Szybki start: rejestrowanie aplikacji w identyfikatorze Entra firmy Microsoft
Z tego przewodnika Szybki start dowiesz się, jak zarejestrować aplikację w usłudze Microsoft Entra ID. Ten proces jest niezbędny do ustanowienia relacji zaufania między aplikacją a platformą tożsamości firmy Microsoft. Wykonując czynności z tego przewodnika Szybki start, włączysz zarządzanie tożsamościami i dostępem (IAM) dla aplikacji, co pozwala na bezpieczną interakcję z usługami i interfejsami API firmy Microsoft.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Konto platformy Azure musi mieć co najmniej uprawnienia dewelopera aplikacji.
- Siła robocza lub zewnętrzni dzierżawcy. Na potrzeby tego wprowadzenia możesz użyć katalogu domyślnego. Jeśli potrzebujesz dzierżawy zewnętrznej, zakończ konfigurację dzierżawy zewnętrznej, wypełniając .
Rejestrowanie aplikacji
Zarejestrowanie aplikacji w usłudze Microsoft Entra ustanawia relację zaufania między aplikacją a platformą tożsamości firmy Microsoft. Zaufanie jest jednokierunkowe. Twoja aplikacja ufa platformie tożsamości firmy Microsoft, a nie odwrotnie. Po utworzeniu obiektu aplikacji nie można go przenosić między różnymi dzierżawcami.
Wykonaj następujące kroki, aby utworzyć rejestrację aplikacji:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia
w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację.
Przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz pozycję Nowa rejestracja.
Wprowadź znaczącą nazwę dla, na przykład identity-client-app. Użytkownicy aplikacji mogą zobaczyć tę nazwę i można ją zmienić w dowolnym momencie. Możesz mieć wiele rejestracji aplikacji o tej samej nazwie.
W obszarze Obsługiwane typy kontokreśl, kto może korzystać z aplikacji. Zalecamy wybranie Konta w tym katalogu organizacyjnym tylko dla większości aplikacji. Aby uzyskać więcej informacji na temat każdej opcji, zapoznaj się z poniższą tabelą.
Obsługiwane typy kont Opis Tylko konta w tym katalogu organizacyjnym W przypadku aplikacji jedno-najemcy przeznaczonych do użytku tylko przez użytkowników (lub gości) w twojej instancji. Konta w dowolnym katalogu organizacyjnym W przypadku wielodostępnych aplikacji i chcesz, aby użytkownicy w dowolnej dzierżawie firmy Microsoft Entra mogli korzystać z aplikacji. Idealne rozwiązanie dla aplikacji SaaS (software-as-a-service), które mają być zapewniane wielu organizacjom. Konta w dowolnym katalogu organizacyjnym i konta osobiste Microsoft Dla aplikacji wielodostępnych obsługujących konta organizacyjne oraz osobiste Microsoft (na przykład Skype, Xbox, Live, Hotmail). Osobiste konta Microsoft W przypadku aplikacji używanych tylko przez osobiste konta Microsoft (na przykład Skype, Xbox, Live, Hotmail). Wybierz pozycję Zarejestruj, aby ukończyć rejestrację aplikacji.
Wyświetla się strona Przegląd aplikacji. Zarejestruj identyfikator aplikacji (klienta), który jednoznacznie identyfikuje aplikację i jest używany w kodzie aplikacji w ramach weryfikowania tokenów zabezpieczających odbieranych z platformy tożsamości firmy Microsoft.
Ważne
Nowe rejestracje aplikacji są domyślnie ukryte dla użytkowników. Gdy będziesz gotowy, aby użytkownicy mogli zobaczyć aplikację na stronie Moje Aplikacje, możesz ją włączyć. Aby włączyć aplikację, w centrum administracyjnym Microsoft Entra przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw i wybierz aplikację. Następnie na stronie właściwości ustaw Widoczne dla użytkowników?Tak.
Udziel zgody administratora (tylko dla zewnętrznych dzierżawców)
Po zarejestrowaniu aplikacji zostanie przypisane uprawnienie User.Read . Jednak w przypadku dzierżaw zewnętrznych użytkownicy sami nie mogą wyrazić zgody na to uprawnienie. Jako administrator musisz wyrazić zgodę na to uprawnienie w imieniu wszystkich użytkowników w tenancie.
- Na stronie Przegląd rejestracji aplikacji w obszarze Zarządzaj wybierz pozycję Uprawnienia interfejsu API .
- Wybierz , aby udzielić zgody administratora dla dzierżawcy <>, a następnie wybierz Tak.
- Wybierz pozycję Odśwież, a następnie sprawdź, czy udzielono dla < nazwy dzierżawy > pojawi się w obszarze Stan dla uprawnienia.
