Schnellstart: Konfigurieren einer Clientanwendung für den Zugriff auf Web-APIsQuickstart: Configure a client application to access web APIs

Damit eine Webanwendung oder vertrauliche Clientanwendung an einem Flow zur Autorisierungsgenehmigung teilnehmen kann, bei dem eine Authentifizierung (und das Abrufen eines Zugriffstokens) erforderlich ist, benötigt sie sichere Anmeldeinformationen.For a web/confidential client application to be able to participate in an authorization grant flow that requires authentication (and obtain an access token), it must establish secure credentials. Die Standardauthentifizierungsmethode im Azure-Portal ist „Client-ID + geheimer Schlüssel“.The default authentication method supported by the Azure portal is client ID + secret key.

Bevor ein Client Zugriff auf eine Web-API erhält, die durch eine Ressourcenanwendung (z.B. Microsoft Graph-API) bereitgestellt wird, stellt das Zustimmungs-Framework außerdem sicher, dass dem Client die erforderlichen Berechtigungen basierend auf den angeforderten Berechtigungen erteilt werden.Additionally, before a client can access a web API exposed by a resource application (such as Microsoft Graph API), the consent framework ensures the client obtains the permission grant required based on the permissions requested. Standardmäßig können alle Anwendungen Berechtigungen aus der Microsoft Graph-API wählen.By default, all applications can choose permissions from the Microsoft Graph API. Die Graph-API-Berechtigung „Anmelden und Benutzerprofil lesen“ ist standardmäßig ausgewählt.The Graph API “Sign-in and read user profile” permission is selected by default. Sie können für jede gewünschte Web-API zwischen zwei Arten von Berechtigungen wählen:You can select from two types of permissions for each desired web API:

  • Anwendungsberechtigungen: Ihre Clientanwendung benötigt direkten Zugriff auf die Web-API als sie selbst (kein Benutzerkontext).Application permissions - Your client application needs to access the web API directly as itself (no user context). Für diese Art von Berechtigung ist die Zustimmung des Administrators erforderlich, und sie steht nicht für öffentliche Clientanwendungen (Desktop und mobil) zur Verfügung.This type of permission requires administrator consent and is also not available for public (desktop and mobile) client applications.

  • Delegierte Berechtigungen: Ihre Clientanwendung benötigt als angemeldeter Benutzer Zugriff auf die Web-API. Der Zugriff ist aber durch die ausgewählte Berechtigung eingeschränkt.Delegated permissions - Your client application needs to access the web API as the signed-in user, but with access limited by the selected permission. Diese Art von Berechtigung kann von einem Benutzer erteilt werden, sofern für die Berechtigung nicht die Zustimmung durch einen Administrator erforderlich ist.This type of permission can be granted by a user unless the permission requires administrator consent.

    Hinweis

    Durch Hinzufügen einer delegierten Berechtigung zu einer Anwendung erteilen Sie den Benutzern im Mandanten nicht automatisch Ihre Zustimmung.Adding a delegated permission to an application does not automatically grant consent to the users within the tenant. Benutzer müssen den zusätzlichen delegierten Berechtigungen weiterhin zur Laufzeit manuell zustimmen, sofern der Administrator nicht im Namen aller Benutzer die Zustimmung erteilt hat.Users must still manually consent for the added delegated permissions at runtime, unless the administrator grants consent on behalf of all users.

In dieser Schnellstartanleitung wird veranschaulicht, wie Sie Ihre App für folgende Zwecke konfigurieren:In this quickstart, we'll show you how to configure your app to:

VoraussetzungenPrerequisites

Stellen Sie zunächst sicher, dass die folgenden Voraussetzungen erfüllt sind:To get started, make sure you complete these prerequisites:

Anmelden beim Azure-Portal und Auswählen der AppSign in to the Azure portal and select the app

Sie müssen die folgenden Schritte ausführen, bevor Sie die App konfigurieren können:Before you can configure the app, follow these steps:

