Gyorsútmutató: Alkalmazás regisztrálása a Microsoft Identitásplatformon

  • Cikk
  • 6 perc alatt elolvasható

Ismerkedjen meg a Microsoft identitásplatformjával, ha regisztrál egy alkalmazást az Azure Portalon.

A Microsoft identitásplatformja csak regisztrált alkalmazások esetében hajt végre identitás- és hozzáférés-kezelést (IAM). Legyen szó akár egy ügyfélalkalmazásról, például egy web- vagy mobilalkalmazásról, akár egy webes API-ról, amely egy ügyfélalkalmazást véd, a regisztrálás megbízhatósági kapcsolatot hoz létre az alkalmazás és az identitásszolgáltató, a Microsoft identitásplatformja között.

Tipp

Ha regisztrálni szeretne egy alkalmazást az Azure AD B2C-ben, kövesse a következő oktatóanyag lépéseit: Webalkalmazás regisztrálása az Azure AD B2C-ben.

Előfeltételek

Egy alkalmazás regisztrálása

Az alkalmazás regisztrálása megbízhatósági kapcsolatot létesít az alkalmazás és a Microsoft identitásplatformja között. A megbízhatóság egyirányú: az alkalmazás megbízik a Microsoft identitásplatformjában, és nem fordítva.

Az alkalmazásregisztráció létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz rendelkezik hozzáféréssel, a felső menü Címtárak és előfizetések szűrőjével váltson arra a bérlőre, amelyben regisztrálni szeretné az alkalmazást.

  3. Keresse meg és válassza ki az Azure Active Directoryt.

  4. A Kezelés területen válassza az Alkalmazásregisztrációk>Új regisztráció lehetőséget.

  5. Adja meg az alkalmazás megjelenítendő nevét . Az alkalmazás felhasználói megjeleníthetik a megjelenített nevet, amikor az alkalmazást használják, például bejelentkezéskor. A megjelenítendő nevet bármikor módosíthatja, és több alkalmazásregisztráció is használhatja ugyanazt a nevet. Az alkalmazásregisztráció automatikusan generált alkalmazás- (ügyfél-) azonosítója, nem pedig a megjelenítendő neve egyedileg azonosítja az alkalmazást az identitásplatformon belül.

  6. Itt adhatja meg, hogy ki használhatja az alkalmazást, más néven a bejelentkezési célközönséget.

    Támogatott fióktípusok Description
    Csak az ebben a szervezeti címtárban található fiókok Akkor válassza ezt a lehetőséget, ha olyan alkalmazást hoz létre, amelyet csak a bérlőben lévő felhasználók (vagy vendégek) használhatnak.

    Ezt az alkalmazást gyakran üzletági (LOB) alkalmazásnak is nevezik, amely egybérlős alkalmazás a Microsoft identitásplatformjában.
    Tetszőleges szervezeti címtárban található fiókok Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy bármely Azure Active Directory- (Azure AD-) bérlő felhasználói használhassák az alkalmazást. Ez a lehetőség akkor megfelelő, ha például egy szolgáltatott szoftver (SaaS) alkalmazást készít, amelyet több szervezetnek szeretne biztosítani.

    Ezt az alkalmazástípust több-bérlős alkalmazásnak nevezzük a Microsoft identitásplatformjában.
    Tetszőleges szervezeti címtárban található fiókok és személyes Microsoft-fiókok Akkor válassza ezt a lehetőséget, ha a lehető legszélesebb ügyfélkört szeretbé megcélozni.

    Ha ezt a lehetőséget választja, regisztrál egy több-bérlős alkalmazást, amely a személyes Microsoft-fiókkal rendelkező felhasználókat is támogatja.
    Személyes Microsoft-fiókok Akkor válassza ezt a lehetőséget, ha csak személyes Microsoft-fiókkal rendelkező felhasználók számára készít alkalmazást. A személyes Microsoft-fiókok közé tartoznak a Skype-, Xbox-, Live- és Hotmail-fiókok.

  7. Ne adjon meg semmit az átirányítási URI-hoz (nem kötelező). Az átirányítási URI-t a következő szakaszban fogja konfigurálni.

  8. A kezdeti alkalmazásregisztráció befejezéséhez válassza a Regisztráció lehetőséget.

    Screenshot of the Azure portal in a web browser, showing the Register an application pane.

A regisztráció befejezése után az Azure Portal megjeleníti az alkalmazásregisztráció Áttekintés paneljét. Megjelenik az alkalmazás (ügyfél) azonosítója. Az ügyfél-azonosítónak is nevezett érték egyedileg azonosítja az alkalmazást a Microsoft identitásplatformon.

