hebt, voltooit u het instellen van een externe tenant.

Een toepassing registreren

Als u uw toepassing registreert in Microsoft Entra, wordt er een vertrouwensrelatie tot stand brengt tussen uw app en het Microsoft Identity Platform. De vertrouwensrelatie is unidirectioneel. Uw app vertrouwt het Microsoft Identity Platform en niet andersom. Nadat het object is gemaakt, kan het toepassingsobject niet worden verplaatst tussen verschillende tenants.

Volg deze stappen om de app-registratie te maken:

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Applicatieontwikkelaar.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om over te schakelen naar de tenant waarin u de toepassing wilt registreren.

3. Blader naar Identity>Applications>App-registraties en selecteer Nieuwe registratie.

4. Voer een zinvolle naam in voor uw identity-client-app. App-gebruikers kunnen deze naam zien en deze kunnen op elk gewenst moment worden gewijzigd. U kunt meerdere app-registraties met dezelfde naam hebben.

5. Geef onder Ondersteunde accounttypenop wie de toepassing mag gebruiken. U wordt aangeraden alleen Accounts in deze organisatiedirectory te selecteren voor de meeste toepassingen. Raadpleeg de onderstaande tabel voor meer informatie over elke optie.

   Ondersteunde rekeningtypen	Beschrijving
   Alleen accounts in deze organisatiemap	Voor single-tenant apps bedoeld voor gebruik door gebruikers (of gasten) binnen uw-tenant.
   Accounts in een willekeurige organisatie-directory	Voor apps met meerdere tenants en u wilt dat gebruikers in elke Microsoft Entra-tenant uw toepassing kunnen gebruiken. Ideaal voor SaaS-toepassingen (Software-as-a-Service) die u aan meerdere organisaties wilt bieden.
   Accounts in elke organisatiemap en persoonlijke Microsoft-accounts	Voor apps met meerdere tenants die ondersteuning bieden voor zowel organisatie- als persoonlijke Microsoft-accounts (bijvoorbeeld Skype, Xbox, Live, Hotmail).
   Persoonlijk Microsoft-account	Voor apps die alleen worden gebruikt door persoonlijke Microsoft-accounts (bijvoorbeeld Skype, Xbox, Live, Hotmail).

6. Selecteer Registreren om de app-registratie te voltooien.

   

7. De Overzichtspagina van de toepassing wordt weergegeven. Noteer de toepassings-id (client), die uw toepassing uniek identificeert en wordt gebruikt in de code van uw toepassing als onderdeel van het valideren van de beveiligingstokens die worden ontvangen van het Microsoft Identity Platform.

   

Belangrijk

Nieuwe app-registraties zijn standaard verborgen voor gebruikers. Wanneer u klaar bent voor gebruikers om de app te zien op hun pagina Mijn apps kunt u deze inschakelen. Als u de app wilt inschakelen, gaat u in het Microsoft Entra-beheercentrum naar Identiteit>Toepassingen>Bedrijfstoepassingen en selecteert u de app. Stel vervolgens op de pagina EigenschappenZichtbaar voor gebruikers? in op Ja .

Beheerderstoestemming verlenen (alleen externe tenants)

Nadat u uw toepassing hebt geregistreerd, wordt de machtiging User.Read toegewezen. Voor externe tenants kunnen de klantgebruikers zelf echter geen toestemming geven voor deze machtiging. U als beheerder moet toestemming geven voor deze machtiging namens alle gebruikers in de tenant:

1. Ga op de pagina Overzicht van uw app-registratie naar Beheren en selecteer API-machtigingen.
2. Selecteer Beheerderstoestemming verlenen voor < tenantnaam >en selecteer vervolgens Ja.
3. Selecteer Vernieuwenen controleer of Verleend voor < tenantnaam > wordt weergegeven onder Status voor de machtiging.

