Natív ügyfélalkalmazások használata proxyalkalmazásokkal

A Microsoft Entra alkalmazásproxy webalkalmazások közzétételére szolgál. Használhatja a Microsoft Authentication Library (MSAL) használatával konfigurált natív ügyfélalkalmazások közzétételére is. Az ügyfélalkalmazások azért különböznek a webalkalmazásoktól, mert egy eszközön vannak telepítve, míg a webalkalmazások böngészőn keresztül érhetők el.

A natív ügyfélalkalmazások támogatásához az alkalmazásproxy elfogadja a Fejlécben küldött Microsoft Entra azonosítóval kibocsátott jogkivonatokat. Az alkalmazásproxy szolgáltatás elvégzi a hitelesítést a felhasználók számára. Ez a megoldás nem használ alkalmazásjogkivonatokat a hitelesítéshez.

Relationship between end users, Microsoft Entra ID, and published applications

Natív alkalmazások közzétételéhez használja a Microsoft Authentication Libraryt, amely gondoskodik a hitelesítésről, és számos ügyfélkörnyezetet támogat. Az alkalmazásproxy illeszkedik az asztali alkalmazásba, amely egy bejelentkezett felhasználói forgatókönyv nevében meghív egy webes API-t.

Ez a cikk végigvezeti egy natív alkalmazás alkalmazásproxyval és a Microsoft Authentication Library (MSAL) használatával történő közzétételének négy lépésén.

1. lépés: A proxyalkalmazás közzététele

Tegye közzé a proxyalkalmazást, ahogyan bármely más alkalmazás, és rendeljen hozzá felhasználókat az alkalmazáshoz való hozzáféréshez. További információ: Alkalmazások közzététele alkalmazásproxyval.

2. lépés: A natív alkalmazás regisztrálása

Most regisztrálnia kell az alkalmazást a Microsoft Entra-azonosítóban.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásként Rendszergazda istratorként.

  2. Válassza ki a felhasználónevét a jobb felső sarokban. Ellenőrizze, hogy be van-e jelentkezve egy alkalmazásproxyt használó könyvtárba. Ha módosítania kell a könyvtárakat, válassza a Címtárváltás lehetőséget, és válasszon egy alkalmazásproxyt használó könyvtárat.

  3. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk. Megjelenik az összes alkalmazásregisztráció listája.

  4. Új regisztráció kiválasztása. Megjelenik az Alkalmazás regisztrálása lap.

    Create a new app registration in the Microsoft Entra admin center

  5. A Név fejlécben adja meg az alkalmazás felhasználói megjelenítendő nevét.

  6. A Támogatott fióktípusok fejléc alatt válasszon ki egy hozzáférési szintet az alábbi irányelvekkel.

    • Ha csak a szervezeten belüli fiókokat szeretné megcélzásra, csak ebben a szervezeti címtárban válassza a Fiókok lehetőséget.
    • Ha csak üzleti vagy oktatási ügyfeleket szeretne célozni, válassza a Fiókok lehetőséget bármely szervezeti címtárban.
    • A Microsoft-identitások legszélesebb halmazának megcélzásához válassza a Fiókok lehetőséget bármely szervezeti címtárban és személyes Microsoft-fiókban.
  7. Az Átirányítási URI területen válassza a Nyilvános ügyfél (mobil & asztali) lehetőséget, majd írja be az alkalmazás átirányítási URI-játhttps://login.microsoftonline.com/common/oauth2/nativeclient.

  8. Válassza ki és olvassa el a Microsoft platformszabályzatát, majd válassza a Regisztráció lehetőséget. Létrejön és megjelenik egy áttekintő oldal az új alkalmazásregisztrációhoz.

Az új alkalmazásregisztráció létrehozásával kapcsolatos további információkért lásd : Alkalmazások integrálása a Microsoft Entra-azonosítóval.

