Share via

Nowe środowisko Rejestracje aplikacji dla usługi Azure Active Directory B2C

  • Artykuł

Nowe środowisko Rejestracje aplikacji dla usługi Azure Active Directory B2C (Azure AD B2C) jest teraz ogólnie dostępne. Jeśli znasz środowisko aplikacji do rejestrowania aplikacji w usłudze Azure AD B2C, określane tutaj jako "starsze środowisko", ten przewodnik pomoże Ci rozpocząć korzystanie z nowego środowiska.

Omówienie

Wcześniej trzeba było zarządzać aplikacjami przeznaczonymi dla konsumentów usługi Azure AD B2C niezależnie od pozostałych aplikacji przy użyciu starszego środowiska. Oznaczało to różne środowiska tworzenia aplikacji w różnych miejscach na platformie Azure.

Nowe środowisko pokazuje wszystkie rejestracje aplikacji usługi Azure AD B2C i rejestracje aplikacji Microsoft Entra w jednym miejscu i zapewnia spójny sposób zarządzania nimi. Od utworzenia aplikacji dostępnej dla klienta do zarządzania aplikacją przy użyciu uprawnień programu Microsoft Graph do zarządzania zasobami wystarczy nauczyć się tylko jednego sposobu wykonywania zadań.

Możesz uzyskać nowe środowisko, przechodząc do Rejestracje aplikacji w dzierżawie usługi Azure AD B2C zarówno z poziomu usługi Azure AD B2C, jak i usług Microsoft Entra ID w witrynie Azure Portal.

Środowisko Rejestracje aplikacji usługi Azure AD B2C jest oparte na ogólnym środowisku rejestracji aplikacji dla dowolnej dzierżawy firmy Microsoft Entra, ale jest dostosowane do dzierżaw usługi Azure AD B2C.

Co się nie zmienia?

  • Aplikacje i powiązane konfiguracje można znaleźć w nowym środowisku. Nie musisz ponownie rejestrować aplikacji, a użytkownicy aplikacji nie będą musieli się ponownie logować.

Uwaga

Aby wyświetlić wszystkie wcześniej utworzone aplikacje, przejdź do bloku Rejestracje aplikacji i wybierz kartę Wszystkie aplikacje. Spowoduje to wyświetlenie aplikacji utworzonych w starszym środowisku, nowym środowisku i utworzonych w usłudze Microsoft Entra.

Najważniejsze nowe funkcje

  • Ujednolicona lista aplikacji zawiera wszystkie aplikacje uwierzytelnione za pomocą usług Azure AD B2C i Microsoft Entra ID w jednym wygodnym miejscu. Ponadto możesz korzystać z funkcji, które są już dostępne dla aplikacji firmy Microsoft Entra, w tym stanu Utworzone w dniu, Certyfikaty i wpisy tajne , pasek wyszukiwania i wiele innych.

  • Rejestracja połączonej aplikacji umożliwia szybkie zarejestrowanie aplikacji, niezależnie od tego, czy jest to aplikacja dostępna dla klientów, czy aplikacja w celu uzyskania dostępu do programu Microsoft Graph.

  • Okienko Punkty końcowe umożliwia szybkie identyfikowanie odpowiednich punktów końcowych dla danego scenariusza, w tym konfiguracji protokołu OpenID Connect, metadanych PROTOKOŁU SAML, interfejsu API programu Microsoft Graph i punktów końcowych przepływu użytkownika OAuth 2.0.

  • Uprawnienia interfejsu API i uwidacznianie interfejsu API zapewniają szerszy zakres, uprawnienia i zarządzanie zgodą. Teraz możesz również przypisać uprawnienia programu MS Graph do aplikacji.

  • Właściciele i manifest są teraz dostępne dla aplikacji uwierzytelniających się w usłudze Azure AD B2C. Możesz dodawać właścicieli do rejestracji i bezpośrednio edytować właściwości aplikacji przy użyciu edytora manifestu.

Nowe obsługiwane typy kont

W nowym środowisku wybierz typ konta pomocy technicznej z następujących opcji:

  • Tylko konta w tym katalogu organizacyjnym
  • Konta w dowolnym katalogu organizacyjnym (dowolny katalog Microsoft Entra — wielodostępny)
  • Konta w dowolnym dostawcy tożsamości lub katalogu organizacyjnym (na potrzeby uwierzytelniania użytkowników za pomocą przepływów użytkownika)

Aby zrozumieć różne typy kont, wybierz pozycję Pomóż mi wybrać w środowisku tworzenia.

W starszym środowisku aplikacje były zawsze tworzone jako aplikacje przeznaczone dla klientów. W przypadku tych aplikacji typ konta jest ustawiony na Konta w dowolnym dostawcy tożsamości lub katalogu organizacyjnym (na potrzeby uwierzytelniania użytkowników za pomocą przepływów użytkownika).

Uwaga

Ta opcja jest wymagana, aby można było uruchamiać przepływy użytkowników usługi Azure AD B2C w celu uwierzytelnienia użytkowników dla tej aplikacji. Dowiedz się , jak zarejestrować aplikację do użycia z przepływami użytkownika.

Możesz również użyć tej opcji, aby użyć usługi Azure AD B2C jako dostawcy usług SAML. Dowiedz się więcej.

Aplikacje dla scenariuszy DevOps

Możesz użyć innych typów kont, aby utworzyć aplikację do zarządzania scenariuszami DevOps, takimi jak przekazywanie zasad platformy Identity Experience Framework lub aprowizowania użytkowników przy użyciu programu Microsoft Graph. Dowiedz się , jak zarejestrować aplikację programu Microsoft Graph w celu zarządzania zasobami usługi Azure AD B2C.

