Udostępnij za pośrednictwem

Samouczek: przygotowywanie dzierżawy zewnętrznej do autoryzowania aplikacji demona platformy .NET

  • Artykuł

Z tej serii samouczków dowiesz się, jak utworzyć aplikację demona platformy .NET, która wywołuje własny niestandardowy chroniony internetowy interfejs API przy użyciu Tożsamość zewnętrzna Microsoft Entra. Zarejestrujesz aplikację w identyfikatorze Entra firmy Microsoft i uwierzytelnisz aplikację w dzierżawie zewnętrznej. Na koniec uruchomisz aplikację i przetestujesz środowiska logowania i wylogowania.

  • Zarejestruj internetowy interfejs API i skonfiguruj uprawnienia aplikacji w centrum administracyjnym firmy Microsoft Entra.
  • Rejestrowanie aplikacji demona klienta i udzielanie jej uprawnień do aplikacji w centrum administracyjnym firmy Microsoft Entra
  • Utwórz wpis tajny klienta dla aplikacji demona w centrum administracyjnym firmy Microsoft Entra.

Wymagania wstępne

  • Identyfikator entra firmy Microsoft dla dzierżawy zewnętrznej. Jeśli go nie masz, przed rozpoczęciem utwórz dzierżawę próbną lub dzierżawę z subskrypcją .
  • To konto platformy Azure musi mieć uprawnienia do zarządzania aplikacjami. Każda z następujących ról firmy Microsoft Entra obejmuje wymagane uprawnienia:
    • Administrator aplikacji
    • Deweloper aplikacji
    • Administrator aplikacji w chmurze

Rejestrowanie aplikacji internetowego interfejsu API

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.

  3. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  4. Wybierz pozycję + Nowa rejestracja.

  5. Na wyświetlonej stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:

    1. W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji, która będzie wyświetlana użytkownikom aplikacji, na przykład ciam-ToDoList-api.

    2. W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.

  6. Wybierz pozycję Zarejestruj, aby utworzyć aplikację.

  7. Po zakończeniu rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zapisz identyfikator katalogu (dzierżawy) i identyfikator aplikacji (klienta) do użycia w kodzie źródłowym aplikacji.

Konfigurowanie ról aplikacji

Interfejs API musi opublikować co najmniej jedną rolę aplikacji dla aplikacji, nazywanych również uprawnieniem aplikacji, aby aplikacje klienckie uzyskały token dostępu jako siebie. Uprawnienia aplikacji to typ uprawnień, które interfejsy API powinny publikować, gdy chcą umożliwić aplikacjom klienckim pomyślne uwierzytelnienie się jako siebie i nie trzeba logować użytkowników. Aby opublikować uprawnienie aplikacji, wykonaj następujące kroki:

  1. Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-ToDoList-api), aby otworzyć stronę Przegląd.

  2. W obszarze Zarządzanie wybierz pozycję Role aplikacji.

  3. Wybierz pozycję Utwórz rolę aplikacji, a następnie wprowadź następujące wartości, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:

    Właściwości Wartość
    Display name ToDoList.Read.All
    Dozwolone typy składowych Aplikacje
    Wartość ToDoList.Read.All
    opis Zezwalaj aplikacji na odczytywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "TodoListApi"

  4. Ponownie wybierz pozycję Utwórz rolę aplikacji, a następnie wprowadź następujące wartości dla drugiej roli aplikacji, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:

    Właściwości Wartość
    Display name ToDoList.ReadWrite.All
    Dozwolone typy składowych Aplikacje
    Wartość ToDoList.ReadWrite.All
    opis Zezwalaj aplikacji na odczytywanie i zapisywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "ToDoListApi"

Konfigurowanie oświadczenia tokenu idtyp

Tokeny zwracane przez tożsamość firmy Microsoft są mniejsze, aby zapewnić optymalną wydajność przez klientów, którzy ich żądają. W związku z tym kilka oświadczeń nie jest już obecnych w tokenie domyślnie i musi zostać poproszonych o podanie w szczególności dla poszczególnych aplikacji. W przypadku tej aplikacji dołączasz opcjonalne oświadczenie idtyp , aby ułatwić interfejsowi API sieci Web określenie, czy token jest tokenem aplikacji, czy tokenem aplikacji i tokenu użytkownika. Mimo że można użyć kombinacji oświadczeń scp i ról w tym samym celu, użycie oświadczenia idtyp jest najprostszym sposobem, aby poinformować token aplikacji i token użytkownika od siebie. Na przykład wartość tego oświadczenia to aplikacja , gdy token jest tokenem tylko dla aplikacji.

