Udostępnij za pośrednictwem


Szybki start: Rejestrowanie aplikacji za pomocą platformy tożsamości firmy Microsoft

Rozpocznij pracę z Platforma tożsamości Microsoft, rejestrując aplikację w centrum administracyjnym firmy Microsoft Entra.

Platforma tożsamości Microsoft wykonuje zarządzanie tożsamościami i dostępem tylko w przypadku zarejestrowanych aplikacji. Niezależnie od tego, czy jest to aplikacja kliencka, taka jak aplikacja internetowa, czy mobilna, czy internetowy interfejs API, który wspiera aplikację kliencką, rejestruje ją, ustanawia relację zaufania między aplikacją a dostawcą tożsamości, Platforma tożsamości Microsoft.

Napiwek

Aby zarejestrować aplikację dla usługi Azure AD B2C, wykonaj kroki opisane w artykule Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure AD B2C.

Wymagania wstępne

Rejestrowanie aplikacji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Zarejestrowanie aplikacji ustanawia relację zaufania między aplikacją a Platforma tożsamości Microsoft. Zaufanie jest jednokierunkowe: aplikacja ufa Platforma tożsamości Microsoft, a nie odwrotnie. Po utworzeniu obiektu aplikacji nie można przenosić między różnymi dzierżawami.

Wykonaj następujące kroki, aby utworzyć rejestrację aplikacji:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację z menu Katalogi i subskrypcje.

  3. Przejdź do pozycji Identity>Applications> Rejestracje aplikacji i wybierz pozycję Nowa rejestracja.

  4. Wprowadź nazwę wyświetlaną aplikacji. Użytkownicy aplikacji mogą zobaczyć nazwę wyświetlaną podczas korzystania z aplikacji, na przykład podczas logowania. Nazwę wyświetlaną można zmienić w dowolnym momencie, a wiele rejestracji aplikacji może mieć taką samą nazwę. Automatycznie wygenerowany identyfikator aplikacji (klienta) rejestracji aplikacji, a nie jej nazwa wyświetlana, jednoznacznie identyfikuje aplikację na platformie tożsamości.

  5. Określ, kto może używać aplikacji, czasami nazywanych jej odbiorcami logowania.

    Obsługiwane typy kont Opis
    Konta tylko w tym katalogu organizacyjnym Wybierz tę opcję, jeśli tworzysz aplikację do użytku tylko przez użytkowników (lub gości) w dzierżawie .

    Często nazywana aplikacją biznesową (LOB), ta aplikacja jest aplikacją z jedną dzierżawą w Platforma tożsamości Microsoft.
    Konta w dowolnym katalogu organizacyjnym Wybierz tę opcję, jeśli chcesz, aby użytkownicy w dowolnej dzierżawie firmy Microsoft Entra mogli korzystać z aplikacji. Ta opcja jest odpowiednia, jeśli na przykład tworzysz aplikację typu oprogramowanie jako usługa (SaaS), którą zamierzasz udostępnić wielu organizacjom.

    Ten typ aplikacji jest znany jako aplikacja wielodostępna w Platforma tożsamości Microsoft.
    Konta w dowolnym katalogu organizacyjnym i konta osobiste Microsoft Wybierz tę opcję, aby kierować aplikację do najszerszego grona odbiorców.

    Wybierając tę opcję, rejestrujesz wielodostępną aplikację, która może również obsługiwać użytkowników, którzy mają osobiste konta Microsoft. Osobiste konta Microsoft obejmują konta Skype, Xbox, Live i Hotmail.
    Osobiste konta Microsoft Wybierz tę opcję, jeśli tworzysz aplikację tylko dla użytkowników, którzy mają osobiste konta Microsoft. Osobiste konta Microsoft obejmują konta Skype, Xbox, Live i Hotmail.
  6. Pozostaw sam identyfikator URI przekierowania (opcjonalnie) podczas konfigurowania identyfikatora URI przekierowania w następnej sekcji.

  7. Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.

    Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra w przeglądarce internetowej z okienkiem Rejestrowanie aplikacji.

Po zakończeniu rejestracji w centrum administracyjnym firmy Microsoft Entra zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta). Ta wartość jest również nazywana identyfikatorem klienta, która unikatowo identyfikuje aplikację w Platforma tożsamości Microsoft.

Ważne

Nowe rejestracje aplikacji są domyślnie ukryte dla użytkowników. Gdy wszystko będzie gotowe dla użytkowników, aby wyświetlić aplikację na stronie Moje aplikacje, możesz ją włączyć. Aby włączyć aplikację, w centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Aplikacje dla przedsiębiorstw tożsamości> Następnie na stronie Właściwości przełącz opcję Widoczne dla użytkowników? na wartość Tak.

Kod aplikacji lub zwykle biblioteka uwierzytelniania używana w aplikacji używa również identyfikatora klienta. Identyfikator jest używany w ramach weryfikowania tokenów zabezpieczających odbieranych z platformy tożsamości.

Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra w przeglądarce internetowej z okienkiem Przegląd rejestracji aplikacji.

Dodawanie identyfikatora URI przekierowania

Identyfikator URI przekierowania to lokalizacja, w której Platforma tożsamości Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.

Na przykład w produkcyjnej aplikacji internetowej identyfikator URI przekierowania jest często publicznym punktem końcowym, w którym działa aplikacja, na przykład https://contoso.com/auth-response. Podczas programowania często dodaje się również punkt końcowy, w którym uruchamiasz aplikację lokalnie, na przykład https://127.0.0.1/auth-response lub http://localhost/auth-response. Upewnij się, że wszystkie niepotrzebne środowiska programistyczne/identyfikatory URI przekierowania nie są widoczne w aplikacji produkcyjnej. Można to zrobić, stosując oddzielne rejestracje aplikacji na potrzeby programowania i produkcji.

