Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform

  • Článek
  • 6 min ke čtení

v tomto rychlém startu zaregistrujete aplikaci do Azure Portal, aby Microsoft identity platform mohla poskytovat služby ověřování a autorizace pro vaši aplikaci a její uživatele.

Microsoft identity platform provádí správu identit a přístupu (IAM) pouze u registrovaných aplikací. Bez ohledu na to, jestli se jedná o klientskou aplikaci, jako je webová nebo mobilní aplikace, nebo se jedná o webové rozhraní API, které zálohuje klientskou aplikaci, registrace vytvoří vztah důvěryhodnosti mezi vaší aplikací a poskytovatelem identity Microsoft identity platform.

Tip

Pokud chcete zaregistrovat aplikaci pro Azure AD B2C, postupujte podle kroků v části kurz: registrace webové aplikace v Azure AD B2C.

Požadavky

Registrace aplikace

Při registraci aplikace se vytvoří vztah důvěryhodnosti mezi vaší aplikací a Microsoft identity platform. vztah důvěryhodnosti je jednosměrný: vaše aplikace důvěřuje Microsoft identity platform a nikoli jiným způsobem.

Při vytváření registrace aplikace postupujte podle těchto kroků:

  1. Přihlaste se k webu Azure Portal.

  2. Pokud máte přístup k více klientům, pomocí filtru adresáře a odběry v horní nabídce přepněte do tenanta, ve kterém chcete aplikaci zaregistrovat.

  3. Vyhledejte a vyberte Azure Active Directory.

  4. V části Spravovat vyberte Registrace aplikací > Nová registrace.

  5. Zadejte zobrazovaný název vaší aplikace. Uživatelé vaší aplikace se můžou při používání aplikace zobrazit zobrazované jméno, například během přihlašování. Zobrazovaný název můžete kdykoli změnit a několik registrací aplikací může sdílet stejný název. Automatické vygenerované ID aplikace (klienta) registrace aplikace, ne jeho zobrazované jméno, jednoznačně identifikuje vaši aplikaci v rámci platformy identity.

  6. Určete, kdo může používat aplikaci, někdy označovanou jako přihlášená cílová skupina.

    Podporované typy účtu Description
    Účty jen v tomto organizačním adresáři Tuto možnost vyberte, pokud vytváříte aplikaci pro použití jenom pro uživatele (nebo hosty) ve vašem tenantovi.

    Tato aplikace se často označuje jako obchodní aplikace (LOB), ale v Microsoft Identity Platform je jediná klientská aplikace.
    Účty v libovolném organizačním adresáři tuto možnost vyberte, pokud chcete, aby uživatelé v jakémkoli Azure Active Directoryovém tenantovi (Azure AD) mohli aplikaci používat. Tato možnost je vhodná, pokud například vytváříte aplikaci typu software jako služba (SaaS), kterou máte v úmyslu poskytnout více organizacím.

    Tento typ aplikace se označuje jako víceklientské aplikace v Microsoft Identity Platform.
    Účty v libovolném organizačním adresáři a osobní účty Microsoft Tuto možnost vyberte, pokud chcete cílit na co nejširší okruh zákazníků.

    Výběrem této možnosti zaregistrujete víceklientské aplikace, která může podporovat také uživatele, kteří mají osobní účty Microsoft.
    Osobní účty Microsoft Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele, kteří mají osobní účty Microsoft. osobní účty Microsoft zahrnují účty Skype, Xbox, Live a Hotmail.

  7. Nezadávejte nic pro identifikátor URI přesměrování (volitelné). V další části nakonfigurujete identifikátor URI pro přesměrování.

  8. Kliknutím na Registrovat dokončíte prvotní registraci aplikace.

    Snímek obrazovky Azure Portal ve webovém prohlížeči, v němž se zobrazuje podokno Registrovat aplikaci

Po dokončení registrace se v Azure Portal zobrazí podokno s přehledem registrace aplikace. Zobrazí se ID aplikace (klienta). Označuje se také jako ID klienta, tato hodnota jednoznačně identifikuje vaši aplikaci v Microsoft Identity Platform.

