Szybki start: rejestrowanie aplikacji w identyfikatorze Entra firmy Microsoft

Z tego przewodnika Szybki start dowiesz się, jak zarejestrować aplikację w usłudze Microsoft Entra ID. Ten proces jest niezbędny do ustanowienia relacji zaufania między aplikacją a platformą tożsamości firmy Microsoft. Wykonując czynności z tego przewodnika Szybki start, włączysz zarządzanie tożsamościami i dostępem (IAM) dla aplikacji, co pozwala na bezpieczną interakcję z usługami i interfejsami API firmy Microsoft.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Konto platformy Azure musi mieć co najmniej uprawnienia dewelopera aplikacji.
• Siła robocza lub zewnętrzni dzierżawcy. Na potrzeby tego wprowadzenia możesz użyć katalogu domyślnego. Jeśli potrzebujesz dzierżawy zewnętrznej, zakończ konfigurację dzierżawy zewnętrznej, wypełniając .

Rejestrowanie aplikacji

Zarejestrowanie aplikacji w usłudze Microsoft Entra ustanawia relację zaufania między aplikacją a platformą tożsamości firmy Microsoft. Zaufanie jest jednokierunkowe. Twoja aplikacja ufa platformie tożsamości firmy Microsoft, a nie odwrotnie. Po utworzeniu obiektu aplikacji nie można go przenosić między różnymi dzierżawcami.

Wykonaj następujące kroki, aby utworzyć rejestrację aplikacji:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację.

3. Przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz pozycję Nowa rejestracja.

4. Wprowadź znaczącą nazwę dla, na przykład identity-client-app. Użytkownicy aplikacji mogą zobaczyć tę nazwę i można ją zmienić w dowolnym momencie. Możesz mieć wiele rejestracji aplikacji o tej samej nazwie.

5. W obszarze Obsługiwane typy kontokreśl, kto może korzystać z aplikacji. Zalecamy wybranie Konta w tym katalogu organizacyjnym tylko dla większości aplikacji. Aby uzyskać więcej informacji na temat każdej opcji, zapoznaj się z poniższą tabelą.

   Obsługiwane typy kont	Opis
   Tylko konta w tym katalogu organizacyjnym	W przypadku aplikacji jedno-najemcy przeznaczonych do użytku tylko przez użytkowników (lub gości) w twojej instancji.
   Konta w dowolnym katalogu organizacyjnym	W przypadku wielodostępnych aplikacji i chcesz, aby użytkownicy w dowolnej dzierżawie firmy Microsoft Entra mogli korzystać z aplikacji. Idealne rozwiązanie dla aplikacji SaaS (software-as-a-service), które mają być zapewniane wielu organizacjom.
   Konta w dowolnym katalogu organizacyjnym i konta osobiste Microsoft	Dla aplikacji wielodostępnych obsługujących konta organizacyjne oraz osobiste Microsoft (na przykład Skype, Xbox, Live, Hotmail).
   Osobiste konta Microsoft	W przypadku aplikacji używanych tylko przez osobiste konta Microsoft (na przykład Skype, Xbox, Live, Hotmail).

6. Wybierz pozycję Zarejestruj, aby ukończyć rejestrację aplikacji.

   

7. Wyświetla się strona Przegląd aplikacji. Zarejestruj identyfikator aplikacji (klienta), który jednoznacznie identyfikuje aplikację i jest używany w kodzie aplikacji w ramach weryfikowania tokenów zabezpieczających odbieranych z platformy tożsamości firmy Microsoft.

   

Ważne

Nowe rejestracje aplikacji są domyślnie ukryte dla użytkowników. Gdy będziesz gotowy, aby użytkownicy mogli zobaczyć aplikację na stronie Moje Aplikacje, możesz ją włączyć. Aby włączyć aplikację, w centrum administracyjnym Microsoft Entra przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw i wybierz aplikację. Następnie na stronie właściwości ustaw Widoczne dla użytkowników?Tak.

Udziel zgody administratora (tylko dla zewnętrznych dzierżawców)

Po zarejestrowaniu aplikacji zostanie przypisane uprawnienie User.Read . Jednak w przypadku dzierżaw zewnętrznych użytkownicy sami nie mogą wyrazić zgody na to uprawnienie. Jako administrator musisz wyrazić zgodę na to uprawnienie w imieniu wszystkich użytkowników w tenancie.

1. Na stronie Przegląd rejestracji aplikacji w obszarze Zarządzaj wybierz pozycję Uprawnienia interfejsu API .
2. Wybierz , aby udzielić zgody administratora dla dzierżawcy <>, a następnie wybierz Tak.
3. Wybierz pozycję Odśwież, a następnie sprawdź, czy udzielono dla < nazwy dzierżawy > pojawi się w obszarze Stan dla uprawnienia.

