Microsoft Entra Külső ID lehetővé teszi a szervezet számára, hogy kezelje az ügyfelek identitásait, és biztonságosan szabályozhassa a nyilvános alkalmazásokhoz és API-khoz való hozzáférést. Alkalmazások, ahol az ügyfelek megvásárolhatják a termékeket, feliratkozhatnak a szolgáltatásaira, vagy hozzáférhetnek a fiókjukhoz és adataikhoz. Az ügyfeleknek csak egyszer kell bejelentkeznie egy eszközre vagy egy webböngészőbe, és hozzáféréssel kell rendelkezniük az összes olyan alkalmazáshoz, amelyhez ön engedélyt adott.
Ahhoz, hogy az alkalmazás külső azonosítóval jelentkezzen be, regisztrálnia kell az alkalmazást külső azonosítóval. Az alkalmazásregisztráció megbízhatósági kapcsolatot létesít az alkalmazás és a külső azonosító között.
Az alkalmazásregisztráció során meg kell adnia az átirányítási URI-t. Az átirányítási URI az a végpont, amelyre a külső azonosító átirányítja a felhasználókat a hitelesítés után. Az alkalmazásregisztrációs folyamat létrehoz egy alkalmazásazonosítót, más néven ügyfél-azonosítót, amely egyedileg azonosítja az alkalmazást.
A külső azonosító különböző modern alkalmazásarchitektúrák, például webalkalmazások vagy egyoldalas alkalmazások hitelesítését támogatja. Az egyes alkalmazástípusok és a külső bérlő közötti interakció eltérő, ezért meg kell adnia a regisztrálni kívánt alkalmazás típusát.
Ebből a cikkből megtudhatja, hogyan regisztrálhat alkalmazásokat a külső bérlőben.
Egyoldalas alkalmazás regisztrálása
A külső azonosító támogatja az egyoldalas alkalmazások (SLA-k) hitelesítését.
Az alábbi lépések bemutatják, hogyan regisztrálhatja spa-ját a Microsoft Entra felügyeleti központban:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával 
válthat a külső bérlőre a Címtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget.
A megjelenő Alkalmazás regisztrálása lapon adja meg az alkalmazás regisztrációs adatait:
A Név szakaszban adjon meg egy értelmes alkalmazásnevet, amely az alkalmazás felhasználói számára jelenik meg, például ciam-client-app.
A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.
Az Átirányítási URI (nem kötelező) területen válassza az Egyoldalas alkalmazás (SPA) lehetőséget, majd írja be http://localhost:3000/az URL-címet az URL-mezőbe.
Válassza ki a pénztárgépet.
A regisztráció befejezésekor megjelenik az alkalmazás Áttekintés panelje . Jegyezze fel a címtár (bérlő) azonosítóját és az alkalmazás forráskódjában használandó alkalmazás-(ügyfél-) azonosítót .
Az átirányítási URI ismertetése
Az átirányítási URI az a végpont, ahová a felhasználót az engedélyezési kiszolgáló (ebben az esetben a Microsoft Entra-azonosító) küldi el a felhasználóval való interakció befejezése után, és amelyre sikeres engedélyezés esetén a rendszer hozzáférési jogkivonatot vagy engedélyezési kódot küld.
Éles alkalmazásokban ez általában egy nyilvánosan elérhető végpont, ahol az alkalmazás fut, például https://contoso.com/auth-response.
Az alkalmazásfejlesztés során hozzáadhatja azt a végpontot, ahol az alkalmazás helyileg figyel, például http://localhost:3000. A regisztrált alkalmazásokban bármikor hozzáadhat és módosíthat átirányítási URI-kat.
Az átirányítási URI-kra a következő korlátozások vonatkoznak:
A válasz URL-címnek a sémával httpskell kezdődnie, kivéve, ha localhost átirányítási URL-címet használ.
A válasz URL-címe megkülönbözteti a kis- és nagybetűkre vonatkozó adatokat. Az esetnek meg kell egyeznie a futó alkalmazás URL-elérési útjának esetével. Ha például az alkalmazás az elérési út .../abc/response-oidcrészeként szerepel, ne adja meg .../ABC/response-oidc a válasz URL-címét. Mivel a webböngésző megkülönbözteti a kis- és nagybetűket, a kis- és nagybetűkkel társított .../abc/response-oidc cookie-k kizárhatók, ha a kis- és nagybetűket nem egyező URL-címre irányítják .../ABC/response-oidc át.
