快速入門:使用 Microsoft 身分識別平台來註冊應用程式

  • 發行項

在 Azure 入口網站中註冊應用程式,以開始使用 Microsoft 身分識別平台。

Microsoft 身分識別平台只會針對已註冊的應用程式執行身分識別與存取管理 (IAM)。 無論是 Web 或行動應用程式的用戶端應用程式,還是支援用戶端應用程式的 Web API,註冊它就會建立應用程式與識別提供者之間的信任關係,Microsoft 身分識別平台。

提示

若要註冊 Azure AD B2C 的應用程式,請遵循教學課程:在 Azure AD B2C 中註冊 Web 應用程式中的步驟

必要條件

註冊應用程式

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

註冊應用程式會在您的應用程式與 Microsoft 身分識別平台之間建立信任關係。 信任是單向的:您的應用程式信任 Microsoft 身分識別平台,而不是另一種方式。 建立之後,就無法在不同的租用戶之間移動應用程式物件。

請遵循下列步驟來建立應用程式註冊:

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示,切換至您想要從 [目錄 + 訂用帳戶] 功能表註冊應用程式的租使用者。

  3. 流覽至 [身分>識別應用程式> 應用程式註冊],然後選取 [新增註冊]。

  4. 輸入應用程式的顯示 名稱 。 當應用程式的使用者使用應用程式時 (例如在登入期間),可能會看到顯示名稱。 您可以隨時變更顯示名稱,而多個應用程式註冊可以共用相同的名稱。 應用程式註冊的自動產生應用程式(用戶端)標識碼,而非其顯示名稱,可唯一識別身分識別平臺內的應用程式。

  5. 指定誰可以使用應用程式,有時稱為其 登入物件

    支援的帳戶類型 描述
    僅此組織目錄中的帳戶 如果您要建置應用程式以供租使用者中的使用者(或來賓)使用,請選取此選項。

    此應用程式通常稱為企業營運應用程式 (LOB) 應用程式,是 Microsoft 身分識別平台 中的單一用戶應用程式。
    任何組織目錄中的帳戶 如果您想要讓任何 Microsoft Entra 租使用者中的使用者能夠使用您的應用程式,請選取此選項。 例如,如果您要建置您想要提供給多個組織的軟體即服務 (SaaS) 應用程式,則此選項是適當的選項。

    這種類型的應用程式稱為 Microsoft 身分識別平台 中的多租用戶應用程式。
    任何組織目錄中的帳戶和個人 Microsoft 帳戶 選取此選項以最廣泛的客戶集為目標。

    藉由選取此選項,您正在註冊 多租用戶 應用程式,也可以支持擁有個人 Microsoft 帳戶的使用者。 個人 Microsoft 帳戶包括 Skype、Xbox、Live 和 Hotmail 帳戶。
    個人 Microsoft 帳戶 如果您要為擁有個人 Microsoft 帳戶的使用者建置應用程式,請選取此選項。 個人 Microsoft 帳戶包括 Skype、Xbox、Live 和 Hotmail 帳戶。

  6. 請勿針對重新導向 URI 輸入任何專案(選擇性)。 您將在下一節中設定重新導向 URI。

  7. 選取 [註冊] 以完成伺服器初始註冊。

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

註冊完成時,Microsoft Entra 系統管理中心會顯示應用程式註冊的 [ 概觀 ] 窗格。 您會看到應用程式 (用戶端) 識別碼也稱為用戶端識別碼,此值可唯一識別 Microsoft 身分識別平台 中的應用程式。

重要

根據預設,新的應用程式註冊會隱藏給使用者。 當您準備好讓使用者在其 我的應用程式 頁面上看到應用程式時,您可以加以啟用。 若要啟用應用程式,請在 Microsoft Entra 系統管理中心流覽至 [身分>識別應用程式企業應用程式>] 並選取應用程式。 然後在 [屬性] 頁面上,將 [向用戶顯示嗎? ] 切換為 [是]。

