Snelstart: Een toepassing registreren bij het Microsoft-identiteitsplatform

In deze quickstart registreert u een app in de Azure-portal, zodat het Microsoft Identity Platform verificatie- en autorisatieservices kan bieden aan uw toepassing en de gebruikers ervan.

De Microsoft identity platform voert identiteits- en toegangsbeheer (IAM) alleen uit voor geregistreerde toepassingen. Of het nu gaat om een clienttoepassing, zoals een web-app of mobiele app, of om een web-API die een client-app ondersteunt, als u de toepassing registreert brengt u een vertrouwensrelatie tot stand tussen de toepassing en de id-provider, het Microsoft Identity Platform.

Tip

Als u een toepassing wilt registreren voor Azure AD B2C, volgt u de stappen in Zelfstudie: Een webtoepassing registreren in Azure AD B2C.

Vereisten

Een toepassing registreren

Het registreren van uw toepassing brengt een vertrouwensrelatie tot stand tussen uw app en het Microsoft Identity Platform. De vertrouwensrelatie heeft één richting: uw app vertrouwt Microsoft Identity Platform, en niet andersom.

Volg deze stappen om de app-registratie te maken:

  1. Meld u aan bij de Azure-portal.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u in het bovenste menu het filter Map en abonnement om de tenant te selecteren waarin u een toepassing wilt registreren.

  3. Zoek en selecteer de optie Azure Active Directory.

  4. Selecteer onder Beheren de optie App-registraties > Nieuwe registratie.

  5. Voer een weergavenaam in voor uw toepassing. Gebruikers van uw toepassing zien mogelijk de weergavenaam wanneer ze de app gebruiken, bijvoorbeeld tijdens het aanmelden. U kunt de weergavenaam op elk moment wijzigen en meerdere app-registraties kunnen dezelfde naam delen. De automatisch gegenereerde toepassings-id (client)-id van de app, niet de weergavenaam, identificeert uw app uniek binnen het identiteitsplatform.

  6. Geef op wie de toepassing kan gebruiken, ook wel de aanmeldings doelgroep genoemd.

    Ondersteunde accounttypen Beschrijving
    Alleen accounts in deze organisatiemap Selecteer deze optie als u een toepassing bouwt die alleen is bedoeld voor gebruikers (of gasten) in uw tenant.

    Deze app wordt ook wel een LOB-toepassing (Line-Of-Business) genoemd en is een toepassing met één tenant in de Microsoft identity platform.
    Accounts in elke organisatiemap Selecteer deze optie als u wilt dat gebruikers in een Azure Active Directory (Azure AD)-tenant uw toepassing kunnen gebruiken. Deze optie is geschikt als u bijvoorbeeld een SaaS-toepassing (Software-as-a-Service) bouwt die u aan meerdere organisaties wilt leveren.

    Dit type app staat bekend als een multitenant-toepassing in de Microsoft identity platform.
    Accounts in elke organisatiemap en persoonlijke Microsoft-accounts Selecteer deze optie om de breedste groep klanten te bereiken.

    Als u deze optie selecteert, registreert u een multitenant-toepassing die ook gebruikers kan ondersteunen die persoonlijke Microsoft-accounts hebben.
    Persoonlijk Microsoft-account Selecteer deze optie als u alleen een toepassing bouwt voor gebruikers met een persoonlijk Microsoft-account. Persoonlijke Microsoft-accounts inclusief Skype-, Xbox-, Live- en Hotmail-accounts.
  7. Voer niets in voor Omleidings-URI (optioneel). In de volgende sectie configureert u een omleidings-URI.

  8. Selecteer Registreren om de initiële app-registratie te voltooien.

    Schermopname van de Azure Portal in een webbrowser, met het deelvenster Een toepassing registreren.

Wanneer de registratie is Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client). Deze waarde wordt ook wel de client-id genoemd en identificeert uw toepassing uniek in de Microsoft identity platform.

