Краткое руководство: Регистрация приложения в Microsoft Entra ID
Из этого краткого руководства вы узнаете, как зарегистрировать приложение в идентификаторе Microsoft Entra. Этот процесс необходим для установления отношения доверия между приложением и платформой удостоверений Майкрософт. Выполнив это краткое руководство, вы включите управление удостоверениями и доступом (IAM) для приложения, позволяя ему безопасно взаимодействовать со службами и API Майкрософт.
Предварительные условия
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
- Учетная запись Azure должна быть не ниже разработчика приложений.
- Работники или внешний арендатор. В этом кратком руководстве можно использовать ваш каталог по умолчанию . Если вам нужен внешний клиент, выполните настройки внешнего клиента.
Регистрация приложения
Регистрация приложения в Microsoft Entra устанавливает отношение доверия между приложением и платформой удостоверений Майкрософт. Доверие является однонаправленным. Ваше приложение доверяет платформе удостоверений Майкрософт, и наоборот — нет. После создания объект приложения нельзя перемещать между разными клиентами.
Чтобы зарегистрировать приложение, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra как минимум в качестве разработчика приложений.
Если у вас есть доступ к нескольким тенантам, используйте значок параметров
в верхнем меню, чтобы переключиться на тенант, в котором вы хотите зарегистрировать приложение.
Перейдите к Идентификация>Приложения>Регистрация приложений и выберите Новая регистрация.
Введите понятное имя для вашего приложения, например identity-client-app. Пользователи приложения могут видеть это имя, и его можно изменить в любое время. Вы можете иметь несколько регистраций приложений с одинаковым именем.
В разделе Поддерживаемые типы учетных записейукажите, кто может использовать приложение. Мы рекомендуем выбрать в этом каталоге организации учетные записи только для большинства приложений. Дополнительные сведения о каждом параметре см. в таблице ниже.
Поддерживаемые типы счетов Описание Accounts in this organizational directory only (Учетные записи только в этом каталоге организации) Для однотенантных приложений для использования только пользователями (или гостями) в клиенте. Учетные записи в любом каталоге организации Чтобы мультитенантные приложения и вы хотите, чтобы пользователи в любой клиент Microsoft Entra могли использовать свое приложение. Идеально подходит для приложений SaaS, которые вы планируете предоставлять нескольким организациям. Accounts in any organizational directory and personal Microsoft accounts (Учетные записи в любом каталоге организации и личные учетные записи Майкрософт) Для мультитенантных приложений, поддерживающих как организационные, так и личные учетные записи Майкрософт (например, Skype, Xbox, Live, Hotmail). Personal Microsoft accounts (Личные учетные записи Майкрософт) Для приложений, используемых только личными учетными записями Майкрософт (например, Skype, Xbox, Live, Hotmail). Нажмите кнопку "Регистрация", чтобы завершить регистрацию приложения.
Отображается страница обзора приложения . Запишите идентификатор приложения (клиента), который однозначно идентифицирует ваше приложение и используется в коде для проверки токенов безопасности, получаемых от платформы идентификации Microsoft.
Внимание
По умолчанию новые регистрации приложений скрыты для пользователей. Когда вы будете готовы к тому, чтобы пользователи видели приложение на странице "Мои приложения" , вы можете его включить. Чтобы включить приложение, в Центре администрирования Microsoft Entra перейдите к Identity>Applications>Enterprise applications и выберите приложение. Затем на странице свойств установите "Видимый пользователям?" в "Да".
Предоставление согласия администратора (только внешние клиенты)
После регистрации приложения ему присваивается разрешение User.Read. Однако для внешних тенантов сами пользователи не могут согласиться с этим разрешением. Будучи администратором, вы должны предоставить это разрешение от имени всех пользователей в тенанте:
- На странице обзора вашей регистрации приложения в разделе Управление выберите разрешения API .
- Выберите Предоставить согласие администратора для арендатора <>, а затем выберите Да.
- Выберите Обновить, а затем убедитесь, что предоставлено для имени клиента <> отображается в разделе Состояние разрешения.
