Szybki start: Rejestrowanie aplikacji za pomocą platformy tożsamości firmy Microsoft

Rozpocznij pracę z platformą tożsamości firmy Microsoft, rejestrując aplikację w witrynie Azure Portal.

Platforma tożsamości firmy Microsoft wykonuje zarządzanie tożsamościami i dostępem (IAM) tylko w przypadku zarejestrowanych aplikacji. Niezależnie od tego, czy jest to aplikacja kliencka, taka jak aplikacja internetowa, czy mobilna, czy internetowy interfejs API, który obsługuje aplikację kliencką, rejestruje relację zaufania między aplikacją a dostawcą tożsamości, platformą tożsamości firmy Microsoft.

Porada

Aby zarejestrować aplikację dla usługi Azure AD B2C, wykonaj kroki opisane w artykule Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure AD B2C.

Wymagania wstępne

Rejestrowanie aplikacji

Zarejestrowanie aplikacji powoduje nawiązanie relacji zaufania między aplikacją a platformą tożsamości firmy Microsoft. Zaufanie jest jednokierunkowe: Twoja aplikacja ufa platformie tożsamości firmy Microsoft, a nie odwrotnie.

Wykonaj następujące kroki, aby utworzyć rejestrację aplikacji:

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalogi i subskrypcje w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację.

  3. Wyszukaj i wybierz pozycję Azure Active Directory.

  4. W obszarze Zarządzanie wybierz pozycję Rejestracje> aplikacjiNowa rejestracja.

  5. Wprowadź nazwę wyświetlaną aplikacji. Użytkownicy aplikacji mogą zobaczyć nazwę wyświetlaną podczas korzystania z aplikacji, na przykład podczas logowania. Nazwę wyświetlaną można zmienić w dowolnym momencie, a wiele rejestracji aplikacji może mieć taką samą nazwę. Automatycznie wygenerowany identyfikator aplikacji (klienta), a nie jego nazwa wyświetlana, jednoznacznie identyfikuje aplikację na platformie tożsamości.

  6. Określ, kto może używać aplikacji, czasami nazywanych jej odbiorcami logowania.

    Obsługiwane typy kont Opis
    Konta tylko w tym katalogu organizacyjnym Wybierz tę opcję, jeśli tworzysz aplikację do użycia tylko przez użytkowników (lub gości) w dzierżawie .

    Ta aplikacja jest często nazywana aplikacją biznesową (LOB), jest to aplikacja z jedną dzierżawą na platformie tożsamości firmy Microsoft.
    Konta w dowolnym katalogu organizacyjnym Wybierz tę opcję, jeśli chcesz, aby użytkownicy w dowolnej dzierżawie usługi Azure Active Directory (Azure AD) mogli korzystać z aplikacji. Ta opcja jest odpowiednia, jeśli na przykład tworzysz aplikację typu oprogramowanie jako usługa (SaaS), którą zamierzasz udostępnić wielu organizacjom.

    Ten typ aplikacji jest znany jako aplikacja wielodostępna na platformie tożsamości firmy Microsoft.
    Konta w dowolnym katalogu organizacyjnym i konta osobiste Microsoft Wybierz tę opcję, aby przeznaczyć aplikację dla najszerszego możliwego grona klientów.

    Wybierając tę opcję, rejestrujesz wielodostępną aplikację, która może również obsługiwać użytkowników, którzy mają osobiste konta Microsoft.
    Osobiste konta Microsoft Wybierz tę opcję, jeśli tworzysz aplikację tylko dla użytkowników, którzy mają osobiste konta Microsoft. Osobiste konta Microsoft obejmują konta Skype, Xbox, Live i Hotmail.
  7. Nie wprowadzaj niczego dla identyfikatora URI przekierowania (opcjonalnie). W następnej sekcji skonfigurujesz identyfikator URI przekierowania.

  8. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.

    Screenshot of the Azure portal in a web browser, showing the Register an application pane.

Po zakończeniu rejestracji w witrynie Azure Portal zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta). Ta wartość jest również nazywana identyfikatorem klienta. Ta wartość jednoznacznie identyfikuje aplikację na platformie tożsamości firmy Microsoft.

