Краткое руководство: Регистрация приложения в Microsoft Entra ID

Из этого краткого руководства вы узнаете, как зарегистрировать приложение в идентификаторе Microsoft Entra. Этот процесс необходим для установления отношения доверия между приложением и платформой удостоверений Майкрософт. Выполнив это краткое руководство, вы включите управление удостоверениями и доступом (IAM) для приложения, позволяя ему безопасно взаимодействовать со службами и API Майкрософт.

Предварительные условия

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Учетная запись Azure должна быть не ниже разработчика приложений.
• Работники или внешний арендатор. В этом кратком руководстве можно использовать ваш каталог по умолчанию . Если вам нужен внешний клиент, выполните настройки внешнего клиента.

Регистрация приложения

Регистрация приложения в Microsoft Entra устанавливает отношение доверия между приложением и платформой удостоверений Майкрософт. Доверие является однонаправленным. Ваше приложение доверяет платформе удостоверений Майкрософт, и наоборот — нет. После создания объект приложения нельзя перемещать между разными клиентами.

Чтобы зарегистрировать приложение, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве разработчика приложений.

2. Если у вас есть доступ к нескольким тенантам, используйте значок параметров в верхнем меню, чтобы переключиться на тенант, в котором вы хотите зарегистрировать приложение.

3. Перейдите к Идентификация>Приложения>Регистрация приложений и выберите Новая регистрация.

4. Введите понятное имя для вашего приложения, например identity-client-app. Пользователи приложения могут видеть это имя, и его можно изменить в любое время. Вы можете иметь несколько регистраций приложений с одинаковым именем.

5. В разделе Поддерживаемые типы учетных записейукажите, кто может использовать приложение. Мы рекомендуем выбрать в этом каталоге организации учетные записи только для большинства приложений. Дополнительные сведения о каждом параметре см. в таблице ниже.

   Поддерживаемые типы счетов	Описание
   Accounts in this organizational directory only (Учетные записи только в этом каталоге организации)	Для однотенантных приложений для использования только пользователями (или гостями) в клиенте.
   Учетные записи в любом каталоге организации	Чтобы мультитенантные приложения и вы хотите, чтобы пользователи в любой клиент Microsoft Entra могли использовать свое приложение. Идеально подходит для приложений SaaS, которые вы планируете предоставлять нескольким организациям.
   Accounts in any organizational directory and personal Microsoft accounts (Учетные записи в любом каталоге организации и личные учетные записи Майкрософт)	Для мультитенантных приложений, поддерживающих как организационные, так и личные учетные записи Майкрософт (например, Skype, Xbox, Live, Hotmail).
   Personal Microsoft accounts (Личные учетные записи Майкрософт)	Для приложений, используемых только личными учетными записями Майкрософт (например, Skype, Xbox, Live, Hotmail).

6. Нажмите кнопку "Регистрация", чтобы завершить регистрацию приложения.

   

7. Отображается страница обзора приложения . Запишите идентификатор приложения (клиента), который однозначно идентифицирует ваше приложение и используется в коде для проверки токенов безопасности, получаемых от платформы идентификации Microsoft.

   

Внимание

По умолчанию новые регистрации приложений скрыты для пользователей. Когда вы будете готовы к тому, чтобы пользователи видели приложение на странице "Мои приложения" , вы можете его включить. Чтобы включить приложение, в Центре администрирования Microsoft Entra перейдите к Identity>Applications>Enterprise applications и выберите приложение. Затем на странице свойств установите "Видимый пользователям?" в "Да".

Предоставление согласия администратора (только внешние клиенты)

После регистрации приложения ему присваивается разрешение User.Read. Однако для внешних тенантов сами пользователи не могут согласиться с этим разрешением. Будучи администратором, вы должны предоставить это разрешение от имени всех пользователей в тенанте:

1. На странице обзора вашей регистрации приложения в разделе Управление выберите разрешения API .
2. Выберите Предоставить согласие администратора для арендатора <>, а затем выберите Да.
3. Выберите Обновить, а затем убедитесь, что предоставлено для имени клиента <> отображается в разделе Состояние разрешения.

Добавьте URI перенаправления

перенаправления URI — это место, куда платформа удостоверений Майкрософт отправляет токены безопасности после проверки подлинности. URI перенаправления можно настроить в конфигурациях платформы в Центре администрирования Microsoft Entra. Для веб- и одностраничных приложенийнеобходимо указать URI перенаправления вручную. Для платформ mobile и desktop вы выбираете из созданных URI перенаправления. Выполните следующие действия, чтобы настроить параметры на основе целевой платформы или устройства:

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

2. В разделе Управление выберите Проверка подлинности.

3. В разделе Конфигурации платформ щелкните Добавить платформу.

4. В разделе Настройка платформ щелкните плитку типа приложения (платформу), чтобы настроить его параметры.

   

   Платформа	Параметры конфигурации	Пример
   Веб	Введите URI перенаправления для веб-приложения, работающего на сервере. Также можно добавить URL-адреса выхода из переднего канала.	Node.js: • http://localhost:3000/auth/redirect ASP.NET Core: • https://localhost:7274/signin-oidc • https://localhost:7274/signout-callback-oidc (URL front-channel для выхода) Питон: • http://localhost:3000/getAToken
   Одностраничное приложение	Введите URI перенаправления для клиентских приложений, использующих JavaScript, Angular, React.jsили Blazor WebAssembly. Также можно добавить URL-адреса выхода из фронтального канала.	JavaScript, React: • http://localhost:3000 Угловой: • http://localhost:4200/
   iOS, macOS	Введите идентификатор пакета приложения и, который создает URI перенаправления для вас. Найдите его в параметрах сборки или в Xcode в файле info.plist.	Арендатор рабочей силы • com.<yourname>.identitysample.MSALMacOS Внешний клиент: • com.microsoft.identitysample.ciam.MSALiOS
   Android	Введите название приложения , имя пакета, которое создает URI перенаправления для вас. Найдите его в файле AndroidManifest.xml. Также создайте и введите хэш подписи.	Котлин: • com.azuresamples.msaldelegatedandroidkotlinsampleapp .NET MAUI: • msal{CLIENT_ID}://auth Ява: • com.azuresamples.msalandroidapp
   Мобильные и настольные приложения	Выберите эту платформу для классических приложений или мобильных приложений, не использующих MSAL или брокера. Выберите предлагаемый URI перенаправленияили укажите один или несколько пользовательских URI перенаправления	Внедренное браузерное приложение для настольных компьютеров • https://login.microsoftonline.com/common/oauth2/nativeclient Приложение для рабочего стола системного браузера: • http://localhost