Dodasz i zmodyfikujesz identyfikatory URI przekierowania dla zarejestrowanych aplikacji, konfigurując ich ustawienia platformy.

Konfigurowanie ustawień platformy

Ustawienia dla każdego typu aplikacji, w tym identyfikatory URI przekierowania, są konfigurowane w konfiguracjach platformy w witrynie Azure Portal. Niektóre platformy, takie jak aplikacje internetowe i jednostronicowe, wymagają ręcznego określenia identyfikatora URI przekierowania. W przypadku innych platform, takich jak urządzenia przenośne i stacjonarne, możesz wybrać elementy z identyfikatorów URI przekierowania wygenerowanych podczas konfigurowania innych ustawień.

Aby skonfigurować ustawienia aplikacji na podstawie docelowej platformy lub urządzenia, wykonaj następujące kroki:

  1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.

  2. W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

  3. W obszarze Konfiguracje platformy wybierz pozycję Dodaj platformę.

  4. W obszarze Konfigurowanie platform wybierz kafelek dla typu aplikacji (platformy), aby skonfigurować jego ustawienia.

    Zrzut ekranu przedstawiający okienko konfiguracji platformy w witrynie Azure Portal.

    Platforma Ustawienia konfiguracji
    Sieć Web Wprowadź identyfikator URI przekierowania dla aplikacji. Ten identyfikator URI to lokalizacja, w której Platforma tożsamości Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.

    Adres URL wylogowywania kanału frontonu oraz właściwości przepływu niejawnego i hybrydowego można również skonfigurować.

    Wybierz tę platformę dla standardowych aplikacji internetowych uruchamianych na serwerze.
    Aplikacja jednostronicowa Wprowadź identyfikator URI przekierowania dla aplikacji. Ten identyfikator URI to lokalizacja, w której Platforma tożsamości Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.

    Adres URL wylogowywania kanału frontonu oraz właściwości przepływu niejawnego i hybrydowego można również skonfigurować.

    Wybierz tę platformę, jeśli tworzysz aplikację internetową po stronie klienta przy użyciu języka JavaScript lub platformy, takiej jak Angular, Vue.js, React.js lub Blazor WebAssembly.
    iOS/macOS Wprowadź identyfikator pakietu aplikacji. Znajdź go w obszarze Ustawienia kompilacji lub w pliku Xcode w pliku Info.plist.

    Identyfikator URI przekierowania jest generowany podczas określania identyfikatora pakietu.
    Android Wprowadź nazwę pakietu aplikacji. Znajdź go w pliku AndroidManifest.xml . Ponadto wygeneruj i wprowadź skrót Podpisu.

    Identyfikator URI przekierowania jest generowany podczas określania tych ustawień.
    Aplikacje mobilne i klasyczne Wybierz jeden z sugerowanych identyfikatorów URI przekierowania. Możesz też określić co najmniej jeden niestandardowy identyfikator URI przekierowania.

    W przypadku aplikacji klasycznych korzystających z przeglądarki osadzonej zalecamy
    https://login.microsoftonline.com/common/oauth2/nativeclient

    W przypadku aplikacji klasycznych korzystających z przeglądarki systemowej zalecamy
    http://localhost

    Wybierz tę platformę dla aplikacji mobilnych, które nie korzystają z najnowszej biblioteki Microsoft Authentication Library (MSAL) lub nie korzystają z brokera. Wybierz również tę platformę dla aplikacji klasycznych.
  5. Wybierz pozycję Konfiguruj , aby ukończyć konfigurację platformy.

Ograniczenia identyfikatora URI przekierowania

Istnieją pewne ograniczenia dotyczące formatu identyfikatorów URI przekierowania dodanych do rejestracji aplikacji. Aby uzyskać szczegółowe informacje na temat tych ograniczeń, zobacz Ograniczenia i ograniczenia dotyczące identyfikatora URI przekierowania (adres URL odpowiedzi).

Dodaj poświadczenia

Poświadczenia są używane przez poufne aplikacje klienckie, które uzyskują dostęp do internetowego interfejsu API. Przykłady poufnych klientów to aplikacje internetowe, inne internetowe interfejsy API lub aplikacje typu usługi i demona. Poświadczenia umożliwiają aplikacji uwierzytelnianie się jako sama, bez konieczności interakcji z użytkownikiem w czasie wykonywania.

Certyfikaty, wpisy tajne klienta (ciąg) lub poświadczenia tożsamości federacyjnej można dodawać jako poświadczenia do poufnej rejestracji aplikacji klienckiej. W miarę możliwości zaleca się używanie certyfikatów z zaufanego urzędu certyfikacji.

Zrzut ekranu przedstawiający centrum administracyjne firmy Microsoft Entra z okienkiem Certyfikaty i wpisy tajne w rejestracji aplikacji.

Czasami nazywany kluczem publicznym certyfikat jest zalecanym typem poświadczeń, ponieważ są uważane za bezpieczniejsze niż wpisy tajne klienta. Aby uzyskać więcej informacji na temat używania certyfikatu jako metody uwierzytelniania w aplikacji, zobacz Platforma tożsamości Microsoft poświadczenia certyfikatu uwierzytelniania aplikacji.

  1. W centrum administracyjnym firmy Microsoft Entra w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję >>Przekaż certyfikat.
  3. Wybierz plik, który chcesz przekazać. Musi to być jeden z następujących typów plików: .cer, pem, crt.
  4. Wybierz Dodaj.

Następny krok