Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform

Začínáme s Microsoft identity platform registrací aplikace v Azure Portal.

Microsoft identity platform provádí správu identit a přístupu (IAM) jenom pro registrované aplikace. Bez ohledu na to, jestli se jedná o klientskou aplikaci, jako je webová nebo mobilní aplikace, nebo jde o webové rozhraní API, které zálohuje klientskou aplikaci, zaregistruje vztah důvěryhodnosti mezi vaší aplikací a zprostředkovatelem identity, Microsoft identity platform.

Tip

Pokud chcete zaregistrovat aplikaci pro Azure AD B2C, postupujte podle kroků v kurzu: Registrace webové aplikace v Azure AD B2C.

Požadavky

Registrace aplikace

Registrace aplikace vytvoří vztah důvěryhodnosti mezi vaší aplikací a Microsoft identity platform. Vztah důvěryhodnosti je jednosměrný: vaše aplikace důvěřuje Microsoft identity platform a ne naopak.

Pomocí následujícího postupu vytvořte registraci aplikace:

  1. Přihlaste se k webu Azure Portal.

  2. Pokud máte přístup k více tenantům, pomocí filtru adresářů a předplatných v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat.

  3. Vyhledejte a vyberte Azure Active Directory.

  4. V části Spravovat vyberte registraci Registrace aplikací>New.

  5. Zadejte zobrazovaný název aplikace. Uživatelé vaší aplikace můžou při přihlašování vidět zobrazovaný název, například při přihlašování. Zobrazovaný název můžete kdykoli změnit a více registrací aplikací může sdílet stejný název. ID automaticky vygenerované aplikace (klienta) aplikace, nikoli jeho zobrazovaný název, jednoznačně identifikuje vaši aplikaci v rámci platformy identity.

  6. Určete, kdo může aplikaci používat, někdy označovanou jako její přihlašovací cílová skupina.

    Podporované typy účtu Popis
    Účty jen v tomto organizačním adresáři Tuto možnost vyberte, pokud vytváříte aplikaci pro použití pouze uživateli (nebo hosty) ve vašem tenantovi.

    Tato aplikace se často označuje jako obchodní aplikace (LOB), což je aplikace s jedním tenantem v Microsoft identity platform.
    Účty v libovolném organizačním adresáři Tuto možnost vyberte, pokud chcete, aby uživatelé v libovolném tenantovi Azure Active Directory (Azure AD) mohli vaši aplikaci používat. Tato možnost je vhodná, pokud například vytváříte aplikaci SaaS (software jako služba), kterou chcete poskytnout více organizacím.

    Tento typ aplikace se v Microsoft identity platform označuje jako víceklientní aplikace.
    Účty v libovolném organizačním adresáři a osobní účty Microsoft Tuto možnost vyberte, pokud chcete cílit na co nejširší okruh zákazníků.

    Výběrem této možnosti zaregistrujete víceklientovou aplikaci, která může také podporovat uživatele, kteří mají osobní účty Microsoft.
    Osobní účty Microsoft Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele, kteří mají osobní účty Microsoft. Osobní účty Microsoft zahrnují účty Skype, Xbox, Live a Hotmail.
  7. Pro identifikátor URI přesměrování (volitelné) nezadávejte nic. Identifikátor URI přesměrování nakonfigurujete v další části.

  8. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.

    Screenshot of the Azure portal in a web browser, showing the Register an application pane.

Po dokončení registrace se v Azure Portal zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta). Označuje se také jako ID klienta, tato hodnota jednoznačně identifikuje vaši aplikaci v Microsoft identity platform.

Důležité

Registrace nových aplikací jsou ve výchozím nastavení uživatelům skryté. Až budete připravení, aby uživatelé viděli aplikaci na Moje aplikace stránce, můžete ji povolit. Pokud chcete aplikaci povolit, přejděte v Azure Portal na Azure Active Directory>Enterprise aplikace a vyberte aplikaci. Potom na stránce Vlastnosti přepněte možnost Viditelné pro uživatele? na Ano.

Kód vaší aplikace nebo obvykle knihovnu ověřování používanou ve vaší aplikaci používá také ID klienta. ID se používá jako součást ověřování tokenů zabezpečení, které přijímá z platformy identity.

Screenshot of the Azure portal in a web browser, showing an app registration's Overview pane.

Přidání identifikátoru URI přesměrování

Identifikátor URI přesměrování je umístění, kde Microsoft identity platform přesměruje klienta uživatele a po ověření odešle tokeny zabezpečení.

Například v produkční webové aplikaci je identifikátor URI přesměrování často veřejným koncovým bodem, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response. Během vývoje je běžné také přidat koncový bod, ve kterém aplikaci spouštíte místně, například https://127.0.0.1/auth-response nebo http://localhost/auth-response.

Identifikátory URI přesměrování pro registrované aplikace přidáte a upravíte tak, že nakonfigurujete jejich nastavení platformy.

Konfigurace nastavení platformy

Nastavení pro každý typ aplikace, včetně identifikátorů URI přesměrování, jsou nakonfigurované v konfiguracích platformy v Azure Portal. Některé platformy, jako jsou webové a jednostránkové aplikace, vyžadují ruční zadání identifikátoru URI přesměrování. U jiných platforem, jako jsou mobilní a desktopové, můžete vybrat z identifikátorů URI přesměrování vygenerovaných za vás, když nakonfigurujete jejich další nastavení.

