Udostępnij za pośrednictwem

Tworzenie lub modyfikowanie niestandardowego identyfikatora aplikacji odbiorców dla uwierzytelniania P2S VPN firmy Microsoft Entra ID

  • Artykuł

Kroki opisane w tym artykule ułatwiają utworzenie niestandardowego identyfikatora aplikacji firmy Microsoft (niestandardowego odbiorcy) dla nowego klienta sieci VPN platformy Azure zarejestrowanego przez firmę Microsoft dla połączeń typu punkt-lokacja (P2S). Możesz również zaktualizować istniejącą dzierżawę, aby zmienić nową aplikację klienta sieci VPN platformy Azure zarejestrowaną przez firmę Microsoft z poprzedniej aplikacji klienckiej sieci VPN platformy Azure.

Podczas konfigurowania niestandardowego identyfikatora aplikacji odbiorców można użyć dowolnej z obsługiwanych wartości skojarzonych z aplikacją klienta sieci VPN platformy Azure. Zalecamy skojarzenie wartości c632b3df-fb67-4d84-bdcf-b95ad541b5c8 publicznej grupy odbiorców platformy Azure identyfikatora aplikacji zarejestrowanej przez firmę Microsoft z twoją aplikacją niestandardową, jeśli jest to możliwe. Aby uzyskać pełną listę obsługiwanych wartości, zobacz P2S VPN — Microsoft Entra ID.

Ten artykuł zawiera ogólne kroki. Zrzuty ekranu służące do rejestrowania aplikacji mogą się nieco różnić w zależności od sposobu uzyskiwania dostępu do interfejsu użytkownika, ale ustawienia są takie same. Aby uzyskać więcej informacji, zobacz Szybki start: rejestrowanie aplikacji. Aby uzyskać więcej informacji na temat uwierzytelniania identyfikatora entra firmy Microsoft dla P2S, zobacz Microsoft Entra ID authentication for P2S (Uwierzytelnianie za pomocą identyfikatora entra firmy Microsoft dla połączenia punkt-lokacja).

Jeśli konfigurujesz niestandardowy identyfikator aplikacji odbiorców w celu skonfigurowania lub ograniczenia dostępu na podstawie użytkowników i grup, zobacz Scenariusz: Konfigurowanie dostępu typu punkt-lokacja na podstawie użytkowników i grup — uwierzytelnianie identyfikatora Entra firmy Microsoft. W artykule dotyczącym scenariusza opisano przepływ pracy i kroki przypisywania uprawnień.

Wymagania wstępne

  • W tym artykule założono, że masz już dzierżawę firmy Microsoft Entra i uprawnienia do tworzenia aplikacji dla przedsiębiorstw, zazwyczaj roli administratora aplikacji w chmurze lub nowszej. Aby uzyskać więcej informacji, zobacz Create a new tenant in Microsoft Entra ID and Assign user roles with Microsoft Entra ID (Tworzenie nowej dzierżawy w usłudze Microsoft Entra ID ) i Assign user roles with Microsoft Entra ID (Przypisywanie ról użytkowników przy użyciu identyfikatora Entra firmy Microsoft).

  • W tym artykule założono, że do skonfigurowania aplikacji niestandardowej używasz wartości c632b3df-fb67-4d84-bdcf-b95ad541b5c8 publicznej grupy odbiorców platformy Azure identyfikatora aplikacji zarejestrowanej przez firmę Microsoft. Ta wartość ma globalną zgodę, co oznacza, że nie musisz ręcznie rejestrować jej w celu wyrażenia zgody dla organizacji. Zalecamy użycie tej wartości.

    • Obecnie istnieje tylko jedna obsługiwana wartość odbiorców dla zarejestrowanej przez firmę Microsoft aplikacji. Zobacz tabelę wartości obsługiwanych odbiorców, aby uzyskać dodatkowe obsługiwane wartości.

    • Jeśli wartość odbiorców zarejestrowanych przez firmę Microsoft nie jest zgodna z konfiguracją, nadal możesz użyć starszych ręcznie zarejestrowanych wartości identyfikatorów.

  • Jeśli zamiast tego musisz użyć ręcznie zarejestrowanej wartości identyfikatora aplikacji, musisz wyrazić zgodę na zezwolenie aplikacji na logowanie się i odczytywanie profilów użytkowników przed kontynuowaniem tej konfiguracji. Musisz zalogować się przy użyciu konta przypisanego do roli Administrator aplikacji w chmurze.

    1. Aby udzielić zgody administratora dla organizacji, zmodyfikuj następujące polecenie, aby zawierało żądaną client_id wartość. W tym przykładzie wartość client_id jest wartością publiczną platformy Azure. Zobacz tabelę, aby uzyskać dodatkowe obsługiwane wartości.

      https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    2. Skopiuj i wklej adres URL odnoszący się do lokalizacji wdrożenia na pasku adresu przeglądarki.

