Omówienie manifestu aplikacji (format programu Microsoft Graph)
Manifest aplikacji zawiera wszystkie atrybuty i ich wartości rejestracji aplikacji w Platforma tożsamości Microsoft.
Manifest aplikacji programu Microsoft Graph jest obiektem JSON reprezentującym rejestrację aplikacji. Jest ona również nazywana typem zasobu aplikacji microsoft Graph lub obiektem aplikacji Microsoft Graph (obiekt aplikacji). Zawiera wszystkie atrybuty i ich wartości rejestracji aplikacji.
Obiekt aplikacji odbierany przy użyciu metody Pobierania aplikacji programu Microsoft Graph jest tym samym obiektem JSON widocznym na stronie manifestu rejestracji aplikacji w centrum administracyjnym firmy Microsoft Entra.
Uwaga
W przypadku aplikacji zarejestrowanych przy użyciu osobistego konta Microsoft (konta MSA) manifesty aplikacji będą nadal widoczne w formacie programu Azure AD Graph w centrum administracyjnym firmy Microsoft Entra do odwołania. Aby uzyskać więcej informacji, zobacz Microsoft Entra app manifest (format programu Azure AD Graph).
Konfigurowanie manifestu aplikacji programu Microsoft Graph
Jeśli chcesz programowo skonfigurować manifest aplikacji programu Microsoft Graph, możesz użyć interfejsu API programu Microsoft Graph lub zestawu MICROSOFT Graph PowerShell SDK.
Manifest aplikacji można również skonfigurować za pośrednictwem centrum administracyjnego firmy Microsoft Entra. Większość atrybutów można skonfigurować przy użyciu elementu interfejsu użytkownika w Rejestracje aplikacji. Jednak niektóre atrybuty należy skonfigurować, edytując manifest aplikacji bezpośrednio na stronie manifestu.
Konfigurowanie manifestu aplikacji w centrum administracyjnym firmy Microsoft Entra
Aby skonfigurować manifest aplikacji programu Microsoft Graph:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Przejdź do aplikacji >
Wybierz aplikację, którą chcesz skonfigurować.
Na stronie Przegląd aplikacji wybierz sekcję Manifest. Zostanie otwarty internetowy edytor manifestu, który umożliwia edytowanie manifestu. Opcjonalnie możesz wybrać pozycję Pobierz , aby edytować manifest lokalnie, a następnie użyć polecenia Przekaż , aby ponownie zastosować go do aplikacji.
Dokumentacja manifestu
W tej sekcji opisano atrybuty znalezione w manifeście aplikacji microsoft Graph.
id, atrybut
| Klucz | Typ wartości |
|---|---|
| identyfikator | String |
Ta właściwość jest określana jako identyfikator obiektu w centrum administracyjnym firmy Microsoft Entra. Jest to unikatowy identyfikator obiektu aplikacji w katalogu.
Ten identyfikator nie jest identyfikatorem używanym do identyfikowania aplikacji w żadnej transakcji protokołu. Jest on używany do odwoływania się do obiektu w zapytaniach katalogu.
Jest to atrybut nie dopuszczalny do wartości null i tylko do odczytu.
Przykład:
"id": "f7f9acfc-ae0c-4d6c-b489-0a81dc1652dd",
atrybut appId
| Klucz | Typ wartości |
|---|---|
| appId | String |
Ta właściwość jest określana jako identyfikator aplikacji (klienta) w centrum administracyjnym firmy Microsoft Entra. Jest to unikatowy identyfikator obiektu aplikacji w katalogu.
Ten identyfikator jest identyfikatorem używanym do identyfikowania aplikacji w dowolnej transakcji protokołu.
Jest to atrybut nie dopuszczalny do wartości null i tylko do odczytu.
Przykład:
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
addIns, atrybut
| Klucz | Typ wartości |
|---|---|
| addIns | Kolekcja |
Definiuje zachowanie niestandardowe, którego usługa zużywającą może używać do wywoływania aplikacji w określonych kontekstach. Na przykład aplikacje, które mogą renderować strumienie plików, mogą ustawić addIns właściwość dla funkcji "FileHandler". Ten parametr umożliwia usługom takim jak Platforma Microsoft 365 wywoływanie aplikacji w kontekście dokumentu, nad którym pracuje użytkownik.
