Udostępnij za pośrednictwem

Aplikacje internetowe

  • Artykuł

Ostrzeżenie

Ta zawartość dotyczy starszego punktu końcowego Azure AD w wersji 1.0. Użyj Platforma tożsamości Microsoft dla nowych projektów.

Aplikacje internetowe to aplikacje, które uwierzytelniają użytkownika w przeglądarce internetowej w aplikacji internetowej. W tym scenariuszu aplikacja internetowa przekierowuje przeglądarkę użytkownika w celu zalogowania się do Azure AD. Azure AD zwraca odpowiedź logowania za pośrednictwem przeglądarki użytkownika, która zawiera oświadczenia dotyczące użytkownika w tokenie zabezpieczającym. Ten scenariusz obsługuje logowanie przy użyciu protokołów OpenID Connect, SAML 2.0 i WS-Federation.

Diagram

Przepływ uwierzytelniania dla przeglądarki do aplikacji internetowej

Przepływ protokołu

  1. Gdy użytkownik odwiedza aplikację i musi się zalogować, jest przekierowywany za pośrednictwem żądania logowania do punktu końcowego uwierzytelniania w Azure AD.
  2. Użytkownik loguje się na stronie logowania.
  3. Jeśli uwierzytelnianie zakończy się pomyślnie, Azure AD utworzy token uwierzytelniania i zwróci odpowiedź logowania na adres URL odpowiedzi aplikacji skonfigurowany w Azure Portal. W przypadku aplikacji produkcyjnej ten adres URL odpowiedzi powinien mieć wartość HTTPS. Zwrócony token zawiera oświadczenia dotyczące użytkownika i Azure AD, które są wymagane przez aplikację do weryfikacji tokenu.
  4. Aplikacja weryfikuje token przy użyciu publicznego klucza podpisywania i informacji wystawcy dostępnych w dokumencie metadanych federacji dla Azure AD. Gdy aplikacja zweryfikuje token, uruchamia nową sesję z użytkownikiem. Ta sesja umożliwia użytkownikowi dostęp do aplikacji do momentu wygaśnięcia.

Przykłady kodu

Zobacz przykłady kodu dla scenariuszy aplikacji internetowej w przeglądarce internetowej. I sprawdź często, jak nowe próbki są często dodawane.

Rejestrowanie aplikacji

Aby zarejestrować aplikację internetową, zobacz Rejestrowanie aplikacji.

  • Pojedyncza dzierżawa — jeśli tworzysz aplikację tylko dla swojej organizacji, należy ją zarejestrować w katalogu firmy przy użyciu Azure Portal.
  • Wiele dzierżaw — jeśli tworzysz aplikację, która może być używana przez użytkowników spoza organizacji, musi być zarejestrowana w katalogu firmy, ale także musi być zarejestrowana w katalogu każdej organizacji, który będzie używać aplikacji. Aby udostępnić aplikację w katalogu, możesz dołączyć proces rejestracji dla klientów, który umożliwia im wyrażanie zgody na aplikację. Po zarejestrowaniu się w aplikacji zostanie wyświetlone okno dialogowe z wyświetlonymi uprawnieniami wymaganymi przez aplikację, a następnie opcją wyrażenia zgody. W zależności od wymaganych uprawnień administrator w inną organizację może być zobowiązany do wyrażenia zgody. Gdy użytkownik lub administrator wyrazi zgodę, aplikacja jest zarejestrowana w katalogu.

Wygaśnięcie tokenu

Sesja użytkownika wygasa po wygaśnięciu okresu istnienia tokenu wystawionego przez Azure AD. Aplikacja może skrócić ten okres w razie potrzeby, na przykład wylogować użytkowników na podstawie okresu braku aktywności. Po wygaśnięciu sesji użytkownik zostanie poproszony o ponowne zalogowanie się.

Następne kroki