    3. Wybierz konto z rolą Administrator aplikacji w chmurze, jeśli zostanie wyświetlony monit.

    4. Na żądanej stronie Uprawnienia wybierz pozycję Akceptuj.

Rejestrowanie aplikacji

Istnieje kilka różnych sposobów, aby przejść do strony Rejestracje aplikacji. Jednym ze sposobów jest centrum administracyjne firmy Microsoft Entra. Możesz również użyć witryny Azure Portal i identyfikatora entra firmy Microsoft. Zaloguj się przy użyciu konta z rolą Administrator aplikacji w chmurze lub nowszą.

  1. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację z menu Katalogi i subskrypcje.

  2. Przejdź do Rejestracje aplikacji i wybierz pozycję Nowa rejestracja.

    Zrzut ekranu przedstawiający stronę rejestracji aplikacji z wybraną nową rejestracją.

  3. Na stronie Rejestrowanie aplikacji wprowadź nazwę wyświetlaną aplikacji. Użytkownicy aplikacji mogą zobaczyć nazwę wyświetlaną podczas korzystania z aplikacji, na przykład podczas logowania. Nazwę wyświetlaną można zmienić w dowolnym momencie. Wiele rejestracji aplikacji może mieć taką samą nazwę. Automatycznie wygenerowany identyfikator aplikacji (klienta) rejestracji aplikacji jednoznacznie identyfikuje aplikację na platformie tożsamości.

    Zrzut ekranu przedstawiający stronę rejestrowania aplikacji.

  4. Określ, kto może używać aplikacji, czasami nazywanych jej odbiorcami logowania. Wybierz pozycję Konta tylko w tym katalogu organizacyjnym (tylko nameofyourdirectory — pojedyncza dzierżawa).

  5. Pozostaw sam identyfikator URI przekierowania (opcjonalnie) podczas konfigurowania identyfikatora URI przekierowania w następnej sekcji.

  6. Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.

Po zakończeniu rejestracji w centrum administracyjnym firmy Microsoft Entra zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta). Ta wartość jest również nazywana identyfikatorem klienta, która unikatowo identyfikuje aplikację w Platforma tożsamości Microsoft. Jest to niestandardowa wartość odbiorców używana podczas konfigurowania bramy punkt-lokacja. Mimo że ta wartość jest obecna, nadal musisz wykonać kolejne sekcje, aby skojarzyć aplikację zarejestrowaną przez program Micrsoft z identyfikatorem aplikacji.

Uwidacznianie interfejsu API i dodawanie zakresu

W tej sekcji utworzysz zakres, aby przypisać szczegółowe uprawnienia.

  1. W okienku po lewej stronie zarejestrowanej aplikacji wybierz pozycję Uwidaczniaj interfejs API.

    Zrzut ekranu przedstawiający stronę Uwidacznianie interfejsu API.

  2. Wybierz Dodaj zakres. W okienku Dodawanie zakresu wyświetl identyfikator URI identyfikatora aplikacji. To pole jest generowane automatycznie. Ta wartość domyślna to api://<application-client-id>. Identyfikator URI identyfikatora aplikacji działa jako prefiks dla zakresów, do których odwołujesz się w kodzie interfejsu API, i musi być globalnie unikatowy.

    Zrzut ekranu przedstawiający okienko Dodawanie zakresu z identyfikatorem URI identyfikatora aplikacji.

  3. Wybierz pozycję Zapisz i przejdź do następnego okienka Dodaj zakres .

  4. W tym okienku Dodaj zakres określ atrybuty zakresu. W tym przewodniku możesz użyć przykładowych wartości lub określić własne.

    Zrzut ekranu przedstawiający okienko Dodawanie zakresu z więcej ustawień.

    Pole Wartość
    Nazwa zakresu Przykład: p2s-vpn1
    Kto może wyrazić zgodę Tylko administratorzy
    Nazwa wyświetlana zgody administratora Przykład: p2s-vpn1-users
    Opis na potrzeby wyrażenia zgody przez administratora Przykład: dostęp do sieci VPN punkt-lokacja
    Stanowy Włączono

  5. Wybierz pozycję Dodaj zakres , aby dodać zakres.

Dodawanie aplikacji klienckiej sieci VPN platformy Azure

W tej sekcji skojarzysz identyfikator aplikacji klienckiej sieci VPN platformy Azure zarejestrowany przez firmę Microsoft.

  1. Na stronie Uwidacznij interfejs API wybierz pozycję + Dodaj aplikację kliencką.

    Zrzut ekranu przedstawiający wybraną pozycję Dodaj aplikację kliencką.

  2. W okienku Dodawanie aplikacji klienckiej w polu Identyfikator klienta użyj identyfikatora aplikacji publicznej platformy Azure dla zarejestrowanej przez firmę Microsoft aplikacji klienta sieci VPN platformy Azure, chyba że wiesz, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 że potrzebujesz innej wartości.

    Zrzut ekranu przedstawiający okienko dodawania aplikacji klienckiej.

