Schnellstart: Registrieren einer Anwendung bei Microsoft Identity PlatformQuickstart: Register an application with the Microsoft identity platform

In dieser Schnellstartanleitung registrieren Sie eine App im Azure-Portal, damit Microsoft Identity Platform die Authentifizierungs- und Autorisierungsdienste für Ihre Anwendung und deren Benutzer bereitstellen kann.In this quickstart, you register an app in the Azure portal so the Microsoft identity platform can provide authentication and authorization services for your application and its users.

IAM-Aktionen (Identity & Access Management) werden von Microsoft Identity Platform nur für registrierte Anwendungen ausgeführt.The Microsoft identity platform performs identity and access management (IAM) only for registered applications. Durch die Registrierung wird eine Vertrauensstellung zwischen Ihrer Anwendung und Microsoft Identity Platform als Identitätsanbieter hergestellt. Dabei spielt es keine Rolle, ob es sich um eine Clientanwendung (z. B. Web-App oder mobile App) oder um eine Web-API handelt, die eine Client-App unterstützt.Whether it's a client application like a web or mobile app, or it's a web API that backs a client app, registering it establishes a trust relationship between your application and the identity provider, the Microsoft identity platform.

VoraussetzungenPrerequisites

Registrieren einer AnwendungRegister an application

Beim Registrieren Ihrer Anwendung wird eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform erstellt.Registering your application establishes a trust relationship between your app and the Microsoft identity platform. Die Vertrauensstellung ist unidirektional: Ihre App vertraut Microsoft Identity Platform und nicht umgekehrt.The trust is unidirectional: your app trusts the Microsoft identity platform, and not the other way around.

Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:Follow these steps to create the app registration:

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie im Menü am oberen Rand den Filter Verzeichnis + Abonnement  , um den Mandanten auszuwählen, in dem Sie eine Anwendung registrieren möchten.

  3. Suchen Sie nach Azure Active Directory, und wählen Sie diese Option aus.Search for and select Azure Active Directory.

  4. Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.Under Manage, select App registrations > New registration.

  5. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.Enter a display Name for your application. Benutzer Ihrer Anwendung können den Anzeigenamen sehen, wenn sie die App verwenden, z. B. während der Anmeldung.Users of your application might see the display name when they use the app, for example during sign-in. Sie können den Anzeigenamen jederzeit ändern, und mehrere App-Registrierungen können denselben Namen haben.You can change the display name at any time and multiple app registrations can share the same name. Die automatisch generierte Anwendungs-ID (Client-ID) der App-Registrierung (nicht der Anzeigename) identifiziert Ihre App eindeutig innerhalb der Identitätsplattform.The app registration's automatically generated Application (client) ID, not its display name, uniquely identifies your app within the identity platform.

  6. Geben Sie an, wer die Anwendung verwenden kann (Zielgruppe für die Anmeldung).Specify who can use the application, sometimes called its sign-in audience.

    Unterstützte KontotypenSupported account types BESCHREIBUNGDescription
    Nur Konten in diesem OrganisationsverzeichnisAccounts in this organizational directory only Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer (oder Gäste) in Ihrem Mandanten erstellen.Select this option if you're building an application for use only by users (or guests) in your tenant.

    Bei dieser App, die häufig auch als Branchenanwendung bezeichnet wird, handelt es sich um eine Einzelmandantenanwendung in Microsoft Identity Platform.Often called a line-of-business (LOB) application, this app is a single-tenant application in the Microsoft identity platform.
    Konten in einem beliebigen OrganisationsverzeichnisAccounts in any organizational directory Wählen Sie diese Option aus, wenn Sie möchten, dass Benutzer in einem beliebigen Azure AD-Mandanten (Azure Active Directory) Ihre Anwendung verwenden können.Select this option if you want users in any Azure Active Directory (Azure AD) tenant to be able to use your application. Diese Option eignet sich beispielsweise beim Erstellen von SaaS-Anwendungen (Software-as-a-Service), die Sie für mehrere Organisationen bereitstellen möchten.This option is appropriate if, for example, you're building a software-as-a-service (SaaS) application that you intend to provide to multiple organizations.

    Diese Art von App wird in Microsoft Identity Platform als mehrinstanzenfähige Anwendung bezeichnet.This type of app is known as a multitenant application in the Microsoft identity platform.
    Konten in allen Organisationsverzeichnissen und persönliche Microsoft-KontenAccounts in any organizational directory and personal Microsoft accounts Verwenden Sie diese Option, um die breiteste Kundengruppe anzusprechen.Select this option to target the widest set of customers.