您應用程式的程式代碼,或更通常是應用程式中所使用的驗證連結庫,也會使用用戶端識別符。 標識碼是驗證其從身分識別平臺接收之安全性令牌的一部分。

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

新增重新導向 URI

重新導向 URI 是 Microsoft 身分識別平台 重新導向使用者用戶端並在驗證之後傳送安全性令牌的位置。

例如,在生產 Web 應用程式中,重新導向 URI 通常是應用程式執行所在的公用端點,例如 https://contoso.com/auth-response。 在開發期間,通常也會新增您在本機執行應用程式的端點,例如 https://127.0.0.1/auth-responsehttp://localhost/auth-response。 請確定生產應用程式中不會公開任何不必要的開發環境/重新導向 URI。 這可以透過為開發和生產環境設定個別的應用程式註冊來完成。

您可以藉由設定其平台設定,為已註冊的應用程式新增和修改重新導向 URI。

設定平台設定

每種應用程式類型的設定 (包括重新導向 URI) 都是在 Azure 入口網站的 [平台設定] 中設定。 某些平台,例如網頁單一頁面應用程式,需要您手動指定重新導向 URI。 針對其他平台 (例如行動裝置和桌面),您可以選取在設定其他設定時為您產生的重新導向 URI。

若要根據目標平台或裝置來設定應用程式設定,請遵循下列步驟:

  1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中,選取您的應用程式。

  2. 在 [管理] 底下,選取 [驗證]

  3. 在 [平台設定] 底下,選取 [新增平台]

  4. 在 [設定平臺],選取應用程式類型 (platform) 的圖格來設定其設定。

    Screenshot of the platform configuration pane in the Azure portal.

    平台 組態設定
    Web 輸入 應用程式的重新導向 URI 。 此 URI 是 Microsoft 身分識別平台將使用者的用戶端重新導向,且在驗證之後會傳送安全性權杖的位置。

    您也可以設定前端通道註銷 URL 和隱含和混合式流程屬性。

    針對在伺服器上執行的標準 Web 應用程式,選取此平台。
    單頁應用程式 輸入 應用程式的重新導向 URI 。 此 URI 是 Microsoft 身分識別平台將使用者的用戶端重新導向,且在驗證之後會傳送安全性權杖的位置。

    您也可以設定前端通道註銷 URL 和隱含和混合式流程屬性。

    如果您要使用 JavaScript 或 Angular、Vue.js、React.js 或 Blazor WebAssembly 等架構來建置用戶端 Web 應用程式,請選取此平臺。
    iOS / macOS 輸入應用程式 套件組合識別碼。 在 Info.plist 的組建 設定 或 Xcode 中尋找它。

    當您指定 套件組合識別碼時,會產生重新導向 URI。
    Android 輸入應用程式 套件名稱。 在AndroidManifest.xml檔案中尋找它。 同時產生並輸入 簽章哈希

    當您指定這些設定時,系統會為您產生重新導向 URI。
    行動裝置和傳統型應用程式 選取其中一個建議 的重新導向 URI。 或指定或更多 自定義重新導向 URI

    針對使用內嵌瀏覽器的桌面應用程式,我們建議
    https://login.microsoftonline.com/common/oauth2/nativeclient

    針對使用系統瀏覽器的桌面應用程式,我們建議
    http://localhost

    針對未使用最新 Microsoft 驗證連結庫 (MSAL) 或未使用訊息代理程式的行動應用程式,選取此平臺。 此外,也請為傳統型應用程式選取此平台。

  5. 選取 [設定] 以完成平台設定。

重新導向 URI 限制

您新增至應用程式註冊的重新導向 URI 格式有一些限制。 如需這些限制的詳細資訊,請參閱 重新導向 URI (回復 URL) 限制和限制

新增認證

存取 Web API 的機密用戶端應用程式會使用認證。 機密用戶端的範例包括 Web 應用程式、其他 Web API 或服務類型和精靈類型應用程式。 認證可讓您的應用程式以自身進行驗證,不需要在執行階段與使用者進行互動。

