Руководство. Подготовка внешнего клиента для входа пользователей в веб-приложение Node.js
В этом руководстве показано, как создать веб-приложение Node.js и подготовить его к проверке подлинности с помощью Центра администрирования Microsoft Entra. Вы будете использовать библиотеку проверки подлинности Майкрософт для JavaScript для проверки подлинности приложения с внешним клиентом. Наконец, вы запустите приложение и протестируете возможности входа и выхода. Демонстрируется подготовка внешнего клиента к входу пользователей в веб-приложение Node.js.
В этом руководстве описано, как это сделать.
- Зарегистрируйте веб-приложение в Центре администрирования Microsoft Entra.
- Создайте вход и выйдите из потока пользователей в Центре администрирования Microsoft Entra.
- Свяжите веб-приложение с потоком пользователя.
Если вы уже зарегистрировали веб-приложение в Центре администрирования Microsoft Entra и связали его с потоком пользователя, вы можете пропустить действия, описанные в этой статье, и перейти к подготовке веб-приложения Node.js.
Необходимые компоненты
- Внешний клиент. Чтобы создать его, выберите один из следующих методов:
- (Рекомендуется) Используйте расширение Внешняя идентификация Microsoft Entra для настройки внешнего клиента непосредственно в Visual Studio Code.
- Создайте внешний клиент в Центре администрирования Microsoft Entra.
- Эта учетная запись Azure должна иметь разрешения на управление приложениями. Любые из следующих ролей Microsoft Entra включают необходимые разрешения:
- Администратор приложений
- Разработчик приложения
- Администратор облачных приложений
Регистрация веб-приложения
Чтобы приложение входить в систему с помощью Microsoft Entra, Внешняя идентификация Microsoft Entra должны быть осведомлены о создаваемом приложении. Регистрация приложения устанавливает отношение доверия между приложением и Microsoft Entra. При регистрации приложения внешний идентификатор создает уникальный идентификатор, известный как идентификатор приложения (клиента), значение, используемое для идентификации приложения при создании запросов проверки подлинности.
Ниже показано, как зарегистрировать приложение в Центре администрирования Microsoft Entra:
Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
Перейдите к приложениям> удостоверений>Регистрация приложений.
Выберите + Создать регистрацию.
На отображаемой странице регистрации приложения;
- Введите понятное имя приложения, отображаемое пользователям приложения, например ciam-client-app.
- В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.
Выберите Зарегистрировать.
Панель обзора приложения отображается при успешной регистрации. Запишите идентификатор приложения (клиента), который будет использоваться в исходном коде приложения.
Чтобы указать тип приложения для регистрации приложения, выполните следующие действия.
- В разделе Управление выберите Проверка подлинности.
- На странице конфигураций платформы выберите "Добавить платформу" и выберите "Веб-параметр".
- Введите
http://localhost:3000/auth/redirect
URI перенаправления. - Нажмите кнопку "Настроить", чтобы сохранить изменения.
Добавление секрета клиента приложения
Создайте секрет клиента для зарегистрированного приложения. Приложение использует секрет клиента, чтобы подтвердить свое удостоверение при запросе маркеров.
- На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.
- В разделе Управление выберите Сертификаты и секреты.
- Щелкните Создать секрет клиента.
- В поле "Описание" введите описание секрета клиента (например, секрет клиента приложения ciam).
- В разделе "Срок действия" выберите срок действия, для которого секрет действителен (для правил безопасности организации), а затем нажмите кнопку "Добавить".
- Запишите значение секрета в поле Значение. Это значение будет использовано позже для конфигурации. Значение секрета не будет отображаться снова и не извлекается с помощью каких-либо средств после перехода от сертификатов и секретов. Обязательно запишите его.
Предоставление согласия администратора
На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.
В разделе Управление выберите Разрешения API. В списке настроенных разрешений приложение было назначено разрешение User.Read . Однако, поскольку клиент является внешним клиентом, пользователи-потребители сами не могут согласиться с этим разрешением. Вы, как администратор, должны предоставить это разрешение от имени всех пользователей в клиенте:
- Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".
- Выберите "Обновить", а затем убедитесь, что имя> клиента предоставлено <в разделе "Состояние" для обеих областей.
Создание потока пользователей
Выполните следующие действия, чтобы создать поток пользователя, который может использовать для входа или регистрации в приложении.
Войдите в Центр администрирования Microsoft Entra как минимум администратор потока внешних идентификаторов.
Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
Перейдите к потокам пользователей внешних>удостоверений удостоверений>.
Выберите +Создать поток пользователя.
На странице создания:
Введите имя потока пользователя, например SignInSignUpSample.
В списке поставщиков удостоверений выберите учетные записи электронной почты. Этот поставщик удостоверений позволяет пользователям входить или регистрироваться с помощью своего адреса электронной почты.
В разделе "Учетные записи электронной почты" можно выбрать один из двух вариантов. В этом руководстве выберите "Электронная почта с паролем".
- Электронная почта с паролем: позволяет новым пользователям регистрироваться и входить в систему с помощью адреса электронной почты в качестве имени входа и пароля в качестве их первых учетных данных фактора.
- Одноразовый секретный код электронной почты: позволяет новым пользователям регистрироваться и выполнять вход с помощью адреса электронной почты в качестве имени входа и однократного секретного кода электронной почты в качестве учетных данных первого фактора. Одноразовый секретный код электронной почты должен быть включен на уровне клиента (единый секретный код всех поставщиков>удостоверений), чтобы этот параметр был доступен на уровне потока пользователя.
В разделе "Атрибуты пользователя" выберите атрибуты, которые необходимо собрать от пользователя при регистрации. Выбрав "Показать больше", можно выбрать атрибуты и утверждения для страны или региона, отображаемого имени и почтового индекса. Нажмите ОК. (Пользователи запрашивают атрибуты только при первом регистрации.)
Нажмите кнопку создания. Новый поток пользователя появится в списке Потоки пользователей. Если потребуется, обновите страницу.
Чтобы включить самостоятельный сброс пароля, выполните действия, описанные в статье "Включение самостоятельного сброса пароля".
Связывание веб-приложения с потоком пользователя
Чтобы пользователи клиента видели возможность регистрации или входа при использовании приложения, необходимо связать приложение с потоком пользователя. Хотя многие приложения могут быть связаны с потоком пользователя, одно приложение может быть связано только с одним потоком пользователя.
В меню боковой панели выберите "Удостоверение".
Выберите внешние удостоверения, а затем потоки пользователей.
На странице "Потоки пользователей" выберите имя потока пользователя, созданное ранее, например SignInSignUpSample.
В разделе "Использование" выберите "Приложения".
Выберите Добавить приложение.
Выберите приложение из списка, например ciam-client-app или используйте поле поиска для поиска приложения, а затем выберите его.
Выберите Выбрать.
Связав приложение с потоком пользователей, вы можете протестировать поток пользователя, имитируя процесс регистрации или входа пользователя с приложением из Центра администрирования Microsoft Entra. Для этого выполните действия, описанные в разделе "Тестирование регистрации и входа в поток пользователя".
Сбор сведений о регистрации приложения
Убедитесь, что вы запишите следующие сведения для использования ниже.
- Идентификатор приложения (клиента) зарегистрированного клиентского веб-приложения.
- Поддомен каталога (клиента), в котором вы зарегистрировали веб-приложение. Если у вас нет имени клиента, узнайте, как прочитать сведения о клиенте.
- Значение секрета клиента для созданного веб-приложения.