Przykład:
"addIns": [
{
"id": "968A844F-7A47-430C-9163-07AE7C31D407",
"type":" FileHandler",
"properties": [
{
"key": "version",
"value": "2"
}
]
}
],
appRoles
| Klucz | Typ wartości |
|---|---|
| appRoles | Kolekcja |
Określa kolekcję ról, które aplikacja może zadeklarować. Te role można przypisać do użytkowników, grup lub jednostek usługi. Aby uzyskać więcej przykładów i informacji, zobacz Dodawanie ról aplikacji w aplikacji i odbieranie ich w tokenie.
Przykład:
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"description": "Read-only access to device information",
"displayName": "Read Only",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"isEnabled": true,
"value": "ReadOnly"
}
],
groupMembershipClaims
| Klucz | Typ wartości |
|---|---|
| groupMembershipClaims | String |
Konfiguruje oświadczenie wystawione groups w tokenie dostępu użytkownika lub OAuth 2.0, którego oczekuje aplikacja. Aby ustawić ten atrybut, użyj jednej z następujących prawidłowych wartości ciągu:
None-
SecurityGroup(dla grup zabezpieczeń i ról firmy Microsoft Entra) -
ApplicationGroup(Ta opcja obejmuje tylko grupy przypisane do aplikacji) -
DirectoryRole(pobiera role katalogu Entra firmy Microsoft, do których należy użytkownik) -
All(spowoduje to pobranie wszystkich grup zabezpieczeń, grup dystrybucyjnych i ról katalogu Firmy Microsoft Entra, których członkiem jest zalogowany użytkownik).
Przykład:
"groupMembershipClaims": "SecurityGroup",
optionalClaims, atrybut
| Klucz | Typ wartości |
|---|---|
| optionalClaims | String |
Opcjonalne oświadczenia zwrócone w tokenie przez usługę tokenu zabezpieczającego dla tej konkretnej aplikacji.
Aplikacje, które obsługują zarówno konta osobiste, jak i identyfikator Microsoft Entra ID, nie mogą używać opcjonalnych oświadczeń. Jednak aplikacje zarejestrowane tylko dla identyfikatora Entra firmy Microsoft przy użyciu punktu końcowego w wersji 2.0 mogą uzyskać opcjonalne oświadczenia żądane w manifeście. Aby uzyskać więcej informacji, zobacz Opcjonalne oświadczenia.
Przykład:
"optionalClaims":{
"idToken": [{"@odata.type": "microsoft.graph.optionalClaim"}],
"accessToken": [{"@odata.type": "microsoft.graph.optionalClaim"}],
"saml2Token": [{"@odata.type": "microsoft.graph.optionalClaim"}]
}
identifierUris, atrybut
| Klucz | Typ wartości |
|---|---|
| identyfikatoryURI | Tablica ciągów |
Identyfikatory URI zdefiniowane przez użytkownika, które jednoznacznie identyfikują aplikację internetową w dzierżawie firmy Microsoft Entra lub zweryfikowanej domenie należącej do klienta. Gdy aplikacja jest używana jako aplikacja zasobów, wartość identyfikatoraUri jest używana do unikatowego identyfikowania i uzyskiwania dostępu do zasobu.
Obsługiwane są następujące formaty identyfikatorów URI identyfikatora aplikacji opartego na schematach HTTP i interfejsu API. Zastąp wartości symboli zastępczych zgodnie z opisem na liście poniżej tabeli.
| Identyfikator obsługiwanej aplikacji Formaty identyfikatora URI |
Przykładowe identyfikatory URI identyfikatorów aplikacji |
|---|---|
| <api:// appId> | api://00001111-aaaa-2222-bbbb-3333cccc4444 |
| <api:// tenantId>/<appId> | api://aaaabbbb-0000-cccc-1111-dddd2222eeee/00001111-aaaa-2222-bbbb-3333cccc4444 |
| <api:// tenantId>/<ciąg> | api://aaaabbbb-0000-cccc-1111-dddd2222eeee/api |
| <api:// string>/<appId> | api://productapi/00001111-aaaa-2222-bbbb-3333cccc4444 |
| <https:// tenantInitialDomain.onmicrosoft.com/>< string> | https://contoso.onmicrosoft.com/productsapi |
| <https:// zweryfikowaneCustomDomain>/<ciąg> | https://contoso.com/productsapi |
| <https:// ciąg.><verifiedCustomDomain> | https://product.contoso.com |
| <https:// ciąg.><verifiedCustomDomain>/<string> | https://product.contoso.com/productsapi |
- <appId> — właściwość identyfikatora aplikacji (appId) obiektu aplikacji.