  1. Melden Sie sich mit einem Geschäfts-, Schul- oder Unikonto oder mit einem persönlichen Microsoft-Konto beim Azure-Portal an.Sign in to the Azure portal using either a work or school account or a personal Microsoft account.
  2. Wenn Sie mit Ihrem Konto auf mehrere Mandanten zugreifen können, klicken Sie rechts oben auf Ihr Konto, und legen Sie Ihre Portalsitzung auf den gewünschten Azure AD-Mandanten fest.If your account gives you access to more than one tenant, select your account in the top-right corner, and set your portal session to the desired Azure AD tenant.
  3. Wählen Sie im linken Navigationsbereich den Dienst Azure Active Directory und anschließend App-Registrierungen aus.In the left-hand navigation pane, select the Azure Active Directory service and then select App registrations.
  4. Wählen Sie die Anwendung aus, die Sie konfigurieren möchten.Find and select the application you want to configure. Nachdem Sie die App ausgewählt haben, wird die Seite Übersicht oder die Hauptseite für die Registrierung angezeigt.Once you've selected the app, you'll see the application's Overview or main registration page.
  5. Führen Sie die Schritte zum Konfigurieren Ihrer Anwendung für den Zugriff auf Web-APIs aus:Follow the steps to configure your application to access web APIs:

Hinzufügen von Umleitungs-URIs zur AnwendungAdd redirect URI(s) to your application

Fügen Sie Ihrer Anwendung wie folgt einen Umleitungs-URI hinzu:To add a redirect URI to your application:

  1. Wählen Sie auf der Seite Übersicht der App den Abschnitt Authentifizierung.From the app's Overview page, select the Authentication section.

  2. Führen Sie diese Schritte aus, um einen benutzerdefinierten Umleitungs-URI für Web-Apps und öffentliche Clientanwendungen hinzuzufügen:To add a custom redirect URI for web and public client applications, follow these steps:

    1. Suchen Sie nach dem Abschnitt Umleitungs-URI.Locate the Redirect URI section.
    2. Wählen Sie den Typ der zu erstellenden Anwendung aus: Web oder Öffentlicher Client (Mobilgerät und Desktop) .Select the type of application you're building, Web or Public client (mobile & desktop).
    3. Geben Sie den Umleitungs-URI für Ihre Anwendung ein.Enter the Redirect URI for your application.
      • Geben Sie für Webanwendungen die Basis-URL Ihrer Anwendung an.For web applications, provide the base URL of your application. http://localhost:31544 kann beispielsweise die URL für eine Webanwendung sein, die auf einem lokalen Computer ausgeführt wird.For example, http://localhost:31544 might be the URL for a web application running on your local machine. Benutzer können diese URL nutzen, um sich an einer Webclientanwendung anzumelden.Users would use this URL to sign into a web client application.
      • Geben Sie für öffentliche Anwendungen den URI an, der von Azure AD zum Zurückgeben von Tokenantworten verwendet wird.For public applications, provide the URI used by Azure AD to return token responses. Geben Sie einen für Ihre Anwendung spezifischen Wert ein, z.B. https://MyFirstApp.Enter a value specific to your application, for example: https://MyFirstApp.
  3. Führen Sie diese Schritte aus, um eine Auswahl aus den vorgeschlagenen Umleitungs-URIs für öffentliche Clients (Mobilgerät, Desktop) zu treffen:To choose from suggested Redirect URIs for public clients (mobile, desktop), follow these steps:

    1. Suchen Sie nach dem Abschnitt mit den Vorschlägen zu Umleitungs-URIs für öffentliche Clients (Mobilgerät, Desktop) .Locate the Suggested Redirect URIs for public clients (mobile, desktop) section.
    2. Wählen Sie die passenden Umleitungs-URIs für Ihre Anwendung aus, indem Sie die Kontrollkästchen verwenden.Select the appropriate Redirect URI(s) for your application using the checkboxes.

Hinweis

Testen Sie die neue Benutzeroberfläche für die Authentifizierung, auf der Sie Einstellungen für Ihre Anwendung basierend auf der Zielplattform oder dem Zielgerät konfigurieren können.Try out the new Authentication settings experience where you can configure settings for your application based on the platform or device that you want to target.