Důležité

Nové registrace aplikací jsou ve výchozím nastavení skryty uživatelům. Až budete připraveni na to, aby uživatelé aplikaci viděli na své stránce Moje aplikace , můžete ji povolit. pokud chcete aplikaci povolit, přejděte v Azure Portal na Azure Active Directory > Enterprise aplikace a vyberte aplikaci. Pak na stránce vlastnosti přepínací tlačítko Zobrazit uživatelům? na Ano.

Kód vaší aplikace, nebo častěji knihovna ověřování použitá ve vaší aplikaci, používá také ID klienta. ID se používá jako součást ověřování tokenů zabezpečení, které přijímá z platformy identity.

Snímek obrazovky Azure Portal ve webovém prohlížeči, který zobrazuje podokno s přehledem registrace aplikace.

Přidat identifikátor URI pro přesměrování

identifikátor URI přesměrování je umístění, kde Microsoft identity platform přesměrovává klienta uživatele a odesílá tokeny zabezpečení po ověření.

V produkční webové aplikaci je například identifikátor URI přesměrování často veřejným koncovým bodem, ve kterém je vaše aplikace spuštěná, třeba https://contoso.com/auth-response . Během vývoje je běžné také přidat koncový bod, ve kterém aplikaci spouštíte místně, například https://127.0.0.1/auth-response nebo http://localhost/auth-response .

Můžete přidat a upravit identifikátory URI pro přesměrování registrovaných aplikací konfigurací jejich Nastavení platformy.

Konfigurovat nastavení platformy

Nastavení pro každý typ aplikace, včetně identifikátorů uri přesměrování, se konfigurují v konfiguracích platforem v Azure Portal. Některé platformy, jako jsou webové a jednostránkové aplikace, vyžadují ruční určení identifikátoru URI přesměrování. Pro jiné platformy, jako je Mobile a Desktop, můžete při konfiguraci jejich dalších nastavení vybrat možnost z identifikátorů URI pro přesměrování vygenerovaných za vás.

Konfigurace nastavení aplikace na základě platformy nebo zařízení, na které cílíte:

  1. V Azure Portal v části Registrace aplikací vyberte svou aplikaci.

  2. V části Spravovat vyberte ověřování.

  3. V části konfigurace platformy vyberte Přidat platformu.

  4. V části Konfigurovat platformy vyberte dlaždici pro typ aplikace (platforma) a nakonfigurujte její nastavení.

    Snímek obrazovky s podoknem konfigurace platformy v Azure Portal.

    Platforma Nastavení konfigurace
    Web Zadejte identifikátor URI pro přesměrování vaší aplikace. tento identifikátor URI je umístění, kde Microsoft identity platform přesměrovává klienta uživatele a odesílá tokeny zabezpečení po ověření.

    Vyberte tuto platformu pro standardní webové aplikace, které běží na serveru.
    Jednostránková aplikace Zadejte identifikátor URI pro přesměrování vaší aplikace. tento identifikátor URI je umístění, kde Microsoft identity platform přesměrovává klienta uživatele a odesílá tokeny zabezpečení po ověření.

    tuto platformu vyberte, pokud vytváříte webovou aplikaci na straně klienta pomocí javascriptu nebo rozhraní, jako je Angular, Vue.js, React.js nebo webové sestavení Blazor.
    iOS/macOS Zadejte ID sady prostředků aplikace. najdete ho v sestavení Nastavení nebo v Xcode v souboru Info. plist.

    Identifikátor URI přesměrování se vygeneruje při zadání ID sady prostředků.
    Android Zadejte název balíčku aplikace. Najdete ho v souboru AndroidManifest.xml . Také vygenerujte a zadejte hodnotu hash podpisu.