Fontos

Az új alkalmazásregisztrációk alapértelmezés szerint rejtve vannak a felhasználók számára. Ha készen áll arra, hogy a felhasználók lássák az alkalmazást a Saját alkalmazások lapon , engedélyezheti azt. Az alkalmazás engedélyezéséhez az Azure Portalon lépjen az Azure Active Directory>Enterprise-alkalmazásokhoz , és válassza ki az alkalmazást. Ezután a Tulajdonságok lapon állítsa a Látható a felhasználók számára? beállítást Igen értékre.

Az alkalmazás kódja, vagy általában egy, az alkalmazásban használt hitelesítési kódtár szintén az ügyfél-azonosítót használja. Az azonosító az identitásplatformtól kapott biztonsági jogkivonatok ellenőrzésének részeként használatos.

Screenshot of the Azure portal in a web browser, showing an app registration's Overview pane.

Átirányítási URI hozzáadása

Az átirányítási URI az a hely, ahol a Microsoft identitásplatform átirányítja a felhasználó ügyfelet, és biztonsági jogkivonatokat küld a hitelesítés után.

Éles webalkalmazásokban például az átirányítási URI gyakran egy nyilvános végpont, ahol az alkalmazás fut, például https://contoso.com/auth-response. A fejlesztés során gyakran hozzáadjuk azt a végpontot is, ahol az alkalmazást helyileg futtatjuk, például https://127.0.0.1/auth-response vagy http://localhost/auth-response.

A regisztrált alkalmazások átirányítási URI-jait a platformbeállítások konfigurálásával adhatja hozzá és módosíthatja.

Platformbeállítások konfigurálása

Az egyes alkalmazástípusok beállításai, beleértve az átirányítási URI-kat is, az Azure Portal platformkonfigurációiban vannak konfigurálva. Egyes platformokon, például a webes és az egyoldalas alkalmazásokban manuálisan kell megadnia egy átirányítási URI-t. Más platformokon, például a mobil és asztali platformokon a többi beállítás konfigurálásakor létrehozott átirányítási URI-k közül választhat.

Az alkalmazásbeállításoknak a megcélzott platform vagy eszköz alapján történő konfigurálásához kövesse az alábbi lépéseket:

  1. Az Azure Portal alkalmazásregisztrációiban válassza ki az alkalmazást.

  2. A Kezelés területen válassza a Hitelesítés lehetőséget.

  3. A Platformkonfigurációk területen válassza a Platform hozzáadása lehetőséget.

  4. A Platformok konfigurálása területen válassza ki az alkalmazástípus (platform) csempéjét a beállítások konfigurálásához.

    Screenshot of the platform configuration pane in the Azure portal.

    Platform Konfigurációs beállítások
    Web Adja meg az alkalmazás átirányítási URI-ját . Ez az URI az a hely, ahol a Microsoft identitásplatform átirányítja a felhasználó ügyfelet, és a hitelesítés után biztonsági jogkivonatokat küld.

    Válassza ezt a platformot a kiszolgálón futó szabványos webalkalmazásokhoz.
    Egyoldalas alkalmazás Adja meg az alkalmazás átirányítási URI-ját . Ez az URI az a hely, ahol a Microsoft identitásplatform átirányítja a felhasználó ügyfelet, és a hitelesítés után biztonsági jogkivonatokat küld.

    Akkor válassza ezt a platformot, ha ügyféloldali webalkalmazást hoz létre JavaScript vagy olyan keretrendszer használatával, mint az Angular, a Vue.js, a React.js vagy a Blazor WebAssembly.
    iOS /macOS Adja meg az alkalmazás csomagazonosítóját. Keresse meg az Összeállítási beállításokban vagy az Xcode-ban az Info.plist-ben.

    A csomagazonosító megadásakor létrejön egy átirányítási URI.
    Android Adja meg az alkalmazáscsomag nevét. Keresse meg a AndroidManifest.xml fájlban. Emellett hozza létre és írja be az aláírás kivonatát.

    A beállítások megadásakor létrejön egy átirányítási URI.
    Mobil- és asztali alkalmazások Válassza ki a javasolt átirányítási URI-k egyikét. Vagy adjon meg egy egyéni átirányítási URI-t.

