Snabbstart: Registrera ett program med Microsofts identitetsplattform

  • Artikel

Kom igång med Microsofts identitetsplattform genom att registrera ett program i Azure-portalen.

Microsofts identitetsplattform utför endast identitets- och åtkomsthantering (IAM) för registrerade program. Oavsett om det är ett klientprogram som en webb- eller mobilapp, eller om det är ett webb-API som stöder en klientapp, upprättar registreringen en förtroenderelation mellan ditt program och identitetsprovidern, Microsofts identitetsplattform.

Dricks

Om du vill registrera ett program för Azure AD B2C följer du stegen i Självstudie: Registrera ett webbprogram i Azure AD B2C.

Förutsättningar

Registrera en app

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

När du registrerar ditt program upprättas en förtroenderelation mellan din app och Microsofts identitetsplattform. Förtroendet är enkelriktat: din app litar på Microsofts identitetsplattform och inte tvärtom. När programobjektet har skapats kan det inte flyttas mellan olika klienter.

Följ dessa steg för att skapa appregistreringen:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till den klientorganisation där du vill registrera programmet från menyn Kataloger + prenumerationer.

  3. Bläddra till Identitetsprogram>> Appregistreringar och välj Ny registrering.

  4. Ange ett visningsnamn för programmet. Användare av ditt program kan se visningsnamnet när de använder appen, till exempel under inloggningen. Du kan ändra visningsnamnet när som helst och flera appregistreringar kan dela samma namn. Appregistreringens automatiskt genererade program-ID (klient)-ID, inte dess visningsnamn, identifierar din app unikt inom identitetsplattformen.

  5. Ange vem som kan använda programmet, som ibland kallas för dess inloggningspublik.

    Kontotyper som stöds Beskrivning
    Endast konton i den här organisationskatalogen Välj det här alternativet om du skapar ett program som endast ska användas av användare (eller gäster) i din klientorganisation.

    Den här appen kallas ofta för ett verksamhetsspecifikt program (LOB) och är ett program med en enda klientorganisation i Microsofts identitetsplattform.
    Konton i valfri organisationskatalog Välj det här alternativet om du vill att användare i en Microsoft Entra-klientorganisation ska kunna använda ditt program. Det här alternativet är lämpligt om du till exempel skapar ett SaaS-program (software-as-a-service) som du tänker tillhandahålla till flera organisationer.

    Den här typen av app kallas för ett program med flera klientorganisationer i Microsofts identitetsplattform.
    Konton i en valfri organisationskatalog och personliga Microsoft-konton Välj det här alternativet om du vill rikta de bredaste kunduppsättningarna.

    Genom att välja det här alternativet registrerar du ett program med flera klientorganisationer som också kan stödja användare som har personliga Microsoft-konton. Personliga Microsoft-konton inkluderar Skype-, Xbox-, Live- och Hotmail-konton.
    Personliga Microsoft-konton Välj det här alternativet om du bara skapar ett program för användare som har personliga Microsoft-konton. Personliga Microsoft-konton inkluderar Skype-, Xbox-, Live- och Hotmail-konton.

  6. Ange inget för omdirigerings-URI (valfritt). Du konfigurerar en omdirigerings-URI i nästa avsnitt.

  7. Välj Registrera för att slutföra den första appregistreringen.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

När registreringen är klar visar administrationscentret för Microsoft Entra appregistreringens översiktsfönster. Du ser program-ID (klient)-ID:t. Det här värdet kallas även för klient-ID och identifierar ditt program unikt i Microsofts identitetsplattform.

Viktigt!

Nya appregistreringar är dolda för användarna som standard. När du är redo för användare att se appen på deras Mina appar sida kan du aktivera den. Om du vill aktivera appen går du till Identity>Applications>Enterprise-program i administrationscentret för Microsoft Entra och väljer appen. På sidan Egenskaper kan du sedan växla Synlig för användare? till Ja.

Programmets kod, eller mer normalt ett autentiseringsbibliotek som används i ditt program, använder också klient-ID:t. ID:t används som en del av verifieringen av säkerhetstoken som tas emot från identitetsplattformen.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Lägga till en omdirigerings-URI

En omdirigerings-URI är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

I ett produktionswebbprogram är till exempel omdirigerings-URI ofta en offentlig slutpunkt där appen körs, till exempel https://contoso.com/auth-response. Under utvecklingen är det vanligt att även lägga till slutpunkten där du kör appen lokalt, till exempel https://127.0.0.1/auth-response eller http://localhost/auth-response. Se till att onödiga utvecklingsmiljöer/omdirigerings-URI:er inte exponeras i produktionsappen. Detta kan göras genom att ha separata appregistreringar för utveckling och produktion.

Du lägger till och ändrar omdirigerings-URI:er för dina registrerade program genom att konfigurera deras plattformsinställningar.

Konfigurera plattformsinställningar

Inställningar för varje programtyp, inklusive omdirigerings-URI:er, konfigureras i Plattformskonfigurationer i Azure-portalen. Vissa plattformar, till exempel webb - och ensidesprogram, kräver att du anger en omdirigerings-URI manuellt. För andra plattformar, till exempel mobil och stationär dator, kan du välja mellan omdirigerings-URI:er som genereras åt dig när du konfigurerar deras andra inställningar.

Följ dessa steg för att konfigurera programinställningar baserat på den plattform eller enhet som du riktar in dig på:

  1. Välj ditt program i Appregistreringar i administrationscentret för Microsoft Entra.

  2. Under Hantera väljer du Autentisering.

  3. Under Plattformskonfigurationer väljer du Lägg till en plattform.

  4. Under Konfigurera plattformar väljer du panelen för din programtyp (plattform) för att konfigurera dess inställningar.

    Screenshot of the platform configuration pane in the Azure portal.

    Plattform Konfigurationsinställningar
    Webb Ange en omdirigerings-URI för din app. Den här URI:n är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

    Utloggnings-URL för frontkanal och implicita och hybridflödesegenskaper kan också konfigureras.

    Välj den här plattformen för standardwebbprogram som körs på en server.
    Ensidesapplikation Ange en omdirigerings-URI för din app. Den här URI:n är den plats där Microsofts identitetsplattform omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

    Utloggnings-URL för frontkanal och implicita och hybridflödesegenskaper kan också konfigureras.

    Välj den här plattformen om du skapar en webbapp på klientsidan med hjälp av JavaScript eller ett ramverk som Angular, Vue.js, React.js eller Blazor WebAssembly.
    iOS/macOS Ange appens paket-ID. Hitta den i Skapa Inställningar eller i Xcode i Info.plist.

    En omdirigerings-URI genereras åt dig när du anger ett paket-ID.
    Android Ange appens paketnamn. Hitta den i filen AndroidManifest.xml . Generera och ange även signaturhash.

    En omdirigerings-URI genereras åt dig när du anger de här inställningarna.
    Mobil- och skrivbordsprogram Välj en av de föreslagna omdirigerings-URI:erna. Eller ange på eller flera anpassade omdirigerings-URI:er.

    För skrivbordsprogram med inbäddad webbläsare rekommenderar vi
    https://login.microsoftonline.com/common/oauth2/nativeclient

    För skrivbordsprogram som använder systemwebbläsaren rekommenderar vi
    http://localhost

    Välj den här plattformen för mobila program som inte använder det senaste Microsoft Authentication Library (MSAL) eller som inte använder en asynkron meddelandekö. Välj även den här plattformen för skrivbordsprogram.

  5. Välj Konfigurera för att slutföra plattformskonfigurationen.

Omdirigerings-URI-begränsningar

Det finns vissa begränsningar för formatet för de omdirigerings-URI:er som du lägger till i en appregistrering. Mer information om dessa begränsningar finns i Begränsningar och begränsningar för omdirigerings-URI (svars-URL).

Lägg till autentiseringsuppgifter

Autentiseringsuppgifter används av konfidentiella klientprogram som har åtkomst till ett webb-API. Exempel på konfidentiella klienter är webbappar, andra webb-API:er eller program av tjänsttyp och daemontyp. Med autentiseringsuppgifter kan programmet autentiseras som sig självt, vilket inte kräver någon interaktion från en användare vid körning.

Du kan lägga till certifikat, klienthemligheter (en sträng) eller federerade identitetsuppgifter som autentiseringsuppgifter till din konfidentiella klientappregistrering.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Lägga till ett certifikat

Ibland kallas en offentlig nyckel, ett certifikat är den rekommenderade typen av autentiseringsuppgifter eftersom de anses vara säkrare än klienthemligheter. Mer information om hur du använder ett certifikat som autentiseringsmetod i ditt program finns i Microsofts identitetsplattform certifikatautentiseringsuppgifter för programautentisering.