- <string> — wartość ciągu dla hosta lub segmentu ścieżki interfejsu API.
- <tenantId> — identyfikator GUID wygenerowany przez platformę Azure do reprezentowania dzierżawy na platformie Azure.
- < > , gdzie - < jest początkową nazwą domeny twórcą dzierżawy określonym podczas tworzenia dzierżawy.
- <verifiedCustomDomain> — zweryfikowana domena niestandardowa skonfigurowana dla dzierżawy firmy Microsoft Entra.
Uwaga
Jeśli używasz schematu api:// , należy dodać wartość ciągu bezpośrednio po "api://". Na przykład api://< ciąg.> Ta wartość ciągu może być identyfikatorem GUID lub dowolnym ciągiem. Jeśli dodasz wartość identyfikatora GUID, musi być zgodna z identyfikatorem aplikacji lub identyfikatorem dzierżawy. Wartość identyfikatora URI identyfikatora aplikacji musi być unikatowa dla dzierżawy. Jeśli dodasz identyfikator api://< tenantId> jako identyfikator URI identyfikatora aplikacji, nikt inny nie będzie mógł użyć tego identyfikatora URI w dowolnej innej aplikacji. Zaleceniem jest użycie api://< appId>, zamiast tego lub schematu HTTP.
Ważne
Wartość identyfikatora URI identyfikatora aplikacji nie może kończyć się ukośnikiem "/".
Przykład:
"identifierUris": "https://contoso.onmicrosoft.com/fc4d2d73-d05a-4a9b-85a8-4f2b3a5f38ed",
keyCredentials, atrybut
| Klucz | Typ wartości |
|---|---|
| keyCredentials | Kolekcja |
Przechowuje odwołania do poświadczeń przypisanych do aplikacji, udostępnionych wpisów tajnych opartych na ciągach i certyfikatów X.509. Te poświadczenia są używane podczas żądania tokenów dostępu (gdy aplikacja działa jako klient, a nie jako zasób).
Przykład:
"keyCredentials": [
{
"customKeyIdentifier":null,
"endDateTime":"2018-09-13T00:00:00Z",
"keyId":"<guid>",
"startDateTime":"2017-09-12T00:00:00Z",
"type":"AsymmetricX509Cert",
"usage":"Verify",
"value":null
}
],
displayName, atrybut
| Klucz | Typ wartości |
|---|---|
| displayName | String |
Nazwa wyświetlana aplikacji.
Przykład:
" displayName": "MyRegisteredApp",
oauth2RequiredPostResponse, atrybut
| Klucz | Typ wartości |
|---|---|
| oauth2RequiredPostResponse | Wartość logiczna |
Określa, czy w ramach żądań tokenów OAuth 2.0 identyfikator Entra firmy Microsoft zezwala na żądania POST, w przeciwieństwie do żądań GET. Wartość domyślna to false, która określa, że tylko żądania GET będą dozwolone.
Przykład:
"oauth2RequirePostResponse": false,
Atrybut parentalControlSettings
| Klucz | Typ wartości |
|---|---|
| parentalControlSettings | String |
-
countriesBlockedForMinorsokreśla kraje/regiony, w których aplikacja jest zablokowana dla nieletnich. -
legalAgeGroupRuleokreśla prawną regułę grupy wiekowej, która ma zastosowanie do użytkowników aplikacji. Można ustawić naAllow, ,RequireConsentForPrivacyServicesRequireConsentForMinors, ,RequireConsentForKidslubBlockMinors.
Przykład:
"parentalControlSettings": {
"countriesBlockedForMinors": [],
"legalAgeGroupRule": "Allow"
},
passwordCredentials, atrybut
| Klucz | Typ wartości |
|---|---|
| passwordCredentials | Kolekcja |
Zobacz opis keyCredentials właściwości .
