Zelfstudie: Een webtoepassing registreren in Azure Active Directory B2C

Voordat uw toepassingen kunnen communiceren met Azure Active Directory B2C (Azure AD B2C), moeten deze worden geregistreerd in een tenant die u beheert. Deze zelfstudie laat zien hoe u een webtoepassing registreert met behulp van de Azure-portal.

Een 'webtoepassing' verwijst naar een traditionele webtoepassing die de meeste toepassingslogica op de server uitvoert. Ze kunnen worden gebouwd met behulp van frameworks zoals ASP.NET Core, Spring (Java), Flask (Python) en Express (Node.js).

Belangrijk

Als u in plaats daarvan een toepassing met één pagina (SPA) gebruikt (bijvoorbeeld met behulp van Angular, Vue of React), leert u hoe u een toepassing met één pagina kunt registreren.

Als u in plaats daarvan een systeemeigen app gebruikt (bijvoorbeeld iOS, Android, mobiel & bureaublad), leert u hoe u een systeemeigen clienttoepassing registreert.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Als u nog geen eigen Azure AD B2C-tenant hebt gemaakt, maakt u er nu een. U kunt een bestaande Azure AD B2C-tenant gebruiken.

Een web-app registreren

Als u een webtoepassing wilt registreren in de Azure AD B2C-tenant, kunt u de nieuwe uniforme ervaring voor App-registraties of de verouderde ervaring Toepassingen (verouderd) gebruiken. Meer informatie over de nieuwe ervaring.

App-registraties

1. Meld u aan bij de Azure-portal.

2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.

3. Zoek en selecteer Azure AD B2C in de Azure-portal.

4. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.

5. Voer een naam in voor de toepassing. Bijvoorbeeld webapp1.

6. Selecteer onder Ondersteunde accounttypen de optie Accounts in een identiteitsprovider of organisatiemap (voor het verifiëren van gebruikers met gebruikersstromen).

7. Selecteer onder Omleidings-URI de optie Web en voer vervolgens https://jwt.ms in het URL-tekstvak in.

   De omleidings-URI is het eindpunt waarnaar de gebruiker wordt gestuurd door de autorisatieserver (Azure AD B2C in dit geval) nadat de interactie met de gebruiker is voltooid en waaraan een toegangstoken of autorisatiecode wordt verzonden wanneer de autorisatie is geslaagd. In een productietoepassing is dit doorgaans een openbaar toegankelijk eindpunt waarop uw app wordt uitgevoerd, zoals https://contoso.com/auth-response. Voor testdoeleinden, zoals deze zelfstudie, kunt u dit instellen op https://jwt.ms, een webtoepassing van Microsoft die de gedecodeerde inhoud van een token weergeeft (de inhoud van het token verlaat nooit uw browser). Tijdens het ontwikkelen van apps kunt u het eindpunt daar toevoegen waar uw toepassing lokaal luistert, zoals https://localhost:5000. U kunt op elk gewenst moment omleidings-URI's toevoegen en wijzigen in uw geregistreerde toepassingen.

   De volgende beperkingen zijn van toepassing op omleidings-URI's:

   • De antwoord-URL moet beginnen met het schema https, tenzij u een localhost-omleidings-URL gebruikt.
   • De antwoord-URL is hoofdlettergevoelig. Het hoofdlettergebruik moet overeenkomen met het URL-pad van de actieve toepassing. Als uw toepassing bijvoorbeeld .../abc/response-oidc als deel van het pad bevat, geeft u .../ABC/response-oidc niet op in de antwoord-URL. Omdat de webbrowser paden als hoofdlettergevoelig behandelt, kunnen cookies die zijn gekoppeld aan .../abc/response-oidc worden uitgesloten als ze worden omgeleid naar de qua hoofdlettergebruik niet-overeenkomende URL .../ABC/response-oidc.
   • De antwoord-URL moet de afsluitende slash opnemen of uitsluiten, zoals uw toepassing verwacht. En https://contoso.com/auth-response/ kan bijvoorbeeld https://contoso.com/auth-response worden behandeld als niet-overeenkomende URL's in uw toepassing.

8. Selecteer in Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access.

9. Selecteer Registreren.

Toepassingen (verouderd)

1. Meld u aan bij de Azure-portal.

2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.