Aby skonfigurować opcjonalne oświadczenie idtypu , wykonaj następujące czynności:

  1. Na stronie Rejestracje aplikacji, dla której chcesz skonfigurować opcjonalne oświadczenie, takie jak ciam-client-app, aby otworzyć stronę Przegląd.

  2. W obszarze Zarządzanie wybierz pozycję Konfiguracja tokenu.

  3. Wybierz Dodaj opcjonalne roszczenie.

  4. W obszarze Typ tokenu wybierz pozycję Dostęp.

  5. Wybierz opcjonalny identyfikator oświadczenia.

  6. Wybierz pozycję Dodaj , aby zapisać zmiany.

Rejestrowanie aplikacji demona

Aby umożliwić aplikacji logowanie użytkowników w usłudze Microsoft Entra, Tożsamość zewnętrzna Microsoft Entra należy pamiętać o tworzonej aplikacji. Rejestracja aplikacji ustanawia relację zaufania między aplikacją a firmą Microsoft Entra. Podczas rejestrowania aplikacji identyfikator zewnętrzny generuje unikatowy identyfikator znany jako identyfikator aplikacji (klienta) — wartość używana do identyfikowania aplikacji podczas tworzenia żądań uwierzytelniania.

W poniższych krokach pokazano, jak zarejestrować aplikację w centrum administracyjnym firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.

  2. Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.

  3. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

  4. Wybierz pozycję + Nowa rejestracja.

  5. Na wyświetlonej stronie Rejestrowanie aplikacji ;

    1. Wprowadź zrozumiałą nazwę aplikacji wyświetlaną użytkownikom aplikacji, na przykład ciam-client-app.
    2. W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.

  6. Wybierz pozycję Zarejestruj.

  7. Po pomyślnej rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zarejestruj identyfikator aplikacji (klienta), który ma być używany w kodzie źródłowym aplikacji.

Tworzenie wpisu tajnego klienta

Utwórz klucz tajny klienta dla zarejestrowanej aplikacji. Aplikacja używa wpisu tajnego klienta, aby udowodnić swoją tożsamość, gdy żąda tokenów.

  1. Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
  2. W obszarze Zarządzanie wybierz pozycję Certyfikaty i wpisy tajne.
  3. Wybierz Nowy klucz tajny klienta.
  4. W polu Opis wprowadź opis wpisu tajnego klienta (na przykład wpis tajny klienta aplikacji ciam).
  5. W obszarze Wygasa wybierz czas trwania, dla którego wpis tajny jest prawidłowy (zgodnie z regułami zabezpieczeń organizacji), a następnie wybierz pozycję Dodaj.
  6. Zarejestruj wartość wpisu tajnego. Użyjesz tej wartości do konfiguracji w późniejszym kroku. Wartość wpisu tajnego nie zostanie ponownie wyświetlona i nie będzie pobierana w żaden sposób po przejściu z obszaru Certyfikaty i wpisy tajne. Upewnij się, że został on zarejestrowany.

Udzielanie uprawnień interfejsu API do aplikacji demona

  1. Na stronie Rejestracje aplikacji wybierz utworzoną aplikację, na przykład ciam-client-app.

  2. W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.

  3. W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.

  4. Wybierz kartę Interfejsy API używane przez moją organizację.

  5. Na liście interfejsów API wybierz interfejs API, taki jak ciam-ToDoList-api.

  6. Wybierz opcję Uprawnienia aplikacji. Wybieramy tę opcję, gdy aplikacja loguje się jako sama, a nie użytkownicy.

  7. Z listy uprawnień wybierz pozycję TodoList.Read.All, ToDoList.ReadWrite.All (w razie potrzeby użyj pola wyszukiwania).

  8. Wybierz przycisk Dodaj uprawnienia.

  9. W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ aplikacja demona nie zezwala użytkownikom na interakcję z nią, sami użytkownicy nie mogą wyrazić zgody na te uprawnienia. Aby rozwiązać ten problem, administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:

    1. Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
    2. Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu uprawnień jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.

Rejestrowanie szczegółów rejestracji aplikacji

Następnym krokiem po tym samouczku jest utworzenie aplikacji demona, która wywołuje internetowy interfejs API. Upewnij się, że masz następujące szczegóły:

  • Identyfikator aplikacji (klienta) zarejestrowanej aplikacji demona klienta.
  • Poddomena katalogu (dzierżawy), w której zarejestrowano aplikację demona. Jeśli nie masz swojej nazwy dzierżawy, dowiedz się, jak odczytywać szczegóły dzierżawy.
  • Wartość wpisu tajnego aplikacji dla utworzonej aplikacji demona.
  • Identyfikator aplikacji (klienta) zarejestrowanej aplikacji internetowego interfejsu API.

Następny krok

Część 2. Wywoływanie chronionego internetowego interfejsu API z poziomu aplikacji demona platformy .NET