Dodaj identyfikator URI przekierowania
Identyfikator URI przekierowania jest miejscem, w którym platforma tożsamości firmy Microsoft wysyła tokeny zabezpieczające po uwierzytelnieniu. Identyfikatory URI przekierowania można skonfigurować w konfiguracjach platformy w centrum administracyjnym Microsoft Entra. W przypadku aplikacji Web i jednostronicowychnależy ręcznie określić identyfikator URI przekierowania. W przypadku platform mobilnych i stacjonarnych wybierasz spośród wygenerowanych identyfikatorów URI przekierowania. Wykonaj następujące kroki, aby skonfigurować ustawienia na podstawie platformy docelowej lub urządzenia:
W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.
W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.
W obszarze Konfiguracje platformy wybierz pozycję Dodaj platformę.
W obszarze Konfigurowanie platform wybierz kafelek dla typu aplikacji (platformy), aby skonfigurować jego ustawienia.
Platforma Ustawienia konfiguracji Przykład Sieć Web Wprowadź identyfikator URI przekierowania dla aplikacji internetowej, która działa na serwerze. Adresy URL wylogowania kanału przedniego można również dodać Node.js:
•http://localhost:3000/auth/redirect
ASP.NET Core:
•https://localhost:7274/signin-oidc
•https://localhost:7274/signout-callback-oidc
(adres URL wylogowywania kanału frontowego)
Pyton:
•http://localhost:3000/getAToken
Aplikacja jednostronicowa Wprowadź identyfikator URI przekierowania dla aplikacji po stronie klienta korzystających z JavaScript, Angular, React.jslub Blazor WebAssembly. Adresy URL wylogowania kanału frontowego można także dodać JavaScript, React:
•http://localhost:3000
Kanciasty:
•http://localhost:4200/
iOS/macOS Wprowadź identyfikator pakietu aplikacji , który generuje URI przekierowania. Znajdź go w Ustawieniach kompilacji lub w Info.plist w Xcode.
Najemca zasobów ludzkich
•com.<yourname>.identitysample.MSALMacOS
Zewnętrzny najemca
•com.microsoft.identitysample.ciam.MSALiOS
Android Wprowadź nazwę pakietu aplikacji , który generuje identyfikator URI przekierowania dla ciebie. Znajdź go w pliku AndroidManifest.xml . Ponadto wygeneruj skrót Podpisu i wprowadź go. Kotlin:
•com.azuresamples.msaldelegatedandroidkotlinsampleapp
.NET MAUI:
•msal{CLIENT_ID}://auth
Jawa:
•com.azuresamples.msalandroidapp
Aplikacje mobilne i klasyczne Wybierz tę platformę dla aplikacji na komputer lub aplikacji mobilnych, które nie korzystają z MSAL ani z brokera. Wybierz sugerowany identyfikator URI przekierowania lub podaj jeden lub więcej identyfikatorów URI przekierowania niestandardowego Osadzona przeglądarkowa aplikacja komputerowa
•https://login.microsoftonline.com/common/oauth2/nativeclient
Aplikacja desktopowa przeglądarki systemowej:
•http://localhost
Wybierz pozycję Konfiguruj , aby ukończyć konfigurację platformy.
Ograniczenia adresu URI przekierowania
Istnieją pewne ograniczenia dotyczące formatu identyfikatorów URI przekierowania dodanych do rejestracji aplikacji. Aby uzyskać szczegółowe informacje na temat tych ograniczeń, zobacz Ograniczenia i ograniczenia dotyczące identyfikatora URI przekierowania (adres URL odpowiedzi).
Dodaj poświadczenia
Po zarejestrowaniu aplikacji można dodać certyfikaty, tajne dane klienta (łańcuch znaków) lub poświadczenia tożsamości federacyjnej jako poświadczenia dla rejestracji poufnej aplikacji klienckiej. Poświadczenia umożliwiają aplikacji uwierzytelnianie się jako siebie, bez konieczności interakcji z użytkownikiem w czasie wykonywania i są używane przez poufne aplikacje klienckie , które uzyskują dostęp do internetowego interfejsu API.
Czasami nazywany kluczem publicznym certyfikat jest zalecanym typem poświadczeń, ponieważ są uważane za bezpieczniejsze niż wpisy tajne klienta.
- W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.
- Wybierz Certyfikaty i tajne>Certyfikaty>Prześlij certyfikat.
- Wybierz plik, który chcesz przekazać. Musi to być jeden z następujących typów plików: .cer, pem, crt.
- Wybierz Dodaj.
W środowisku produkcyjnym należy użyć certyfikatu podpisanego przez dobrze znany urząd certyfikacji (CA), taki jak Azure Key Vault. Aby uzyskać więcej informacji na temat używania certyfikatu jako metody uwierzytelniania w aplikacji, zobacz Poświadczenia certyfikatów uwierzytelniania aplikacji w platformie tożsamości Microsoft.
Następny krok
- Udostępnić internetowy interfejs API
- Eksploruj przykładowy kod
- Dodaj aplikację do przepływu użytkownika
Po zarejestrowaniu aplikacji można ją skonfigurować tak, aby uwidoczniła internetowy interfejs API. Aby dowiedzieć się, jak to zrobić, zapoznaj się z tematem;