  3. Upewnij się, że wybrano opcję Autoryzowane zakresy .

  4. Wybierz Dodaj aplikację.

Zbieranie wartości

Na stronie Przegląd aplikacji zanotuj następujące wartości, które są potrzebne podczas konfigurowania bramy sieci VPN typu punkt-lokacja na potrzeby uwierzytelniania identyfikatora Entra firmy Microsoft.

  • Identyfikator aplikacji (klienta): jest to niestandardowy identyfikator odbiorców używany dla pola Odbiorcy podczas konfigurowania bramy sieci VPN typu punkt-lokacja.
  • Identyfikator katalogu (dzierżawy): ta wartość jest częścią wartości wymaganej dla pola Dzierżawa i Wystawca dla bramy sieci VPN typu punkt-lokacja.

Konfigurowanie bramy sieci VPN punkt-lokacja

Po wykonaniu kroków opisanych w poprzednich sekcjach przejdź do sekcji Konfigurowanie bramy sieci VPN typu punkt-lokacja dla uwierzytelniania microsoft Entra ID — zarejestrowana przez firmę Microsoft aplikacja.

Aktualizowanie identyfikatora klienta aplikacji sieci VPN zarejestrowanej przez firmę Microsoft

Uwaga

Te kroki mogą być używane dla dowolnej z obsługiwanych wartości skojarzonych z aplikacją klienta sieci VPN platformy Azure. Zalecamy skojarzenie wartości c632b3df-fb67-4d84-bdcf-b95ad541b5c8 publicznej grupy odbiorców platformy Azure identyfikatora aplikacji zarejestrowanej przez firmę Microsoft z twoją aplikacją niestandardową, jeśli jest to możliwe.

Jeśli brama sieci VPN typu punkt-lokacja została już skonfigurowana do używania wartości niestandardowej dla pola Identyfikator odbiorców i chcesz zmienić na nowego zarejestrowanego przez firmę Microsoft klienta sieci VPN platformy Azure, możesz autoryzować nową aplikację, dodając aplikację kliencką do interfejsu API. Korzystając z tej metody, nie musisz zmieniać ustawień w bramie sieci VPN platformy Azure ani klientach sieci VPN platformy Azure, jeśli używają najnowszej wersji klienta.

W poniższych krokach dodasz kolejną autoryzowaną aplikację kliencją przy użyciu wartości odbiorców identyfikatora aplikacji klienckiej sieci VPN zarejestrowanej przez firmę Microsoft. Nie zmieniasz wartości istniejącej autoryzowanej aplikacji klienckiej. Zawsze możesz usunąć istniejącą autoryzowaną aplikację kliencą, jeśli nie używasz jej już.

  1. Istnieje kilka różnych sposobów, aby przejść do strony Rejestracje aplikacji. Jednym ze sposobów jest centrum administracyjne firmy Microsoft Entra. Możesz również użyć witryny Azure Portal i identyfikatora entra firmy Microsoft. Zaloguj się przy użyciu konta z rolą Administrator aplikacji w chmurze lub nowszą.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy, której chcesz użyć z menu Katalogi i subskrypcje.

  3. Przejdź do Rejestracje aplikacji i znajdź nazwę wyświetlaną zarejestrowanej aplikacji. Kliknij, aby otworzyć stronę.

  4. Kliknij pozycję Uwidaczniaj interfejs API. Na stronie Uwidacznij interfejs API zwróć uwagę, że poprzednia wartość Client Id odbiorców klienta sieci VPN platformy Azure jest obecna.

    Zrzut ekranu przedstawiający stronę Uwidacznianie interfejsu API z wyróżnioną pozycją Dodaj aplikację kliencką.

  5. Wybierz pozycję + Dodaj aplikację kliencką.

  6. W okienku Dodawanie aplikacji klienckiej w polu Identyfikator klienta użyj identyfikatora aplikacji publicznej platformy Azure dla zarejestrowanej przez firmę Microsoft aplikacji klienta sieci VPN platformy Azure. c632b3df-fb67-4d84-bdcf-b95ad541b5c8

  7. Upewnij się, że wybrano opcję Autoryzowane zakresy . Następnie kliknij pozycję Dodaj aplikację.

  8. Na stronie Uwidacznij interfejs API zobaczysz teraz obie wartości identyfikatora klienta na liście. Jeśli chcesz usunąć poprzednią wersję, kliknij wartość, aby otworzyć stronę Edytuj aplikację kliencką, a następnie kliknij przycisk Usuń.

  9. Na stronie Przegląd zwróć uwagę, że wartości nie zostały zmienione. Jeśli brama i klienci zostały już skonfigurowane przy użyciu niestandardowego identyfikatora aplikacji (klienta) wyświetlanego dla pola Identyfikator odbiorcy bramy, a klienci są już skonfigurowani do używania tej wartości niestandardowej, nie musisz wprowadzać żadnych dodatkowych zmian.

Następne kroki