Przykład:
"passwordCredentials": [
{
"customKeyIdentifier": null,
"displayName": "Generated by App Service",
"endDateTime": "2022-10-19T17:59:59.6521653Z",
"hint": "Nsn",
"keyId": "<guid>",
"secretText": null,
"startDateTime":"2022-10-19T17:59:59.6521653Z"
}
],
atrybut publisherDomain
| Klucz | Typ wartości |
|---|---|
| publisherDomain | String |
Zweryfikowana domena wydawcy dla aplikacji. Tylko do odczytu. Aby edytować domenę wydawcy rejestracji aplikacji, wykonaj kroki opisane w temacie Konfigurowanie domeny wydawcy aplikacji.
Przykład:
"publisherDomain": "{tenant}.onmicrosoft.com",
requiredResourceAccess, atrybut
| Klucz | Typ wartości |
|---|---|
| requiredResourceAccess | Kolekcja |
Dzięki dynamicznej zgody środowisko zgody administratora i środowisko wyrażania zgody użytkownika dla użytkowników korzystających requiredResourceAccess ze statycznej zgody. Jednak ten parametr nie napędza środowiska zgody użytkownika dla ogólnego przypadku.
-
resourceAppIdto unikatowy identyfikator zasobu, do którego aplikacja wymaga dostępu. Ta wartość powinna być równa identyfikatorowi appId zadeklarowanej w docelowej aplikacji zasobów. -
resourceAccessto tablica zawierająca zakresy uprawnień OAuth2.0 i role aplikacji wymagane przez aplikację z określonego zasobu.idZawiera wartości itypeokreślonych zasobów.
Przykład:
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
"type": "Scope"
}
]
}
],
atrybut samlMetadataUrl
| Klucz | Typ wartości |
|---|---|
| samlMetadataUrl | String |
Adres URL metadanych JĘZYKA SAML dla aplikacji.
Przykład:
"samlMetadataUrl": "https://MyRegisteredAppSAMLMetadata",
signInAudience, atrybut
| Klucz | Typ wartości |
|---|---|
| signInAudience | String |
Określa, jakie konta Microsoft są obsługiwane dla bieżącej aplikacji. Obsługiwane wartości to:
-
AzureADMyOrg— Użytkownicy z kontem służbowym microsoft w dzierżawie firmy Microsoft Entra (na przykład z jedną dzierżawą) -
AzureADMultipleOrgs— Użytkownicy z kontem służbowym Microsoft w dowolnej dzierżawie firmy Microsoft Entra (na przykład wielodostępnej) -
AzureADandPersonalMicrosoftAccount— Użytkownicy z osobistym kontem Microsoft lub kontem służbowym w dowolnej dzierżawie firmy Microsoft -
PersonalMicrosoftAccount- Konta osobiste używane do logowania się do usług, takich jak Xbox i Skype.
Przykład:
"signInAudience": "AzureADandPersonalMicrosoftAccount",
atrybut tagów
| Klucz | Typ wartości |
|---|---|
| tags | Tablica ciągów |
Niestandardowe ciągi, których można użyć do kategoryzowania i identyfikowania aplikacji.
Poszczególne tagi muszą zawierać od 1 do 256 znaków (włącznie). Brak białych znaków ani zduplikowanych tagów. Nie ma określonego limitu liczby tagów, które można dodać, z zastrzeżeniem ogólnych limitów rozmiaru manifestu.
Przykład:
"tags": [
"ProductionApp"
],
isFallbackPublicClient, atrybut
| Klucz | Typ wartości |
|---|---|
| isFallbackPublicClient | Wartość logiczna |
Określa typ aplikacji rezerwowej jako klienta publicznego, taki jak zainstalowana aplikacja uruchomiona na urządzeniu przenośnym. Wartość domyślna tego atrybutu to false, co oznacza, że rezerwowy typ aplikacji jest poufnym klientem, takim jak aplikacja internetowa. Istnieją pewne scenariusze, w których identyfikator Entra firmy Microsoft nie może określić typu aplikacji klienckiej. Na przykład przepływ ROPC, w którym jest skonfigurowany bez określania identyfikatora URI przekierowania. W takich przypadkach identyfikator Entra firmy Microsoft interpretuje typ aplikacji na podstawie wartości tej właściwości.