    Wenn Sie diese Option auswählen, wird eine mehrinstanzenfähige Anwendung registriert, die auch Benutzer mit persönlichen Microsoft-Konten unterstützen kann.By selecting this option, you're registering a multitenant application that can also support users who have personal Microsoft accounts.
    Persönliche Microsoft-KontenPersonal Microsoft accounts Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer mit persönlichen Microsoft-Konten erstellen.Select this option if you're building an application only for users who have personal Microsoft accounts. Zu persönlichen Microsoft-Konten zählen Skype-, Xbox-, Live- und Hotmail-Konten.Personal Microsoft accounts include Skype, Xbox, Live, and Hotmail accounts.
  7. Lassen Sie Umleitungs-URI (optional) leer.Don't enter anything for Redirect URI (optional). Ein Umleitungs-URI wird im nächsten Abschnitt konfiguriert.You'll configure a redirect URI in the next section.

  8. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.Select Register to complete the initial app registration.

    Screenshot: Azure-Portal in einem Webbrowser mit dem Bereich „Anwendung registrieren“

Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt.When registration finishes, the Azure portal displays the app registration's Overview pane. Hier finden Sie auch die Anwendungs-ID (Client-ID) .You see the Application (client) ID. Dieser Wert wird auch als Client-ID bezeichnet und ermöglicht die eindeutige Identifizierung Ihrer Anwendung in Microsoft Identity Platform.Also called the client ID, this value uniquely identifies your application in the Microsoft identity platform.

Wichtig

Neue App-Registrierungen werden für Benutzer standardmäßig ausgeblendet.New app registrations are hidden to users by default. Wenn die App Benutzern auf der Seite „Meine Apps“ angezeigt werden soll, können Sie sie aktivieren.When you are ready for users to see the app on their My Apps page you can enable it. Navigieren Sie zum Aktivieren der App im Azure-Portal zu Azure Active Directory > Unternehmensanwendungen, und wählen Sie die App aus.To enable the app, in the Azure portal navigate to Azure Active Directory > Enterprise applications and select the app. Legen Sie anschließend auf der Seite Eigenschaften die Option Für Benutzer sichtbar? auf „Ja“ fest.Then on the Properties page toggle Visible to users? to Yes.

Die Client-ID wird auch vom Code Ihrer Anwendung (bzw. üblicherweise von einer in Ihrer Anwendung verwendeten Authentifizierungsbibliothek) genutzt.Your application's code, or more typically an authentication library used in your application, also uses the client ID. Sie wird bei der Überprüfung der von Identity Platform empfangenen Sicherheitstoken herangezogen.The ID is used as part of validating the security tokens it receives from the identity platform.

Screenshot: Azure-Portal in einem Webbrowser mit dem Bereich „Übersicht“ einer App-Registrierung

Hinzufügen eines Umleitungs-URIAdd a redirect URI

Ein Umleitungs-URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.A redirect URI is the location where the Microsoft identity platform redirects a user's client and sends security tokens after authentication.

In einer Webanwendung für die Produktion beispielsweise ist der Umleitungs-URI häufig ein öffentlicher Endpunkt (z. B. https://contoso.com/auth-response), auf dem Ihre App ausgeführt wird.In a production web application, for example, the redirect URI is often a public endpoint where your app is running, like https://contoso.com/auth-response. Bei der Entwicklung wird häufig auch der Endpunkt hinzugefügt, auf dem Sie Ihre App lokal ausführen, z. B. https://127.0.0.1/auth-response oder http://localhost/auth-response.During development, it's common to also add the endpoint where you run your app locally, like https://127.0.0.1/auth-response or http://localhost/auth-response.

Durch Konfigurieren Ihrer Plattformeinstellungen können Sie Umleitungs-URIs für Ihre registrierten Anwendungen hinzufügen und ändern.You add and modify redirect URIs for your registered applications by configuring their platform settings.

Konfigurieren von PlattformeinstellungenConfigure platform settings

Die Einstellungen für jeden Anwendungstyp (einschließlich Umleitungs-URIs) werden unter Plattformkonfigurationen im Azure-Portal konfiguriert.Settings for each application type, including redirect URIs, are configured in Platform configurations in the Azure portal. Bei einigen Plattformen (z. B. Web- und Single-Page-Webanwendungen) müssen Sie manuell einen Umleitungs-URI angeben.Some platforms, like Web and Single-page applications, require you to manually specify a redirect URI. Bei anderen Plattformen (z. B. mobile Anwendungen und Desktopanwendungen) stehen Umleitungs-URIs zur Auswahl, die beim Konfigurieren anderer Einstellungen für Sie generiert wurden.For other platforms, like mobile and desktop, you can select from redirect URIs generated for you when you configure their other settings.

