Dela via

Webbappar

  • Artikel

Varning

Det här innehållet gäller för den äldre Azure AD v1.0-slutpunkten. Använd Microsofts identitetsplattform för nya projekt.

Webbappar är program som autentiserar en användare i en webbläsare till ett webbprogram. I det här scenariot instruerar webbprogrammet användarens webbläsare att logga in dem på Azure AD. Azure AD returnerar ett inloggningssvar via användarens webbläsare, som innehåller anspråk om användaren i en säkerhetstoken. Det här scenariot stöder inloggning med hjälp av Protokollen OpenID Connect, SAML 2.0 och WS-Federation.

Diagram

Autentiseringsflöde för webbläsare till webbprogram

Protokollflöde

  1. När en användare besöker programmet och behöver logga in omdirigeras de via en inloggningsbegäran till autentiseringsslutpunkten i Azure AD.
  2. Användaren loggar in på inloggningssidan.
  3. Om autentiseringen lyckas skapar Azure AD en autentiseringstoken och returnerar ett inloggningssvar på programmets svars-URL som konfigurerades i Azure Portal. För ett produktionsprogram ska svars-URL:en vara HTTPS. Den returnerade token innehåller anspråk om användaren och Azure AD som krävs av programmet för att verifiera token.
  4. Programmet validerar token med hjälp av en offentlig signeringsnyckel och utfärdarinformation som är tillgänglig i federationsmetadatadokumentet för Azure AD. När programmet har verifierat token startar den en ny session med användaren. Med den här sessionen kan användaren komma åt programmet tills det upphör att gälla.

Kodexempel

Se kodexemplen för webbläsar- till webbprogramscenarier. Och kom tillbaka ofta när nya exempel läggs till ofta.

Appregistrering

Information om hur du registrerar en webbapp finns i Registrera en app.

  • Enskild klientorganisation – Om du skapar ett program bara för din organisation måste det registreras i företagets katalog med hjälp av Azure Portal.
  • Flera klientorganisationer – Om du skapar ett program som kan användas av användare utanför organisationen måste det vara registrerat i företagets katalog, men måste också vara registrerat i varje organisations katalog som ska använda programmet. Om du vill göra ditt program tillgängligt i deras katalog kan du inkludera en registreringsprocess för dina kunder som gör det möjligt för dem att godkänna ditt program. När de registrerar sig för ditt program visas en dialogruta som visar de behörigheter som programmet kräver och sedan alternativet att godkänna. Beroende på vilka behörigheter som krävs kan en administratör i den andra organisationen behöva ge sitt medgivande. När användaren eller administratören samtycker registreras programmet i deras katalog.

Förfallodatum för token

Användarens session upphör att gälla när livslängden för token som utfärdats av Azure AD upphör att gälla. Ditt program kan förkorta den här tidsperioden om du vill, till exempel logga ut användare baserat på en inaktivitetsperiod. När sessionen upphör att gälla uppmanas användaren att logga in igen.

Nästa steg