    Identifikátor URI přesměrování se vygeneruje při zadání těchto nastavení.
    Mobilní a desktopové aplikace Vyberte jeden z navrhovaných identifikátorů URI pro přesměrování. Nebo zadejte vlastní identifikátor URI pro přesměrování.

    U aplikací klasické pracovní plochy pomocí vloženého prohlížeče doporučujeme
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pro desktopové aplikace, které používají systémový prohlížeč, doporučujeme
    http://localhost

    Vyberte tuto platformu pro mobilní aplikace, které nepoužívají nejnovější knihovnu Microsoft Authentication Library (MSAL), nebo nepoužívají zprostředkovatele. Vyberte taky tuto platformu pro desktopové aplikace.

  5. Vyberte Konfigurovat a dokončete konfiguraci platformy.

Omezení identifikátoru URI přesměrování

Existují určitá omezení formátu identifikátorů URI přesměrování, které přidáte do registrace aplikace. Podrobnosti o těchto omezeních najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidání přihlašovacích údajů

Přihlašovací údaje používají důvěrné klientské aplikace, které přistupuje k webovému rozhraní API. Příkladem důvěrných klientů jsou webové aplikace, další webová rozhraní API nebo aplikace typu služby a typu démon. Přihlašovací údaje umožňují aplikaci, aby se ověřila jako sama za běhu, takže uživatel za běhu nevyžaduje žádnou interakci.

Certifikáty i tajné kódy klienta (řetězec) můžete přidat jako přihlašovací údaje k registraci důvěrné klientské aplikace.

Snímek obrazovky Azure Portal s podoknem Certifikáty a tajné kódy v registraci aplikace

Přidání certifikátu

Někdy se tento typ přihlašovacích údajů nazývá veřejný klíč, protože se považuje za bezpečnější než tajné kódy klienta. Další informace o použití certifikátu jako metody ověřování ve vaší aplikaci najdete v Microsoft identity platform ověřovacího certifikátu aplikace.

  1. V Azure Portal v Registrace aplikací vyberte svou aplikaci.
  2. Vyberte Certifikáty & tajné kódy > Certifikáty Upload > certifikát.
  3. Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
  4. Vyberte Přidat.

Přidání tajného klíče klienta

Někdy se mu říká heslo aplikace. Tajný kód klienta je řetězcová hodnota, která může vaše aplikace použít místo certifikátu pro samotnou identitu.

Tajné kódy klienta se považují za méně bezpečné než přihlašovací údaje certifikátu. Vývojáři aplikací někdy používají tajné kódy klienta během vývoje místní aplikace kvůli snadnému použití. Přihlašovací údaje certifikátu byste ale měli použít pro každou aplikaci, kterou máte spuštěnou v produkčním prostředí.

  1. V Azure Portal v Registrace aplikací vyberte svou aplikaci.
  2. Vyberte Certifikáty a & tajné kódy > klienta Nový tajný kód > klienta.
  3. Přidejte popis tajného klíče klienta.
  4. Vyberte vypršení platnosti tajného klíče nebo zadejte vlastní životnost.
    • Životnost tajného klíče klienta je omezena na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
    • Microsoft doporučuje nastavit hodnotu vypršení platnosti kratší než 12 měsíců.
  5. Vyberte Přidat.
  6. Zaznamená hodnotu tajného kódu pro použití v kódu klientské aplikace. Po opouštění této stránky se tato hodnota tajného klíče už nikdy nezobrazí.

Doporučení zabezpečení aplikací najdete v tématu Microsoft identity platform osvědčené postupy a doporučení.

Další kroky

Klientské aplikace obvykle potřebují přístup k prostředkům ve webovém rozhraní API. Klientskou aplikaci můžete chránit pomocí Microsoft identity platform. Platformu můžete použít také k povolení přístupu k webovému rozhraní API na základě oprávnění.

Přejděte k dalšímu rychlému startu série, ve které vytvoříte další registraci aplikace pro vaše webové rozhraní API a zpřístupníte její obory.

Konfigurace aplikace pro vystavení webového rozhraní API