Alkalmazástípusok az 1.0-s verzióban

Figyelmeztetés

Ez a tartalom a régebbi Azure AD 1.0-s verziójú végponthoz tartozik. Használja a Microsoft Identitásplatform új projektekhez.

Az Azure Active Directory (Azure AD) számos modern alkalmazásarchitektúra hitelesítését támogatja, amelyek mindegyike az OAuth 2.0 vagy az OpenID Connect iparági szabvány protokollon alapul.

Az alábbi diagram bemutatja a forgatókönyveket és az alkalmazástípusokat, valamint a különböző összetevők hozzáadásának módját:

A Azure AD által támogatott öt elsődleges alkalmazásforgatókönyv:

• Egyoldalas alkalmazás (SPA): A felhasználónak be kell jelentkeznie egy Azure AD által védett egyoldalas alkalmazásba.
• Webböngészőből webalkalmazásba: A felhasználónak be kell jelentkeznie egy Azure AD által védett webalkalmazásba.
• Natív alkalmazás webes API-ba: Egy telefonon, táblagépen vagy számítógépen futó natív alkalmazásnak hitelesítenie kell egy felhasználót, hogy erőforrásokat szerezzen be egy Azure AD által védett webes API-ból.
• Webalkalmazásból webes API-ba: A webalkalmazásnak erőforrásokat kell lekérnie egy Azure AD által védett webes API-ból.
• Démon vagy kiszolgálóalkalmazás webes API-ba: Egy démonalkalmazásnak vagy egy webes felhasználói felület nélküli kiszolgálóalkalmazásnak erőforrásokat kell lekérnie egy Azure AD által védett webes API-ból.

A hivatkozásokat követve többet tudhat meg az egyes alkalmazástípusokról, és megismerheti a magas szintű forgatókönyveket, mielőtt elkezdené használni a kódot. Megismerheti a v1.0-s vagy 2.0-s verziójú végponttal működő alkalmazások írásakor szükséges különbségeket is.

Megjegyzés

A 2.0-s verziójú végpont nem támogatja az összes Azure AD forgatókönyvet és funkciót. A 2.0-s verziójú végpont használatának megállapításához olvassa el a 2.0-s verzióra vonatkozó korlátozásokat.

Az itt leírt alkalmazások és forgatókönyvek bármelyikét különböző nyelvek és platformok használatával fejlesztheti. Ezek mindegyikét a kódminták útmutatójában elérhető teljes kódminták biztosítják: v1.0-s kódminták forgatókönyv szerint és 2.0-s verziós kódminták forgatókönyv szerint. A kódmintákat közvetlenül a megfelelő GitHub-mintaadattárakból is letöltheti.

Emellett ha az alkalmazásnak egy végpontok közötti forgatókönyv egy adott elemére vagy szegmensére van szüksége, a legtöbb esetben ez a funkció egymástól függetlenül is hozzáadható. Ha például egy webes API-t meghívó natív alkalmazással rendelkezik, egyszerűen hozzáadhat egy webalkalmazást, amely a webes API-t is meghívja.

Alkalmazásregisztráció

Az Azure AD 1.0-s verziójú végpontot használó alkalmazás regisztrálása

Minden olyan alkalmazást, amely kiszervezi a hitelesítést Azure AD regisztrálva kell lennie egy címtárban. Ez a lépés magában foglalja az alkalmazás Azure AD, többek között az URL-címének, a válaszok hitelesítés utáni küldéséhez, az alkalmazás azonosítására szolgáló URI-nak és egyebeknek a használatát. Ez az információ néhány fő okból szükséges:

• Azure AD kommunikálnia kell az alkalmazással a bejelentkezés vagy a jogkivonatok cseréje során. A Azure AD és az alkalmazás között átadott információk a következőket tartalmazzák:

  • Alkalmazásazonosító URI - Egy alkalmazás azonosítója. Ezt az értéket a rendszer elküldi Azure AD a hitelesítés során annak jelzésére, hogy a hívó melyik alkalmazáshoz szeretne jogkivonatot használni. Emellett ez az érték is szerepel a jogkivonatban, hogy az alkalmazás tudja, hogy ez volt a kívánt cél.
  • Válasz URL-cím és átirányítási URI – Webes API-k vagy webalkalmazások esetén a Válasz URL-cím az a hely, ahol Azure AD elküldi a hitelesítési választ, beleértve a jogkivonatot is, ha a hitelesítés sikeres volt. Natív alkalmazás esetén az átirányítási URI egy egyedi azonosító, amelyre Azure AD átirányítja a felhasználói ügynököt egy OAuth 2.0-kérésben.
  • Alkalmazásazonosító – Egy alkalmazás azonosítója, amelyet az alkalmazás regisztrálásakor Azure AD hoz létre. Engedélyezési kód vagy jogkivonat kérésekor a rendszer elküldi az alkalmazásazonosítót és a kulcsot Azure AD a hitelesítés során.
  • Key – Az alkalmazásazonosítóval együtt küldött kulcs, amikor egy webes API meghívásához Azure AD hitelesíti.