Belangrijk

Nieuwe app-registraties worden standaard verborgen voor gebruikers. Wanneer u klaar bent voor gebruikers om de app te zien op hun Mijn apps kunt u deze inschakelen. Als u de app wilt inschakelen, Azure Portal u naar Azure Active Directory > Bedrijfstoepassingen en selecteert u de app. Schakel vervolgens op de pagina Eigenschappen de schakelaar Zichtbaar voor gebruikers? in op Ja.

De code van uw toepassing, of meestal een verificatiebibliotheek die in uw toepassing wordt gebruikt, maakt ook gebruik van de client-id. De id wordt gebruikt als onderdeel van het valideren van de beveiligingstokens die worden ontvangen van het identiteitsplatform.

Schermopname van de Azure Portal in een webbrowser, met het deelvenster Overzicht van een app-registratie.

Een omleidings-URI toevoegen

Een omleidings-URI is de locatie waar de Microsoft identity platform client van een gebruiker omleiden en beveiligingstokens verzendt na verificatie.

In een productiewebtoepassing is de omleidings-URI bijvoorbeeld vaak een openbaar eindpunt waar de app wordt uitgevoerd, zoals https://contoso.com/auth-response. Tijdens de ontwikkeling is het gebruikelijk om ook het eindpunt toe te voegen waar u de app lokaal uitvoert, zoals https://127.0.0.1/auth-response of http://localhost/auth-response.

U kunt omleidings-URI's voor uw geregistreerde toepassingen toevoegen en wijzigen door de bijbehorende platforminstellingen te configureren.

Platforminstellingen configureren

Instellingen voor elk toepassingstype, waaronder omleidings-URI's, worden geconfigureerd in Platformconfiguraties in de Azure-portal. Voor sommige platformen, zoals Webtoepassingen en Toepassingen met één pagina, moet u handmatig een omleidings-URI opgeven. Voor andere platforms, zoals mobiel en desktop, kunt u kiezen uit omleidings-URI's die voor u worden gegenereerd wanneer u de andere instellingen configureert.

Als u toepassingsinstellingen wilt configureren op basis van het platform of apparaat, doet u het volgende:

  1. Selecteer in Azure Portal, in App-registraties, uw toepassing.

  2. Selecteer Verificatie onder Beheren.

  3. Selecteer Een platform toevoegen onder Platformconfiguraties.

  4. Selecteer onder Platforms configureren de tegel voor uw toepassingstype (platform) om de instellingen te configureren.

    Schermopname van het deelvenster Platformconfiguratie in Azure Portal.

    Platform Configuratie-instellingen
    Web Voer een omleidings-URI in voor uw app. Deze URI is de locatie waar de Microsoft identity platform client van een gebruiker omleiden en beveiligingstokens verzendt na verificatie.

    Selecteer dit platform voor standaardwebtoepassingen die worden uitgevoerd op een server.
    Toepassing met één pagina Voer een omleidings-URI in voor uw app. Deze URI is de locatie waar de Microsoft identity platform client van een gebruiker omleiden en beveiligingstokens verzendt na verificatie.

    Selecteer dit platform als u een web-app aan de clientzijde bouwt met behulp van JavaScript of een framework zoals Angular, Vue.js, React.js of Blazor WebAssembly.
    iOS / macOS Voer de bundel-id van de app in. U vindt deze in Build Instellingen of in Xcode in Info.plist.

    Er wordt een omleidings-URI voor u gegenereerd wanneer u een bundel-id opgeeft.
    Android Voer de pakketnaam van de app in. U vindt deze in AndroidManifest.xml bestand. Genereer en voer ook de handtekeninghash in.

    Er wordt een omleidings-URI gegenereerd wanneer u deze instellingen opgeeft.
    Mobiele toepassingen en desktoptoepassingen Selecteer een van de voorgestelde omleidings-URI's. Of geef een aangepaste omleidings-URI op.

