Snelstart: Een toepassing registreren op het Microsoft-identiteitsplatform

Ga aan de slag met het Microsoft Identity Platform door een toepassing te registreren in Azure Portal.

Het Microsoft Identity Platform voert alleen identiteits- en toegangsbeheer (IAM) uit voor geregistreerde toepassingen. Of het nu gaat om een clienttoepassing, zoals een web-app of mobiele app, of om een web-API die een client-app ondersteunt, als u de toepassing registreert brengt u een vertrouwensrelatie tot stand tussen de toepassing en de id-provider, het Microsoft Identity Platform.

Tip

Als u een toepassing wilt registreren voor Azure AD B2C, volgt u de stappen in Zelfstudie: Een webtoepassing registreren in Azure AD B2C.

Vereisten

Een toepassing registreren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Het registreren van uw toepassing brengt een vertrouwensrelatie tot stand tussen uw app en het Microsoft Identity Platform. De vertrouwensrelatie heeft één richting: uw app vertrouwt Microsoft Identity Platform, en niet andersom. Nadat het object is gemaakt, kan het toepassingsobject niet worden verplaatst tussen verschillende tenants.

Volg deze stappen om de app-registratie te maken:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om over te schakelen naar de tenant waarin u de toepassing wilt registreren in het menu Mappen en abonnementen.

  3. Blader naar Identiteitstoepassingen>> App-registraties en selecteer Nieuwe registratie.

  4. Voer een weergavenaam voor uw toepassing in. Gebruikers van uw toepassing zien mogelijk de weergavenaam wanneer ze de app gebruiken, bijvoorbeeld tijdens het aanmelden. U kunt de weergavenaam op elk gewenst moment wijzigen en meerdere app-registraties kunnen dezelfde naam delen. De automatisch gegenereerde toepassings-id (client-id) van de app-registratie, niet de weergavenaam, identificeert uw app op unieke wijze in het identiteitsplatform.

  5. Geef op wie de toepassing kan gebruiken, ook wel aangeduid als de aanmeldingsdoelgroep.

    Ondersteunde rekeningtypen Beschrijving
    Alleen accounts in deze organisatiemap Selecteer deze optie als u een toepassing bouwt die alleen is bedoeld voor gebruikers (of gasten) in uw tenant.

    Dit wordt vaak een LOB-toepassing (Line-of-Business) genoemd. Deze app is een toepassing met één tenant in het Microsoft Identity Platform.
    Accounts in elke organisatiemap Selecteer deze optie als u wilt dat gebruikers in een Microsoft Entra-tenant uw toepassing kunnen gebruiken. Deze optie is geschikt als u bijvoorbeeld een SaaS-toepassing (Software-as-a-Service) bouwt die u aan meerdere organisaties wilt leveren.

    Dit type app wordt een toepassing met meerdere tenants genoemd in het Microsoft Identity Platform.
    Accounts in elke organisatiemap en persoonlijke Microsoft-accounts Selecteer deze optie als u de breedste groep klanten wilt bereiken.

    Als u deze optie selecteert, registreert u een toepassing met meerdere tenants die ook ondersteuning kan bieden voor gebruikers met een persoonlijk Microsoft-account. Persoonlijke Microsoft-accounts inclusief Skype-, Xbox-, Live- en Hotmail-accounts.
    Persoonlijk Microsoft-account Selecteer deze optie als u een toepassing bouwt die alleen is bedoeld voor gebruikers met een persoonlijk Microsoft-account. Persoonlijke Microsoft-accounts inclusief Skype-, Xbox-, Live- en Hotmail-accounts.
  6. Voer niets in voor Omleidings-URI (optioneel). In de volgende sectie configureert u een omleidings-URI.

  7. Selecteer Registreren om de initiële app-registratie te voltooien.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

Wanneer de registratie is voltooid, wordt in het Microsoft Entra-beheercentrum het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client-id). Deze client-id is een unieke aanduiding van uw toepassing in het Microsoft Identity Platform.

Belangrijk

Nieuwe app-registraties zijn standaard verborgen voor gebruikers. Wanneer u zover bent dat gebruikers de app op hun pagina Mijn apps mogen zien, kunt u deze inschakelen. Als u de app wilt inschakelen, gaat u in het Microsoft Entra-beheercentrum naar Bedrijfstoepassingen voor identiteitstoepassingen>> en selecteert u de app. Schakel vervolgens op de pagina Eigenschappen de optie Zichtbaar voor gebruikers? in op Ja.

De code van uw toepassing, of vaker een verificatiebibliotheek die in uw toepassing wordt gebruikt, maakt ook gebruik van de client-id. De id wordt gebruikt als onderdeel van het valideren van de beveiligingstokens die worden ontvangen van het identiteitsplatform.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Een omleidings-URI toevoegen

Een omleidings-URI is de locatie waar het Microsoft Identity Platform een client van de gebruiker naartoe omleidt en beveiligingstokens naartoe stuurt na de verificatie.