5. Нажмите кнопку Настроить, чтобы завершить настройку платформы.

Ограничения для URI перенаправления

Существуют определенные ограничения формата URI перенаправления, добавляемого в регистрацию приложения. См. сведения об ограничениях для URI перенаправления и URL-адресов ответа.

Добавить учетные данные

После регистрации приложения можно добавить сертификаты, секреты клиента (строка) или федеративные учетные данные удостоверения в качестве учетных данных для регистрации вашего конфиденциального клиентского приложения. Учетные данные позволяют вашему приложению аутентифицироваться самостоятельно, без взаимодействия с пользователем во время выполнения, и используются конфиденциальными клиентскими приложениями для доступа к веб-API.

Добавление сертификата

Иногда называется открытым ключом, поэтому сертификат является рекомендуемым типом учетных данных, так как они считаются более безопасными, чем секреты клиента.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.
2. Выберите Сертификаты и секреты>Сертификаты>Загрузить сертификат.
3. Выберите отправляемый файл. Он должен быть одного из следующих типов файлов: CER, PEM, CRT.
4. Выберите Добавить.

В рабочей среде следует использовать сертификат, подписанный хорошо известным центром сертификации (ЦС), например Azure Key Vault. Дополнительные сведения об использовании сертификата в качестве метода аутентификации в приложении см. в статье Учетные данные сертификата аутентификации приложения платформы удостоверений Майкрософт.

Добавление секрета клиента

Иногда называется паролем приложения, секрет клиента — это строковое значение, которое приложение может использовать вместо сертификата для идентификации себя.

Секреты клиентов являются менее безопасными, чем сертификаты или федеративные учетные данные, поэтому не следует использовать в рабочих средах. Хотя они могут быть удобными для разработки локальных приложений, необходимо использовать сертификаты или федеративные учетные данные для любых приложений, работающих в рабочей среде, чтобы обеспечить более высокую безопасность.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.
2. Выберите Сертификаты и секреты>Секреты клиента>Создать секрет клиента.
3. Добавьте описание секрета клиента.
4. Выберите срок действия секрета или укажите настраиваемое время существования.
   • Время существования секрета клиента ограничено двумя годами (24 месяца) или меньше. Для настраиваемого времени существования нельзя задать значение, превышающее 24 месяца.
   • Корпорация Майкрософт рекомендует задать значение срока действия менее 12 месяцев.
5. Выберите Добавить.
6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы.

Дополнительные сведения об уязвимостях секрета клиента см. в разделе "Как отказаться от аутентификации на основе секретов".

Если вы используете подключение службы Azure DevOps, которое автоматически создает субъект-службу, необходимо обновить секрет клиента на сайте портала Azure DevOps вместо прямого обновления секрета клиента. См. этот документ о том, как обновить секрет клиента на сайте портала Azure DevOps: устранение неполадок с подключениями к службе Azure Resource Manager.

Добавление федеративных учетных данных

Федеративные учетные данные идентичности — это тип учетных данных, которые позволяют рабочим нагрузкам, таким как GitHub Actions, Kubernetes, или тем, которые выполняются на вычислительных платформах за пределами Azure, получать доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами, используя федерацию идентичности рабочей нагрузки.

Чтобы добавить федеративные учетные данные, выполните следующие действия.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

2. Выберите Сертификаты и секреты>Федеративные учетные данные>Добавить учетные данные.

3. В раскрывающемся списке сценария федеративных учетных данных выберите один из поддерживаемых сценариев и следуйте соответствующим инструкциям, чтобы завершить настройку.

   • Управляемые клиентом ключи для шифрования данных вашего арендатора с помощью Azure Key Vault в другом арендаторе.
   • Развёртывание ресурсов Azure с помощью действий GitHub для настройки рабочего процесса GitHub, чтобы получить токены для вашего приложения и развернуть ресурсы на Azure.
   • Доступ Kubernetes к ресурсам Azure для настройки учетной записи службы Kubernetes с целью получения токенов для вашего приложения и доступа к ресурсам Azure.
   • Другой издатель должен настроить приложение для доверия управляемой учетной записи или учетной записи, управляемой внешним поставщиком OpenID Connect, чтобы получить токены для вашего приложения и получить доступ к ресурсам Azure.

Дополнительные сведения о том, как получить маркер доступа с федеративными учетными данными, см. в платформе удостоверений Майкрософт и потоке учетных данных клиента OAuth 2.0.

Следующий шаг

открытие веб-API

После регистрации приложения его можно настроить для предоставления веб-API. Сведения о том, как, см. в статье;

Настройка приложения для предоставления веб-API

Изучение примера кода

Платформа удостоверений Майкрософт предлагает различные примеры кода, адаптированные для различных типов приложений и платформ. Чтобы изучить эти примеры, ознакомьтесь с приведенными ниже сведениями;

Примеры кода для платформы удостоверений Майкрософт