Pokud chcete nakonfigurovat nastavení aplikace na základě platformy nebo zařízení, na které cílíte, postupujte takto:

  1. V Azure Portal vyberte v Registrace aplikací aplikaci.

  2. V části Spravovat vyberte Ověřování.

  3. V části Konfigurace platformy vyberte Přidat platformu.

  4. V části Konfigurovat platformy vyberte dlaždici typu aplikace (platforma) a nakonfigurujte její nastavení.

    Screenshot of the platform configuration pane in the Azure portal.

    Platforma Nastavení konfigurace
    Web Zadejte identifikátor URI přesměrování pro vaši aplikaci. Tento identifikátor URI je umístění, kde Microsoft identity platform přesměruje klienta uživatele a po ověření odešle tokeny zabezpečení.

    Tuto platformu vyberte pro standardní webové aplikace, které běží na serveru.
    Jednostránková aplikace Zadejte identifikátor URI přesměrování pro vaši aplikaci. Tento identifikátor URI je umístění, kde Microsoft identity platform přesměruje klienta uživatele a po ověření odešle tokeny zabezpečení.

    Tuto platformu vyberte, pokud vytváříte webovou aplikaci na straně klienta pomocí JavaScriptu nebo architektury, jako je Angular, Vue.js, React.js nebo Blazor WebAssembly.
    iOS / macOS Zadejte ID sady prostředků aplikace. Najděte ho v buildu Nastavení nebo v Xcode v souboru Info.plist.

    Identifikátor URI přesměrování se pro vás vygeneruje při zadání ID sady.
    Android Zadejte název balíčku aplikace. Najděte ho v souboru AndroidManifest.xml . Vygenerujte a zadejte hodnotu hash podpisu.

    Identifikátor URI přesměrování se pro vás vygeneruje, když zadáte tato nastavení.
    Mobilní a desktopové aplikace Vyberte jednu z navrhovaných identifikátorů URI přesměrování. Nebo zadejte identifikátor URI vlastního přesměrování.

    Pro desktopové aplikace využívající vložený prohlížeč doporučujeme
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pro desktopové aplikace pomocí systémového prohlížeče doporučujeme
    http://localhost

    Tuto platformu vyberte pro mobilní aplikace, které nepoužívají nejnovější knihovnu MSAL (Microsoft Authentication Library) nebo nepoužívají zprostředkovatele. Vyberte také tuto platformu pro desktopové aplikace.
  5. Výběrem možnosti Konfigurovat dokončete konfiguraci platformy.

Omezení identifikátoru URI přesměrování

Existují určitá omezení formátu identifikátorů URI přesměrování, které přidáte do registrace aplikace. Podrobnosti o těchto omezeních najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidání přihlašovacích údajů

Přihlašovací údaje používají důvěrné klientské aplikace , které přistupují k webovému rozhraní API. Příkladem důvěrných klientů jsou webové aplikace, jiná webová rozhraní API nebo aplikace typu služby a démon. Přihlašovací údaje umožňují aplikaci ověřovat jako sebe sama, což nevyžaduje žádnou interakci od uživatele za běhu.

Jako přihlašovací údaje k registraci důvěrné klientské aplikace můžete přidat certifikáty i tajné kódy klienta (řetězec).

Screenshot of the Azure portal, showing the Certificates and secrets pane in an app registration.

Přidání certifikátu

Někdy se říká veřejný klíč, je doporučeným typem přihlašovacích údajů certifikát, protože jsou považovány za bezpečnější než tajné kódy klienta. Další informace o použití certifikátu jako metody ověřování v aplikaci najdete v tématu Microsoft identity platform přihlašovací údaje ověřovacího certifikátu aplikace.

  1. V Azure Portal vyberte v Registrace aplikací aplikaci.
  2. Vyberte Certifikáty &secretsCertificates>>Upload certifikát.
  3. Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
  4. Vyberte Přidat.

Přidání tajného klíče klienta

Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota, kterou může vaše aplikace používat místo certifikátu k samotné identitě.

Tajné kódy klienta se považují za méně bezpečné než přihlašovací údaje certifikátu. Vývojáři aplikací někdy používají tajné kódy klientů během vývoje místních aplikací kvůli jejich snadnému použití. Pro všechny aplikace, které běží v produkčním prostředí, byste ale měli použít přihlašovací údaje certifikátu.

  1. V Azure Portal vyberte v Registrace aplikací aplikaci.
  2. Vyberte tajný klíč tajných kódů>CertificatesClient &>SecretNew klienta.
  3. Přidejte popis tajného klíče klienta.
  4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
    • Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
    • Microsoft doporučuje nastavit hodnotu vypršení platnosti kratší než 12 měsíců.
  5. Vyberte Přidat.
  6. Poznamenejte si hodnotu tajného klíče pro použití v kódu klientské aplikace. Tato hodnota tajného kódu se po opuštění této stránky nikdy nezobrazí .

Doporučení k zabezpečení aplikací najdete v tématu Microsoft identity platform osvědčených postupů a doporučení.

Další kroky

Klientské aplikace obvykle potřebují přístup k prostředkům ve webovém rozhraní API. Klientskou aplikaci můžete chránit pomocí Microsoft identity platform. Můžete také použít platformu pro autorizaci omezeného přístupu na základě oprávnění k webovému rozhraní API.

Přejděte do dalšího rychlého startu v řadě a vytvořte další registraci aplikace pro webové rozhraní API a zpřístupněte její rozsahy.