Dodaj identyfikator URI przekierowania

Identyfikator URI przekierowania jest miejscem, w którym platforma tożsamości firmy Microsoft wysyła tokeny zabezpieczające po uwierzytelnieniu. Identyfikatory URI przekierowania można skonfigurować w konfiguracjach platformy w centrum administracyjnym Microsoft Entra. W przypadku aplikacji Web i jednostronicowychnależy ręcznie określić identyfikator URI przekierowania. W przypadku platform mobilnych i stacjonarnych wybierasz spośród wygenerowanych identyfikatorów URI przekierowania. Wykonaj następujące kroki, aby skonfigurować ustawienia na podstawie platformy docelowej lub urządzenia:

1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.

2. W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

3. W obszarze Konfiguracje platformy wybierz pozycję Dodaj platformę.

4. W obszarze Konfigurowanie platform wybierz kafelek dla typu aplikacji (platformy), aby skonfigurować jego ustawienia.

   

   Platforma	Ustawienia konfiguracji	Przykład
   Sieć Web	Wprowadź identyfikator URI przekierowania dla aplikacji internetowej, która działa na serwerze. Adresy URL wylogowania kanału przedniego można również dodać	Node.js: • http://localhost:3000/auth/redirect ASP.NET Core: • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc (adres URL wylogowywania kanału frontowego) Pyton: • http://localhost:3000/getAToken
   Aplikacja jednostronicowa	Wprowadź identyfikator URI przekierowania dla aplikacji po stronie klienta korzystających z JavaScript, Angular, React.jslub Blazor WebAssembly. Adresy URL wylogowania kanału frontowego można także dodać	JavaScript, React: • http://localhost:3000 Kanciasty: • http://localhost:4200/
   iOS/macOS	Wprowadź identyfikator pakietu aplikacji , który generuje URI przekierowania. Znajdź go w Ustawieniach kompilacji lub w Info.plist w Xcode.	Najemca zasobów ludzkich • com.<yourname>.identitysample.MSALMacOS Zewnętrzny najemca • com.microsoft.identitysample.ciam.MSALiOS
   Android	Wprowadź nazwę pakietu aplikacji , który generuje identyfikator URI przekierowania dla ciebie. Znajdź go w pliku AndroidManifest.xml . Ponadto wygeneruj skrót Podpisu i wprowadź go.	Kotlin: • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI: • msal{CLIENT_ID}://auth Jawa: • com.azuresamples.msalandroidapp
   Aplikacje mobilne i klasyczne	Wybierz tę platformę dla aplikacji na komputer lub aplikacji mobilnych, które nie korzystają z MSAL ani z brokera. Wybierz sugerowany identyfikator URI przekierowania lub podaj jeden lub więcej identyfikatorów URI przekierowania niestandardowego	Osadzona przeglądarkowa aplikacja komputerowa • https://login.microsoftonline.com/common/oauth2/nativeclient Aplikacja desktopowa przeglądarki systemowej: • http://localhost

5. Wybierz pozycję Konfiguruj , aby ukończyć konfigurację platformy.

Ograniczenia adresu URI przekierowania

Istnieją pewne ograniczenia dotyczące formatu identyfikatorów URI przekierowania dodanych do rejestracji aplikacji. Aby uzyskać szczegółowe informacje na temat tych ograniczeń, zobacz Ograniczenia i ograniczenia dotyczące identyfikatora URI przekierowania (adres URL odpowiedzi).

Dodaj poświadczenia

Po zarejestrowaniu aplikacji można dodać certyfikaty, tajne dane klienta (łańcuch znaków) lub poświadczenia tożsamości federacyjnej jako poświadczenia dla rejestracji poufnej aplikacji klienckiej. Poświadczenia umożliwiają aplikacji uwierzytelnianie się jako siebie, bez konieczności interakcji z użytkownikiem w czasie wykonywania i są używane przez poufne aplikacje klienckie , które uzyskują dostęp do internetowego interfejsu API.

Dodawanie certyfikatu

Czasami nazywany kluczem publicznym certyfikat jest zalecanym typem poświadczeń, ponieważ są uważane za bezpieczniejsze niż wpisy tajne klienta.

1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.
2. Wybierz Certyfikaty i tajne>Certyfikaty>Prześlij certyfikat.
3. Wybierz plik, który chcesz przekazać. Musi to być jeden z następujących typów plików: .cer, pem, crt.
4. Wybierz Dodaj.

W środowisku produkcyjnym należy użyć certyfikatu podpisanego przez dobrze znany urząd certyfikacji (CA), taki jak Azure Key Vault. Aby uzyskać więcej informacji na temat używania certyfikatu jako metody uwierzytelniania w aplikacji, zobacz Poświadczenia certyfikatów uwierzytelniania aplikacji w platformie tożsamości Microsoft.

Dodaj klucz tajny klienta

Czasami nazywany hasłem aplikacji, tajny klucz klienta jest wartością ciągu, którą twoja aplikacja może użyć zamiast certyfikatu, aby się zidentyfikować.