    Voor desktoptoepassingen die gebruikmaken van een ingesloten browser, raden we u aan
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Voor desktoptoepassingen die een systeembrowser gebruiken, raden we u aan
    http://localhost

    Selecteer dit platform voor mobiele toepassingen die niet gebruikmaken van de nieuwste Microsoft Authentication Library (MSAL) of die geen broker gebruiken. Selecteer dit platform ook voor desktoptoepassingen.
  5. Selecteer Configureren om de platformconfiguratie te voltooien.

URI-beperkingen omleiden

Er gelden enkele beperkingen voor de indeling van de omleidings-URI's die u aan een app-registratie toevoegt. Zie Beperkingen en beperkingen voor omleidings-URI (antwoord-URL) voormeer informatie over deze beperkingen.

Referenties toevoegen

Referenties worden gebruikt door vertrouwelijke clienttoepassingen die toegang hebben tot een web-API. Voorbeelden van vertrouwelijke clients zijn web-apps, andere web-API's of toepassingen van het type service en daemon. Met referenties kan uw toepassing zichzelf verifiëren, waardoor er geen interactie van een gebruiker tijdens runtime nodig is.

U kunt zowel certificaten als clientgeheimen (een tekenreeks) toevoegen als referenties voor de registratie van uw vertrouwelijke client-app.

Schermopname van de Azure Portal, met het deelvenster Certificaten en geheimen in een app-registratie.

Een certificaat toevoegen

Een certificaat wordt ook wel een openbare sleutel genoemd en is het aanbevolen referentietype omdat deze als veiliger worden beschouwd dan clientgeheimen. Zie voor meer informatie over het gebruik van een certificaat als verificatiemethode in uw toepassing Microsoft identity platform referenties voor toepassingsverificatiecertificaten.

  1. Selecteer in Azure Portal, in App-registraties, uw toepassing.
  2. Selecteer Certificaten en geheimen > Certificaat uploaden.
  3. Selecteer het bestand dat u wilt uploaden. Dit moet een van de volgende bestandstypen zijn: .cer, .pem, .crt.
  4. Selecteer Toevoegen.

Een clientgeheim toevoegen

Ook wel een toepassingswachtwoord genoemd, is een clientgeheim een tekenreekswaarde die uw app in plaats van een certificaat kan gebruiken om zichzelf te identiteiten.

Clientgeheimen worden beschouwd als minder veilig dan certificaatreferenties. Toepassingsontwikkelaars gebruiken soms clientgeheimen tijdens de ontwikkeling van lokale apps vanwege hun gebruiksgemak. U moet echter certificaatreferenties gebruiken voor elke toepassing die u in productie hebt uitgevoerd.

  1. Selecteer in Azure Portal, in App-registraties, uw toepassing.
  2. Selecteer Certificaten en geheimen > Nieuw clientgeheim.
  3. Voeg een beschrijving voor uw clientgeheim toe.
  4. Selecteer een verloopdatum voor het geheim of geef een aangepaste levensduur op.
    • De levensduur van clientgeheimen is beperkt tot twee jaar (24 maanden) of minder. U kunt een aangepaste levensduur langer dan 24 maanden niet opgeven.
    • Microsoft raadt u aan een verloopwaarde in te stellen van minder dan 12 maanden.
  5. Selecteer Toevoegen.
  6. Neem de waarde van het geheim op voor gebruik in de code van uw clienttoepassing. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten.

Zie aanbevolen procedures en aanbevelingen voor Microsoft identity platform voor aanbevelingen voor toepassingsbeveiliging.

Volgende stappen

Clienttoepassingen hebben meestal toegang nodig tot resources in een web-API. U kunt uw clienttoepassing beveiligen met behulp van de Microsoft identity platform. U kunt het platform ook gebruiken voor het autoriseren van op machtigingen gebaseerde toegang tot uw web-API.

Ga naar de volgende quickstart in de reeks om nog een app-registratie voor uw web-API te maken en de scopes beschikbaar te maken.