3. lépés: Hozzáférés biztosítása a proxyalkalmazáshoz

A natív alkalmazás regisztrálva van. Hozzáférés biztosítása a proxyalkalmazáshoz:

  1. Az új alkalmazásregisztrációs oldal oldalsávján válassza ki az API-engedélyeket. Megjelenik az új alkalmazásregisztráció API-engedélyoldala.
  2. Válassza az Engedély hozzáadása lehetőséget. Megjelenik a Kérelem API engedélyoldala .
  3. Az API kiválasztása beállítás alatt válassza ki a szervezet által használt API-kat. Megjelenik egy lista, amely tartalmazza az API-kat elérhetővé tevő alkalmazásokat a címtárban.
  4. Írja be a keresőmezőbe vagy görgessen le az 1. lépésben közzétett proxyalkalmazás megkereséséhez: A proxyalkalmazás közzététele, majd a proxyalkalmazás kiválasztása.
  5. Az alkalmazás milyen típusú engedélyeket igényel? fejlécben válassza ki az engedélytípust. Ha a natív alkalmazásnak hozzá kell férnie a proxyalkalmazás API-hoz bejelentkezett felhasználóként, válassza a Delegált engedélyek lehetőséget.
  6. Az Engedélyek kiválasztása fejlécben válassza ki a kívánt engedélyt, és válassza az Engedélyek hozzáadása lehetőséget. A natív alkalmazás API-engedélyoldalán megjelenik a hozzáadott proxyalkalmazás és engedély API.

4. lépés: A Microsoft Authentication Library hozzáadása a kódhoz (.NET C# minta)

Szerkessze a natív alkalmazáskódot a Microsoft Authentication Library (MSAL) hitelesítési környezetében a következő szöveg belefoglalásához:

// Acquire access token from Microsoft Entra ID for proxy application
IPublicClientApplication clientApp = PublicClientApplicationBuilder
.Create(<App ID of the Native app>)
.WithDefaultRedirectUri() // will automatically use the default Uri for native app
.WithAuthority("https://login.microsoftonline.com/{<Tenant ID>}")
.Build();

AuthenticationResult authResult = null;
var accounts = await clientApp.GetAccountsAsync();
IAccount account = accounts.FirstOrDefault();

IEnumerable<string> scopes = new string[] {"<Scope>"};

try
 {
    authResult = await clientApp.AcquireTokenSilent(scopes, account).ExecuteAsync();
 }
    catch (MsalUiRequiredException ex)
 {
     authResult = await clientApp.AcquireTokenInteractive(scopes).ExecuteAsync();                
 }

if (authResult != null)
 {
  //Use the Access Token to access the Proxy Application

  HttpClient httpClient = new HttpClient();
  httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", authResult.AccessToken);
  HttpResponseMessage response = await httpClient.GetAsync("<Proxy App Url>");
 }

A mintakódban szereplő szükséges információk a Microsoft Entra felügyeleti központban találhatók, az alábbiak szerint:

Információ szükséges Keresés a Microsoft Entra Felügyeleti központban
<Bérlőazonosító> Identitásáttekintő>>tulajdonságok
<A natív alkalmazás alkalmazásazonosítója> Alkalmazásregisztráció a natív alkalmazás>áttekintési>alkalmazásazonosítója>
<Hatókör> Az alkalmazásregisztráció a natív alkalmazás>API-engedélyei> közül választ az Engedélyezési API-n (user_impersonation) > A jobb oldalon megjelenik a képaláírás user_impersonation panel.> > A hatókör a szerkesztési mezőben szereplő URL-cím.
<Proxyalkalmazás URL-címe> az API külső URL-címe és elérési útja

Miután szerkesztette az MSAL-kódot ezekkel a paraméterekkel, a felhasználók akkor is hitelesíthetik magukat a natív ügyfélalkalmazásokban, ha a vállalati hálózaton kívül vannak.

Következő lépések

A natív alkalmazásfolyamatról további információt a Microsoft Entra ID mobil- és asztali alkalmazásaiban talál.

Megtudhatja, hogyan állíthat be egyszeri bejelentkezést az alkalmazásokra a Microsoft Entra ID-ban.