Um diese Ansicht anzuzeigen, wählen Sie auf der Standardseite für die Authentifizierung die Option Neue Benutzeroberfläche ausprobieren aus.To see this view, select Try out the new experience from the default Authentication page view.

Klicken auf „Neue Benutzeroberfläche ausprobieren“ zum Anzeigen der Ansicht für die Plattformkonfiguration

Dadurch gelangen Sie zur neuen Seite Plattformkonfigurationen.This takes you to the new Platform configurations page.

Konfigurieren von erweiterten Einstellungen für Ihre AnwendungConfigure advanced settings for your application

Je nachdem, welche Anwendung Sie registrieren, müssen Sie möglicherweise einige zusätzliche Einstellungen konfigurieren, wie z.B. folgende:Depending on the application you're registering, there are some additional settings that you may need to configure, such as:

  • Abmelde-URLLogout URL
  • Bei Einzelseiten-Apps können Sie Implizite Genehmigung aktivieren und die Token auswählen, die vom Autorisierungsendpunkt ausgegeben werden sollen.For single-page apps, you can enable Implicit grant and select the tokens that you'd like the authorization endpoint to issue.
  • Bei Desktop-Apps, die Token per integrierter Windows-Authentifizierung, Gerätecodeflow oder Benutzername/Kennwort im Abschnitt Standardclienttyp erhalten, legen Sie die Einstellung Anwendung als öffentlichen Client behandeln auf Ja fest.For desktop apps that are acquiring tokens with Integrated Windows Authentication, device code flow, or username/password in the Default client type section, configure the Treat application as public client setting to Yes.
  • Bei Legacy-Apps, die das Live SDK für die Integration in den Microsoft-Kontodienst verwendet haben, konfigurieren Sie Live SDK-Unterstützung.For legacy apps that were using the Live SDK to integrate with the Microsoft account service, configure Live SDK support. Für neue Apps ist diese Einstellung nicht erforderlich.New apps don't need this setting.
  • StandardclienttypDefault client type

Ändern der unterstützten KontotypenModify supported account types

Unterstützte Kontotypen geben an, wer die Anwendung verwenden oder auf die API zugreifen darf.The Supported account types specify who can use the application or access the API.

Sobald Sie bei der ersten Registrierung der Anwendung die unterstützten Kontotypen konfiguriert haben, können Sie diese Einstellung nur in folgenden Fällen mithilfe des Anwendungsmanifest-Editors ändern:Once you've configured the supported account types when you initially registered the application, you can only change this setting using the application manifest editor if:

  • Sie ändern den Kontotyp von AzureADMyOrg oder AzureADMultipleOrgs in AzureADandPersonalMicrosoftAccount oder umgekehrt.You change account types from AzureADMyOrg or AzureADMultipleOrgs to AzureADandPersonalMicrosoftAccount, or vice versa.
  • Sie ändern den Kontotyp von AzureADMyOrg in AzureADMultipleOrgs oder umgekehrt.You change account types from AzureADMyOrg to AzureADMultipleOrgs, or vice versa.

So ändern Sie die unterstützten Kontotypen für eine vorhandene App-Registrierung:To change the supported account types for an existing app registration:

Konfigurieren von Plattformeinstellungen für Ihre AnwendungConfigure platform settings for your application

Konfigurieren von Einstellungen für Ihre App basierend auf der Plattform oder dem GerätConfigure settings for your app based on the platform or device

Um Anwendungseinstellungen basierend auf der Plattform oder dem Gerät zu konfigurieren, gehen Sie folgendermaßen vor:To configure application settings based on the platform or device, you're targeting:

  1. Klicken Sie auf der Seite Plattformkonfigurationen auf Plattform hinzufügen, und wählen Sie eine der verfügbaren Optionen aus.In the Platform configurations page, select Add a platform and choose from the available options.

    Seite zum Konfigurieren von Plattformen

  2. Geben Sie die Einstellungsinformationen für die von Ihnen ausgewählte Plattform ein.Enter the settings info based on the platform you selected.