Przykład:
"isFallbackPublicClient ": "false",
Firma Microsoft nie zaleca przepływu ROPC, który jest niezabezpieczonym wzorcem. W większości scenariuszy istnieją bezpieczniejsze przepływy, których można użyć.
atrybut info
| Klucz | Typ wartości |
|---|---|
| informacje o | informationalUrl |
Określa podstawowe informacje o profilu aplikacji, w tym marketing aplikacji, pomoc techniczną, warunki usługi, zasady zachowania poufności informacji i adresy URL logo.
Należy pamiętać, że:
"logoUrl" jest właściwością tylko do odczytu. Nie można go edytować w manifeście aplikacji. Przejdź do strony "znakowanie i właściwość" w żądanej rejestracji aplikacji i użyj polecenia "Przekaż nowe logo", aby przekazać nowe logo.
Warunki korzystania z usług i zasad zachowania poufności informacji są udostępniane użytkownikom za pośrednictwem środowiska wyrażania zgody przez użytkownika. Aby uzyskać więcej informacji, zobacz How to: Add Terms of service and privacy statement for registered Microsoft Entra apps (Jak dodać warunki użytkowania usługi i zasady zachowania poufności informacji dla zarejestrowanych aplikacji firmy Microsoft).
Przykład:
Info: {
"termsOfService": "https://MyRegisteredApp/termsofservice",
"support": "https://MyRegisteredApp/support",
"privacy": "https://MyRegisteredApp/privacystatement",
"marketing": "https://MyRegisteredApp/marketing"
"logoUrl": "https://MyRegisteredApp/logoUrl",
}
atrybut api
| Klucz | Typ wartości |
|---|---|
| api | typ zasobu apiApplication |
Określa ustawienia aplikacji, która implementuje internetowy interfejs API. Zawiera pięć właściwości:
| Właściwość | Type | Opis |
|---|---|---|
| acceptMappedClaims | Wartość logiczna | Po ustawieniu wartości true umożliwia aplikacji używanie mapowania oświadczeń bez określania niestandardowego klucza podpisywania. Aplikacje, które odbierają tokeny, polegają na tym, że wartości oświadczeń są autorytatywne wystawiane przez identyfikator Microsoft Entra ID i nie można ich modyfikować. Jednak podczas modyfikowania zawartości tokenu za pomocą zasad mapowania oświadczeń te założenia mogą nie być już poprawne. Aplikacje muszą jawnie potwierdzić, że tokeny zostały zmodyfikowane przez twórcę zasad mapowania oświadczeń, aby chronić się przed zasadami mapowania oświadczeń utworzonymi przez złośliwych podmiotów. Ostrzeżenie: nie ustawiaj właściwości acceptMappedClaims na wartość true dla aplikacji wielodostępnych, co umożliwia złośliwym aktorom tworzenie zasad mapowania oświadczeń dla aplikacji. |
| knownClientApplications | — kolekcja | Służy do tworzenia pakietów zgody, jeśli masz rozwiązanie, które zawiera dwie części: aplikację kliencką i niestandardową aplikację internetowego interfejsu API. Jeśli ustawisz identyfikator appID aplikacji klienckiej na tę wartość, użytkownik wyrazi zgodę tylko raz na aplikację kliencka. Microsoft Entra ID wie, że wyrażenie zgody na klienta oznacza niejawne wyrażanie zgody na internetowy interfejs API i automatyczne aprowizowanie jednostek usługi dla obu interfejsów API jednocześnie. Zarówno klient, jak i aplikacja internetowego interfejsu API muszą być zarejestrowane w tej samej dzierżawie. |
| oauth2PermissionScopes | permissionScope collection | Definicja delegowanych uprawnień uwidocznionych przez internetowy interfejs API reprezentowany przez tę rejestrację aplikacji. Te delegowane uprawnienia mogą być wymagane przez aplikację kliencką i mogą być przyznawane przez użytkowników lub administratorów podczas wyrażania zgody. Uprawnienia delegowane są czasami nazywane zakresami OAuth 2.0. |
| preAuthorizedApplications | kolekcja preAuthorizedApplication | Wyświetla listę aplikacji klienckich, które są wstępnie uwierzytelnione z określonymi delegowanymi uprawnieniami dostępu do interfejsów API tej aplikacji. Użytkownicy nie muszą wyrażać zgody na żadną wstępnie uwierzytelnioną aplikację (dla określonych uprawnień). Jednak wszelkie inne uprawnienia, które nie są wymienione w preAuthorizedApplications (żądane za pośrednictwem przyrostowej zgody na przykład), będą wymagać zgody użytkownika. |
