Gyorsútmutató: Alkalmazás regisztrálása a Microsoft Identitásplatformon

Ebben a rövid útmutatóban regisztrál egy alkalmazást a Azure Portal, hogy a Microsoft Identitásplatform hitelesítési és engedélyezési szolgáltatásokat nyújtson az alkalmazás és a felhasználók számára.

A Microsoft Identitásplatform identitás- és hozzáférés-kezelés (IAM) csak regisztrált alkalmazásokhoz használható. Legyen szó ügyfélalkalmazásról, például webről vagy mobilalkalmazásról, vagy egy ügyfélalkalmazást kiszolgáló webes API-ról, a regisztráció megbízhatósági kapcsolatot hoz létre az alkalmazás és az identitásszolgáltató, a Microsoft Identitásplatform.

Tipp

Ha regisztrálnia kell egy alkalmazást a Azure AD B2C, kövesse a következő oktatóanyagban található lépéseket: Oktatóanyag: Webalkalmazásregisztrálása a Azure AD B2C.

Előfeltételek

Egy alkalmazás regisztrálása

Az alkalmazás regisztrálása megbízhatósági kapcsolatot hoz létre az alkalmazás és a Microsoft Identitásplatform. A megbízhatóság egyirányú: az alkalmazás megbízhatónak Microsoft Identitásplatform, és nem pedig a másik irányban.

Az alkalmazásregisztráció létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz is hozzáféréssel rendelkezik, a felső menü Directories + subscriptions (Könyvtárak és előfizetések) szűrője segítségével váltson arra a bérlőre, amelyben regisztrálni szeretné az alkalmazást.

  3. Keresse meg és válassza ki az Azure Active Directoryt.

  4. A Kezelés alatt válassza a Alkalmazásregisztrációk > lehetőséget.

  5. Adja meg az alkalmazás megjelenítendő nevét. Előfordulhat, hogy az alkalmazás felhasználói az alkalmazás használata során látják a megjelenített nevet, például a bejelentkezés során. A megjelenített nevet bármikor módosíthatja, és több alkalmazásregisztráció is ugyanazt a nevet használhatja. Az alkalmazásregisztráció automatikusan generált alkalmazás- (ügyfél-) azonosítója, nem pedig a megjelenített neve, egyedileg azonosítja az alkalmazást az identitásplatformon belül.

  6. Adja meg, hogy ki használhatja az alkalmazást, más néven a bejelentkezési célközönségét.

    Támogatott fióktípusok Description
    Csak az ebben a szervezeti címtárban található fiókok Válassza ezt a lehetőséget, ha olyan alkalmazást épít, amelyet csak a bérlő felhasználói (vagy vendégek) használhatnak.

    Ez az alkalmazás egy egybérlős alkalmazás a Microsoft Identitásplatform.
    Tetszőleges szervezeti címtárban található fiókok Válassza ezt a lehetőséget, ha azt szeretné, hogy bármely Azure Active Directory (Azure AD-) bérlő felhasználói használni tudják az alkalmazást. Ez a lehetőség akkor megfelelő, ha például egy több szervezet számára biztosítani kívánt saaS-alkalmazást hoz létre.

    Ezt az alkalmazástípust több-bérlős alkalmazásnak is nevezik a Microsoft Identitásplatform.
    Tetszőleges szervezeti címtárban található fiókok és személyes Microsoft-fiókok Akkor válassza ezt a lehetőséget, ha a lehető legszélesebb ügyfélkört szeretbé megcélozni.

    Ezzel a beállítással egy több-bérlős alkalmazást regisztrál, amely a személyes Microsoft-fiókkal rendelkező felhasználókat is támogatja.
    Személyes Microsoft-fiókok Válassza ezt a lehetőséget, ha csak személyes Microsoft-fiókkal rendelkező felhasználók számára építi fel az alkalmazást. A személyes Microsoft-fiókok közé Skype, Xbox-, Live- és Hotmail-fiókok.
  7. Ne adjon meg semmit az Átirányítási URI -hez (nem kötelező). A következő szakaszban konfigurálni fog egy átirányítási URI-t.

  8. A kezdeti alkalmazásregisztráció befejezéséhez válassza a Regisztráció lehetőséget.

    Képernyőkép a Azure Portal böngészőben látható Alkalmazás regisztrálása panelről.

A regisztráció befejezése után a Azure Portal megjeleníti az alkalmazásregisztráció Áttekintés panelét. Itt az Alkalmazás (ügyfél) azonosítója látható. Más néven ügyfél-azonosító, ez az érték egyedileg azonosítja az alkalmazást a Microsoft Identitásplatform.

