Snabbstart: Registrera ett program med Microsofts identitetsplattform

I den här snabbstarten registrerar du en app i Azure Portal så att Microsofts identitetsplattform kan tillhandahålla autentiserings- och auktoriseringstjänster för ditt program och dess användare.

Den Microsofts identitetsplattform utför identitets- och åtkomsthantering (IAM) endast för registrerade program. Oavsett om det är ett klientprogram som en webb- eller mobilapp, eller ett webb-API som backar upp en klientapp och registrerar den upprättar en förtroenderelation mellan ditt program och identitetsprovidern, Microsofts identitetsplattform.

Förutsättningar

• Ett Azure-konto som har en aktiv prenumeration. Skapa ett konto utan kostnad.
• Azure-kontot måste ha behörighet att hantera program i Azure Active Directory (Azure AD). Någon av följande Azure AD-roller inkluderar de behörigheter som krävs:
  • Programadministratör
  • Programutvecklare
  • Molnprogramadministratör
• Slutförande av snabbstarten Konfigurera en klientorganisation.

Registrera ett program

När du registrerar ditt program upprättas en förtroenderelation mellan appen och Microsofts identitetsplattform. Förtroendet är enkelriktat: din app litar på Microsofts identitetsplattform och inte tvärtom.

Skapa appregistreringen genom att följa dessa steg:

1. Logga in på Azure-portalen.

2. Om du har åtkomst till flera klienter använder du filtret Kataloger + prenumerationer på den översta menyn för att växla till den klientorganisation där du vill registrera programmet.

3. Sök efter och välj Azure Active Directory.

4. Under Hantera väljer du Appregistreringar > Ny registrering.

5. Ange ett visningsnamn för ditt program. Användare av ditt program kan se visningsnamnet när de använder appen, till exempel under inloggningen. Du kan ändra visningsnamnet när som helst och flera appregistreringar kan dela samma namn. Appregistreringens automatiskt genererade program-ID (klient) och inte dess visningsnamn identifierar appen unikt inom identitetsplattformen.

6. Ange vem som kan använda programmet, som ibland kallas för inloggningsmålgrupp.

   Kontotyper som stöds	Beskrivning
   Endast konton i den här organisationskatalogen	Välj det här alternativet om du skapar ett program för användning endast av användare (eller gäster) i din klientorganisation. Den här appen kallas ofta för ett verksamhetsapplikation (LOB) och är ett program för en enskild klientorganisation i Microsofts identitetsplattform.
   Konton i valfri organisationskatalog	Välj det här alternativet om du vill att användare i Azure Active Directory -klientorganisation (Azure AD) ska kunna använda ditt program. Det här alternativet är lämpligt om du till exempel skapar ett SaaS-program (programvara som en tjänst) som du planerar att tillhandahålla till flera organisationer. Den här typen av app kallas för ett program för flera Microsofts identitetsplattform.
   Konton i en valfri organisationskatalog och personliga Microsoft-konton	Välj det här alternativet om målgruppen är bredast möjliga uppsättning av kunder. Genom att välja det här alternativet registrerar du ett program för flera användare som också kan stödja användare som har personliga Microsoft-konton.
   Personliga Microsoft-konton	Välj det här alternativet om du bara skapar ett program för användare som har personliga Microsoft-konton. Personliga Microsoft-konton omfattar Skype-, Xbox-, Live- och Hotmail-konton.

7. Ange inte något för Omdirigerings-URI (valfritt). Du konfigurerar en omdirigerings-URI i nästa avsnitt.

8. Välj Registrera för att slutföra den första appregistreringen.

   

När registreringen är klar Azure Portal appens översiktsfönster. Du ser program-ID :t (klienten). Det här värdet kallas även för klient-ID och identifierar ditt program unikt i Microsofts identitetsplattform.

Programmets kod, eller vanligtvis ett autentiseringsbibliotek som används i ditt program, använder också klient-ID:t. ID:t används som en del av valideringen av de säkerhetstoken som det tar emot från identitetsplattformen.

Lägga till en omdirigerings-URI

En omdirigerings-URI är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

I ett produktionswebbprogram är till exempel omdirigerings-URI:en ofta en offentlig slutpunkt där din app körs, till exempel https://contoso.com/auth-response . Under utvecklingen är det vanligt att även lägga till slutpunkten där du kör appen lokalt, till exempel https://127.0.0.1/auth-response eller http://localhost/auth-response .

Du lägger till och ändrar omdirigerings-URI:er för dina registrerade program genom att konfigurera deras plattformsinställningar.

Konfigurera plattformsinställningar

Inställningar för varje programtyp, inklusive omdirigerings-URI:er, konfigureras i Plattformskonfigurationer i Azure Portal. Vissa plattformar, till exempel webbprogram och ensidesapplikationer, kräver att du anger en omdirigerings-URI manuellt. För andra plattformar, till exempel mobil och stationär dator, kan du välja från omdirigerings-URI:er som genereras åt dig när du konfigurerar deras andra inställningar.