Een omleidings-URI toevoegen

Een omleidings-URI is de plek waar het Microsoft Identity Platform beveiligingstokens verzendt na verificatie. U kunt omleidings-URI's configureren in Platform-configuraties in het Microsoft Entra-beheercentrum. Voor web- en toepassingen met één paginamoet u handmatig een omleidings-URI opgeven. Voor Mobile- en desktopplatforms kunt u kiezen uit gegenereerde omleidings-URI's. Volg deze stappen om instellingen te configureren op basis van uw doelplatform of apparaat:

1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.

2. Onder Beheren, selecteer Verificatie.

3. Selecteer Een platform toevoegenonder Platformconfiguraties.

4. Selecteer onder Platforms configureren de tegel voor uw toepassingstype (platform) om de bijbehorende instellingen te configureren.

   

   Platform	Configuratie-instellingen	Voorbeeld
   Web	Voer de omleidings-URI- in voor een web-app die op een server wordt uitgevoerd. Afmeldings-URL's voor front-kanalen kunnen ook worden toegevoegd	Node.js: • http://localhost:3000/auth/redirect ASP.NET Core: • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc (afmeldings-URL voor front-kanaal) Python: • http://localhost:3000/getAToken
   Toepassing met één pagina	Voer een Omleidings-URI in voor apps aan de clientzijde met behulp van JavaScript, Angular, React.jsof Blazor WebAssembly. Afmeldings-URL's voor front-kanalen kunnen ook worden toegevoegd	JavaScript, React: • http://localhost:3000 Angular • http://localhost:4200/
   iOS / macOS	Voer de app in Bundel-id, waarmee een omleidings-URI voor u wordt gegenereerd. Zoek deze in Build-instellingen of in Xcode in Info.plist.	Personeelstenant: • com.<yourname>.identitysample.MSALMacOS Externe huurder • com.microsoft.identitysample.ciam.MSALiOS
   Android	Voer de naam van het app--pakket in, waarmee een omleidings-URI voor u wordt gegenereerd. Zoek deze in het bestand AndroidManifest.xml. Genereer ook de hash voor ondertekening en voer deze in.	Kotlin: • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI: • msal{CLIENT_ID}://auth Java: • com.azuresamples.msalandroidapp
   Mobiele toepassingen en desktoptoepassingen	Selecteer dit platform voor desktop-apps of mobiele apps die geen MSAL of een broker gebruiken. Selecteer een voorgestelde omleidings-URIof geef een of meer aangepaste omleidings-URI's op	Browsergebaseerde desktop-app • https://login.microsoftonline.com/common/oauth2/nativeclient Desktop-app van systeembrowser: • http://localhost

5. Selecteer Configureren om de platformconfiguratie te voltooien.

URI-beperkingen omleiden

Er gelden bepaalde beperkingen voor de indeling van de omleidings-URI's die u toevoegt aan een app-registratie. Zie Beperkingen en limieten voor omleidings-URI's (antwoord-URL's) voor meer informatie over deze beperkingen.

Referenties toevoegen

Nadat u een app hebt geregistreerd, kunt u certificaten, clientgeheimen (een tekenreeks) of federatieve identiteitsreferenties toevoegen als referenties aan de registratie van uw vertrouwelijke client-app. Met referenties kan uw toepassing zichzelf authentiseren, waarbij tijdens runtime geen interactie van een gebruiker nodig is en worden gebruikt door vertrouwelijke clienttoepassingen die toegang hebben tot een web-API.

Een certificaat toevoegen

Een certificaat, ook wel een openbare sleutel genoemd, is het aanbevolen referentietype omdat het als veiliger wordt beschouwd dan clientgeheimen.

1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.
2. Selecteer Certificaten en geheimen>Certificaten>Certificaat uploaden.
3. Selecteer het bestand dat u wilt uploaden. Dit moet een van de volgende bestandstypen zijn: .cer, .pem, .crt.
4. Selecteer Toevoegen.

In productie moet u een certificaat gebruiken dat is ondertekend door een bekende certificeringsinstantie (CA), zoals Azure Key Vault. Zie Certificaatreferenties voor verificatie van toepassingen in het Microsoft Identity Platform voor meer informatie over het gebruik van een certificaat als verificatiemethode in uw toepassing.