So konfigurieren Sie Anwendungseinstellungen auf Basis der Zielplattform oder des ZielgerätsTo configure application settings based on the platform or device you're targeting:

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.In the Azure portal, in App registrations, select your application.

  2. Wählen Sie unter Verwalten die Option Authentifizierung aus.Under Manage, select Authentication.

  3. Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen aus.Under Platform configurations, select Add a platform.

  4. Wählen Sie unter Plattformen konfigurieren die Kachel für Ihren Anwendungstyp (Plattform) aus, um die Einstellungen zu konfigurieren.Under Configure platforms, select the tile for your application type (platform) to configure its settings.

    Screenshot: Plattformkonfigurationsbereich im Azure-Portal

    PlattformPlatform KonfigurationseinstellungenConfiguration settings
    WebWeb Geben Sie einen Umleitungs-URI für Ihre Anwendung ein.Enter a Redirect URI for your app. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.This URI is the location where the Microsoft identity platform redirects a user's client and sends security tokens after authentication.

    Wählen Sie diese Plattform für Standardwebanwendungen aus, die auf einem Server ausgeführt werden.Select this platform for standard web applications that run on a server.
    EinzelseitenanwendungSingle-page application Geben Sie einen Umleitungs-URI für Ihre Anwendung ein.Enter a Redirect URI for your app. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.This URI is the location where the Microsoft identity platform redirects a user's client and sends security tokens after authentication.

    Wählen Sie diese Plattform aus, wenn Sie eine clientseitige Web-App in JavaScript oder mit einem Framework wie Angular, Vue.js, React.js oder Blazor WebAssembly erstellen.Select this platform if you're building a client-side web app by using JavaScript or a framework like Angular, Vue.js, React.js, or Blazor WebAssembly.
    iOS/macOSiOS / macOS Geben Sie die Paket-ID der App ein.Enter the app Bundle ID. Diese Angabe finden Sie in den Buildeinstellungen oder in Xcode in Info.plist.Find it in Build Settings or in Xcode in Info.plist.

    Wenn Sie eine Paket-ID angeben, wird ein Umleitungs-URI für Sie generiert.A redirect URI is generated for you when you specify a Bundle ID.
    AndroidAndroid Geben Sie den Paketnamen der App ein.Enter the app Package name. Diese Angabe finden Sie in der Datei AndroidManifest.xml.Find it in the AndroidManifest.xml file. Generieren Sie außerdem den Signaturhash, und geben Sie ihn ein.Also generate and enter the Signature hash.

    Bei der Angabe dieser Einstellungen wird ein Umleitungs-URI für Sie generiert.A redirect URI is generated for you when you specify these settings.
    Mobile Anwendungen und DesktopanwendungenMobile and desktop applications Wählen Sie einen der vorgeschlagenen Umleitungs-URIs aus,Select one of the Suggested redirect URIs. oder geben Sie einen benutzerdefinierten Umleitungs-URI an.Or specify a Custom redirect URI.

    Für Desktopanwendungen mit eingebettetem Browser wird Folgendes empfohlen:For desktop applications using embedded browser, we recommend
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Für Desktopanwendungen mit Systembrowser wird Folgendes empfohlen:For desktop applications using system browser, we recommend
    http://localhost

    Wählen Sie diese Plattform für mobile Anwendungen aus, die nicht die aktuelle Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) oder keinen Broker verwenden.Select this platform for mobile applications that aren't using the latest Microsoft Authentication Library (MSAL) or aren't using a broker. Wählen Sie diese Plattform auch für Desktopanwendungen aus.Also select this platform for desktop applications.
  5. Wählen Sie Konfigurieren aus, um die Plattformkonfiguration abzuschließen.Select Configure to complete the platform configuration.

Einschränkungen bei Umleitungs-URIsRedirect URI restrictions

Beim Format der Umleitungs-URIs, die Sie einer App-Registrierung hinzufügen, gibt es gewisse Einschränkungen.There are some restrictions on the format of the redirect URIs you add to an app registration. Einzelheiten zu diesen Einschränkungen finden Sie unter Einschränkungen für Umleitungs-URI/Antwort-URL.For details about these restrictions, see Redirect URI (reply URL) restrictions and limitations.