Być może nie widzisz wszystkich uprawnień programu Microsoft Graph, ponieważ wiele z tych uprawnień nie ma zastosowania do użytkowników konsumentów usługi Azure B2C. Przeczytaj więcej na temat zarządzania użytkownikami przy użyciu programu Microsoft Graph.

Zakres openid jest niezbędny, aby usługa Azure AD B2C mogła logować użytkowników do aplikacji. Zakres offline_access jest wymagany do wystawiania tokenów odświeżania dla użytkownika. Te zakresy zostały wcześniej dodane i domyślnie udzielono zgody administratora. Teraz możesz łatwo dodać uprawnienia dla tych zakresów podczas procesu tworzenia, upewniając się, że wybrano opcję Udziel zgody administratora na otwieranie i offline_access uprawnień . W przeciwnym razie uprawnienia programu Microsoft Graph można dodać za pomocą zgody administratora w ustawieniach uprawnień interfejsu API dla istniejącej aplikacji.

Dowiedz się więcej na temat uprawnień i zgody.

Platformy/uwierzytelnianie: adresy URL odpowiedzi/identyfikatory URL przekierowania

W starszym środowisku różne typy platform były zarządzane w obszarze Właściwości jako adresy URL odpowiedzi dla aplikacji internetowych/interfejsów API i identyfikatora URI przekierowania dla klientów natywnych. "Klienci natywni" są również nazywani "klientami publicznymi" i obejmują aplikacje dla systemów iOS, macOS, Android i innych typów aplikacji mobilnych i klasycznych.

W nowym środowisku adresy URL odpowiedzi i identyfikatory URL przekierowania są nazywane identyfikatorami URI przekierowania i można je znaleźć w sekcji Uwierzytelnianie aplikacji. Rejestracje aplikacji nie są ograniczone do bycia aplikacją internetową lub aplikacją natywną. Możesz użyć tej samej rejestracji aplikacji dla wszystkich tych typów platform, rejestrując odpowiednie identyfikatory URI przekierowania.

Identyfikatory URI przekierowania muszą być skojarzone z typem aplikacji — internetowym lub publicznym (mobilnym i stacjonarnym). Dowiedz się więcej o identyfikatorach URI przekierowania

Platformy systemów iOS/macOS i Android są typem klienta publicznego. Zapewniają one łatwy sposób konfigurowania aplikacji systemu iOS/macOS lub Android z odpowiednimi identyfikatorami URI przekierowania do użycia z biblioteką MSAL. Dowiedz się więcej o opcjach konfiguracji aplikacji.

Certyfikaty aplikacji i wpisy tajne

W nowym środowisku zamiast kluczy użyjesz bloku Certyfikaty i wpisy tajne do zarządzania certyfikatami i wpisami tajnymi. Certyfikaty i wpisy tajne umożliwiają aplikacjom identyfikowanie się w usłudze uwierzytelniania podczas odbierania tokenów w adresowej lokalizacji internetowej (przy użyciu schematu HTTPS). Zalecamy używanie certyfikatu zamiast klucza tajnego klienta w scenariuszach poświadczeń klienta podczas uwierzytelniania względem identyfikatora Entra firmy Microsoft. Certyfikatów nie można używać do uwierzytelniania w usłudze Azure AD B2C.

Funkcje, które nie mają zastosowania w dzierżawach usługi Azure AD B2C

Następujące możliwości rejestracji aplikacji Firmy Microsoft Entra nie mają zastosowania do dzierżaw usługi Azure AD B2C lub są dostępne:

  • Role i administratorzy — obecnie niedostępne dla usługi Azure AD B2C.
  • Znakowanie — dostosowywanie interfejsu użytkownika/środowiska użytkownika jest konfigurowane w środowisku znakowania firmy lub w ramach przepływu użytkownika. Dowiedz się, jak dostosować interfejs użytkownika w usłudze Azure Active Directory B2C.
  • Weryfikacja domeny wydawcy — aplikacja jest zarejestrowana w onmicrosoft.com, która nie jest zweryfikowaną domeną. Ponadto domena wydawcy jest używana głównie do udzielania zgody użytkownika, która nie ma zastosowania do aplikacji usługi Azure AD B2C na potrzeby uwierzytelniania użytkowników. Dowiedz się więcej o domenie wydawcy.
  • Konfiguracja tokenu — token jest konfigurowany w ramach przepływu użytkownika, a nie aplikacji.
  • Środowisko Szybki start nie jest obecnie dostępne dla dzierżaw usługi Azure AD B2C.

Ograniczenia

Nowe środowisko ma następujące ograniczenia:

  • Obecnie usługa Azure AD B2C nie rozróżnia możliwości wystawiania tokenów dostępu lub identyfikatorów dla niejawnych przepływów; Oba typy tokenów są dostępne dla niejawnego przepływu udzielania, jeśli w bloku Uwierzytelnianie wybrano opcję Tokeny identyfikatorów.
  • Zmiana wartości obsługiwanych kont nie jest obsługiwana w interfejsie użytkownika. Musisz użyć manifestu aplikacji, chyba że przełączasz się między usługą Microsoft Entra z jedną dzierżawą i wieloma dzierżawami.

Następne kroki

Aby rozpocząć pracę z nowym środowiskiem rejestracji aplikacji: