Udostępnij za pośrednictwem


Szybki start: rejestrowanie aplikacji w identyfikatorze Entra firmy Microsoft

Z tego przewodnika Szybki start dowiesz się, jak zarejestrować aplikację w usłudze Microsoft Entra ID. Ten proces jest niezbędny do ustanowienia relacji zaufania między aplikacją a platformą tożsamości firmy Microsoft. Wykonując czynności z tego przewodnika Szybki start, włączysz zarządzanie tożsamościami i dostępem (IAM) dla aplikacji, co pozwala na bezpieczną interakcję z usługami i interfejsami API firmy Microsoft.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
  • Konto platformy Azure musi mieć co najmniej uprawnienia dewelopera aplikacji.
  • Siła robocza lub zewnętrzni dzierżawcy. Na potrzeby tego wprowadzenia możesz użyć katalogu domyślnego. Jeśli potrzebujesz dzierżawy zewnętrznej, zakończ konfigurację dzierżawy zewnętrznej, wypełniając .

Rejestrowanie aplikacji

Zarejestrowanie aplikacji w usłudze Microsoft Entra ustanawia relację zaufania między aplikacją a platformą tożsamości firmy Microsoft. Zaufanie jest jednokierunkowe. Twoja aplikacja ufa platformie tożsamości firmy Microsoft, a nie odwrotnie. Po utworzeniu obiektu aplikacji nie można go przenosić między różnymi dzierżawcami.

Wykonaj następujące kroki, aby utworzyć rejestrację aplikacji:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację.

  3. Przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz pozycję Nowa rejestracja.

  4. Wprowadź znaczącą nazwę dla, na przykład identity-client-app. Użytkownicy aplikacji mogą zobaczyć tę nazwę i można ją zmienić w dowolnym momencie. Możesz mieć wiele rejestracji aplikacji o tej samej nazwie.

  5. W obszarze Obsługiwane typy kontokreśl, kto może korzystać z aplikacji. Zalecamy wybranie Konta w tym katalogu organizacyjnym tylko dla większości aplikacji. Aby uzyskać więcej informacji na temat każdej opcji, zapoznaj się z poniższą tabelą.

    Obsługiwane typy kont Opis
    Tylko konta w tym katalogu organizacyjnym W przypadku aplikacji jedno-najemcy przeznaczonych do użytku tylko przez użytkowników (lub gości) w twojej instancji.
    Konta w dowolnym katalogu organizacyjnym W przypadku wielodostępnych aplikacji i chcesz, aby użytkownicy w dowolnej dzierżawie firmy Microsoft Entra mogli korzystać z aplikacji. Idealne rozwiązanie dla aplikacji SaaS (software-as-a-service), które mają być zapewniane wielu organizacjom.
    Konta w dowolnym katalogu organizacyjnym i konta osobiste Microsoft Dla aplikacji wielodostępnych obsługujących konta organizacyjne oraz osobiste Microsoft (na przykład Skype, Xbox, Live, Hotmail).
    Osobiste konta Microsoft W przypadku aplikacji używanych tylko przez osobiste konta Microsoft (na przykład Skype, Xbox, Live, Hotmail).
  6. Wybierz pozycję Zarejestruj, aby ukończyć rejestrację aplikacji.

    Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra w przeglądarce internetowej z okienkiem Rejestrowanie aplikacji.

  7. Wyświetla się strona Przegląd aplikacji. Zarejestruj identyfikator aplikacji (klienta), który jednoznacznie identyfikuje aplikację i jest używany w kodzie aplikacji w ramach weryfikowania tokenów zabezpieczających odbieranych z platformy tożsamości firmy Microsoft.

    Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra w przeglądarce internetowej z okienkiem Przegląd rejestracji aplikacji.

Ważne

Nowe rejestracje aplikacji są domyślnie ukryte dla użytkowników. Gdy będziesz gotowy, aby użytkownicy mogli zobaczyć aplikację na stronie Moje Aplikacje, możesz ją włączyć. Aby włączyć aplikację, w centrum administracyjnym Microsoft Entra przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw i wybierz aplikację. Następnie na stronie właściwości ustaw Widoczne dla użytkowników?Tak.

Po zarejestrowaniu aplikacji zostanie przypisane uprawnienie User.Read . Jednak w przypadku dzierżaw zewnętrznych użytkownicy sami nie mogą wyrazić zgody na to uprawnienie. Jako administrator musisz wyrazić zgodę na to uprawnienie w imieniu wszystkich użytkowników w tenancie.

  1. Na stronie Przegląd rejestracji aplikacji w obszarze Zarządzaj wybierz pozycję Uprawnienia interfejsu API .
  2. Wybierz , aby udzielić zgody administratora dla dzierżawcy <>, a następnie wybierz Tak.
  3. Wybierz pozycję Odśwież, a następnie sprawdź, czy udzielono dla < nazwy dzierżawy > pojawi się w obszarze Stan dla uprawnienia.