Hinzufügen von AnmeldeinformationenAdd credentials

Anmeldeinformationen werden von vertraulichen Clientanwendungen verwendet, die auf eine Web-API zugreifen.Credentials are used by confidential client applications that access a web API. Beispiele für vertrauliche Clients sind Web-Apps, andere Web-APIs oder Dienst- und Daemonanwendungen.Examples of confidential clients are web apps, other web APIs, or service-type and daemon-type applications. Mit den Anmeldeinformationen kann sich Ihre Anwendung selbst authentifizieren und benötigt zur Laufzeit keine Interaktion durch einen Benutzer.Credentials allow your application to authenticate as itself, requiring no interaction from a user at runtime.

Sie können Ihrer vertraulichen Client-App-Registrierung sowohl Zertifikate als auch geheime Clientschlüssel (Zeichenfolge) als Anmeldeinformationen hinzufügen.You can add both certificates and client secrets (a string) as credentials to your confidential client app registration.

Screenshot: Azure-Portal mit dem Bereich „Zertifikate und Geheimnisse“ in einer App-Registrierung

Hinzufügen eines ZertifikatsAdd a certificate

Ein Zertifikat wird manchmal auch als öffentlicher Schlüssel bezeichnet und ist der empfohlene Anmeldeinformationstyp.Sometimes called a public key, a certificate is the recommended credential type. Es bietet eine höhere Sicherheit als ein geheimer Clientschlüssel.It provides more assurance than a client secret. Weitere Informationen zur Verwendung von Zertifikaten als Authentifizierungsmethode in Ihrer Anwendung finden Sie unter Microsoft Identity Platform-Zertifikatanmeldeinformationen für die Anwendungsauthentifizierung.For more information about using a certificate as an authentication method in your application, see Microsoft identity platform application authentication certificate credentials.

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.In the Azure portal, in App registrations, select your application.
  2. Wählen Sie Zertifikate & Geheimnisse > Zertifikat hochladen aus.Select Certificates & secrets > Upload certificate.
  3. Wählen Sie die Datei, die Sie hochladen möchten.Select the file you want to upload. Dabei muss es sich um einen der folgenden Dateitypen handeln: .cer, .pem oder .crt.It must be one of the following file types: .cer, .pem, .crt.
  4. Wählen Sie Hinzufügen.Select Add.

Geheimen Clientschlüssel hinzufügenAdd a client secret

Der geheime Clientschlüssel wird auch als Anwendungskennwort bezeichnet.The client secret is also known as an application password. Dieser Zeichenfolgenwert kann von Ihrer App anstelle eines Zertifikats für die Identifizierung verwendet werden.It's a string value your app can use in place of a certificate to identity itself. Der geheime Clientschlüssel ist einfacher zu verwenden.The client secret is the easier of the two credential types to use. Er kommt häufig bei der Entwicklung zum Einsatz, gilt aber als unsicherer als ein Zertifikat.It's often used during development, but it's considered less secure than a certificate. In Anwendungen, die in der Produktion eingesetzt werden, sollten Zertifikate verwendet werden.Use certificates in your applications that are running in production.

Weitere Informationen zu Empfehlungen im Zusammenhang mit der Anwendungssicherheit finden Sie unter Bewährte Methoden und Empfehlungen für Microsoft Identity Platform.For more information about application security recommendations, see Microsoft identity platform best practices and recommendations.

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.In the Azure portal, in App registrations, select your application.
  2. Wählen Sie Zertifikate und Geheimnisse > Neuer geheimer Clientschlüssel aus.Select Certificates & secrets > New client secret.
  3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.Add a description for your client secret.
  4. Wählen Sie eine Dauer aus.Select a duration.
  5. Wählen Sie Hinzufügen.Select Add.
  6. Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll.Record the secret's value for use in your client application code. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden.This secret value is never displayed again after you leave this page.

Nächste SchritteNext steps

Clientanwendungen müssen in der Regel auf Ressourcen in einer Web-API zugreifen.Client applications typically need to access resources in a web API. Sie können Ihre Clientplattform mithilfe von Microsoft Identity Platform schützen.You can protect your client application by using the Microsoft identity platform. Darüber hinaus können Sie die Plattform zum Autorisieren von bereichsbezogenem, berechtigungsbasiertem Zugriff auf Ihre Web-API verwenden.You can also use the platform for authorizing scoped, permissions-based access to your web API.

In der nächsten Schnellstartanleitung der Reihe erfahren Sie, wie Sie eine weitere App-Registrierung für Ihre Web-API erstellen und deren Bereiche verfügbar machen.Go to the next quickstart in the series to create another app registration for your web API and expose its scopes.