Så här konfigurerar du programinställningar baserat på den plattform eller enhet som du riktar in dig på:

1. Välj Azure Portal i Appregistreringar i dialogrutan.

2. Under Hantera väljer du Autentisering.

3. Under Plattformskonfigurationer väljer du Lägg till en plattform.

4. Under Konfigurera plattformar väljer du panelen för din programtyp (plattform) för att konfigurera dess inställningar.

   

   Plattform	Konfigurationsinställningar
   Webb	Ange en omdirigerings-URI för din app. Denna URI är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering. Välj den här plattformen för standardwebbprogram som körs på en server.
   Enkelsidig app	Ange en omdirigerings-URI för din app. Denna URI är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering. Välj den här plattformen om du skapar en webbapp på klientsidan med hjälp av JavaScript eller ett ramverk som Angular, Vue.js, React.js eller Blazor WebAssembly.
   iOS/macOS	Ange appsamlings-ID:t. Du hittar den i Build Inställningar eller i Xcode i Info.plist. En omdirigerings-URI genereras åt dig när du anger ett paket-ID.
   Android	Ange appen Paketnamn. Leta upp den iAndroidManifest.xmlfilen. Generera och ange även signaturens hash. En omdirigerings-URI genereras åt dig när du anger dessa inställningar.
   Mobil- och skrivbordsprogram	Välj ett av de föreslagna omdirigerings-URI:erna. Eller ange en anpassad omdirigerings-URI. För skrivbordsprogram som använder inbäddade webbläsare rekommenderar vi https://login.microsoftonline.com/common/oauth2/nativeclient För skrivbordsprogram som använder systemwebbläsaren rekommenderar vi http://localhost Välj den här plattformen för mobila program som inte använder det senaste Microsoft Authentication Library (MSAL) eller som inte använder en koordinator. Välj även den här plattformen för skrivbordsprogram.

5. Välj Konfigurera för att slutföra plattformskonfigurationen.

Begränsningar för omdirigerings-URI

Det finns vissa begränsningar för formatet för omdirigerings-URI:er som du lägger till i en appregistrering. Mer information om dessa begränsningar finns i Begränsningar och begränsningar för omdirigerings-URI (svars-URL).

Lägg till autentiseringsuppgifter

Autentiseringsuppgifter används av konfidentiella klientprogram som har åtkomst till ett webb-API. Exempel på konfidentiella klienter är webbappar, andra webb-API:er eller program av tjänsttyp och daemontyp. Med autentiseringsuppgifter kan ditt program autentisera sig som sig självt, vilket inte kräver någon interaktion från en användare vid körning.

Du kan lägga till både certifikat och klienthemligheter (en sträng) som autentiseringsuppgifter i din konfidentiella klientappregistrering.

Lägga till ett certifikat

Ett certifikat kallas ibland för en offentlig nyckel och är den rekommenderade autentiseringstypen eftersom de anses vara säkrare än klienthemligheter. Mer information om hur du använder ett certifikat som autentiseringsmetod i ditt program finns i Microsofts identitetsplattform autentiseringsuppgifter för certifikat för programautentisering.

1. Välj Azure Portal i Appregistreringar i dialogrutan.
2. Välj Certifikat & hemligheter > Certifikat Upload > certifikat.
3. Välj den fil som du vill ladda upp. Det måste vara någon av följande filtyper: .cer, .pem, .crt.
4. Välj Lägg till.

Lägga till en klienthemlighet

En klienthemlighet kallas ibland för ett programlösenord och är ett strängvärde som din app kan använda i stället för ett certifikat för att själva identiteten.

Klienthemligheter anses vara mindre säkra än certifikatautentiseringsuppgifter. Programutvecklare använder ibland klienthemligheter under lokal apputveckling eftersom de är enkla att använda. Du bör dock använda certifikatautentiseringsuppgifter för alla program som körs i produktion.

1. Välj Azure Portal i Appregistreringar i dialogrutan.
2. Välj Certifikat & klienthemligheter > > Ny klienthemlighet.
3. Lägg till en beskrivning för din klienthemlighet.
4. Välj en förfallotid för hemligheten eller ange en anpassad livslängd.
   • Livslängden för klienthemligheter är begränsad till två år (24 månader) eller mindre. Du kan inte ange en anpassad livslängd som är längre än 24 månader.
   • Microsoft rekommenderar att du anger ett förfallovärde på mindre än 12 månader.
5. Välj Lägg till.
6. Registrera hemlighetens värde för användning i klientprogramkoden. Det här hemliga värdet visas aldrig igen när du lämnar den här sidan.

Rekommendationer för programsäkerhet finns i Microsofts identitetsplattform metodtips och rekommendationer.

Nästa steg

Klientprogram behöver vanligtvis åtkomst till resurser i ett webb-API. Du kan skydda klientprogrammet med hjälp av Microsofts identitetsplattform. Du kan också använda plattformen för att auktorisera begränsad, behörighetsbaserad åtkomst till ditt webb-API.

Gå till nästa snabbstart i serien för att skapa ytterligare en appregistrering för ditt webb-API och exponera dess omfång.