| requestedAccessTokenVersion | Int32 | Określa wersję tokenu dostępu oczekiwaną przez ten zasób. Spowoduje to zmianę wersji i formatu JWT utworzonego niezależnie od punktu końcowego lub klienta używanego do żądania tokenu dostępu. Używany punkt końcowy, wersja 1.0 lub wersja 2.0, jest wybierany przez klienta i ma wpływ tylko na wersję id_tokens. Zasoby muszą jawnie skonfigurować żądaną wartośćAccessTokenVersion , aby wskazać obsługiwany format tokenu dostępu. Możliwe wartości dla żądanej wartościAccessTokenVersion to 1, 2 lub null. Jeśli wartość ma wartość null, wartość domyślna to 1, która odpowiada punktowi końcowemu w wersji 1.0. Jeśli parametr signInAudience w aplikacji jest skonfigurowany jako AzureADandPersonalMicrosoftAccount lub PersonalMicrosoftAccount, wartość tej właściwości musi wynosić 2. |
Przykład:
Api:{
"acceptMappedClaims": true,
"knownClientApplications": ["f7f9acfc-ae0c-4d6c-b489-0a81dc1652dd"],
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the app to access resources on behalf of the signed-in user.",
"adminConsentDisplayName": "Access resource1",
"id": "<guid>",
"isEnabled": true,
"type": "User",
"userConsentDescription": "Allow the app to access resource1 on your behalf.",
"userConsentDisplayName": "Access resources",
"value": "user_impersonation"
}
],
"preAuthorizedApplications": [{
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"permissionIds": [
"8748f7db-21fe-4c83-8ab5-53033933c8f1"
]
}],
"requestedAccessTokenVersion": 2
}
atrybut sieci Web
| Klucz | Typ wartości |
|---|---|
| web | typ zasobu webApplication |
Określa ustawienia aplikacji internetowej. Zawiera cztery właściwości.
| Właściwość | Type | Opis |
|---|---|---|
| homePageUrl | String | Strona główna lub strona docelowa aplikacji. |
| implicitGrantSettings | implicitGrantSettings | Określa, czy ta aplikacja internetowa może żądać tokenów przy użyciu niejawnego przepływu OAuth 2.0. |
| logoutUrl | String | Określa adres URL używany przez usługę autoryzacji firmy Microsoft do wylogowania użytkownika przy użyciu protokołów wylogowywania frontonu, kanału zwrotnego lub protokołu SAML. |
| identyfikatory redirectUri | Kolekcja ciągów | Określa adresy URL, na których są wysyłane tokeny użytkownika na potrzeby logowania, lub identyfikatory URI przekierowania, na których są wysyłane kody autoryzacji protokołu OAuth 2.0 i tokeny dostępu na platformie internetowej. |
Przykład:
web: {
"homePageUrl": "String",
"implicitGrantSettings": {
"enableIdTokenIssuance": "Boolean",
"enableAccessTokenIssuance": "Boolean"}
"logoutUrl": "String",
"redirectUris": ["String"]
}
atrybut spa
| Klucz | Typ wartości |
|---|---|
| uzdrowisko | spaApplication typ zasobu |
Określa ustawienia aplikacji jednostronicowej, w tym adresy URL wylogowywanie i identyfikatory URI przekierowania dla kodów autoryzacji i tokenów dostępu.
| Właściwość | Type | Opis |
|---|---|---|
| identyfikatory redirectUri | Kolekcja ciągów | Określa adresy URL, na których są wysyłane tokeny użytkownika na potrzeby logowania, lub identyfikatory URI przekierowania, na których są wysyłane kody autoryzacji protokołu OAuth 2.0 i tokeny dostępu. |
Przykład:
spa: {
"redirectUris": ["String"]
}
atrybut publicClient
| Klucz | Typ wartości |
|---|---|
| publicClient | typ zasobu publicClientApplication |
Określa ustawienia dla aplikacji nieinternetowej lub interfejsu API innego niżweb (na przykład systemu iOS, Android, urządzeń przenośnych lub innych klientów publicznych, takich jak zainstalowana aplikacja uruchomiona na urządzeniu stacjonarnym).
