Aplikace klasické pracovní plochy, která volá webová rozhraní API: registrace aplikace

Tento článek popisuje specifickou registraci aplikací pro desktopovou aplikaci.

Podporované typy účtu

Typy účtů podporované v desktopové aplikaci závisí na zkušenostech, které chcete vysvětlit. Z důvodu tohoto vztahu jsou podporované typy účtů závislé na tokůch, které chcete použít.

Cílová skupina pro získání interaktivního tokenu

Pokud vaše aplikace klasické pracovní plochy používá interaktivní ověřování, můžete se přihlásit z libovolného typu účtu.

Cílová skupina pro tiché toky aplikace klasické pracovní plochy

  • pokud chcete použít integrované Windows ověřování nebo uživatelské jméno a heslo, vaše aplikace musí přihlašovat uživatele ve vašem vlastním tenantovi, například pokud jste vývojář pro obchodní účely (LOB). nebo v Azure Active Directory organizacích musí vaše aplikace přihlašovat uživatele ve vašem vlastním tenantovi, pokud se jedná o scénář nezávislého výrobce softwaru. Tyto toky ověřování nejsou podporované pro osobní účty Microsoft.
  • Pokud se přihlašujete uživatelům pomocí sociálních identit, které předají autoritu a zásadu pro B2C (Business-to-Commerce), můžete použít jenom interaktivní ověřování pomocí uživatelského jména a hesla.

Identifikátory URI pro přesměrování

Identifikátor URI pro přesměrování, který se má použít v desktopové aplikaci, závisí na toku, který chcete použít.

Určete identifikátor URI pro přesměrování vaší aplikace nakonfigurováním nastavení platformy pro aplikaci v Registrace aplikací Azure Portal.

  • Pro aplikace, které používají interaktivní ověřování:

    • Aplikace, které používají vložené prohlížeče: https://login.microsoftonline.com/common/oauth2/nativeclient (Poznámka: Pokud by vaše aplikace obsahovala okno, které obvykle neobsahuje adresní řádek, používá "vložený prohlížeč".)
    • Aplikace, které používají systémové prohlížeče: http://localhost (Poznámka: Pokud vaše aplikace zaznamenala výchozí prohlížeč vašeho systému (například Edge, Chrome, Firefox atd.), aby se mohl navštívit portál pro přihlášení k Microsoft, používá prohlížeč "System".)

    Důležité

    Jako osvědčený postup zabezpečení doporučujeme explicitně nastavit https://login.microsoftonline.com/common/oauth2/nativeclient nebo http://localhost jako identifikátor URI přesměrování. Některé knihovny ověřování, jako je MSAL.NET, používají výchozí hodnotu urn:ietf:wg:oauth:2.0:oob , pokud není zadán jiný identifikátor URI pro přesměrování, což se nedoporučuje. Tato výchozí hodnota se aktualizuje jako zásadní změna v další hlavní verzi.

  • Pokud vytváříte nativní cíl-C nebo aplikaci SWIFT pro macOS, zaregistrujte identifikátor URI přesměrování na základě identifikátoru sady prostředků vaší aplikace v následujícím formátu: msauth.<your.app.bundle.id>://auth . Nahraďte <your.app.bundle.id> identifikátorem sady prostředků vaší aplikace.

  • Pokud vytváříte Node.js elektronickou aplikaci, použijte k tomu vlastní protokol souborů místo identifikátoru URI pro přesměrování webu (https://), aby bylo možné zpracovat krok přesměrování v případě instance msal://redirect . Název vlastního protokolu souboru by neměl být vypsaný jako odhad a měl by postupovat podle návrhů ve specifikaci OAuth 2.0 pro nativní aplikace.

  • pokud vaše aplikace používá jenom integrované ověřování Windows nebo uživatelské jméno a heslo, nemusíte pro svoji aplikaci registrovat identifikátor URI přesměrování. tyto toky zavedou zpáteční cestu k koncovému bodu Microsoft identity platform v 2.0. Vaše aplikace se nebude volat zpátky na žádný konkrétní identifikátor URI.

  • chcete-li odlišit tok kódu zařízení, integrované ověřování Windowsa uživatelské jméno a heslo z aplikace důvěrného klienta pomocí toku přihlašovacích údajů klienta, který se používá v aplikacích démona, žádný z nich nevyžaduje identifikátor URI pro přesměrování, který je nakonfigurován jako veřejná klientská aplikace. Chcete-li dosáhnout této konfigurace:

    1. V Azure Portalvyberte svou aplikaci v Registrace aplikací a pak vyberte ověřování.

    2. V části Upřesnit nastavení > Povolit toky veřejného klienta > Povolte následující toky mobilních a desktopových toků: vyberte Ano.

      Povolit nastavení veřejného klienta v podokně ověřování v Azure Portal

Oprávnění rozhraní API

Aplikace klasické pracovní plochy volají rozhraní API pro přihlášeného uživatele. Potřebují požádat o delegovaná oprávnění. Nemohou žádat o oprávnění aplikace, která jsou zpracovávána pouze v aplikacích démon.

Další kroky

Přejděte k dalšímu článku v tomto scénáři, Konfigurace kódu aplikace.