A válasz URL-címnek tartalmaznia kell vagy ki kell zárnia a záró perjelet, ahogy az alkalmazás elvárja. Előfordulhat például, https://contoso.com/auth-responsehttps://contoso.com/auth-response/ hogy az alkalmazás nem egyező URL-címként kezeli őket.
Rendszergazdai jóváhagyás megadása
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
A Kezelés területen válassza ki az API-engedélyeket. A Konfigurált engedélyek listájában az alkalmazáshoz a User.Read engedély lett hozzárendelve. Mivel azonban a bérlő egy külső bérlő, a felhasználói felhasználók maguk nem járulhatnak hozzá ehhez az engedélyhez. Önnek, mint rendszergazdának hozzá kell adnia ezt az engedélyt a bérlő összes felhasználója nevében:
- Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
- Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét hatókör állapotábanjelenik-e meg.
API-engedélyek megadása (nem kötelező):
Ha a SPA-nak API-t kell meghívnia, meg kell adnia a SPA API-engedélyeket, hogy meghívhassa az API-t. Regisztrálnia kell a meghívni kívánt webes API-t is.
Az ügyfélalkalmazás (ciam-client-app) API-engedélyeinek megadásához kövesse az alábbi lépéseket:
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
A Kezelés területen válassza ki az API-engedélyeket.
A Konfigurált engedélyek csoportban válassza az Engedély hozzáadása lehetőséget.
Válassza ki a szervezet által használt API-kat.
Az API-k listájában válassza ki az API-t, például a ciam-ToDoList-api-t.
Válassza a Delegált engedélyek lehetőséget.
Az engedélyek listájában válassza a ToDoList.Read, a ToDoList.ReadWrite lehetőséget (szükség esetén használja a keresőmezőt).
Válassza az Engedélyek hozzáadása gombot. Ezen a ponton helyesen rendelte hozzá az engedélyeket. Mivel azonban a bérlő egy ügyfél bérlője, a felhasználói felhasználók maguk nem járulhatnak hozzá ezekhez az engedélyekhez. A probléma megoldásához Önnek, mint rendszergazdának hozzá kell adnia ezeket az engedélyeket a bérlő összes felhasználója nevében:
Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét hatókör állapotábanjelenik-e meg.
A Konfigurált engedélyek listájában egyenként válassza ki a ToDoList.Read és a ToDoList.ReadWrite engedélyeket, majd másolja ki az engedély teljes URI-ját későbbi használatra. A teljes engedély URI-ja hasonló vagy api://{clientId}/{ToDoList.ReadWrite}hasonlóapi://{clientId}/{ToDoList.Read}.
Ha meg szeretné tudni, hogyan teheti elérhetővé az engedélyeket egy hivatkozás hozzáadásával, lépjen a Webes API szakaszra.
Webalkalmazás regisztrálása
A külső azonosító támogatja a webalkalmazások hitelesítését.
Az alábbi lépések bemutatják, hogyan regisztrálhatja webalkalmazását a Microsoft Entra Felügyeleti központban:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget.
A megjelenő Alkalmazás regisztrálása lapon adja meg az alkalmazás regisztrációs adatait:
A Név szakaszban adjon meg egy értelmes alkalmazásnevet, amely az alkalmazás felhasználói számára jelenik meg, például ciam-client-app.
A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.
Az Átirányítási URI (nem kötelező) területen válassza a Web lehetőséget, majd az URL-mezőbe írjon be egy URL-címet, például: http://localhost:3000/.
Válassza ki a pénztárgépet.
A regisztráció befejezésekor megjelenik az alkalmazás Áttekintés panelje . Jegyezze fel a címtár (bérlő) azonosítóját és az alkalmazás forráskódjában használandó alkalmazás-(ügyfél-) azonosítót .
Az átirányítási URI ismertetése
Az átirányítási URI az a végpont, ahová a felhasználót az engedélyezési kiszolgáló (ebben az esetben a Microsoft Entra-azonosító) küldi el a felhasználóval való interakció befejezése után, és amelyre sikeres engedélyezés esetén a rendszer hozzáférési jogkivonatot vagy engedélyezési kódot küld.
Éles alkalmazásokban ez általában egy nyilvánosan elérhető végpont, ahol az alkalmazás fut, például https://contoso.com/auth-response.
Az alkalmazásfejlesztés során hozzáadhatja azt a végpontot, ahol az alkalmazás helyileg figyel, például http://localhost:3000. A regisztrált alkalmazásokban bármikor hozzáadhat és módosíthat átirányítási URI-kat.
Az átirányítási URI-kra a következő korlátozások vonatkoznak:
A válasz URL-címnek a sémával httpskell kezdődnie, kivéve, ha localhost átirányítási URL-címet használ.
A válasz URL-címe megkülönbözteti a kis- és nagybetűkre vonatkozó adatokat. Az esetnek meg kell egyeznie a futó alkalmazás URL-elérési útjának esetével. Ha például az alkalmazás az elérési út .../abc/response-oidcrészeként szerepel, ne adja meg .../ABC/response-oidc a válasz URL-címét. Mivel a webböngésző megkülönbözteti a kis- és nagybetűket, a kis- és nagybetűkkel társított .../abc/response-oidc cookie-k kizárhatók, ha a kis- és nagybetűket nem egyező URL-címre irányítják .../ABC/response-oidc át.
A válasz URL-címnek tartalmaznia kell vagy ki kell zárnia a záró perjelet, ahogy az alkalmazás elvárja. Előfordulhat például, https://contoso.com/auth-responsehttps://contoso.com/auth-response/ hogy az alkalmazás nem egyező URL-címként kezeli őket.
Rendszergazdai jóváhagyás megadása
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
A Kezelés területen válassza ki az API-engedélyeket. A Konfigurált engedélyek listájában az alkalmazáshoz a User.Read engedély lett hozzárendelve. Mivel azonban a bérlő egy külső bérlő, a felhasználói felhasználók maguk nem járulhatnak hozzá ehhez az engedélyhez. Önnek, mint rendszergazdának hozzá kell adnia ezt az engedélyt a bérlő összes felhasználója nevében:
- Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
- Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét hatókör állapotábanjelenik-e meg.
Titkos ügyfélkód létrehozása
Hozzon létre egy ügyfélkulcsot a regisztrált alkalmazáshoz. Az alkalmazás az ügyfél titkos kódjával igazolja identitását, amikor jogkivonatokat kér.
- A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
- A Kezelés területen válassza a Tanúsítványok és titkos kódok lehetőséget.
- Válassza az Új titkos ügyfélkód lehetőséget.
- A Leírás mezőbe írja be az ügyfél titkos kódjának leírását (például a ciam alkalmazás ügyfélkulcsát).
- A Lejáratok csoportban válassza ki azt az időtartamot, amelyre érvényes a titkos kód (a szervezet biztonsági szabályai szerint), majd válassza a Hozzáadás lehetőséget.
- Jegyezze fel a titkos kód értékét. Ezt az értéket egy későbbi lépésben fogja használni a konfigurációhoz. A titkos kulcs értéke nem jelenik meg újra, és semmilyen módon nem lesz lekérthető, miután eltávolodik a tanúsítványoktól és titkos kódoktól. Győződjön meg róla, hogy rögzíti.
API-engedélyek megadása (nem kötelező)
Ha a webalkalmazásnak API-t kell meghívnia, meg kell adnia a webalkalmazás API-engedélyeit, hogy meghívhassa az API-t. Regisztrálnia kell a meghívni kívánt webes API-t is.
Az ügyfélalkalmazás (ciam-client-app) API-engedélyeinek megadásához kövesse az alábbi lépéseket:
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
A Kezelés területen válassza ki az API-engedélyeket.
A Konfigurált engedélyek csoportban válassza az Engedély hozzáadása lehetőséget.
Válassza ki a szervezet által használt API-kat.
Az API-k listájában válassza ki az API-t, például a ciam-ToDoList-api-t.
Válassza a Delegált engedélyek lehetőséget.
Az engedélyek listájában válassza a ToDoList.Read, a ToDoList.ReadWrite lehetőséget (szükség esetén használja a keresőmezőt).
Válassza az Engedélyek hozzáadása gombot. Ezen a ponton helyesen rendelte hozzá az engedélyeket. Mivel azonban a bérlő egy ügyfél bérlője, a felhasználói felhasználók maguk nem járulhatnak hozzá ezekhez az engedélyekhez. A probléma megoldásához Önnek, mint rendszergazdának hozzá kell adnia ezeket az engedélyeket a bérlő összes felhasználója nevében:
Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét hatókör állapotábanjelenik-e meg.
A Konfigurált engedélyek listájában egyenként válassza ki a ToDoList.Read és a ToDoList.ReadWrite engedélyeket, majd másolja ki az engedély teljes URI-ját későbbi használatra. A teljes engedély URI-ja hasonló vagy api://{clientId}/{ToDoList.ReadWrite}hasonlóapi://{clientId}/{ToDoList.Read}.
A webes API regisztrálása
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget.
A megjelenő Alkalmazás regisztrálása lapon adja meg az alkalmazás regisztrációs adatait:
A Név szakaszban adjon meg egy értelmes alkalmazásnevet, amely megjelenik az alkalmazás felhasználói számára, például ciam-ToDoList-api.
A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.
Válassza a Regisztráció elemet az alkalmazás létrehozásához.
A regisztráció befejezésekor megjelenik az alkalmazás Áttekintés panelje . Jegyezze fel a címtár (bérlő) azonosítóját és az alkalmazás forráskódjában használandó alkalmazás-(ügyfél-) azonosítót .
Engedélyek nyilvánosságra helyezése
Az API-nak legalább egy hatókört , más néven delegált engedélyt kell közzétennie ahhoz, hogy az ügyfélalkalmazások sikeresen beszerezhessék a felhasználó hozzáférési jogkivonatát. Hatókör közzétételéhez kövesse az alábbi lépéseket:
A Alkalmazásregisztrációk lapon válassza ki a létrehozott API-alkalmazást (ciam-ToDoList-api) az Áttekintés lap megnyitásához.
A Kezelés területen válassza az API-k felfedése lehetőséget.
A lap tetején, az alkalmazásazonosító URI-ja mellett válassza a Hozzáadás hivatkozást az alkalmazáshoz egyedi URI létrehozásához.
Fogadja el a javasolt alkalmazásazonosító URI-ját, példáulapi://{clientId}, és válassza a Mentés lehetőséget. Amikor a webalkalmazás hozzáférési jogkivonatot kér a webes API-hoz, hozzáadja az URI-t az API-hoz definiált egyes hatókörök előtagjaként.
Az API által definiált hatókörök alatt válassza a Hatókör hozzáadása lehetőséget.
Adja meg a következő értékeket, amelyek olvasási hozzáférést határoznak meg az API-hoz, majd válassza a Hatókör hozzáadása lehetőséget a módosítások mentéséhez:
| Tulajdonság |
Érték |
| Hatókör neve |
ToDoList.Read |
| Ki adhat hozzájárulást? |
csak Rendszergazda |
| Rendszergazdai hozzájárulás megjelenítendő neve |
Felhasználók ToDo-listájának olvasása a "TodoListApi" használatával |
| Rendszergazdai jóváhagyás leírása |
Engedélyezze az alkalmazás számára a felhasználó ToDo-listájának olvasását a "TodoListApi" használatával. |
| Állapot |
Engedélyezve |
Válassza ismét a Hatókör hozzáadása lehetőséget, és adja meg az alábbi értékeket, amelyek írási és olvasási hozzáférési hatókört határoznak meg az API-hoz. A módosítások mentéséhez válassza a Hatókör hozzáadása lehetőséget:
| Tulajdonság |
Érték |
| Hatókör neve |
ToDoList.ReadWrite |
| Ki adhat hozzájárulást? |
csak Rendszergazda |
| Rendszergazdai hozzájárulás megjelenítendő neve |
Felhasználók ToDo-listájának olvasása és írása a "ToDoListApi" használatával |
| Rendszergazdai jóváhagyás leírása |
Lehetővé teszi az alkalmazás számára a felhasználó ToDo-listájának olvasását és írását a "ToDoListApi" használatával |
| Állapot |
Engedélyezve |
A Kezelés területen válassza a Jegyzékfájl lehetőséget az API jegyzékszerkesztőjének megnyitásához.