| Właściwość | Type | Opis |
|---|---|---|
| identyfikatory redirectUri | Kolekcja ciągów | Określa adresy URL, na których są wysyłane tokeny użytkownika na potrzeby logowania, lub identyfikatory URI przekierowania, na których są wysyłane kody autoryzacji protokołu OAuth 2.0 i tokeny dostępu. |
Przykład:
publicClient: {
"redirectUris": ["String"]
}
Typowe problemy
Limity manifestu
Manifest aplikacji ma wiele atrybutów, które są określane jako kolekcje; na przykład appRoles, keyCredentials, knownClientApplications, identifierUris, redirectUris, requiredResourceAccess i oauth2PermissionScopes. W ramach kompletnego manifestu aplikacji dla dowolnej aplikacji łączna liczba wpisów we wszystkich połączonych kolekcjach została ograniczona do 1200. Jeśli wcześniej określono 100 appRoles w manifeście aplikacji, pozostanie tylko 1100 pozostałych wpisów do użycia we wszystkich innych kolekcjach połączonych, które tworzą manifest.
Uwaga
Jeśli spróbujesz dodać więcej niż 1200 wpisów w manifeście aplikacji, może zostać wyświetlony błąd "Nie można zaktualizować aplikacji xxxxxx. Szczegóły błędu: rozmiar manifestu przekroczył limit. Zmniejsz liczbę wartości i ponów próbę żądania".
Rozwiązywanie problemów z migracją manifestu z formatu programu Azure AD Graph do formatu programu Microsoft Graph
Podczas przekazywania wcześniej pobranego manifestu aplikacji w formacie programu Azure AD Graph może wystąpić następujący błąd:
Nie można zaktualizować aplikacji {app name}. Szczegóły błędu: nieprawidłowa właściwość "{property name}".**
Może to być spowodowane migracją z programu Azure AD Graph do manifestu aplikacji programu Microsoft Graph. Najpierw należy sprawdzić, czy manifest aplikacji jest w formacie usługi Azure AD Graph. Jeśli tak jest, należy przekonwertować manifest aplikacji na format programu Microsoft Graph.
Nie mogę znaleźć atrybutu trustedCertificateSubjects
trustedCertificateSubjects atrybut jest właściwością wewnętrzną firmy Microsoft. Centrum administracyjne firmy Microsoft Entra pokazuje wersję 1.0 manifestu aplikacji microsoft Graph, atrybut trustedCertificateSubjects jest obecny tylko w wersji beta manifestu aplikacji (format programu Microsoft Graph). Kontynuuj edytowanie tej właściwości przy użyciu manifestu aplikacji (format programu Azure AD Graph) w centrum administracyjnym firmy Microsoft Entra.
BŁĄD: Nie można odnaleźć aplikacji. Jeśli aplikacja została właśnie utworzona, zaczekaj kilka minut i odśwież stronę.**
Jeśli aplikacja nie została właśnie utworzona, może wystąpić ten błąd, ponieważ dodano nieprawidłowy atrybut w manifeście aplikacji microsoft Graph. Przejrzyj różnice atrybutów między formatami programu Azure AD Graph i Microsoft Graph i sprawdź, czy dodano atrybut, który nie jest obsługiwany w wersji 1.0 programu Microsoft Graph, który jest wyświetlany w portalu.
Następne kroki
Aby uzyskać więcej informacji na temat relacji między obiektami aplikacji i jednostki usługi, zobacz Application and service principal objects in Microsoft Entra ID (Obiekty aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft).
Zapoznaj się z słownikiem deweloperów Platforma tożsamości Microsoft, aby zapoznać się z definicjami niektórych podstawowych pojęć dotyczących deweloperów Platforma tożsamości Microsoft.
Skorzystaj z poniższej sekcji komentarzy, aby przekazać opinię, która pomaga uściślić i kształtować naszą zawartość.