Web 应用
警告
本内容适用于较旧版本的 Azure AD v1.0 终结点。 为新项目使用 Microsoft 标识平台。
Web 应用是在 Web 浏览器到 Web 应用方案中对用户进行身份验证的应用程序。 在此方案中,Web 应用程序指示用户的浏览器将用户登录到 Azure AD 中。 Azure AD 通过用户的浏览器返回一个登录响应,该响应在一个安全令牌中包含了关于用户的声明。 此方案支持使用 OpenID Connect、SAML 2.0 和 WS 联合身份验证协议进行登录。
图示
协议流
- 当用户访问应用程序并需要登录时,系统会通过一个登录请求将其重定向到 Azure AD 中的身份验证终结点。
- 用户在登录页面上进行登录。
- 如果身份验证成功,则 Azure AD 将创建一个身份验证令牌并将登录响应返回到应用程序的回复 URL(已在 Azure 门户中配置)。 对于生产应用程序,此回复 URL 应当采用 HTTPS 格式。 返回的令牌包括应用程序对该令牌进行验证所需的关于用户和 Azure AD 的声明。
- 应用程序使用 Azure AD 的联合元数据文档中提供的公用签名密钥和颁发者信息对令牌进行验证。 验证令牌后,应用程序会启动与用户的新会话。 该会话允许用户访问应用程序,直到会话过期。
代码示例
请参阅 Web 浏览器到 Web 应用程序方案的代码示例。 另外,请经常回来查看,因为我们会经常添加新示例。
应用注册
若要注册 Web 应用,请参阅注册应用。
- 单租户 - 如果要构建仅供你组织使用的应用程序,则必须使用 Azure 门户在公司的目录中注册该应用程序。
- 多租户 - 如果在构建可由组织外部用户使用的应用程序,则必须在公司的目录中注册该应用程序,并且还必须在要使用该应用程序的每个组织的目录中注册该应用程序。 要使应用程序在客户的目录中可用,可以提供一个供客户使用的注册流程,让客户许可应用程序的要求。 当他们针对用户的应用程序进行注册时,系统会向他们显示一个对话框,其中显示了应用程序要求的权限,然后是要许可的选项。 可能会要求其他组织中的管理员许可,具体取决于所需的权限。 当用户或管理员许可后,该应用程序在其目录中注册。
令牌过期
当 Azure AD 颁发的令牌的生存期过期时,用户的会话便过期。 如果需要,应用程序可以缩短此时段,例如,根据用户处于不活动状态的时长注销用户。 当会话过期时,系统会提示用户重新登录。