Fontos

Az új alkalmazásregisztrációk alapértelmezés szerint rejtve vannak a felhasználók számára. Ha készen áll arra, hogy a felhasználók látják az alkalmazást a Saját alkalmazások lapon engedélyezheti. Az alkalmazás engedélyezéséhez lépjen a Azure Portal a vállalati > Azure Active Directory, és válassza ki az alkalmazást. Ezután a Tulajdonságok lapon a Felhasználók számára látható? kapcsolót válassza az Igen lehetőségre.

Az alkalmazás kódja, vagy általában az alkalmazásban használt hitelesítési kódtár is az ügyfél-azonosítót használja. Az azonosító az identitásplatformtól kapott biztonsági jogkivonatok ellenőrzése részeként használatos.

Képernyőkép a Azure Portal böngészőben, amely az alkalmazásregisztráció Áttekintés paneljét mutatja.

Átirányítási URI hozzáadása

Az átirányítási URI az a hely, Microsoft Identitásplatform átirányítja a felhasználó ügyfelét, és biztonsági jogkivonatokat küld a hitelesítés után.

Éles webalkalmazások esetén például az átirányítási URI gyakran egy nyilvános végpont, ahol az alkalmazás fut, például https://contoso.com/auth-response : . A fejlesztés során gyakran hozzáadják azt a végpontot is, ahol helyileg futtatja az alkalmazást, például vagy https://127.0.0.1/auth-response http://localhost/auth-response .

A regisztrált alkalmazások átirányítási URI-ját a platformbeállításaik konfigurálásával adjuk hozzá és módosítjuk.

Platformbeállítások konfigurálása

Gépház alkalmazástípushoz( beleértve az átirányítási URI-ket is) a platformkonfigurációkban konfigurálja a Azure Portal. Egyes platformok, például a webes és az egyoldalas alkalmazások esetében manuálisan kell megadnia egy átirányítási URI-t. Más platformok, például mobil és asztali rendszerek esetében a többi beállítás konfigurálásakor létrehozott átirányítási URI-k közül választhat.

Alkalmazásbeállítások konfigurálása a célként megadott platform vagy eszköz alapján:

  1. A Azure Portal a Alkalmazásregisztrációk válassza ki az alkalmazást.

  2. A Kezelés alatt válassza a Hitelesítés lehetőséget.

  3. A Platformkonfigurációk alatt válassza a Platform hozzáadása lehetőséget.

  4. A Platformok konfigurálása alatt válassza ki az alkalmazástípus (platform) csempéjét a beállításainak konfigurálásához.

    Képernyőkép a platformkonfigurációs panelről a Azure Portal.

    Platform Konfigurációs beállítások
    Web Adja meg az alkalmazás átirányítási URI-ját. Ez az URI az a hely, Microsoft Identitásplatform átirányítja a felhasználó ügyfelét, és biztonsági jogkivonatokat küld a hitelesítés után.

    Válassza ezt a platformot a kiszolgálón futó szabványos webalkalmazások számára.
    Egyoldalas alkalmazás Adja meg az alkalmazás átirányítási URI-ját. Ez az URI az a hely, Microsoft Identitásplatform átirányítja a felhasználó ügyfelét, és biztonsági jogkivonatokat küld a hitelesítés után.

    Válassza ezt a platformot, ha ügyféloldali webalkalmazást hoz létre JavaScripttel vagy egy olyan keretrendszer használatával, mint a Angular, Vue.js, React.js vagy a Blazor WebAssembly.
    iOS/macOS Adja meg az alkalmazás csomagazonosítóját. Keresse meg a Build Gépház vagy az Xcode-ban az Info.plist-ban.

    A csomagazonosító megadásakor a rendszer létrehoz egy átirányítási URI-t.
    Android Adja meg az alkalmazás csomagnevét. Keresse meg a AndroidManifest.xml fájlban. Hozza létre és írja be az aláírás-kivonatot is.

    A beállítások megadásakor a rendszer létrehoz egy átirányítási URI-t.
    Mobil- és asztali alkalmazások Válasszon egy Javasolt átirányítási URI-t. Vagy adjon meg egy egyéni átirányítási URI-t.