Állítsa be accessTokenAcceptedVersion a tulajdonságot a következőre 2: .
Válassza a Mentés lehetőséget.
További információ a webes API-k engedélyeinek közzétételekor a minimális jogosultság elvéről.
Alkalmazásszerepkörök hozzáadása
Az API-nak legalább egy alkalmazásszerepkört kell közzétennie az alkalmazásokhoz, más néven alkalmazásengedélyekhez, hogy az ügyfélalkalmazások saját maguk is beszerezhessék a hozzáférési jogkivonatot. Az alkalmazásengedélyek olyan típusú engedélyek, amelyeket az API-knak közzé kell tenniük, ha engedélyezni szeretnék az ügyfélalkalmazások számára a sikeres hitelesítést, és nem kell bejelentkezniük a felhasználóknak. Alkalmazásengedély közzétételéhez kövesse az alábbi lépéseket:
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-ToDoList-api-t) az Áttekintés lap megnyitásához.
A Kezelés csoportban válassza az Alkalmazásszerepkörök lehetőséget.
Válassza az Alkalmazásszerepkör létrehozása lehetőséget, majd adja meg a következő értékeket, majd kattintson az Alkalmaz gombra a módosítások mentéséhez:
| Tulajdonság |
Érték |
| Megjelenített név |
ToDoList.Read.All |
| Engedélyezett tagtípusok |
Alkalmazások |
| Érték |
ToDoList.Read.All |
| Leírás |
Minden felhasználó ToDo-listájának olvasásának engedélyezése az alkalmazás számára a "TodoListApi" használatával |
Válassza ismét az Alkalmazásszerepkör létrehozása lehetőséget, majd adja meg a következő értékeket a második alkalmazásszerepkörhöz, majd kattintson az Alkalmaz gombra a módosítások mentéséhez:
| Tulajdonság |
Érték |
| Megjelenített név |
ToDoList.ReadWrite.All |
| Engedélyezett tagtípusok |
Alkalmazások |
| Érték |
ToDoList.ReadWrite.All |
| Leírás |
Az alkalmazás a ToDoListApi használatával elolvashatja és megírhatja minden felhasználó ToDo-listáját |
Asztali vagy mobilalkalmazás regisztrálása
Az alábbi lépések bemutatják, hogyan regisztrálhatja az alkalmazást a Microsoft Entra Felügyeleti központban:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget.
A megjelenő Alkalmazás regisztrálása lapon adja meg az alkalmazás regisztrációs adatait:
A Név szakaszban adjon meg egy értelmes alkalmazásnevet, amely az alkalmazás felhasználói számára jelenik meg, például ciam-client-app.
A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.
Az Átirányítási URI (nem kötelező) területen válassza a Mobil és asztali alkalmazások lehetőséget, majd az URL-mezőbe írjon be egy egyedi sémát tartalmazó URI-t. Az Electron asztali alkalmazás átirányítási URI-ja például hasonlóhttp://localhost, míg a .NET többplatformos alkalmazás felhasználói felülete (MAUI) hasonló.msal{ClientId}://auth
Válassza ki a pénztárgépet.
A regisztráció befejezésekor megjelenik az alkalmazás Áttekintés panelje . Jegyezze fel a címtár (bérlő) azonosítóját és az alkalmazás forráskódjában használandó alkalmazás-(ügyfél-) azonosítót .
Rendszergazdai jóváhagyás megadása
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
A Kezelés területen válassza ki az API-engedélyeket. A Konfigurált engedélyek listájában az alkalmazáshoz a User.Read engedély lett hozzárendelve. Mivel azonban a bérlő egy külső bérlő, a felhasználói felhasználók maguk nem járulhatnak hozzá ehhez az engedélyhez. Önnek, mint rendszergazdának hozzá kell adnia ezt az engedélyt a bérlő összes felhasználója nevében:
- Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
- Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét hatókör állapotábanjelenik-e meg.