    Beágyazott böngészőt használó asztali alkalmazások esetén azt javasoljuk, hogy
    https://login.microsoftonline.com/common/oauth2/nativeclient

    A rendszerböngészőt használó asztali alkalmazások esetében azt javasoljuk, hogy
    http://localhost

    Ezt a platformot olyan mobilalkalmazásokhoz válassza, amelyek nem a legújabb Microsoft Authentication Libraryt (MSAL) használják, vagy nem használnak közvetítőt. Válassza ezt a platformot asztali alkalmazásokhoz is.

  5. Válassza a Konfigurálás lehetőséget a platformkonfiguráció befejezéséhez.

Átirányítási URI-korlátozások

Bizonyos korlátozások vonatkoznak az alkalmazásregisztrációhoz hozzáadott átirányítási URI-k formátumára. Ezekről a korlátozásokról további információt az Átirányítási URI (válasz URL-cím) korlátozásai és korlátozásai című témakörben talál.

Hitelesítő adatok hozzáadása

A hitelesítő adatokat olyan bizalmas ügyfélalkalmazások használják, amelyek hozzáférnek egy webes API-hoz. A bizalmas ügyfelek közé tartoznak például a webalkalmazások, más webes API-k, illetve a szolgáltatás- és démon típusú alkalmazások. A hitelesítő adatok lehetővé teszik, hogy az alkalmazás önmagában hitelesítse magát, és nem igényel beavatkozást egy felhasználótól futásidőben.

A bizalmas ügyfélalkalmazás regisztrációjához tanúsítványokat és titkos ügyfélkulcsokat (sztringet) is hozzáadhat hitelesítő adatokként.

Screenshot of the Azure portal, showing the Certificates and secrets pane in an app registration.

Tanúsítvány hozzáadása

Néha nyilvános kulcsnak is nevezik, a tanúsítvány az ajánlott hitelesítőadat-típus, mert biztonságosabbnak tekinthetők, mint az ügyfél titkos kódjai. További információ a tanúsítványok alkalmazásbeli hitelesítési módszerként való használatáról: Microsoft Identity Platform alkalmazáshitelesítési tanúsítvány hitelesítő adatai.

  1. Az Azure Portal alkalmazásregisztrációiban válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok titkos tanúsítványok & tanúsítványfeltöltési>tanúsítvány lehetőséget.>
  3. Jelölje ki a feltölteni kívánt fájlt. A következő fájltípusok egyikének kell lennie: .cer, .pem, .crt.
  4. Válassza a Hozzáadás lehetőséget.

Titkos ügyfélkód hozzáadása

Az alkalmazásjelszónak is nevezett titkos ügyfélkód egy sztringérték, amelyet az alkalmazás a tanúsítvány helyett használhat identitásként.

Az ügyfél titkos kódjai kevésbé biztonságosak, mint a tanúsítvány hitelesítő adatai. Az alkalmazásfejlesztők a könnyű használatuk miatt néha ügyfélkulcsokat használnak a helyi alkalmazásfejlesztés során. Az éles környezetben futó alkalmazásokhoz azonban tanúsítvány-hitelesítő adatokat kell használnia.

  1. Az Azure Portal alkalmazásregisztrációiban válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok titkos ügyfélkulcsok &>>új titkos ügyfélkulcs lehetőséget.
  3. Adja meg titkos ügyfélkódja leírását.
  4. Válasszon lejáratot a titkos kódhoz, vagy adjon meg egy egyéni élettartamot.
    • A titkos ügyfélkód élettartama legfeljebb két év (24 hónap) lehet. 24 hónapnál hosszabb egyéni élettartam nem adható meg.
    • A Microsoft azt javasolja, hogy 12 hónapnál rövidebb lejárati értéket állítson be.
  5. Válassza a Hozzáadás lehetőséget.
  6. Jegyezze fel a titkos kód értékét az ügyfélalkalmazás kódjában való használathoz. Ez a titkos kód soha többé nem jelenik meg , miután elhagyja ezt a lapot.

Az alkalmazásbiztonsági javaslatokért tekintse meg a Microsoft identitásplatformjának ajánlott eljárásait és javaslatait.

Következő lépések

Az ügyfélalkalmazások általában webes API-k erőforrásaihoz férnek hozzá. Az ügyfélalkalmazást a Microsoft identitásplatformjának használatával védheti. A platformot a webes API hatókörön belüli, engedélyalapú hozzáférésének engedélyezésére is használhatja.

A sorozat következő rövid útmutatójában létrehozhat egy másik alkalmazásregisztrációt a webes API-hoz, és közzéteheti a hatóköreit.

Alkalmazás konfigurálása webes API-k elérhetővé igényléséhez