Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform

Beginnen Sie mit der Microsoft Identity Platform, indem Sie eine Anwendung im Azure-Portal registrieren.

IAM-Aktionen (Identity & Access Management) werden von Microsoft Identity Platform nur für registrierte Anwendungen ausgeführt. Durch die Registrierung wird eine Vertrauensstellung zwischen Ihrer Anwendung und Microsoft Identity Platform als Identitätsanbieter hergestellt. Dabei spielt es keine Rolle, ob es sich um eine Clientanwendung (z. B. Web-App oder mobile App) oder um eine Web-API handelt, die eine Client-App unterstützt.

Tipp

Führen Sie zum Registrieren einer Anwendung für Azure AD B2C die Schritte unter Tutorial: Registrieren einer Webanwendung in Azure Active Directory B2C aus.

Voraussetzungen

Registrieren einer Anwendung

Beim Registrieren Ihrer Anwendung wird eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform erstellt. Die Vertrauensstellung ist unidirektional: Ihre App vertraut Microsoft Identity Platform und nicht umgekehrt.

Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie im Menü am oberen Rand den Filter Verzeichnis + Abonnement , um den Mandanten auszuwählen, in dem Sie die Anwendung registrieren möchten.

  3. Suchen Sie nach Azure Active Directory, und wählen Sie diese Option aus.

  4. Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen>Neue Registrierung.

  5. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Benutzer Ihrer Anwendung können den Anzeigenamen sehen, wenn sie die App verwenden, z. B. während der Anmeldung. Sie können den Anzeigenamen jederzeit ändern, und mehrere App-Registrierungen können denselben Namen haben. Die automatisch generierte Anwendungs-ID (Client-ID) der App-Registrierung (nicht der Anzeigename) identifiziert Ihre App eindeutig innerhalb der Identitätsplattform.

  6. Geben Sie an, wer die Anwendung verwenden kann (Zielgruppe für die Anmeldung).

    Unterstützte Kontotypen BESCHREIBUNG
    Nur Konten in diesem Organisationsverzeichnis Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer (oder Gäste) in Ihrem Mandanten erstellen.

    Bei dieser App, die häufig auch als Branchenanwendung bezeichnet wird, handelt es sich um eine Einzelmandantenanwendung in Microsoft Identity Platform.
    Konten in einem beliebigen Organisationsverzeichnis Wählen Sie diese Option aus, wenn Sie möchten, dass Benutzer in einem beliebigen Azure AD-Mandanten (Azure Active Directory) Ihre Anwendung verwenden können. Diese Option eignet sich beispielsweise beim Erstellen von SaaS-Anwendungen (Software-as-a-Service), die Sie für mehrere Organisationen bereitstellen möchten.

    Diese Art von App wird in Microsoft Identity Platform als mehrinstanzenfähige Anwendung bezeichnet.
    Konten in allen Organisationsverzeichnissen und persönliche Microsoft-Konten Verwenden Sie diese Option, um die breiteste Kundengruppe anzusprechen.

    Wenn Sie diese Option auswählen, wird eine mehrinstanzenfähige Anwendung registriert, die auch Benutzer mit persönlichen Microsoft-Konten unterstützen kann.
    Persönliche Microsoft-Konten Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer mit persönlichen Microsoft-Konten erstellen. Zu persönlichen Microsoft-Konten zählen Skype-, Xbox-, Live- und Hotmail-Konten.
  7. Lassen Sie Umleitungs-URI (optional) leer. Ein Umleitungs-URI wird im nächsten Abschnitt konfiguriert.

  8. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

    Screenshot of the Azure portal in a web browser, showing the Register an application pane.

Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt. Hier finden Sie auch die Anwendungs-ID (Client-ID) . Dieser Wert wird auch als Client-ID bezeichnet und ermöglicht die eindeutige Identifizierung Ihrer Anwendung in Microsoft Identity Platform.

