Поделиться через

Регистрация мобильных приложений, вызывающих веб-API

  • Статья

Область применения: Зеленый круг с символом белой галочки — арендаторы рабочей среды и Белый круг с серым символом X — внешние арендаторы (узнать больше)

Эта статья содержит инструкции по регистрации создаваемого вами мобильного приложения.

Поддерживаемые типы счетов

Типы учетных записей, поддерживаемые мобильными приложениями, зависят от интерфейса, который необходимо включить, и используемых потоков.

Целевая аудитория для интерактивного получения токена

Большинство мобильных приложений используют интерактивную проверку подлинности. Если приложение использует такую форму аутентификации, вход пользователей можно выполнять из учетной записи любого типа.

Аудитория для встроенной аутентификации Windows, проверки подлинности по имени пользователя и паролю, и B2C

Если у вас приложение универсальной платформы Windows (UWP), для входа пользователей можно использовать Встроенную проверку подлинности Windows (IWA). Чтобы использовать IWA или аутентификацию с именем пользователя и паролем, ваше приложение должно выполнять вход пользователей в собственный тенант разработки LOB. В рамках сценария независимого поставщика программного обеспечения (ISV) ваше приложение может авторизовать пользователей в организациях Microsoft Entra. Эти потоки аутентификации не поддерживаются для личных учетных записей Майкрософт.

Настройка платформы и URI перенаправления

Интерактивная проверка подлинности

При создании мобильного приложения, использующего интерактивную проверку подлинности, самый важный этап регистрации — это URI перенаправления. Этот интерфейс позволяет приложению получать единый вход (SSO) через Microsoft Authenticator (и Корпоративный портал Intune в Android). Она также поддерживает политики управления устройствами.

  1. Авторизуйтесь в Центре администрирования Microsoft Entra как минимум в роли Разработчика приложений.

  2. Перейдите к Identity>Приложения>Регистрация приложений.

  3. Выберите Создать регистрацию.

  4. Введите имя приложения.

  5. Для параметра Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

  6. Выберите Зарегистрировать.

  7. Выберите "Проверка подлинности" и нажмите кнопку "Добавить платформу".

    Добавьте платформу.

  8. Если список платформ поддерживается, выберите iOS или macOS.

    Выберите мобильное приложение.

  9. Введите идентификатор пакета и нажмите Настроить.

    Введите идентификатор пакета.

После выполнения этих действий для вас будет вычислен URI перенаправления, как показано на изображении ниже.

Результирующий URI перенаправления.

Если вы хотите настроить URI перенаправления вручную, это можно сделать с помощью манифеста приложения. Вот рекомендуемый формат манифеста:

  • iOS: msauth.<BUNDLE_ID>://auth
    • Например, введите msauth.com.yourcompany.appName://auth.
  • Android: msauth://<PACKAGE_NAME>/<SIGNATURE_HASH>
    • Хэш подписи Android можно создать, используя релизный ключ или ключ отладки с помощью команды KeyTool.

Аутентификация по имени пользователя и паролю

Если приложение использует только проверку подлинности по имени пользователя и паролю, вам не нужно регистрировать для него URI перенаправления. Этот поток выполняет круговой путь к платформе удостоверений Майкрософт. Ваше приложение не получит обратного вызова на какой-либо конкретный URI.

Тем не менее, укажите, что ваше приложение является общедоступным клиентским приложением. Для этого:

  1. По-прежнему в Центре администрирования Microsoft Entra выберите приложение в Регистрация приложений, а затем выберите проверку подлинности.

  2. Перейдите в раздел Дополнительные параметры>Разрешить потоки для общедоступных клиентов>Включить следующие потоки для мобильных и настольных систем и выберите Да.

    Включить параметр общедоступных клиентов на панели проверки подлинности в портале Azure

Разрешения API

Мобильные приложения вызывают API для вошедшего пользователя. Приложению необходимо запросить делегированные разрешения. Эти разрешения также называются областями. В зависимости от желаемого интерфейса и процедуры делегированные разрешения можно запрашивать статически с помощью портала Azure. Или же их можно запросить динамически во время выполнения.

Статическая регистрация разрешений позволяет администраторам легко утвердить ваше приложение. Статическая регистрация является рекомендуемым вариантом.

Следующие шаги

Перейдите к следующей статье для данного сценария: Конфигурация кода приложения.