In een productiewebtoepassing is de omleidings-URI bijvoorbeeld vaak een openbaar eindpunt waar de app wordt uitgevoerd, zoals https://contoso.com/auth-response. Tijdens de ontwikkeling is het gebruikelijk om ook het eindpunt toe te voegen waar u de app lokaal uitvoert, zoals https://127.0.0.1/auth-response of http://localhost/auth-response. Zorg ervoor dat alle onnodige ontwikkelomgevingen/omleidings-URI's niet worden weergegeven in de productie-app. Dit kan worden gedaan door afzonderlijke app-registraties te hebben voor ontwikkeling en productie.

U kunt omleidings-URI's voor uw geregistreerde toepassingen toevoegen en wijzigen door de bijbehorende platforminstellingen te configureren.

Platforminstellingen configureren

Instellingen voor elk toepassingstype, waaronder omleidings-URI's, worden geconfigureerd in Platformconfiguraties in de Azure-portal. Voor sommige platformen, zoals Webtoepassingen en Toepassingen met één pagina, moet u handmatig een omleidings-URI opgeven. Voor andere platforms, zoals mobiel en desktop, kunt u kiezen uit omleidings-URI's die voor u zijn gegenereerd tijdens het configureren van de andere bijbehorende instellingen.

Als u toepassingsinstellingen wilt configureren op basis van het platform of apparaat, voert u de volgende stappen uit:

  1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.

  2. Selecteer Verificatie onder Beheren.

  3. Selecteer Een platform toevoegenonder Platformconfiguraties.

  4. Selecteer onder Platforms configureren de tegel voor uw toepassingstype (platform) om de bijbehorende instellingen te configureren.

    Screenshot of the platform configuration pane in the Azure portal.

    Platform Configuratie-instellingen
    Web Voer een omleidings-URI voor uw app in. Deze URI is de locatie waar het Microsoft Identity Platform een client van de gebruiker naartoe omleidt en beveiligingstokens naartoe stuurt na de verificatie.

    Afmeldings-URL van front-channel en impliciete en hybride stroomeigenschappen kunnen ook worden geconfigureerd.

    Selecteer dit platform voor standaardwebtoepassingen die worden uitgevoerd op een server.
    Toepassing met één pagina Voer een omleidings-URI voor uw app in. Deze URI is de locatie waar het Microsoft Identity Platform een client van de gebruiker naartoe omleidt en beveiligingstokens naartoe stuurt na de verificatie.

    Afmeldings-URL van front-channel en impliciete en hybride stroomeigenschappen kunnen ook worden geconfigureerd.

    Selecteer dit platform als u een web-app aan de clientzijde bouwt met JavaScript of een framework zoals Angular, Vue.js, React.js of Blazor WebAssembly.
    iOS / macOS Voer de app-bundel-id in. Zoek deze in Build-instellingen of in Xcode in Info.plist.

    Er wordt een omleidings-URI gegenereerd wanneer u een bundel-id opgeeft.
    Android Voer de pakketnaam voor de app in. Zoek deze in het bestand AndroidManifest.xml. Genereer ook de hash voor ondertekening en voer deze in.

    Er wordt een omleidings-URI gegenereerd wanneer u deze instellingen opgeeft.
    Mobiele toepassingen en desktoptoepassingen Selecteer een van de voorgestelde omleidings-URI's. Of geef op of meer aangepaste omleidings-URI's.

    Voor bureaubladtoepassingen die gebruikmaken van een ingesloten browser, adviseren we
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Voor bureaubladtoepassingen die gebruikmaken van een systeembrowser, adviseren we
    http://localhost

    Selecteer dit platform voor mobiele toepassingen die niet gebruikmaken van de nieuwste MSAL-versie (Microsoft Authentication Library) of die geen broker gebruiken. Selecteer dit platform ook voor desktoptoepassingen.
  5. Selecteer Configureren om de platformconfiguratie te voltooien.

URI-beperkingen omleiden

Er gelden bepaalde beperkingen voor de indeling van de omleidings-URI's die u toevoegt aan een app-registratie. Zie Beperkingen en limieten voor omleidings-URI's (antwoord-URL's) voor meer informatie over deze beperkingen.

Referenties toevoegen

Referenties worden gebruikt voor vertrouwelijke clienttoepassingen die toegang hebben tot een web-API. Voorbeelden van vertrouwelijke clients zijn web-apps, andere web-API's, of service- en daemontoepassingen. Met referenties kan uw toepassing zichzelf verifiëren, waardoor er geen interactie van een gebruiker tijdens runtime nodig is.