  1. Välj ditt program i Appregistreringar i administrationscentret för Microsoft Entra.
  2. Välj Certifikat och hemligheter>Certifikat>Ladda upp certifikat.
  3. Välj den fil som du vill ladda upp. Det måste vara någon av följande filtyper: .cer, .pem, .crt.
  4. Markera Lägga till.

Lägg till en klienthemlighet

Ibland kallas ett programlösenord, en klienthemlighet är ett strängvärde som din app kan använda i stället för ett certifikat för att identifiera sig själv.

Klienthemligheter anses vara mindre säkra än certifikatautentiseringsuppgifter. Programutvecklare använder ibland klienthemligheter under utveckling av lokala appar på grund av deras användarvänlighet. Du bör dock använda certifikatautentiseringsuppgifter för alla dina program som körs i produktion.

  1. Välj ditt program i Appregistreringar i administrationscentret för Microsoft Entra.
  2. Välj Certifikat och hemligheter>Klienthemligheter>Ny klienthemlighet.
  3. Lägg till en beskrivning för din klienthemlighet.
  4. Välj en förfallotid för hemligheten eller ange en anpassad livslängd.
    • Klienthemlighetens livslängd är begränsad till två år (24 månader) eller mindre. Du kan inte ange en anpassad livslängd som är längre än 24 månader.
    • Microsoft rekommenderar att du anger ett förfallovärde på mindre än 12 månader.
  5. Markera Lägga till.
  6. Registrera hemlighetens värde för användning i klientprogramkoden. Det här hemliga värdet visas aldrig igen när du har lämnat den här sidan.

Se Microsofts identitetsplattform bästa praxis och rekommendationer för programsäkerhetsrekommendationer.

Om du använder en Azure DevOps-tjänstanslutning som automatiskt skapar ett huvudnamn för tjänsten måste du uppdatera klienthemligheten från Azure DevOps-portalwebbplatsen i stället för att uppdatera klienthemligheten direkt. Läs det här dokumentet om hur du uppdaterar klienthemligheten från Azure DevOps-portalwebbplatsen: Felsöka Azure Resource Manager-tjänstanslutningar.

Lägga till en federerad autentiseringsuppgift

Federerade identitetsuppgifter är en typ av autentiseringsuppgifter som tillåter arbetsbelastningar, till exempel GitHub Actions, arbetsbelastningar som körs på Kubernetes eller arbetsbelastningar som körs på beräkningsplattformar utanför Azure, åtkomst till Microsoft Entra-skyddade resurser utan att behöva hantera hemligheter med hjälp av arbetsbelastningsidentitetsfederation.

Följ dessa steg för att lägga till en federerad autentiseringsuppgift:

  1. Välj ditt program i Appregistreringar i administrationscentret för Microsoft Entra.

  2. Välj Certifikat och hemligheter>Federerade autentiseringsuppgifter>Lägg till autentiseringsuppgifter.

  3. I listrutan Federerade autentiseringsuppgifter väljer du något av de scenarier som stöds och följer motsvarande vägledning för att slutföra konfigurationen.

    • Kundhanterade nycklar för att kryptera data i din klientorganisation med hjälp av Azure Key Vault i en annan klientorganisation.
    • GitHub-åtgärder som distribuerar Azure-resurser för att konfigurera ett GitHub-arbetsflöde för att hämta token för ditt program och distribuera tillgångar till Azure.
    • Kubernetes får åtkomst till Azure-resurser för att konfigurera ett Kubernetes-tjänstkonto för att hämta token för ditt program och få åtkomst till Azure-resurser.
    • Annan utfärdare som konfigurerar en identitet som hanteras av en extern OpenID-Anslut-provider för att hämta token för ditt program och få åtkomst till Azure-resurser.

Mer information om hur du hämtar en åtkomsttoken med en federerad autentiseringsuppgift finns i artikeln Microsofts identitetsplattform- och OAuth 2.0-klientautentiseringsuppgifter.

Nästa steg

Klientprogram behöver vanligtvis komma åt resurser i ett webb-API. Du kan skydda klientprogrammet med hjälp av Microsofts identitetsplattform. Du kan också använda plattformen för att auktorisera begränsad, behörighetsbaserad åtkomst till ditt webb-API.

Gå till nästa snabbstart i serien för att skapa ytterligare en appregistrering för webb-API:et och exponera dess omfång.

Konfigurera ett program för att exponera ett webb-API