• Azure AD biztosítania kell, hogy az alkalmazás rendelkezzen a szükséges engedélyekkel a címtáradatokhoz, a szervezet más alkalmazásaihoz stb. való hozzáféréshez.

További részletekért olvassa el, hogyan regisztrálhat alkalmazásokat.

Egy-bérlős és több-bérlős alkalmazások

A kiépítés akkor válik egyértelművé, ha tisztában van azzal, hogy két alkalmazáskategória fejleszthető és integrálható Azure AD:

• Egybérlős alkalmazás – Egyetlen bérlői alkalmazás egy szervezeten belül használható. Ezek általában vállalati fejlesztők által írt üzletági (LoB) alkalmazások. Egyetlen bérlői alkalmazást csak egy címtár felhasználóinak kell elérnie, ezért csak egy címtárban kell kiépíteni. Ezeket az alkalmazásokat általában egy fejlesztő regisztrálja a szervezetben.
• Több-bérlős alkalmazás – A több-bérlős alkalmazások számos szervezetben használhatók, nem csak egy szervezetben. Ezek általában egy független szoftverszállító (ISV) által írt szolgáltatott szoftver (SaaS) alkalmazások. A több-bérlős alkalmazásokat minden olyan könyvtárban ki kell építeni, ahol használni fogják őket, ami felhasználói vagy rendszergazdai hozzájárulást igényel a regisztrációhoz. Ez a hozzájárulási folyamat akkor kezdődik, ha egy alkalmazás regisztrálva van a címtárban, és hozzáférést kap a Graph API vagy esetleg egy másik webes API-hoz. Amikor egy másik szervezet felhasználója vagy rendszergazdája regisztrál az alkalmazás használatára, megjelenik egy párbeszédpanel, amely megjeleníti az alkalmazáshoz szükséges engedélyeket. A felhasználó vagy a rendszergazda ezután beleegyezhet az alkalmazásba, amely hozzáférést biztosít az alkalmazásnak a megadott adatokhoz, és végül regisztrálja az alkalmazást a címtárában. További információ: A hozzájárulási keretrendszer áttekintése.

További szempontok egybérlős vagy több-bérlős alkalmazások fejlesztésekor

További szempontok merülnek fel a több-bérlős alkalmazások egyetlen bérlős alkalmazás helyett történő fejlesztésekor. Ha például több címtárban teszi elérhetővé az alkalmazást a felhasználók számára, egy mechanizmusra van szüksége annak meghatározásához, hogy melyik bérlőben vannak. Egyetlen bérlői alkalmazásnak csak a saját címtárában kell keresnie egy felhasználót, míg egy több-bérlős alkalmazásnak egy adott felhasználót kell azonosítania a Azure AD összes címtárából. A feladat végrehajtásához Azure AD biztosít egy közös hitelesítési végpontot, ahol a több-bérlős alkalmazások a bérlőspecifikus végpontok helyett a bejelentkezési kéréseket irányíthatják. Ez a végpont a https://login.microsoftonline.com/common Azure AD összes címtárára vonatkozik, míg a bérlőspecifikus végpont lehet https://login.microsoftonline.com/contoso.onmicrosoft.com. A gyakori végpontot különösen fontos figyelembe venni az alkalmazás fejlesztésekor, mivel a bejelentkezés, a kijelentkezés és a jogkivonat érvényesítése során több bérlő kezeléséhez szükséges logikára lesz szüksége.

Ha jelenleg egyetlen bérlős alkalmazást fejleszt, de elérhetővé szeretné tenni számos szervezet számára, egyszerűen módosíthatja az alkalmazást és annak konfigurációját a Azure AD, hogy több-bérlős legyen. Emellett Azure AD ugyanazt az aláírókulcsot használja az összes címtár összes jogkivonatához, függetlenül attól, hogy egyetlen bérlői vagy több-bérlős alkalmazásban biztosít hitelesítést.

A dokumentumban felsorolt minden forgatókönyv tartalmaz egy alszakaszt, amely leírja a kiépítési követelményeket. Az alkalmazások Azure AD való kiépítésével és az egy- és több-bérlős alkalmazások közötti különbségekkel kapcsolatos részletesebb információkért lásd: Alkalmazások integrálása az Azure Active Directoryval. Folytassa az olvasást a Azure AD gyakori alkalmazási forgatókönyveinek megismeréséhez.

Következő lépések

• További információ a Azure AD hitelesítési alapjairól