Руководство по регистрации веб-приложения в Azure Active Directory B2C

Чтобы приложения могли взаимодействовать с Azure Active Directory B2C (Azure AD B2C), их нужно зарегистрировать в клиенте, которым вы управляете. В этом руководстве показано, как зарегистрировать веб-приложение с помощью портала Azure.

Термин "веб-приложение" здесь обозначает традиционное веб-приложение, которое выполняет большую часть логики приложения на сервере. Такие приложения могут быть созданы с использованием различных платформ, например ASP.NET Core, Maven (Java), Flask (Python) и Express (Node.js).

Важно!

Если вместо этого применяется одностраничное приложение (SPA), например, с использованием Angular, Vue или React, ознакомьтесь со сведениями о том, как зарегистрировать одностраничное приложение.

Если вместо этого вы используете нативное приложение (например, iOS, Android либо мобильное или классическое приложение), узнайте, как зарегистрировать такое приложение.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Если вы еще не создали собственный клиент Azure AD B2C, создайте его сейчас. Вы можете использовать имеющийся клиент Azure Active Directory B2C.

Регистрация веб-приложения

Чтобы зарегистрировать веб-приложение в клиенте Azure AD B2C, можно использовать новый унифицированный интерфейс Регистрация приложений или устаревший интерфейс Приложения (устаревшая версия). См. дополнительные сведения о новом интерфейсе.

  1. Войдите на портал Azure.

  2. Убедитесь, что вы используете каталог, содержащий клиент Azure AD B2C. На панели инструментов портала выберите значок Каталоги и подписки.

  3. В настройках портала на странице Каталоги и подписки найдите свой каталог Azure AD B2C в списке Имя каталога и выберите Переключить.

  4. На портале Azure найдите и выберите Azure AD B2C.

  5. Щелкните Регистрация приложений и выберите Новая регистрация.

  6. Введите имя приложения. Например, webapp1.

  7. В разделе Поддерживаемые типы учетных записей выберите элемент Accounts in any identity provider or organizational directory (for authenticating users with user flows) (Учетные записи в любом поставщике удостоверений или каталоге организации (для аутентификации пользователей с использованием сведений о маршрутах пользователей)).

  8. В поле URI перенаправления выберите Интернет и введите https://jwt.ms в текстовое поле URL.

    URI перенаправления — это конечная точка, в которую сервер авторизации (Azure AD B2C в данном случае) отправляет пользователя после завершения взаимодействия с пользователем и в которую отправляются маркер доступа или код авторизации после успешной авторизации. В рабочем приложении обычно это общедоступная конечная точка, в которой работает приложение, например https://contoso.com/auth-response. В целях тестирования, таких как этот учебник, можно задать для него значение https://jwt.ms, веб-приложение Майкрософт, которое отображает декодированное содержимое маркера (содержимое маркера никогда не покидает браузер). Во время разработки приложения можно добавить конечную точку, в которой приложение будет ожидать передачи данных локально, например https://localhost:5000. URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.

    На URI перенаправления налагаются следующие ограничения.

    • URL-адрес ответа должен начинаться со схемы https, если вы не используете URL-адрес перенаправления localhost.
    • В URL-адресе ответа учитывается регистр. Его регистр должен соответствовать регистру URL-пути выполняющегося приложения. Например, если приложение включает в состав своего пути .../abc/response-oidc, не указывайте .../ABC/response-oidc в URL-адресе ответа. Так как веб-браузер обрабатывает пути с учетом регистра, файлы cookie, связанные с .../abc/response-oidc, могут быть исключены при перенаправлении на не совпадающий по регистру знаков URL-адрес .../ABC/response-oidc.
    • URL-адрес ответа может включать или не включать наклонную черту в конце в зависимости от того, ожидает ли ее приложение. Например, https://contoso.com/auth-response и https://contoso.com/auth-response/ можно рассматривать как несоответствующие URL-адреса в приложении.
  9. В разделе Разрешения установите флажок Предоставьте согласие администратора для разрешений openid и offline_access.

  10. Выберите Зарегистрировать.

Совет

Если вы не видите приложения, созданные в разделе Регистрация приложений, обновите страницу портала.

Создание секрета клиента

Прежде всего для веб-приложения нужно создать секрет приложения. Секрет клиента также называется паролем приложения. С помощью этого секрета приложение будет осуществлять обмен кодом авторизации для маркера доступа.

  1. На странице Azure AD B2C — Регистрация приложений выберите созданное приложение, например webapp1.
  2. В меню слева в разделе Управление выберите Сертификаты и секреты.
  3. Выберите Создать секрет клиента.
  4. Введите описание секрета клиента в поле Описание. Например, clientsecret1.
  5. В разделе Истекает выберите срок действия секрета, а затем выберите Добавить.
  6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Это значение используется в качестве секрета приложения в коде приложения.

Примечание

В целях безопасности можно менять секрет приложения время от времени или при необходимости. Любое приложение, которое интегрируется с Azure AD B2C, должно быть готово обработать событие смены ключа независимо от того, насколько часто происходит такая смена. Можно задать два секрета приложения, разрешив приложению использовать старый секрет во время события смены секрета приложения. Чтобы добавить другой секрет клиента, повторите действия в этом разделе.

Включение неявного предоставления разрешения для маркера идентификации

Если вы регистрируете это приложение и настраиваете его в приложении https://jwt.ms/ для тестирования пользовательского потока или настраиваемой политики, необходимо включить поток неявного предоставления разрешения в регистрации приложения:

  1. В меню слева в разделе Управлениевыберите Проверка подлинности.

  2. В разделе Потоки неявного предоставления разрешений и гибридные потоки установите флажки Маркеры доступа (используемые для потоков неявного предоставления разрешений) и Маркеры идентификатора (используемые для потоков неявного предоставления разрешений и гибридных потоков).

  3. Щелкните Сохранить.

Дальнейшие действия

Из этой статьи вы узнали, как выполнять следующие задачи:

  • Регистрация веб-приложения
  • Создание секрета клиента

Далее узнайте, как создавать последовательности пользователей, чтобы пользователи могли регистрироваться, входить в систему и управлять их профилями.