Een clientgeheim toevoegen

Soms een toepassingswachtwoord genoemd, is een clientgeheim een tekenreekswaarde die uw app kan gebruiken in plaats van een certificaat om zichzelf te identificeren.

Clientgeheimen zijn minder veilig dan certificaat- of federatieve referenties en moeten daarom niet worden gebruikt in productieomgevingen. Hoewel ze handig kunnen zijn voor het ontwikkelen van lokale apps, is het noodzakelijk om certificaten of federatieve referenties te gebruiken voor toepassingen die in productie worden uitgevoerd om een hogere beveiliging te garanderen.

1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.
2. Selecteer Certificaten & geheimenKlantgeheimenNieuw klantgeheim.
3. Voeg een beschrijving voor uw clientgeheim toe.
4. Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op.
   • De levensduur van het clientgeheim is beperkt tot twee jaar (24 maanden) of minder. U kunt geen aangepaste levensduur opgeven die langer is dan 24 maanden.
   • Microsoft raadt u aan een verloopwaarde van minder dan 12 maanden in te stellen.
5. Selecteer Toevoegen.
6. Registreer de waarde van het geheim voor gebruik in de toepassingscode van uw client. De waarde van het geheim wordt nooit meer weergegeven nadat u deze pagina hebt verlaten.

Raadpleeg Toepassingenmigreren van authenticatie op basis van geheimen voor meer informatie over beveiligingsproblemen met clientgeheimen.

Als u een Azure DevOps-serviceverbinding gebruikt waarmee automatisch een service-principal wordt gemaakt, moet u het clientgeheim bijwerken vanaf de Azure DevOps-portalsite in plaats van het clientgeheim rechtstreeks bij te werken. Raadpleeg dit document over het bijwerken van het clientgeheim vanaf de Azure DevOps-portalsite: Problemen met azure Resource Manager-serviceverbindingen oplossen.

Een federatieve referentie toevoegen

Federatieve identiteitsreferenties zijn een type referentie waarmee workloads, zoals GitHub Actions, workloads die worden uitgevoerd op Kubernetes of workloads die worden uitgevoerd op rekenplatforms buiten Azure toegang hebben tot met Microsoft Entra beveiligde resources zonder dat u geheimen hoeft te beheren met behulp van workloadidentiteitsfederatie.

Voer de volgende stappen uit om een federatieve referentie toe te voegen:

1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.

2. Selecteer Certificaten en geheimen>Federatieve referenties>Referentie toevoegen.

3. Selecteer in de vervolgkeuzelijst Federatieve referentiescenario's een van de ondersteunde scenario's en volg de bijbehorende richtlijnen om de configuratie te voltooien.

   • Door de klant beheerde sleutels voor het versleutelen van gegevens in uw tenant met behulp van Azure Key Vault in een andere tenant.
   • GitHub-acties die Azure-resources implementeren om een GitHub-werkstroom te configureren voor het ophalen van tokens voor uw toepassing en het implementeren van assets in Azure.
   • Kubernetes heeft toegang tot Azure-resources om een Kubernetes-serviceaccount te configureren voor het ophalen van tokens voor uw toepassing en toegang tot Azure-resources.
   • Andere uitgever om de applicatie zo te configureren dat deze vertrouwen heeft in een beheerde identiteit of een identiteit die wordt beheerd door een externe OpenID Connect-provider om tokens te verkrijgen voor uw applicatie en toegang te krijgen tot Azure-bronnen.

Zie Microsoft Identity Platform en de OAuth 2.0-clientreferentiestroomvoor meer informatie over het verkrijgen van een toegangstoken met een federatieve referentie.

Volgende stap

een web-API beschikbaar maken

Nadat u een app hebt geregistreerd, kunt u deze configureren om een web-API beschikbaar te maken. Als u wilt weten hoe, raadpleegt u;

Een toepassing configureren om een web-API beschikbaar te maken

Voorbeeldcode verkennen

Het Microsoft Identity Platform biedt verschillende codevoorbeelden die zijn afgestemd op verschillende toepassingstypen en platforms. Als u deze voorbeelden wilt verkennen, raadpleegt u;

Codevoorbeelden voor Microsoft Identity Platform