Добавьте URI перенаправления
перенаправления URI — это место, куда платформа удостоверений Майкрософт отправляет токены безопасности после проверки подлинности. URI перенаправления можно настроить в конфигурациях платформы в Центре администрирования Microsoft Entra. Для веб- и одностраничных приложенийнеобходимо указать URI перенаправления вручную. Для платформ mobile и desktop вы выбираете из созданных URI перенаправления. Выполните следующие действия, чтобы настроить параметры на основе целевой платформы или устройства:
В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.
В разделе Управление выберите Проверка подлинности.
В разделе Конфигурации платформ щелкните Добавить платформу.
В разделе Настройка платформ щелкните плитку типа приложения (платформу), чтобы настроить его параметры.
Платформа Параметры конфигурации Пример Веб Введите URI перенаправления для веб-приложения, работающего на сервере. Также можно добавить URL-адреса выхода из переднего канала. Node.js:
•http://localhost:3000/auth/redirect
ASP.NET Core:
•https://localhost:7274/signin-oidc
•https://localhost:7274/signout-callback-oidc
(URL front-channel для выхода)
Питон:
•http://localhost:3000/getAToken
Одностраничное приложение Введите URI перенаправления для клиентских приложений, использующих JavaScript, Angular, React.jsили Blazor WebAssembly. Также можно добавить URL-адреса выхода из фронтального канала. JavaScript, React:
•http://localhost:3000
Угловой:
•http://localhost:4200/
iOS, macOS Введите идентификатор пакета приложения и, который создает URI перенаправления для вас. Найдите его в параметрах сборки или в Xcode в файле info.plist.
Арендатор рабочей силы
•com.<yourname>.identitysample.MSALMacOS
Внешний клиент:
•com.microsoft.identitysample.ciam.MSALiOS
Android Введите название приложения , имя пакета, которое создает URI перенаправления для вас. Найдите его в файле AndroidManifest.xml. Также создайте и введите хэш подписи. Котлин:
•com.azuresamples.msaldelegatedandroidkotlinsampleapp
.NET MAUI:
•msal{CLIENT_ID}://auth
Ява:
•com.azuresamples.msalandroidapp
Мобильные и настольные приложения Выберите эту платформу для классических приложений или мобильных приложений, не использующих MSAL или брокера. Выберите предлагаемый URI перенаправленияили укажите один или несколько пользовательских URI перенаправления Внедренное браузерное приложение для настольных компьютеров
•https://login.microsoftonline.com/common/oauth2/nativeclient
Приложение для рабочего стола системного браузера:
•http://localhost
Нажмите кнопку Настроить, чтобы завершить настройку платформы.
Ограничения для URI перенаправления
Существуют определенные ограничения формата URI перенаправления, добавляемого в регистрацию приложения. См. сведения об ограничениях для URI перенаправления и URL-адресов ответа.
Добавить учетные данные
После регистрации приложения можно добавить сертификаты, секреты клиента (строка) или федеративные учетные данные удостоверения в качестве учетных данных для регистрации вашего конфиденциального клиентского приложения. Учетные данные позволяют вашему приложению аутентифицироваться самостоятельно, без взаимодействия с пользователем во время выполнения, и используются конфиденциальными клиентскими приложениями для доступа к веб-API.
Иногда называется открытым ключом, поэтому сертификат является рекомендуемым типом учетных данных, так как они считаются более безопасными, чем секреты клиента.
- В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты и секреты>Сертификаты>Загрузить сертификат.
- Выберите отправляемый файл. Он должен быть одного из следующих типов файлов: CER, PEM, CRT.
- Выберите Добавить.
В рабочей среде следует использовать сертификат, подписанный хорошо известным центром сертификации (ЦС), например Azure Key Vault. Дополнительные сведения об использовании сертификата в качестве метода аутентификации в приложении см. в статье Учетные данные сертификата аутентификации приложения платформы удостоверений Майкрософт.
Следующий шаг
После регистрации приложения его можно настроить для предоставления веб-API. Сведения о том, как, см. в статье;