Snabbstart: Registrera ett program med Microsofts identitetsplattform

I den här snabbstarten registrerar du en app i Azure Portal så att Microsofts identitetsplattform kan tillhandahålla autentiserings- och auktoriseringstjänster för ditt program och dess användare.

Den Microsofts identitetsplattform identitets- och åtkomsthantering (IAM) endast för registrerade program. Oavsett om det är ett klientprogram som en webb- eller mobilapp, eller ett webb-API som backar upp en klientapp, upprättar det en förtroenderelation mellan ditt program och identitetsprovidern, Microsofts identitetsplattform.

Tips

Om du vill registrera ett program Azure AD B2C följer du stegen i Självstudie: Registrera en webbapp i Azure AD B2C.

Förutsättningar

Registrera ett program

När du registrerar ditt program upprättas en förtroenderelation mellan appen och Microsofts identitetsplattform. Förtroendet är enkelriktat: din app litar på Microsofts identitetsplattform och inte tvärtom.

Följ dessa steg för att skapa appregistreringen:

  1. Logga in på Azure-portalen.

  2. Om du har åtkomst till flera klienter använder du filtret Katalog + prenumeration på den översta menyn för att välja den klientorganisation där du vill registrera ett program.

  3. Sök efter och välj Azure Active Directory.

  4. Under Hantera väljer du Appregistreringar > Ny registrering.

  5. Ange ett visningsnamn för ditt program. Användare av ditt program kan se visningsnamnet när de använder appen, till exempel vid inloggning. Du kan ändra visningsnamnet när som helst och flera appregistreringar kan dela samma namn. Appregistreringens automatiskt genererade program-ID (klient), inte dess visningsnamn, identifierar unikt din app på identitetsplattformen.

  6. Ange vem som kan använda programmet, som ibland kallas för inloggningsmålgrupp.

    Kontotyper som stöds Description
    Endast konton i den här organisationskatalogen Välj det här alternativet om du skapar ett program som endast ska användas av användare (eller gäster) i din klientorganisation.

    Den här appen kallas ofta för ett verksamhetsapplikation (LOB) och är ett program med en enda klientorganisation i Microsofts identitetsplattform.
    Konton i valfri organisationskatalog Välj det här alternativet om du vill att användare i en Azure Active Directory-klientorganisation (Azure AD) ska kunna använda ditt program. Det här alternativet är lämpligt om du till exempel skapar ett SaaS-program (programvara som en tjänst) som du planerar att tillhandahålla till flera organisationer.

    Den här typen av app kallas för ett program för flera program i Microsofts identitetsplattform.
    Konton i en valfri organisationskatalog och personliga Microsoft-konton Välj det här alternativet om målgruppen är bredast möjliga uppsättning av kunder.

    Genom att välja det här alternativet registrerar du ett program för flera användare som också kan stödja användare som har personliga Microsoft-konton.
    Personliga Microsoft-konton Välj det här alternativet om du bara skapar ett program för användare som har personliga Microsoft-konton. Personliga Microsoft-konton omfattar Skype-, Xbox-, Live- och Hotmail-konton.
  7. Ange inte något för Omdirigerings-URI (valfritt). Du konfigurerar en omdirigerings-URI i nästa avsnitt.

  8. Välj Registrera för att slutföra den första appregistreringen.

    Skärmbild av Azure Portal i en webbläsare med fönstret Registrera ett program.

När registreringen är klar visas Azure Portal appregistreringens översiktsfönster. Du ser program-ID :t (klienten). Det här värdet kallas även för klient-ID och identifierar ditt program unikt i Microsofts identitetsplattform.

Viktigt

Nya appregistreringar är dolda för användare som standard. När du är redo för användare att se appen på deras Mina appar kan du aktivera den. Om du vill aktivera appen går Azure Portal till Azure Active Directory > Företagsprogram och väljer appen. På sidan Egenskaper växlar du sedan Synlig för användare? till Ja.

Programmets kod, eller vanligtvis ett autentiseringsbibliotek som används i ditt program, använder också klient-ID:t. ID:t används som en del av valideringen av de säkerhetstoken som det tar emot från identitetsplattformen.

Skärmbild av Azure Portal i en webbläsare som visar översiktsfönstret för en appregistrering.

Lägga till en omdirigerings-URI

En omdirigerings-URI är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

I en produktionswebbapp är till exempel omdirigerings-URI ofta en offentlig slutpunkt där din app körs, till exempel https://contoso.com/auth-response . Under utvecklingen är det vanligt att även lägga till slutpunkten där du kör appen lokalt, till exempel https://127.0.0.1/auth-response eller http://localhost/auth-response .

Du lägger till och ändrar omdirigerings-URI:er för dina registrerade program genom att konfigurera deras plattformsinställningar.

Konfigurera plattformsinställningar

Inställningar för varje programtyp, inklusive omdirigerings-URI:er, konfigureras i Plattformskonfigurationer i Azure Portal. Vissa plattformar, till exempel webb- och ensidesprogram, kräver att du manuellt anger en omdirigerings-URI. För andra plattformar, till exempel mobil och stationär dator, kan du välja bland omdirigerings-URI:er som genereras åt dig när du konfigurerar deras andra inställningar.