Ważne

Nowe rejestracje aplikacji są domyślnie ukryte dla użytkowników. Gdy wszystko będzie gotowe do wyświetlenia aplikacji na stronie Moje aplikacje , możesz ją włączyć. Aby włączyć aplikację, w witrynie Azure Portal przejdź dopozycji Aplikacje dla przedsiębiorstwusługi Azure Active Directory> i wybierz aplikację. Następnie na stronie Właściwości przełącz opcję Widoczne dla użytkowników? na wartość Tak.

Kod aplikacji lub zwykle biblioteka uwierzytelniania używana w aplikacji używa również identyfikatora klienta. Identyfikator jest używany w ramach weryfikacji tokenów zabezpieczających odbieranych z platformy tożsamości.

Screenshot of the Azure portal in a web browser, showing an app registration's Overview pane.

Dodawanie identyfikatora URI przekierowania

Identyfikator URI przekierowania to lokalizacja, w której platforma tożsamości firmy Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.

Na przykład w produkcyjnej aplikacji internetowej identyfikator URI przekierowania jest często publicznym punktem końcowym, w którym działa aplikacja, na przykład https://contoso.com/auth-response. Podczas programowania często dodaje się również punkt końcowy, w którym uruchamiasz aplikację lokalnie, na przykład https://127.0.0.1/auth-response lub http://localhost/auth-response.

Dodasz i zmodyfikujesz identyfikatory URI przekierowania dla zarejestrowanych aplikacji, konfigurując ich ustawienia platformy.

Konfigurowanie ustawień platformy

Ustawienia dla każdego typu aplikacji, w tym identyfikatory URI przekierowania, są konfigurowane w konfiguracjach platformy w witrynie Azure Portal. Niektóre platformy, takie jak aplikacje internetowe i jednostronicowe, wymagają ręcznego określenia identyfikatora URI przekierowania. W przypadku innych platform, takich jak urządzenia przenośne i stacjonarne, możesz wybrać elementy z identyfikatorów URI przekierowania wygenerowanych podczas konfigurowania innych ustawień.

Aby skonfigurować ustawienia aplikacji na podstawie docelowej platformy lub urządzenia, wykonaj następujące kroki:

  1. W witrynie Azure Portal w obszarze Rejestracje aplikacji wybierz aplikację.

  2. W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

  3. W obszarze Konfiguracje platformy wybierz pozycję Dodaj platformę.

  4. W obszarze Konfigurowanie platform wybierz kafelek dla typu aplikacji (platformy), aby skonfigurować jej ustawienia.

    Screenshot of the platform configuration pane in the Azure portal.

    Platforma Ustawienia konfiguracji
    Sieć Web Wprowadź identyfikator URI przekierowania dla aplikacji. Ten identyfikator URI to lokalizacja, w której platforma tożsamości firmy Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.

    Wybierz tę platformę dla standardowych aplikacji internetowych uruchamianych na serwerze.
    Aplikacja jednostronicowa Wprowadź identyfikator URI przekierowania dla aplikacji. Ten identyfikator URI to lokalizacja, w której platforma tożsamości firmy Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.

    Wybierz tę platformę, jeśli tworzysz aplikację internetową po stronie klienta przy użyciu języka JavaScript lub platformy, takiej jak Angular, Vue.js, React.js lub Blazor WebAssembly.
    iOS/macOS Wprowadź identyfikator pakietu aplikacji. Znajdź go w obszarze Ustawienia kompilacji lub w pliku Xcode w pliku Info.plist.

    Identyfikator URI przekierowania jest generowany podczas określania identyfikatora pakietu.
    Android Wprowadź nazwę pakietu aplikacji. Znajdź go w pliku AndroidManifest.xml . Ponadto wygeneruj i wprowadź skrót podpisu.

    Identyfikator URI przekierowania jest generowany podczas określania tych ustawień.
    Aplikacje mobilne i klasyczne Wybierz jeden z sugerowanych identyfikatorów URI przekierowania. Możesz też określić niestandardowy identyfikator URI przekierowania.