    PlattformPlatform AuswahlChoices KonfigurationseinstellungenConfiguration settings
    WebanwendungenWeb applications WebWeb Geben Sie den Umleitungs-URI für Ihre Anwendung ein.Enter the Redirect URI for your application.
    Mobile AnwendungenMobile applications iOSiOS Geben Sie die Bundle-ID der App ein, die Sie in Xcode in der Datei „Info.plist“ oder in den Buildeinstellungen finden.Enter the app's Bundle ID, which you can find in XCode in Info.plist, or Build Settings. Durch Hinzufügen der Bundle-ID wird automatisch ein Umleitungs-URI für die Anwendung erstellt.Adding the bundle ID automatically creates a redirect URI for the application.
    AndroidAndroid * Geben Sie den Paketnamen der App an, den Sie in der AndroidManifest.xml-Datei finden.* Provide the app's Package name, which you can find in the AndroidManifest.xml file.
    * Generieren Sie den Signaturhash, und geben Sie ihn ein.* Generate and enter the Signature hash. Durch Hinzufügen des Signaturhashs wird automatisch ein Umleitungs-URI für die Anwendung erstellt.Adding the signature hash automatically creates a redirect URI for the application.
    Desktop + GeräteDesktop + devices Desktop + GeräteDesktop + devices * Optional.* Optional. Wählen Sie einen der vorgeschlagenen Umleitungs-URIs aus, wenn Sie Apps für Desktops und Geräte erstellen.Select one of the recommended Suggested redirect URIs if you're building apps for desktop and devices.
    * Optional.* Optional. Geben Sie einen benutzerdefinierten Umleitungs-URI ein, an den Benutzer als Antwort auf Authentifizierungsanforderungen von Azure AD umgeleitet werden.Enter a Custom redirect URI, which is used as the location where Azure AD will redirect users in response to authentication requests. Verwenden Sie beispielsweise https://localhost für .NET Core-Anwendungen, bei denen eine Interaktion erwünscht ist.For example, for .NET Core applications where you want interaction, use https://localhost.

    Wichtig

    Bei mobilen Anwendungen, die nicht die neueste MSAL oder keinen Broker verwenden, müssen Sie die Umleitungs-URIs für diese Anwendungen unter Desktop + Geräte konfigurieren.For mobile applications that aren't using the latest MSAL library or not using a broker, you must configure the redirect URIs for these applications in Desktop + devices.

  3. Je nach ausgewählter Plattform können Sie möglicherweise weitere Einstellungen konfigurieren.Depending on the platform you chose, there may be additional settings that you can configure. Bei Web-Apps haben Sie folgende Möglichkeiten:For Web apps, you can:

    • Hinzufügen weiterer Umleitungs-URIsAdd more redirect URIs
    • Konfigurieren einer impliziten Genehmigung, um die Token auszuwählen, die vom Autorisierungsendpunkt ausgegeben werden sollen:Configure Implicit grant to select the tokens you'd like to be issued by the authorization endpoint:
      • Wählen Sie bei Einzelseiten-Apps sowohl Zugriffstoken als auch ID-Token aus.For single-page apps, select both Access tokens and ID tokens
      • Wählen Sie bei Web-Apps ID-Token aus.For web apps, select ID tokens

Hinzufügen von Anmeldeinformationen zu Ihrer WebanwendungAdd credentials to your web application

Fügen Sie Ihrer Webanwendung wie folgt Anmeldeinformationen hinzu:To add a credential to your web application:

  1. Wählen Sie auf der Seite Übersicht der App den Abschnitt Certificates & secrets (Zertifikate und Geheimnisse).From the app's Overview page, select the Certificates & secrets section.

  2. Führen Sie diese Schritte aus, um ein Zertifikat hinzuzufügen:To add a certificate, follow these steps:

    1. Wählen Sie Zertifikat hochladen.Select Upload certificate.
    2. Wählen Sie die Datei aus, die Sie hochladen möchten.Select the file you'd like to upload. Die Datei muss einen der folgenden Dateitypen aufweisen: CER, PEM, CRT.It must be one of the following file types: .cer, .pem, .crt.
    3. Wählen Sie Hinzufügen.Select Add.
  3. Führen Sie diese Schritte aus, um einen geheimen Clientschlüssel hinzuzufügen:To add a client secret, follow these steps:

    1. Wählen Sie Neuer geheimer Clientschlüssel.Select New client secret.
    2. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.Add a description for your client secret.
    3. Wählen Sie eine Dauer aus.Select a duration.
    4. Wählen Sie Hinzufügen.Select Add.