Wpisy tajne klienta są mniej bezpieczne niż certyfikat lub poświadczenia federacyjne, dlatego należy nie być używane w środowiskach produkcyjnych. Chociaż mogą one być wygodne w przypadku tworzenia aplikacji lokalnych, konieczne jest użycie certyfikatu lub poświadczeń federacyjnych dla wszystkich aplikacji działających w środowisku produkcyjnym w celu zapewnienia wyższego poziomu zabezpieczeń.

1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.
2. Wybierz Certyfikaty i tajne klucze>Tajne klucze klienta>Nowy tajny klucz klienta.
3. Dodaj opis tajemnicy klienta.
4. Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności.
   • Okres istnienia klucza tajemnicy klienta jest ograniczony do dwóch lat (24 miesięcy) maksymalnie. Nie można określić niestandardowego okresu istnienia dłuższego niż 24 miesiące.
   • Firma Microsoft zaleca ustawienie wartości wygaśnięcia mniejszej niż 12 miesięcy.
5. Wybierz Dodaj.
6. Zapisz wartość tajną aby użyć w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy nie jest wyświetlana ponownie po opuszczeniu tej strony.

Aby dowiedzieć się więcej na temat luk w zabezpieczeniach tajnych danych klienta, zobacz Migrowanie aplikacji od uwierzytelniania opartego na tajnych danych klienta.

Jeśli używasz połączenia usługi Azure DevOps, które automatycznie tworzy jednostkę usługi, musisz zmienić tajny klucz klienta z portalu Azure DevOps zamiast bezpośrednio aktualizować tajny klucz klienta. Zapoznaj się z tym dokumentem, aby dowiedzieć się, jak zaktualizować klucz tajny klienta z witryny portalu Usługi Azure DevOps: Rozwiązywanie problemów z połączeniami usługi Azure Resource Manager.

Dodaj poświadczenie federacyjne

Poświadczenia tożsamości federacyjnej to typ poświadczeń, który umożliwia wykonywanie obciążeń takich jak GitHub Actions, obciążeń działających na platformie Kubernetes lub obciążeń działających na platformach obliczeniowych poza Azure do uzyskiwania dostępu do zasobów chronionych przez Microsoft Entra bez konieczności zarządzania sekretami przy użyciu federacji tożsamości obciążeń.

Aby dodać poświadczenie federacyjne, wykonaj następujące kroki:

1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.

2. Wybierz pozycję Certyfikaty i wpisy tajne>Federacyjne poświadczenia>Dodaj poświadczenie.

3. Z listy rozwijanej Scenariusz poświadczeń federacyjnych wybierz jeden z obsługiwanych scenariuszy i postępuj zgodnie z odpowiednimi wskazówkami, aby ukończyć konfigurację.

   • Klucze zarządzane przez klienta do szyfrowania danych w Twojej dzierżawie przy użyciu usługi Azure Key Vault w innej dzierżawie.
   • Operacje GitHub wdrażanie zasobów platformy Azure w celu skonfigurowania przepływu pracy na GitHubie do uzyskania tokenów dla aplikacji i wdrażania zasobów na platformie Azure.
   • Platforma Kubernetes uzyskuje dostęp do zasobów platformy Azure w celu skonfigurowania konta usługi Kubernetes w celu uzyskania tokenów dla aplikacji i uzyskiwania dostępu do zasobów platformy Azure.
   • Inny wystawca konfiguruje aplikację, aby zaufać tożsamości zarządzanej lub tożsamości zarządzanej przez zewnętrznego dostawcę OpenID Connect, aby uzyskać tokeny dla twojej aplikacji i dostęp do zasobów Azure.

Aby uzyskać więcej informacji na temat uzyskiwania tokenu dostępu przy użyciu poświadczeń federacyjnych, zobacz platformę tożsamości firmy Microsoft i przepływ poświadczeń klienta OAuth 2.0.

Następny krok

Udostępnić internetowy interfejs API

Po zarejestrowaniu aplikacji można ją skonfigurować tak, aby uwidoczniła internetowy interfejs API. Aby dowiedzieć się, jak to zrobić, zapoznaj się z tematem;

Konfigurowanie aplikacji w celu uwidocznienia internetowego interfejsu API

Eksploruj przykładowy kod

Platforma tożsamości firmy Microsoft oferuje różne przykłady kodu dostosowane do różnych typów aplikacji i platform. Aby zapoznać się z tymi przykładami, zapoznaj się z nimi;

przykłady kodu platformy tożsamości Microsoft

Dodaj aplikację do przepływu użytkownika

W przypadku aplikacji w najemcach zewnętrznych można dodać aplikację do przepływu użytkownika, aby klienci mieli usprawnione środowisko. Aby dowiedzieć się, jak to zrobić, zapoznaj się z tematem;

Dodawanie aplikacji do przepływu użytkownika