API-engedélyek megadása (nem kötelező)
Ha a mobilalkalmazásnak API-t kell meghívnia, meg kell adnia a mobilalkalmazás API-engedélyeit, hogy meghívhassa az API-t. Regisztrálnia kell a meghívni kívánt webes API-t is.
Az ügyfélalkalmazás (ciam-client-app) API-engedélyeinek megadásához kövesse az alábbi lépéseket:
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
A Kezelés területen válassza ki az API-engedélyeket.
A Konfigurált engedélyek csoportban válassza az Engedély hozzáadása lehetőséget.
Válassza ki a szervezet által használt API-kat.
Az API-k listájában válassza ki az API-t, például a ciam-ToDoList-api-t.
Válassza a Delegált engedélyek lehetőséget.
Az engedélyek listájában válassza a ToDoList.Read, a ToDoList.ReadWrite lehetőséget (szükség esetén használja a keresőmezőt).
Válassza az Engedélyek hozzáadása gombot. Ezen a ponton helyesen rendelte hozzá az engedélyeket. Mivel azonban a bérlő egy ügyfél bérlője, a felhasználói felhasználók maguk nem járulhatnak hozzá ezekhez az engedélyekhez. A probléma megoldásához Önnek, mint rendszergazdának hozzá kell adnia ezeket az engedélyeket a bérlő összes felhasználója nevében:
Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét hatókör állapotábanjelenik-e meg.
A Konfigurált engedélyek listájában egyenként válassza ki a ToDoList.Read és a ToDoList.ReadWrite engedélyeket, majd másolja ki az engedély teljes URI-ját későbbi használatra. A teljes engedély URI-ja hasonló vagy api://{clientId}/{ToDoList.ReadWrite}hasonlóapi://{clientId}/{ToDoList.Read}.
A Démon alkalmazás regisztrálása
Az alábbi lépések bemutatják, hogyan regisztrálhatja démonalkalmazását a Microsoft Entra Felügyeleti központban:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget.
A megjelenő Alkalmazás regisztrálása lapon adja meg az alkalmazás regisztrációs adatait:
A Név szakaszban adjon meg egy értelmes alkalmazásnevet, amely megjelenik az alkalmazás felhasználói számára, például ciam-client-app.
A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.
Válassza ki a pénztárgépet.
A regisztráció befejezésekor megjelenik az alkalmazás Áttekintés panelje . Jegyezze fel a címtár (bérlő) azonosítóját és az alkalmazás forráskódjában használandó alkalmazás-(ügyfél-) azonosítót .
API-engedélyek megadása
Egy démonalkalmazás önmagában jelentkezik be az OAuth 2.0 ügyfél hitelesítő adatainak folyamatával. Ön alkalmazásengedélyeket (alkalmazásszerepköröket) ad meg, amelyet a magukat hitelesíteni kívánó alkalmazások igényelnek. Regisztrálnia kell azt a webes API-t is, amelyet a démonalkalmazásnak meg kell hívnia.
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást, például a ciam-client-app alkalmazást.
A Kezelés területen válassza ki az API-engedélyeket.
A Konfigurált engedélyek csoportban válassza az Engedély hozzáadása lehetőséget.
Válassza ki a szervezet által használt API-kat.
Az API-k listájában válassza ki az API-t, például a ciam-ToDoList-api-t.
Válassza az Alkalmazásengedélyek lehetőséget. Ezt a lehetőséget választjuk, mivel az alkalmazás önmagában jelentkezik be, nem a felhasználókba.
Az engedélyek listájában válassza a TodoList.Read.All, a ToDoList.ReadWrite.All elemet (szükség esetén használja a keresőmezőt).
Válassza az Engedélyek hozzáadása gombot.
Ezen a ponton helyesen rendelte hozzá az engedélyeket. Mivel azonban a démonalkalmazás nem teszi lehetővé a felhasználók számára az interakciót, maguk a felhasználók nem járulhatnak hozzá ezekhez az engedélyekhez. A probléma megoldásához Önnek, mint rendszergazdának hozzá kell adnia ezeket az engedélyeket a bérlő összes felhasználója nevében:
- Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
- Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét engedély állapotábanmegjelenik-e.
Microsoft Graph API-alkalmazás regisztrálása
Ahhoz, hogy az alkalmazás bejelentkezhessen a Microsoft Entra szolgáltatással, Microsoft Entra Külső ID tisztában kell lennie a létrehozott alkalmazással. Az alkalmazásregisztráció megbízhatósági kapcsolatot létesít az alkalmazás és a Microsoft Entra között. Amikor regisztrál egy alkalmazást, a külső azonosító létrehoz egy egyedi azonosítót, más néven egy alkalmazás (ügyfél) azonosítót, amely az alkalmazás azonosítására szolgál a hitelesítési kérelmek létrehozásakor.
Az alábbi lépések bemutatják, hogyan regisztrálhatja az alkalmazást a Microsoft Entra Felügyeleti központban:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget.
A Megjelenő alkalmazás regisztrálása lapon;
- Adjon meg egy értelmes alkalmazásnevet, amely az alkalmazás felhasználói számára jelenik meg, például ciam-client-app.
- A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.
Válassza ki a pénztárgépet.
Az alkalmazás Áttekintés panelje a sikeres regisztrációkor jelenik meg. Jegyezze fel az alkalmazás forráskódjában használandó alkalmazás-(ügyfél-) azonosítót .
API-hozzáférés biztosítása az alkalmazáshoz
Ahhoz, hogy az alkalmazás hozzáférjen az adatokhoz a Microsoft Graph API-ban, adja meg a regisztrált alkalmazásnak a megfelelő alkalmazásengedélyeket. Az alkalmazás érvényes engedélyei az engedély által sugallt jogosultságok teljes szintje. Ha például minden felhasználót szeretne létrehozni, olvasni, frissíteni és törölni a külső bérlőben, adja hozzá a User.ReadWrite.All engedélyt.
A Kezelés területen válassza ki az API-engedélyeket.
A Konfigurált engedélyek csoportban válassza az Engedély hozzáadása lehetőséget.
Válassza a Microsoft API-k lapot, majd a Microsoft Graphot.
Válassza ki az alkalmazásengedélyeket.
Bontsa ki a megfelelő engedélycsoportot, és jelölje be a felügyeleti alkalmazásnak adható engedély jelölőnégyzetét. Példa:
User>User.ReadWrite.All: Felhasználói migrálási vagy felhasználókezelési forgatókönyvekhez.
Group>Group.ReadWrite.All: Csoportok létrehozására, csoporttagságok olvasására és frissítésére, valamint csoportok törlésére.
AuditLog>AuditLog.Read.All: A címtár naplóinak olvasásához.
Policy>Policy.ReadWrite.TrustFramework: Folyamatos integrációs/folyamatos kézbesítési (CI/CD) forgatókönyvekhez. Például egyéni szabályzatok üzembe helyezése az Azure Pipelines használatával.
Jelölje be az Engedélyek hozzáadása lehetőséget. Az utasításnak megfelelően várjon néhány percet, mielőtt továbblép a következő lépésre.
Válassza a rendszergazdai hozzájárulás megadása (a bérlő neve) lehetőséget.
Ha jelenleg nincs bejelentkezve, jelentkezzen be egy fiókkal a külső bérlőben, amely legalább a Cloud Application Rendszergazda istrator szerepkörhöz van hozzárendelve, majd válassza a Rendszergazdai hozzájárulás megadása (a bérlő neve) lehetőséget.
Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy "Meg van-e adva ..." a Status (Állapot) területen jelenik meg. Az engedélyek propagálása eltarthat néhány percig.
Miután regisztrálta az alkalmazást, hozzá kell adnia egy titkos ügyfélkulcsot az alkalmazáshoz. Ezzel az ügyfélkóddal hitelesítheti az alkalmazást a Microsoft Graph API meghívásához.
Titkos ügyfélkód létrehozása
Hozzon létre egy ügyfélkulcsot a regisztrált alkalmazáshoz. Az alkalmazás az ügyfél titkos kódjával igazolja identitását, amikor jogkivonatokat kér.
- A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
- A Kezelés területen válassza a Tanúsítványok és titkos kódok lehetőséget.
- Válassza az Új titkos ügyfélkód lehetőséget.
- A Leírás mezőbe írja be az ügyfél titkos kódjának leírását (például a ciam alkalmazás ügyfélkulcsát).
- A Lejáratok csoportban válassza ki azt az időtartamot, amelyre érvényes a titkos kód (a szervezet biztonsági szabályai szerint), majd válassza a Hozzáadás lehetőséget.
- Jegyezze fel a titkos kód értékét. Ezt az értéket egy későbbi lépésben fogja használni a konfigurációhoz. A titkos kulcs értéke nem jelenik meg újra, és semmilyen módon nem lesz lekérthető, miután eltávolodik a tanúsítványoktól és titkos kódoktól. Győződjön meg róla, hogy rögzíti.
Natív hitelesítési alkalmazás regisztrálása
Ahhoz, hogy az alkalmazás bejelentkezhessen a Microsoft Entra szolgáltatással, Microsoft Entra Külső ID tisztában kell lennie a létrehozott alkalmazással. Az alkalmazásregisztráció megbízhatósági kapcsolatot létesít az alkalmazás és a Microsoft Entra között. Amikor regisztrál egy alkalmazást, a külső azonosító létrehoz egy egyedi azonosítót, más néven egy alkalmazás (ügyfél) azonosítót, amely az alkalmazás azonosítására szolgál a hitelesítési kérelmek létrehozásakor.
Az alábbi lépések bemutatják, hogyan regisztrálhatja az alkalmazást a Microsoft Entra Felügyeleti központban:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Ha több bérlőhöz is rendelkezik hozzáféréssel, a felső menü Gépház ikonjával válthat a külső bérlőre a Címtárak + előfizetések menüből.
Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
Válassza az + Új regisztráció lehetőséget.
A Megjelenő alkalmazás regisztrálása lapon;
- Adjon meg egy értelmes alkalmazásnevet, amely az alkalmazás felhasználói számára jelenik meg, például ciam-client-app.
- A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.
Válassza ki a pénztárgépet.
Az alkalmazás Áttekintés panelje a sikeres regisztrációkor jelenik meg. Jegyezze fel az alkalmazás forráskódjában használandó alkalmazás-(ügyfél-) azonosítót .
Rendszergazdai jóváhagyás megadása
A Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást (például a ciam-client-appot) az Áttekintés lap megnyitásához.
A Kezelés területen válassza ki az API-engedélyeket. A Konfigurált engedélyek listájában az alkalmazáshoz a User.Read engedély lett hozzárendelve. Mivel azonban a bérlő egy külső bérlő, a felhasználói felhasználók maguk nem járulhatnak hozzá ehhez az engedélyhez. Önnek, mint rendszergazdának hozzá kell adnia ezt az engedélyt a bérlő összes felhasználója nevében:
- Válassza a rendszergazdai hozzájárulás megadása a bérlő nevének> megadását<, majd válassza az Igen lehetőséget.
- Válassza a Frissítés lehetőséget, majd ellenőrizze, hogy a bérlő nevének> megadása <mindkét hatókör állapotábanjelenik-e meg.
Nyilvános ügyfél- és natív hitelesítési folyamatok engedélyezése
Annak megadásához, hogy ez az alkalmazás nyilvános ügyfél, és natív hitelesítést használhat, engedélyezze a nyilvános ügyfél- és natív hitelesítési folyamatokat:
- Az alkalmazásregisztrációk lapon válassza ki azt az alkalmazásregisztrációt, amelyhez engedélyezni szeretné a nyilvános ügyfél- és natív hitelesítési folyamatokat.
- A Kezelés területen válassza a Hitelesítés lehetőséget.
- A Speciális beállítások területen engedélyezze a nyilvános ügyfélfolyamatokat:
- Az alábbi mobil- és asztali folyamatok engedélyezéséhez válassza az Igen lehetőséget.
- A natív hitelesítés engedélyezéséhez válassza az Igen lehetőséget.
- Válassza a Mentés gombot.
Az új alkalmazás regisztrálása után az alkalmazás (ügyfél) azonosítóját a Microsoft Entra felügyeleti központ áttekintésében találja.
Munkaerő-bérlők 
Külső bérlők (további információ)