Hinweis

Nach dem Speichern der Konfigurationsänderungen enthält die Spalte ganz rechts den Wert für den geheimen Clientschlüssel.After you save the configuration changes, the right-most column will contain the client secret value. Kopieren Sie den Wert zur Verwendung im Code Ihrer Clientanwendung, da er nach dem Verlassen dieser Seite nicht mehr zugänglich ist.Be sure to copy the value for use in your client application code as it's not accessible once you leave this page.

Hinzufügen von Zugriffsberechtigungen für Web-APIsAdd permissions to access web APIs

Fügen Sie Berechtigungen für den Zugriff auf Ressourcen-APIs von Ihrem Client wie folgt hinzu:To add permission(s) to access resource APIs from your client:

  1. Wählen Sie auf der Seite Übersicht der App die Option API-Berechtigungen.From the app's Overview page, select API permissions.
  2. Wählen Sie die Schaltfläche Berechtigung hinzufügen.Select the Add a permission button.
  3. Standardmäßig ermöglicht Ihnen die Ansicht die Auswahl von Microsoft-APIs.By default, the view allows you to select from Microsoft APIs. Wählen Sie den Abschnitt mit den APIs aus, die für Sie interessant sind:Select the section of APIs that you're interested in:
    • Microsoft-APIs: Sie können Berechtigungen für Microsoft-APIs auswählen, z.B. Microsoft Graph.Microsoft APIs - Lets you select permissions for Microsoft APIs such as Microsoft Graph.
    • Von meiner Organisation verwendete APIs: Sie können Berechtigungen für APIs auswählen, die von Ihrer Organisation verfügbar gemacht wurden, oder APIs, für die Ihre Organisation die Integration durchgeführt hat.APIs my organization uses - Lets you select permissions for APIs that have been exposed by your organization, or APIs that your organization has integrated with.
    • Meine APIs: Sie können Berechtigungen für APIs auswählen, die Sie verfügbar gemacht haben.My APIs - Lets you select permissions for APIs that you have exposed.
  4. Nachdem Sie die APIs ausgewählt haben, wird die Seite API-Berechtigungen anfordern angezeigt.Once you've selected the APIs, you'll see the Request API Permissions page. Wenn die API sowohl delegierte Berechtigungen als auch Anwendungsberechtigungen verfügbar macht, können Sie auswählen, welche Art von Berechtigung für Ihre Anwendung erforderlich ist.If the API exposes both delegated and application permissions, select which type of permission your application needs.
  5. Wählen Sie abschließend die Option Berechtigungen hinzufügen.When finished, select Add permissions. Sie gelangen zurück auf die Seite API-Berechtigungen, auf der die Berechtigungen gespeichert und der Tabelle hinzugefügt wurden.You will return to the API permissions page, where the permissions have been saved and added to the table.

Nächste SchritteNext steps

Sehen Sie sich die anderen Schnellstartanleitungen zur App-Verwaltung an:Learn about these other related app management quickstarts for apps:

Um mehr über die beiden Azure AD-Objekte, die eine registrierte Anwendung darstellen, und die Beziehung zwischen ihnen zu erfahren, lesen Sie Anwendungsobjekte und Dienstprinzipalobjekte.To learn more about the two Azure AD objects that represent a registered application and the relationship between them, see Application objects and service principal objects.

Weitere Informationen zu den Brandingrichtlinien, die Sie bei der Entwicklung von Anwendungen mit Azure Active Directory verwenden sollten, finden Sie unter Brandingrichtlinien für Anwendungen.To learn more about the branding guidelines you should use when developing applications with Azure Active Directory, see Branding guidelines for applications.