Natív ügyfélalkalmazások használata proxyalkalmazásokkal
A Microsoft Entra alkalmazásproxy webalkalmazások közzétételére szolgál. Használhatja a Microsoft Authentication Library (MSAL) használatával konfigurált natív ügyfélalkalmazások közzétételére is. Az ügyfélalkalmazások azért különböznek a webalkalmazásoktól, mert egy eszközön vannak telepítve, míg a webalkalmazások böngészőn keresztül érhetők el.
A natív ügyfélalkalmazások támogatásához az alkalmazásproxy elfogadja a Fejlécben küldött Microsoft Entra azonosítóval kibocsátott jogkivonatokat. Az alkalmazásproxy szolgáltatás elvégzi a hitelesítést a felhasználók számára. Ez a megoldás nem használ alkalmazásjogkivonatokat a hitelesítéshez.
Natív alkalmazások közzétételéhez használja a Microsoft Authentication Libraryt, amely gondoskodik a hitelesítésről, és számos ügyfélkörnyezetet támogat. Az alkalmazásproxy illeszkedik az asztali alkalmazásba, amely egy bejelentkezett felhasználói forgatókönyv nevében meghív egy webes API-t.
Ez a cikk végigvezeti egy natív alkalmazás alkalmazásproxyval és a Microsoft Authentication Library (MSAL) használatával történő közzétételének négy lépésén.
1. lépés: A proxyalkalmazás közzététele
Tegye közzé a proxyalkalmazást, ahogyan bármely más alkalmazás, és rendeljen hozzá felhasználókat az alkalmazáshoz való hozzáféréshez. További információ: Alkalmazások közzététele alkalmazásproxyval.
2. lépés: A natív alkalmazás regisztrálása
Most regisztrálnia kell az alkalmazást a Microsoft Entra-azonosítóban.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásként Rendszergazda istratorként.
Válassza ki a felhasználónevét a jobb felső sarokban. Ellenőrizze, hogy be van-e jelentkezve egy alkalmazásproxyt használó könyvtárba. Ha módosítania kell a könyvtárakat, válassza a Címtárváltás lehetőséget, és válasszon egy alkalmazásproxyt használó könyvtárat.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk. Megjelenik az összes alkalmazásregisztráció listája.
Új regisztráció kiválasztása. Megjelenik az Alkalmazás regisztrálása lap.
A Név fejlécben adja meg az alkalmazás felhasználói megjelenítendő nevét.
A Támogatott fióktípusok fejléc alatt válasszon ki egy hozzáférési szintet az alábbi irányelvekkel.
- Ha csak a szervezeten belüli fiókokat szeretné megcélzásra, csak ebben a szervezeti címtárban válassza a Fiókok lehetőséget.
- Ha csak üzleti vagy oktatási ügyfeleket szeretne célozni, válassza a Fiókok lehetőséget bármely szervezeti címtárban.
- A Microsoft-identitások legszélesebb halmazának megcélzásához válassza a Fiókok lehetőséget bármely szervezeti címtárban és személyes Microsoft-fiókban.
Az Átirányítási URI területen válassza a Nyilvános ügyfél (mobil & asztali) lehetőséget, majd írja be az alkalmazás átirányítási URI-ját
https://login.microsoftonline.com/common/oauth2/nativeclient
.Válassza ki és olvassa el a Microsoft platformszabályzatát, majd válassza a Regisztráció lehetőséget. Létrejön és megjelenik egy áttekintő oldal az új alkalmazásregisztrációhoz.
Az új alkalmazásregisztráció létrehozásával kapcsolatos további információkért lásd : Alkalmazások integrálása a Microsoft Entra-azonosítóval.
3. lépés: Hozzáférés biztosítása a proxyalkalmazáshoz
A natív alkalmazás regisztrálva van. Hozzáférés biztosítása a proxyalkalmazáshoz:
- Az új alkalmazásregisztrációs oldal oldalsávján válassza ki az API-engedélyeket. Megjelenik az új alkalmazásregisztráció API-engedélyoldala.