Dodaj identyfikator URI przekierowania

Identyfikator URI przekierowania jest miejscem, w którym platforma tożsamości firmy Microsoft wysyła tokeny zabezpieczające po uwierzytelnieniu. Identyfikatory URI przekierowania można skonfigurować w konfiguracjach platformy w centrum administracyjnym Microsoft Entra. W przypadku aplikacji Web i jednostronicowychnależy ręcznie określić identyfikator URI przekierowania. W przypadku platform mobilnych i stacjonarnych wybierasz spośród wygenerowanych identyfikatorów URI przekierowania. Wykonaj następujące kroki, aby skonfigurować ustawienia na podstawie platformy docelowej lub urządzenia:

  1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.

  2. W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

  3. W obszarze Konfiguracje platformy wybierz pozycję Dodaj platformę.

  4. W obszarze Konfigurowanie platform wybierz kafelek dla typu aplikacji (platformy), aby skonfigurować jego ustawienia.

    Zrzut ekranu przedstawiający okienko konfiguracji platformy w witrynie Azure Portal.

    Platforma Ustawienia konfiguracji Przykład
    Sieć Web Wprowadź identyfikator URI przekierowania dla aplikacji internetowej, która działa na serwerze. Adresy URL wylogowania kanału przedniego można również dodać Node.js:
    http://localhost:3000/auth/redirect
    ASP.NET Core:
    https://localhost:7274/signin-oidc
    https://localhost:7274/signout-callback-oidc (adres URL wylogowywania kanału frontowego)
    Pyton:
    http://localhost:3000/getAToken
    Aplikacja jednostronicowa Wprowadź identyfikator URI przekierowania dla aplikacji po stronie klienta korzystających z JavaScript, Angular, React.jslub Blazor WebAssembly. Adresy URL wylogowania kanału frontowego można także dodać JavaScript, React:
    http://localhost:3000
    Kanciasty:
    http://localhost:4200/
    iOS/macOS Wprowadź identyfikator pakietu aplikacji , który generuje URI przekierowania. Znajdź go w Ustawieniach kompilacji lub w Info.plist w Xcode.
    Najemca zasobów ludzkich
    com.<yourname>.identitysample.MSALMacOS
    Zewnętrzny najemca
    com.microsoft.identitysample.ciam.MSALiOS
    Android Wprowadź nazwę pakietu aplikacji , który generuje identyfikator URI przekierowania dla ciebie. Znajdź go w pliku AndroidManifest.xml . Ponadto wygeneruj skrót Podpisu i wprowadź go. Kotlin:
    com.azuresamples.msaldelegatedandroidkotlinsampleapp
    .NET MAUI:
    msal{CLIENT_ID}://auth
    Jawa:
    com.azuresamples.msalandroidapp
    Aplikacje mobilne i klasyczne Wybierz tę platformę dla aplikacji na komputer lub aplikacji mobilnych, które nie korzystają z MSAL ani z brokera. Wybierz sugerowany identyfikator URI przekierowania lub podaj jeden lub więcej identyfikatorów URI przekierowania niestandardowego Osadzona przeglądarkowa aplikacja komputerowa
    https://login.microsoftonline.com/common/oauth2/nativeclient
    Aplikacja desktopowa przeglądarki systemowej:
    http://localhost
  5. Wybierz pozycję Konfiguruj , aby ukończyć konfigurację platformy.

Ograniczenia adresu URI przekierowania

Istnieją pewne ograniczenia dotyczące formatu identyfikatorów URI przekierowania dodanych do rejestracji aplikacji. Aby uzyskać szczegółowe informacje na temat tych ograniczeń, zobacz Ograniczenia i ograniczenia dotyczące identyfikatora URI przekierowania (adres URL odpowiedzi).

Dodaj poświadczenia

Po zarejestrowaniu aplikacji można dodać certyfikaty, tajne dane klienta (łańcuch znaków) lub poświadczenia tożsamości federacyjnej jako poświadczenia dla rejestracji poufnej aplikacji klienckiej. Poświadczenia umożliwiają aplikacji uwierzytelnianie się jako siebie, bez konieczności interakcji z użytkownikiem w czasie wykonywania i są używane przez poufne aplikacje klienckie , które uzyskują dostęp do internetowego interfejsu API.

Zrzut ekranu pokazujący centrum administracyjne Microsoft Entra z okienkiem Certyfikaty i tajne informacje w rejestracji aplikacji.

Czasami nazywany kluczem publicznym certyfikat jest zalecanym typem poświadczeń, ponieważ są uważane za bezpieczniejsze niż wpisy tajne klienta.

  1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz Certyfikaty i tajne>Certyfikaty>Prześlij certyfikat.
  3. Wybierz plik, który chcesz przekazać. Musi to być jeden z następujących typów plików: .cer, pem, crt.
  4. Wybierz Dodaj.

W środowisku produkcyjnym należy użyć certyfikatu podpisanego przez dobrze znany urząd certyfikacji (CA), taki jak Azure Key Vault. Aby uzyskać więcej informacji na temat używania certyfikatu jako metody uwierzytelniania w aplikacji, zobacz Poświadczenia certyfikatów uwierzytelniania aplikacji w platformie tożsamości Microsoft.

Następny krok

Po zarejestrowaniu aplikacji można ją skonfigurować tak, aby uwidoczniła internetowy interfejs API. Aby dowiedzieć się, jak to zrobić, zapoznaj się z tematem;