Så här konfigurerar du programinställningar baserat på den plattform eller enhet som du riktar in dig på:

  1. I Azure Portal väljer Appregistreringar ditt program.

  2. Under Hantera väljer du Autentisering.

  3. Under Plattformskonfigurationer väljer du Lägg till en plattform.

  4. Under Konfigurera plattformar väljer du panelen för din programtyp (plattform) för att konfigurera dess inställningar.

    Skärmbild av fönstret för plattformskonfiguration i Azure Portal.

    Plattform Konfigurationsinställningar
    Webb Ange en omdirigerings-URI för din app. Denna URI är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

    Välj den här plattformen för standardwebbprogram som körs på en server.
    Enkelsidig app Ange en omdirigerings-URI för din app. Denna URI är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

    Välj den här plattformen om du skapar en webbapp på klientsidan med hjälp av JavaScript eller ett ramverk som Angular, Vue.js, React.js eller Blazor WebAssembly.
    iOS/macOS Ange appsamlings-ID:t. Du hittar den i Build Inställningar eller i Xcode i Info.plist.

    En omdirigerings-URI genereras åt dig när du anger ett paket-ID.
    Android Ange appen Paketnamn. Hitta den iAndroidManifest.xmlfilen. Generera och ange också signaturens hash.

    En omdirigerings-URI genereras åt dig när du anger dessa inställningar.
    Mobil- och skrivbordsprogram Välj en av de föreslagna omdirigerings-URI:erna. Eller ange en anpassad omdirigerings-URI.

    För skrivbordsprogram som använder en inbäddad webbläsare rekommenderar vi
    https://login.microsoftonline.com/common/oauth2/nativeclient

    För skrivbordsprogram som använder systemwebbläsaren rekommenderar vi
    http://localhost

    Välj den här plattformen för mobila program som inte använder det senaste Microsoft Authentication Library (MSAL) eller som inte använder en a broker. Välj även den här plattformen för skrivbordsprogram.
  5. Välj Konfigurera för att slutföra plattformskonfigurationen.

Omdirigerings-URI-begränsningar

Det finns vissa begränsningar för formatet för omdirigerings-URI:er som du lägger till i en appregistrering. Mer information om dessa begränsningar finns i Begränsningar och begränsningar för omdirigerings-URI (svars-URL).

Lägga till autentiseringsuppgifter

Autentiseringsuppgifter används av konfidentiella klientprogram som har åtkomst till ett webb-API. Exempel på konfidentiella klienter är webbappar, andra webb-API:er eller program av tjänsttyp och daemontyp. Med autentiseringsuppgifter kan ditt program autentisera sig som sig självt, vilket inte kräver någon interaktion från en användare vid körning.

Du kan lägga till både certifikat och klienthemligheter (en sträng) som autentiseringsuppgifter för din konfidentiella klientappregistrering.

Skärmbild av Azure Portal som visar fönstret Certifikat och hemligheter i en appregistrering.

Lägga till ett certifikat

Ett certifikat kallas ibland för en offentlig nyckel och är den rekommenderade autentiseringstypen eftersom de anses vara säkrare än klienthemligheter. Mer information om hur du använder ett certifikat som autentiseringsmetod i ditt program finns i Microsofts identitetsplattform autentiseringsuppgifter för programautentiseringscertifikat.

  1. I Azure Portal väljer Appregistreringar program.
  2. Välj Certifikat & hemligheter Upload > certifikat.
  3. Välj den fil som du vill ladda upp. Det måste vara någon av följande filtyper: .cer, .pem, .crt.
  4. Välj Lägg till.

Lägga till en klienthemlighet

En klienthemlighet kallas ibland för ett programlösenord och är ett strängvärde som appen kan använda i stället för ett certifikat för själva identiteten.

Klienthemligheter anses vara mindre säkra än certifikatautentiseringsuppgifter. Programutvecklare använder ibland klienthemligheter under lokal apputveckling på grund av att de är enkla att använda. Du bör dock använda certifikatautentiseringsuppgifter för alla program som du kör i produktion.

  1. I Azure Portal väljer Appregistreringar program.
  2. Välj Certifikat & hemligheter Ny > klienthemlighet.
  3. Lägg till en beskrivning för din klienthemlighet.
  4. Välj en förfallotid för hemligheten eller ange en anpassad livslängd.
    • Livslängden för klienthemligheter är begränsad till två år (24 månader) eller mindre. Du kan inte ange en anpassad livslängd som är längre än 24 månader.
    • Microsoft rekommenderar att du anger ett förfallovärde på mindre än 12 månader.
  5. Välj Lägg till.
  6. Registrera hemlighetens värde för användning i klientprogramkoden. Det här hemliga värdet visas aldrig igen när du lämnar den här sidan.

Programsäkerhetsrekommendationer finns i Microsofts identitetsplattform metodtips och rekommendationer.

Nästa steg

Klientprogram behöver vanligtvis åtkomst till resurser i ett webb-API. Du kan skydda klientprogrammet med hjälp av Microsofts identitetsplattform. Du kan också använda plattformen för auktorisering av begränsad, behörighetsbaserad åtkomst till ditt webb-API.

Gå till nästa snabbstart i serien för att skapa en till appregistrering för ditt webb-API och exponera dess omfång.