- Válassza az Engedély hozzáadása lehetőséget. Megjelenik a Kérelem API engedélyoldala .
- Az API kiválasztása beállítás alatt válassza ki a szervezet által használt API-kat. Megjelenik egy lista, amely tartalmazza az API-kat elérhetővé tevő alkalmazásokat a címtárban.
- Írja be a keresőmezőbe vagy görgessen le az 1. lépésben közzétett proxyalkalmazás megkereséséhez: A proxyalkalmazás közzététele, majd a proxyalkalmazás kiválasztása.
- Az alkalmazás milyen típusú engedélyeket igényel? fejlécben válassza ki az engedélytípust. Ha a natív alkalmazásnak hozzá kell férnie a proxyalkalmazás API-hoz bejelentkezett felhasználóként, válassza a Delegált engedélyek lehetőséget.
- Az Engedélyek kiválasztása fejlécben válassza ki a kívánt engedélyt, és válassza az Engedélyek hozzáadása lehetőséget. A natív alkalmazás API-engedélyoldalán megjelenik a hozzáadott proxyalkalmazás és engedély API.
4. lépés: A Microsoft Authentication Library hozzáadása a kódhoz (.NET C# minta)
Szerkessze a natív alkalmazáskódot a Microsoft Authentication Library (MSAL) hitelesítési környezetében a következő szöveg belefoglalásához:
// Acquire access token from Microsoft Entra ID for proxy application
IPublicClientApplication clientApp = PublicClientApplicationBuilder
.Create(<App ID of the Native app>)
.WithDefaultRedirectUri() // will automatically use the default Uri for native app
.WithAuthority("https://login.microsoftonline.com/{<Tenant ID>}")
.Build();
AuthenticationResult authResult = null;
var accounts = await clientApp.GetAccountsAsync();
IAccount account = accounts.FirstOrDefault();
IEnumerable<string> scopes = new string[] {"<Scope>"};
try
{
authResult = await clientApp.AcquireTokenSilent(scopes, account).ExecuteAsync();
}
catch (MsalUiRequiredException ex)
{
authResult = await clientApp.AcquireTokenInteractive(scopes).ExecuteAsync();
}
if (authResult != null)
{
//Use the Access Token to access the Proxy Application
HttpClient httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", authResult.AccessToken);
HttpResponseMessage response = await httpClient.GetAsync("<Proxy App Url>");
}
A mintakódban szereplő szükséges információk a Microsoft Entra felügyeleti központban találhatók, az alábbiak szerint:
Információ szükséges | Keresés a Microsoft Entra Felügyeleti központban |
---|---|
<Bérlőazonosító> | Identitásáttekintő>>tulajdonságok |
<A natív alkalmazás alkalmazásazonosítója> | Alkalmazásregisztráció a natív alkalmazás>áttekintési>alkalmazásazonosítója> |
<Hatókör> | Az alkalmazásregisztráció a natív alkalmazás>API-engedélyei> közül választ az Engedélyezési API-n (user_impersonation) > A jobb oldalon megjelenik a képaláírás user_impersonation panel.> > A hatókör a szerkesztési mezőben szereplő URL-cím. |
<Proxyalkalmazás URL-címe> | az API külső URL-címe és elérési útja |
Miután szerkesztette az MSAL-kódot ezekkel a paraméterekkel, a felhasználók akkor is hitelesíthetik magukat a natív ügyfélalkalmazásokban, ha a vállalati hálózaton kívül vannak.
Következő lépések
A natív alkalmazásfolyamatról további információt a Microsoft Entra ID mobil- és asztali alkalmazásaiban talál.
Megtudhatja, hogyan állíthat be egyszeri bejelentkezést az alkalmazásokra a Microsoft Entra ID-ban.