    Beágyazott böngészőt használó asztali alkalmazások esetén javasoljuk
    https://login.microsoftonline.com/common/oauth2/nativeclient

    A rendszerböngészőt használó asztali alkalmazásokhoz javasoljuk
    http://localhost

    Válassza ezt a platformot olyan mobilalkalmazások esetén, amelyek nem a legújabb Microsoft Authentication Libraryt (MSAL) használják, vagy nem közvetítőt. Asztali alkalmazásokhoz is válassza ezt a platformot.
  5. A platform konfigurálásának befejezéséhez válassza a Konfigurálás lehetőséget.

Átirányítási URI-korlátozások

Az alkalmazásregisztrációhoz adott átirányítási URI-k formátumára bizonyos korlátozások vonatkoznak. A korlátozásokkal kapcsolatos részletekért lásd: Átirányítási URI (válasz URL-cím) korlátozásai és korlátozásai.

Hitelesítő adatok hozzáadása

A hitelesítő adatokat a webes API-khoz hozzáférő bizalmas ügyfélalkalmazások használják. Bizalmas ügyfelek például a webalkalmazások, más webes API-k, vagy szolgáltatás- és démon típusú alkalmazások. A hitelesítő adatok lehetővé teszik, hogy az alkalmazás saját magaként hitelesítse magát, így a felhasználónak nem kell interakciót végeznie futásidőben.

A bizalmas ügyfélalkalmazás regisztrációja során hitelesítő adatként tanúsítványokat és titkos ügyfél titkos adatokat (sztringet) is hozzáadhat.

Az alkalmazásregisztráció Azure Portal képernyőképe, amely a Tanúsítványok és titkos kulcsok panelt mutatja.

Tanúsítvány hozzáadása

Néha nyilvános kulcsnak is nevezik, a tanúsítvány az ajánlott hitelesítőadat-típus, mert biztonságosabbnak minősülnek, mint az ügyfélkulcsok. A tanúsítványnak az alkalmazásban hitelesítési módszerként való használatával kapcsolatos további információkért lásd az alkalmazáshitelesítésitanúsítvány hitelesítő Microsoft Identitásplatform történő használatát.

  1. A Azure Portal a Alkalmazásregisztrációk válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok & titkos kulcsok tanúsítványok > > feltöltése tanúsítvány feltöltése lehetőséget.
  3. Válassza ki a feltölteni kívánt fájlt. A következő fájltípusok egyikének kell lennie: .cer, .pem, .crt.
  4. Válassza a Hozzáadás lehetőséget.

Titkos ügyféloldali titkos ügyfél hozzáadása

Néha alkalmazásjelszónak is nevezik, az ügyfél titkos ügyféltitkos értéke egy sztringérték, amely az alkalmazás számára tanúsítványt használ saját identitásának személyazonossága érdekében.

Az ügyfél titkos adatait kevésbé biztonságosnak tekintjük, mint a tanúsítvány hitelesítő adatait. Az alkalmazásfejlesztők a könnyű használat miatt néha a helyi alkalmazásfejlesztés során használják a titkos ügyfél-titkos okat. Azonban minden éles környezetben futó alkalmazáshoz tanúsítvány-hitelesítő adatokat kell használnia.

  1. A Azure Portal a Alkalmazásregisztrációk válassza ki az alkalmazást.
  2. Válassza a Certificates & secrets Client secrets (Titkos ügyfél titkos & ) New client secret (Új titkos ügyfél titkos > > ügyféltitk) lehetőséget.
  3. Adja meg titkos ügyfélkódja leírását.
  4. Válassza ki a titkos kulcs lejáratát, vagy adjon meg egy egyéni élettartamot.
    • Az ügyfél titkos ügyfélszámítógépének élettartama legfeljebb két év (24 hónap) lehet. Nem adható meg 24 hónapnál hosszabb egyéni élettartam.
    • A Microsoft azt javasolja, hogy állítson be 12 hónapnál rövidebb lejárati értéket.
  5. Válassza a Hozzáadás lehetőséget.
  6. Rögzítse a titkos kód értékét az ügyfélalkalmazás kódban való használatra. Ez a titkos érték a lap elhagyás után többé nem jelenik meg.

Az alkalmazásbiztonsági javaslatokat az ajánlott Microsoft Identitásplatform ajánlott eljárásokat és javaslatokat.

Következő lépések

Az ügyfélalkalmazások általában egy webes API erőforrásaihoz férnek hozzá. Az ügyfélalkalmazás védelméhez használja a Microsoft Identitásplatform. A platformot a webes API-hoz való hozzáférés hatóköralapú, engedélyalapú elérésére is használhatja.

A sorozat következő rövid útmutatója segítségével hozzon létre egy másik alkalmazásregisztrációt a webes API-hoz, és tegye elérhetővé a hatókörét.