您可以將憑證、客戶端密碼(字串)或同盟身分識別認證新增為機密用戶端應用程式註冊的認證。

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

新增憑證

有時稱為 公鑰,因為憑證被視為比用戶端密碼更安全,所以是建議的認證類型。 如需在應用程式中使用憑證作為驗證方法的詳細資訊,請參閱 Microsoft 身分識別平台 應用程式驗證憑證認證

  1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中,選取您的應用程式。
  2. 選取 [憑證與秘密>憑證>上傳憑證]。
  3. 選取您要上傳的檔案。 它必須是下列其中一種檔類型: .cer.pem.crt
  4. 選取新增

新增用戶端密碼

有時稱為 應用程式密碼,用戶端密碼是應用程式可用來取代憑證給身分識別本身的字串值。

用戶端密碼被視為比憑證認證不安全。 應用程式開發人員有時會在本機應用程式開發期間使用用戶端密碼,因為它們容易使用。 不過,您應該針對任何在生產環境中執行的應用程式使用憑證認證。

  1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中,選取您的應用程式。
  2. 選取 [憑證與秘密>] [客戶端密碼>] [新增客戶端密碼]。
  3. 新增用戶端密碼的描述。
  4. 選取祕密的到期日,或指定自訂存留期。
    • 用戶端祕密存留期限制為兩年 (24 個月) 或更少。 您無法指定超過 24 個月的自訂存留期。
    • Microsoft 建議您將到期值設定為少於 12 個月。
  5. 選取新增
  6. 記錄秘密的值 ,以用於用戶端應用程式程式碼。 離開此頁面後,就「不會再次顯示」此祕密值。

如需應用程式安全性建議,請參閱 Microsoft 身分識別平台 最佳做法和建議

如果您使用會自動建立服務主體的 Azure DevOps 服務連線,您需要從 Azure DevOps 入口網站更新用戶端密碼,而不是直接更新客戶端密碼。 請參閱本檔,以瞭解如何從 Azure DevOps 入口網站更新用戶端密碼: 針對 Azure Resource Manager 服務連線進行疑難解答。

新增同盟認證

同盟身分識別認證是一種認證類型,可允許工作負載,例如 GitHub Actions、在 Kubernetes 上執行的工作負載,或是在 Azure 外部的計算平台中執行的工作負載,而不需要使用 工作負載身分識別同盟來管理秘密。

若要新增同盟認證,請遵循下列步驟:

  1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中,選取您的應用程式。

  2. 選取 [憑證與秘密>同盟認證>] [新增認證]。

  3. 在 [ 同盟認證案例 ] 下拉式方塊中,選取其中一個支援的案例,並遵循對應的指引來完成設定。

    • 客戶管理的金鑰,可讓您在另一個租使用者中使用 Azure 金鑰保存庫 加密租用戶中的數據。
    • GitHub 動作會部署 Azure 資源來設定 GitHub 工作流程以取得應用程式的令牌,並將資產部署至 Azure。
    • 存取 Azure 資源的 Kubernetes 來設定 Kubernetes 服務帳戶 ,以取得應用程式的令牌並存取 Azure 資源。
    • 其他簽發者,用來設定由外部 OpenID 連線 提供者管理的身分識別,以取得應用程式的令牌並存取 Azure 資源。

如需詳細資訊,如何取得具有同盟認證的存取令牌,請參閱 Microsoft 身分識別平台 和 OAuth 2.0 用戶端認證流程一文。

下一步

用戶端應用程式通常需要存取 Web API 中的資源。 您可以使用 Microsoft 身分識別平台 來保護用戶端應用程式。 您也可以使用平台來授權 Web API 的範圍、許可權型存取。

請移至系列中的下一個快速入門,為您的 Web API 建立另一個應用程式註冊,並公開其範圍。

設定應用程式以公開 Web API