    W przypadku aplikacji klasycznych korzystających z przeglądarki osadzonej zalecamy
    https://login.microsoftonline.com/common/oauth2/nativeclient

    W przypadku aplikacji klasycznych korzystających z przeglądarki systemowej zalecamy
    http://localhost

    Wybierz tę platformę dla aplikacji mobilnych, które nie korzystają z najnowszej biblioteki Microsoft Authentication Library (MSAL) lub nie korzystają z brokera. Wybierz również tę platformę dla aplikacji klasycznych.
  5. Wybierz pozycję Konfiguruj , aby ukończyć konfigurację platformy.

Ograniczenia identyfikatora URI przekierowania

Istnieją pewne ograniczenia dotyczące formatu identyfikatorów URI przekierowania dodanych do rejestracji aplikacji. Aby uzyskać szczegółowe informacje na temat tych ograniczeń, zobacz Ograniczenia i ograniczenia dotyczące identyfikatora URI przekierowania (adresu URL odpowiedzi).

Dodawanie poświadczeń

Poświadczenia są używane przez poufne aplikacje klienckie , które uzyskują dostęp do internetowego interfejsu API. Przykładami poufnych klientów są aplikacje internetowe, inne internetowe interfejsy API lub aplikacje typu usługi i demona. Poświadczenia umożliwiają aplikacji uwierzytelnianie się jako siebie, nie wymagając interakcji od użytkownika w czasie wykonywania.

Możesz dodać zarówno certyfikaty, jak i wpisy tajne klienta (ciąg) jako poświadczenia do rejestracji poufnej aplikacji klienckiej.

Screenshot of the Azure portal, showing the Certificates and secrets pane in an app registration.

Dodawanie certyfikatu

Czasami nazywany kluczem publicznym certyfikat jest zalecanym typem poświadczeń, ponieważ są uważane za bezpieczniejsze niż wpisy tajne klienta. Aby uzyskać więcej informacji na temat używania certyfikatu jako metody uwierzytelniania w aplikacji, zobacz Poświadczenia certyfikatu uwierzytelniania aplikacji platformy tożsamości firmy Microsoft.

  1. W witrynie Azure Portal w obszarze Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & tajne Certyfikaty>>Przekaż certyfikaty.
  3. Wybierz plik, który chcesz przekazać. Musi być jednym z następujących typów plików: cer, pem, crt.
  4. Wybierz pozycję Dodaj.

Dodaj klucz tajny klienta

Czasami nazywane hasłem aplikacji klucz tajny klienta jest wartością ciągu, która może być używana przez aplikację zamiast certyfikatu do samodzielnej tożsamości.

Wpisy tajne klienta są uznawane za mniej bezpieczne niż poświadczenia certyfikatu. Deweloperzy aplikacji czasami używają wpisów tajnych klienta podczas tworzenia aplikacji lokalnych ze względu na łatwość użycia. Należy jednak użyć poświadczeń certyfikatu dla dowolnej aplikacji działającej w środowisku produkcyjnym.

  1. W witrynie Azure Portal w obszarze Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych>>klienta Wpisy tajne Klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ okres istnienia niestandardowego.
    • Okres istnienia wpisu tajnego klienta jest ograniczony do dwóch lat (24 miesiące) lub krótszy. Nie można określić okresu istnienia niestandardowego dłużej niż 24 miesiące.
    • Firma Microsoft zaleca ustawienie wartości wygaśnięcia mniejszej niż 12 miesięcy.
  5. Wybierz pozycję Dodaj.
  6. Zapisz wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy nie jest wyświetlana ponownie po opuszczeniu tej strony.

Aby uzyskać zalecenia dotyczące zabezpieczeń aplikacji, zobacz Najlepsze rozwiązania i zalecenia dotyczące platformy tożsamości firmy Microsoft.

Następne kroki

Aplikacje klienckie zazwyczaj muszą uzyskiwać dostęp do zasobów w internetowym interfejsie API. Aplikację kliencą można chronić przy użyciu platformy tożsamości firmy Microsoft. Możesz również użyć platformy do autoryzowania dostępu opartego na uprawnieniach do internetowego interfejsu API.

Przejdź do następnego przewodnika Szybki start w serii, aby utworzyć kolejną rejestrację aplikacji dla internetowego interfejsu API i uwidocznić jego zakresy.