3. Zoek en selecteer Azure AD B2C in de Azure-portal.

4. Selecteer Toepassingen (verouderd), en selecteer vervolgens Toevoegen.

5. Voer bij Name een naam in voor de toepassing. Bijvoorbeeld webapp1.

6. Selecteer Ja bij Web-app / web-API opnemen.

7. Voer voor de Antwoord-URL een eindpunt in waarop Azure AD B2C tokens retourneert die door uw toepassing worden aangevraagd. U kunt dit bijvoorbeeld instellen om lokaal te luisteren op http://localhost:5000. U kunt op elk gewenst moment omleidings-URI's toevoegen en wijzigen in uw geregistreerde toepassingen.

   De volgende beperkingen zijn van toepassing op omleidings-URI's:

   • De antwoord-URL moet beginnen met het schema https, tenzij localhost wordt gebruikt.
   • De antwoord-URL is hoofdlettergevoelig. Het hoofdlettergebruik moet overeenkomen met het URL-pad van de actieve toepassing. Als uw toepassing bijvoorbeeld .../abc/response-oidc als deel van het pad bevat, geeft u .../ABC/response-oidc niet op in de antwoord-URL. Omdat de webbrowser paden als hoofdlettergevoelig behandelt, kunnen cookies die zijn gekoppeld aan .../abc/response-oidc worden uitgesloten als ze worden omgeleid naar de qua hoofdlettergebruik niet-overeenkomende URL .../ABC/response-oidc.
   • De antwoord-URL moet de afsluitende slash opnemen of uitsluiten, zoals uw toepassing verwacht. En https://contoso.com/auth-response/ kan bijvoorbeeld https://contoso.com/auth-response worden behandeld als niet-overeenkomende URL's in uw toepassing.

8. Selecteer Maken om de registratie van de toepassing te voltooien.

Tip

Als u de app(s) die u hebt gemaakt onder App-registraties niet ziet, vernieuwt u de portal.

Een clientgeheim maken

Voor een webtoepassing moet u een toepassingsgeheim maken. Het clientgeheim wordt ook wel een toepassingswachtwoord genoemd. Het geheim wordt door uw toepassing gebruikt om een autorisatiecode voor een toegangstoken in te wisselen.

App-registraties

1. Selecteer op de pagina Azure AD B2C - App-registraties de toepassing die u hebt gemaakt, bijvoorbeeld webapp1.
2. Selecteer in het menu links onder Beheren de optie Certificaten en geheimen.
3. Selecteer Nieuw clientgeheim.
4. Voer een beschrijving voor het clientgeheim in het vak Beschrijving in. Bijvoorbeeld clientsecret1.
5. Selecteer onder Verloopt een duur waarvoor het geheim geldig is en selecteer vervolgens Toevoegen.
6. Registreer de waarde van het geheim voor gebruik in de code van uw clienttoepassing. Deze geheimwaarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. U gebruikt deze waarde als het toepassingsgeheim in de code van uw toepassing.

Toepassingen (verouderd)

1. Selecteer op de pagina Azure AD B2C - toepassingen de toepassing die u hebt gemaakt, bijvoorbeeld webapp1.
2. Selecteer Sleutels en selecteer vervolgens Sleutel genereren.
3. Selecteer Opslaan om de sleutel weer te geven. Noteer de waarde van App-sleutel. U gebruikt deze waarde als het toepassingsgeheim in de code van uw toepassing.

Notitie

Voor beveiligingsdoeleinden kunt u het toepassingsgeheim periodiek of onmiddellijk in geval van noodgevallen overrollen. Elke toepassing die kan worden geïntegreerd met Azure AD B2C, moet worden voorbereid om een geheime rollover-gebeurtenis af te handelen, ongeacht hoe vaak het kan gebeuren. U kunt twee toepassingsgeheimen instellen, zodat uw toepassing het oude geheim blijft gebruiken tijdens een gebeurtenis voor het rouleren van het toepassingsgeheim. Als u een ander clientgeheim wilt toevoegen, herhaalt u de stappen in deze sectie.

Impliciete toekenning van id-token inschakelen

Als u deze app registreert en configureert met https://jwt.ms/ de app voor het testen van een gebruikersstroom of aangepast beleid, moet u de impliciete toekenningsstroom inschakelen in de app-registratie:

1. Selecteer hiervoor Verificatie in het linkermenu onder Beheren.

2. Schakel onder Impliciete toekenning en hybride stromen zowel de selectievakjes Toegangstokens (gebruikt voor impliciete stromen) als Id-tokens (gebruikt voor impliciete en hybride stromen) in.

3. Selecteer Opslaan.

Volgende stappen

In dit artikel hebt u het volgende geleerd:

• Een web-app registreren
• Een clientgeheim maken

Meer informatie over het maken van gebruikersstromen in Azure Active Directory B2C