Wichtig

Neue App-Registrierungen werden für Benutzer standardmäßig ausgeblendet. Wenn die App Benutzern auf der Seite „Meine Apps“ angezeigt werden soll, können Sie sie aktivieren. Navigieren Sie zum Aktivieren der App im Azure-Portal zu Azure Active Directory>Unternehmensanwendungen, und wählen Sie die App aus. Legen Sie anschließend auf der Seite Eigenschaften die Option Für Benutzer sichtbar? auf „Ja“ fest.

Die Client-ID wird auch vom Code Ihrer Anwendung (bzw. üblicherweise von einer in Ihrer Anwendung verwendeten Authentifizierungsbibliothek) genutzt. Sie wird bei der Überprüfung der von Identity Platform empfangenen Sicherheitstoken herangezogen.

Screenshot of the Azure portal in a web browser, showing an app registration's Overview pane.

Hinzufügen eines Umleitungs-URI

Ein Umleitungs-URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.

In einer Webanwendung für die Produktion beispielsweise ist der Umleitungs-URI häufig ein öffentlicher Endpunkt (z. B. https://contoso.com/auth-response), auf dem Ihre App ausgeführt wird. Bei der Entwicklung wird häufig auch der Endpunkt hinzugefügt, auf dem Sie Ihre App lokal ausführen, z. B. https://127.0.0.1/auth-response oder http://localhost/auth-response.

Durch Konfigurieren Ihrer Plattformeinstellungen können Sie Umleitungs-URIs für Ihre registrierten Anwendungen hinzufügen und ändern.

Konfigurieren von Plattformeinstellungen

Die Einstellungen für jeden Anwendungstyp (einschließlich Umleitungs-URIs) werden unter Plattformkonfigurationen im Azure-Portal konfiguriert. Bei einigen Plattformen (z. B. Web- und Single-Page-Webanwendungen) müssen Sie manuell einen Umleitungs-URI angeben. Bei anderen Plattformen (z. B. mobile Anwendungen und Desktopanwendungen) stehen Umleitungs-URIs zur Auswahl, die beim Konfigurieren anderer Einstellungen für Sie generiert wurden.

Führen Sie die folgenden Schritte aus, um Anwendungseinstellungen basierend auf der Zielplattform oder dem Zielgerät zu konfigurieren:

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.

  2. Wählen Sie unter Verwalten die Option Authentifizierung aus.

  3. Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen aus.

  4. Wählen Sie unter Plattformen konfigurieren die Kachel für Ihren Anwendungstyp (Plattform) aus, um die Einstellungen zu konfigurieren.

    Screenshot of the platform configuration pane in the Azure portal.

    Plattform Konfigurationseinstellungen
    Web Geben Sie einen Umleitungs-URI für Ihre Anwendung ein. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.

    Wählen Sie diese Plattform für Standardwebanwendungen aus, die auf einem Server ausgeführt werden.
    Einzelseitenanwendung Geben Sie einen Umleitungs-URI für Ihre Anwendung ein. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.

    Wählen Sie diese Plattform aus, wenn Sie eine clientseitige Web-App in JavaScript oder mit einem Framework wie Angular, Vue.js, React.js oder Blazor WebAssembly erstellen.
    iOS/macOS Geben Sie die Paket-ID der App ein. Diese Angabe finden Sie in den Buildeinstellungen oder in Xcode in Info.plist.

    Wenn Sie eine Paket-ID angeben, wird ein Umleitungs-URI für Sie generiert.
    Android Geben Sie den Paketnamen der App ein. Diese Angabe finden Sie in der Datei AndroidManifest.xml. Generieren Sie außerdem den Signaturhash, und geben Sie ihn ein.

    Bei der Angabe dieser Einstellungen wird ein Umleitungs-URI für Sie generiert.
    Mobile Anwendungen und Desktopanwendungen Wählen Sie einen der vorgeschlagenen Umleitungs-URIs aus, oder geben Sie einen benutzerdefinierten Umleitungs-URI an.

    Für Desktopanwendungen mit eingebettetem Browser wird Folgendes empfohlen:
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Für Desktopanwendungen mit Systembrowser wird Folgendes empfohlen:
    http://localhost

    Wählen Sie diese Plattform für mobile Anwendungen aus, die nicht die aktuelle Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) oder keinen Broker verwenden. Wählen Sie diese Plattform auch für Desktopanwendungen aus.
  5. Wählen Sie Konfigurieren aus, um die Plattformkonfiguration abzuschließen.

