Руководство. Регистрация веб-приложения в Azure Active Directory B2C

Чтобы приложения могли взаимодействовать с Azure Active Directory B2C (Azure AD B2C), их нужно зарегистрировать в клиенте, которым вы управляете. В этом руководстве показано, как зарегистрировать веб-приложение с помощью портала Azure.

Термин "веб-приложение" здесь обозначает традиционное веб-приложение, которое выполняет большую часть логики приложения на сервере. Они могут создаваться с помощью таких платформ, как ASP.NET Core, Spring (Java), Flask (Python) и Express (Node.js).

Важно!

Если вместо этого применяется одностраничное приложение (SPA), например, с использованием Angular, Vue или React, ознакомьтесь со сведениями о том, как зарегистрировать одностраничное приложение.

Если вместо этого вы используете нативное приложение (например, iOS, Android либо мобильное или классическое приложение), узнайте, как зарегистрировать такое приложение.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Если вы еще не создали собственный клиент Azure AD B2C, создайте его сейчас. Вы можете использовать имеющийся клиент Azure Active Directory B2C.

регистрация веб-приложения;

Чтобы зарегистрировать веб-приложение в клиенте Azure AD B2C, можно использовать новый унифицированный интерфейс Регистрация приложений или устаревший интерфейс Приложения (устаревшая версия). См. дополнительные сведения о новом интерфейсе.

Регистрация приложений

1. Войдите на портал Azure.

2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.

3. В портале Azure найдите и выберите Azure AD B2C.

4. Щелкните Регистрация приложений и выберите Новая регистрация.

5. Введите имя приложения. Например, webapp1.

6. В области Поддерживаемые типы учетных записей выберите Учетные записи в любом поставщике удостоверений или в организационном каталоге (для аутентификации пользователей с помощью потока пользователей).

7. В поле URI перенаправления выберите Интернет и введите https://jwt.ms в текстовое поле URL.

   URI перенаправления — это конечная точка, в которую сервер авторизации (Azure AD B2C в данном случае) отправляет пользователя после завершения взаимодействия с пользователем и в которую отправляются маркер доступа или код авторизации после успешной авторизации. В рабочем приложении обычно это общедоступная конечная точка, в которой работает приложение, например https://contoso.com/auth-response. В целях тестирования, таких как этот учебник, можно задать для него значение https://jwt.ms, веб-приложение Майкрософт, которое отображает декодированное содержимое маркера (содержимое маркера никогда не покидает браузер). Во время разработки приложения можно добавить конечную точку, в которой приложение будет ожидать передачи данных локально, например https://localhost:5000. URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.

   На URI перенаправления налагаются следующие ограничения.

   • URL-адрес ответа должен начинаться со схемы https, если вы не используете URL-адрес перенаправления localhost.
   • В URL-адресе ответа учитывается регистр. Его регистр должен соответствовать регистру URL-пути выполняющегося приложения. Например, если приложение включает в состав своего пути .../abc/response-oidc, не указывайте .../ABC/response-oidc в URL-адресе ответа. Так как веб-браузер обрабатывает пути с учетом регистра, файлы cookie, связанные с .../abc/response-oidc, могут быть исключены при перенаправлении на не совпадающий по регистру знаков URL-адрес .../ABC/response-oidc.
   • URL-адрес ответа может включать или не включать наклонную черту в конце в зависимости от того, ожидает ли ее приложение. Например, https://contoso.com/auth-response и https://contoso.com/auth-response/ можно рассматривать как несоответствующие URL-адреса в приложении.

8. В разделе Разрешения установите флажок Предоставьте согласие администратора для разрешений openid и offline_access.

9. Выберите Регистр.

Приложения (прежние версии)

1. Войдите на портал Azure.

2. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.

3. В портале Azure найдите и выберите Azure AD B2C.

4. Щелкните Applications (Legacy) (Приложения (Прежние версии)), а затем выберите Добавить.

5. Введите имя приложения. Например, webapp1.

6. Для поля Включить веб-приложение или веб-интерфейс API выберите Да.

7. Для URL-адреса ответа введите конечные точки, куда Azure AD B2C возвращает все маркеры, запрашиваемые вашим приложением. Например, можно задать его для локального ожидания передачи данных в http://localhost:5000. URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.

   На URI перенаправления налагаются следующие ограничения.

   • URL-адрес ответа должен начинаться со схемы https, если не используется localhost.
   • В URL-адресе ответа учитывается регистр. Его регистр должен соответствовать регистру URL-пути выполняющегося приложения. Например, если приложение включает в состав своего пути .../abc/response-oidc, не указывайте .../ABC/response-oidc в URL-адресе ответа. Так как веб-браузер обрабатывает пути с учетом регистра, файлы cookie, связанные с .../abc/response-oidc, могут быть исключены при перенаправлении на не совпадающий по регистру знаков URL-адрес .../ABC/response-oidc.
   • URL-адрес ответа может включать или не включать наклонную черту в конце в зависимости от того, ожидает ли ее приложение. Например, https://contoso.com/auth-response и https://contoso.com/auth-response/ можно рассматривать как несоответствующие URL-адреса в приложении.

8. Выберите Создать для завершения регистрации нового приложения.

Совет

Если вы не видите приложения, созданные в разделе Регистрация приложений, обновите страницу портала.

Создание секрета клиента

Прежде всего для веб-приложения нужно создать секрет приложения. Секрет клиента также называется паролем приложения. С помощью этого секрета приложение будет осуществлять обмен кодом авторизации для маркера доступа.

Регистрация приложений

1. На странице Azure AD B2C — Регистрация приложений выберите созданное приложение, например webapp1.
2. В меню слева в разделе Управление выберите Сертификаты и секреты.
3. Щелкните Создать секрет клиента.
4. Введите описание секрета клиента в поле Описание. Например, clientsecret1.
5. В разделе Истекает выберите срок действия секрета, а затем выберите Добавить.
6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Это значение используется в качестве секрета приложения в коде приложения.

Приложения (прежние версии)

1. На странице Azure AD B2C — Приложения выберите созданное приложение, например webapp1.
2. Выберите Ключи, затем выберите Создать ключ.
3. Чтобы представить ключ, нажмите Сохранить. Запишите значение параметра Ключ приложения. Это значение используется в качестве секрета приложения в коде приложения.

Примечание.

В целях безопасности можно менять секрет приложения время от времени или при необходимости. Любое приложение, которое интегрируется с Azure AD B2C, должно быть готово обработать событие смены ключа независимо от того, насколько часто происходит такая смена. Можно задать два секрета приложения, разрешив приложению использовать старый секрет во время события смены секрета приложения. Чтобы добавить другой секрет клиента, повторите действия в этом разделе.

Включение неявного предоставления разрешения для маркера идентификации

Если вы регистрируете это приложение и настраиваете его в приложении https://jwt.ms/ для тестирования пользовательского потока или настраиваемой политики, необходимо включить поток неявного предоставления разрешения в регистрации приложения:

1. В меню слева в разделе Управлениевыберите Проверка подлинности.

2. В разделе Потоки неявного предоставления разрешений и гибридные потоки установите флажки Маркеры доступа (используемые для потоков неявного предоставления разрешений) и Маркеры идентификатора (используемые для потоков неявного предоставления разрешений и гибридных потоков).

3. Выберите Сохранить.

Следующие шаги

Из этой статьи вы узнали, как выполнять следующие задачи:

• регистрация веб-приложения;
• Создание секрета клиента

Узнайте, как создать потоки пользователей в Azure Active Directory B2C