U kunt certificaten, clientgeheimen (een tekenreeks) of federatieve identiteitsreferenties toevoegen als referenties voor de registratie van uw vertrouwelijke client-app.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Een certificaat toevoegen

Een certificaat, ook wel een openbare sleutel genoemd, is het aanbevolen referentietype omdat het als veiliger wordt beschouwd dan clientgeheimen. Zie Certificaatreferenties voor verificatie van toepassingen in het Microsoft Identity Platform voor meer informatie over het gebruik van een certificaat als verificatiemethode in uw toepassing.

  1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.
  2. Selecteer Certificaten en geheimen>>certificaat uploaden.
  3. Selecteer het bestand dat u wilt uploaden. Dit moet een van de volgende bestandstypen zijn: .cer, .pem, .crt.
  4. Selecteer Toevoegen.

Een clientgeheim toevoegen

Een clientgeheim, ook wel toepassingswachtwoord genoemd, is een tekenreekswaarde die de app in plaats van een certificaat kan gebruiken om zichzelf te identificeren.

Clientgeheimen worden beschouwd als minder veilig dan certificaatreferenties. Toepassingsontwikkelaars gebruiken soms clientgeheimen bij het ontwikkelen van lokale apps vanwege hun gebruiksgemak. Gebruik echter certificaatreferenties voor alle toepassingen die in productie worden uitgevoerd.

  1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.
  2. Selecteer Certificaten en geheimen Clientgeheimen>>Nieuw clientgeheim.
  3. Voeg een beschrijving voor uw clientgeheim toe.
  4. Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op.
    • De levensduur van het clientgeheim is beperkt tot twee jaar (24 maanden) of minder. U kunt geen aangepaste levensduur opgeven die langer is dan 24 maanden.
    • Microsoft raadt u aan een verloopwaarde van minder dan 12 maanden in te stellen.
  5. Selecteer Toevoegen.
  6. Registreer de waarde van het geheim voor gebruik in de toepassingscode van uw client. De waarde van het geheim wordt nooit meer weergegeven nadat u deze pagina hebt verlaten.

Zie Best practices en aanbevelingen voor Microsoft-Identity Platform voor aanbevelingen voor toepassingsbeveiliging.

Als u een Azure DevOps-serviceverbinding gebruikt waarmee automatisch een service-principal wordt gemaakt, moet u het clientgeheim bijwerken vanaf de Azure DevOps-portalsite in plaats van het clientgeheim rechtstreeks bij te werken. Raadpleeg dit document over het bijwerken van het clientgeheim vanaf de Azure DevOps-portalsite: Problemen met azure Resource Manager-serviceverbindingen oplossen.

Een federatieve referentie toevoegen

Federatieve identiteitsreferenties zijn een type referentie waarmee workloads, zoals GitHub Actions, workloads die worden uitgevoerd op Kubernetes of workloads die worden uitgevoerd op rekenplatforms buiten Azure toegang hebben tot met Microsoft Entra beveiligde resources zonder dat u geheimen hoeft te beheren met behulp van workloadidentiteitsfederatie.

Voer de volgende stappen uit om een federatieve referentie toe te voegen:

  1. Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.

  2. Selecteer Certificaten en geheimen>federatieve referenties>Toevoegen referentie.

  3. Selecteer in de vervolgkeuzelijst Federatieve referentiescenario's een van de ondersteunde scenario's en volg de bijbehorende richtlijnen om de configuratie te voltooien.

    • Door de klant beheerde sleutels voor het versleutelen van gegevens in uw tenant met behulp van Azure Key Vault in een andere tenant.
    • GitHub-acties die Azure-resources implementeren om een GitHub-werkstroom te configureren voor het ophalen van tokens voor uw toepassing en het implementeren van assets in Azure.
    • Kubernetes heeft toegang tot Azure-resources om een Kubernetes-serviceaccount te configureren voor het ophalen van tokens voor uw toepassing en toegang tot Azure-resources.
    • Andere verleners voor het configureren van een identiteit die wordt beheerd door een externe OpenID-Verbinding maken-provider om tokens voor uw toepassing op te halen en toegang te krijgen tot Azure-resources.

Raadpleeg het Microsoft Identity Platform en het artikel over de OAuth 2.0-clientreferenties voor meer informatie over het verkrijgen van een toegangstoken met een federatieve referentie.

Volgende stappen

Clienttoepassingen hebben meestal toegang nodig tot resources in een web-API. U kunt uw clienttoepassing beveiligen met behulp van het Microsoft Identity Platform. U kunt het platform ook gebruiken voor het autoriseren van toegang tot uw web-API voor een bepaald bereik en op basis van machtigingen.

Ga naar de volgende quickstart in de reeks om nog een app-registratie te maken voor uw web-API en de bijbehorende bereiken beschikbaar te maken.