Einschränkungen bei Umleitungs-URIs

Beim Format der Umleitungs-URIs, die Sie einer App-Registrierung hinzufügen, gibt es gewisse Einschränkungen. Einzelheiten zu diesen Einschränkungen finden Sie unter Einschränkungen für Umleitungs-URI/Antwort-URL.

Hinzufügen von Anmeldeinformationen

Anmeldeinformationen werden von vertraulichen Clientanwendungen verwendet, die auf eine Web-API zugreifen. Beispiele für vertrauliche Clients sind Web-Apps, andere Web-APIs oder Dienst- und Daemonanwendungen. Mit den Anmeldeinformationen kann sich Ihre Anwendung selbst authentifizieren und benötigt zur Laufzeit keine Interaktion durch einen Benutzer.

Sie können Ihrer vertraulichen Client-App-Registrierung sowohl Zertifikate als auch geheime Clientschlüssel (Zeichenfolge) als Anmeldeinformationen hinzufügen.

Screenshot of the Azure portal, showing the Certificates and secrets pane in an app registration.

Hinzufügen eines Zertifikats

Für die Anmeldung wird die Verwendung eines Zertifikats (gelegentlich auch als öffentlicher Schlüssel bezeichnet) empfohlen, da ein Zertifikat im Vergleich zu einem Clientschlüssel als sicherer gilt. Weitere Informationen zur Verwendung von Zertifikaten als Authentifizierungsmethode in Ihrer Anwendung finden Sie unter Microsoft Identity Platform-Zertifikatanmeldeinformationen für die Anwendungsauthentifizierung.

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
  2. Wählen Sie Zertifikate &Geheimnisse>Zertifikate>Zertifikat hochladen.
  3. Wählen Sie die Datei, die Sie hochladen möchten. Dabei muss es sich um einen der folgenden Dateitypen handeln: .cer, .pem oder .crt.
  4. Wählen Sie Hinzufügen.

Geheimen Clientschlüssel hinzufügen

Bei einem geheimen Clientschlüssel (gelegentlich auch als Anwendungskennwort bezeichnet) handelt es sich um einen Zeichenfolgenwert, der anstelle eines Zertifikats von Ihrer App für die Identifizierung verwendet werden kann.

Geheime Clientschlüssel gelten im Vergleich zu Zertifikatanmeldeinformationen als weniger sicher. Anwendungsentwickler verwenden bei der Entwicklung lokaler Apps aufgrund der Benutzerfreundlichkeit gelegentlich geheime Clientschlüssel. Sie sollten jedoch Zertifikats-Anmeldeinformationen für alle Ihre Anwendungen verwenden, die in der Produktion ausgeführt werden.

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
  2. Wählen Sie Zertifikate &Geheimnisse>Kundengeheimnisse>Neues Kundengeheimnis.
  3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
  4. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an.
    • Die Lebensdauer eines geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) begrenzt. Das bedeutet, dass keine benutzerdefinierte Lebensdauer angegeben werden kann, die über die 24 Monate hinausgeht.
    • Microsoft empfiehlt, den Wert für die Ablauffrist auf maximal 12 Monate festzulegen.
  5. Wählen Sie Hinzufügen.
  6. Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden.

Empfehlungen zur Anwendungssicherheit finden Sie unter Bewährte Methoden und Empfehlungen für Microsoft Identity Platform.

Nächste Schritte

Clientanwendungen müssen in der Regel auf Ressourcen in einer Web-API zugreifen. Sie können Ihre Clientplattform mithilfe von Microsoft Identity Platform schützen. Darüber hinaus können Sie die Plattform zum Autorisieren von bereichsbezogenem, berechtigungsbasiertem Zugriff auf Ihre Web-API verwenden.

In der nächsten Schnellstartanleitung der Reihe erfahren Sie, wie Sie eine weitere App-Registrierung für Ihre Web-API erstellen und deren Bereiche verfügbar machen.