快速入門:使用 Microsoft 身分識別平台來註冊應用程式

在本快速入門中,您會在 Azure 入口網站中註冊應用程式,因此 Microsoft 身分識別平台可為您的應用程式和其使用者提供驗證和授權服務。

Microsoft 身分識別平臺只會對已註冊的應用程式執行 (IAM) 的身分識別和存取管理。 無論是用戶端應用程式 (例如 web 或行動應用程式),或支援用戶端應用程式的 Web API,註冊會在您的應用程式與身分識別提供者 (Microsoft 身分識別平台) 之間建立信任關係。

提示

若要註冊 Azure AD B2C 的應用程式,請依照 教學課程:在 Azure AD B2C 中註冊 web 應用程式中的步驟進行。

必要條件

註冊應用程式

註冊應用程式會在您的應用程式與 Microsoft 身分識別平台之間建立信任關係。 信任是單向的:您的應用程式會信任 Microsoft 身分識別平台,反之則不同。

請依照這些步驟建立應用程式註冊:

  1. 登入 Azure 入口網站

  2. 如果您有多個租使用者的存取權,請在頂端功能表中,使用 [ 目錄 + 訂 用帳戶] 篩選器 來選取您要在其中註冊應用程式的租使用者。

  3. 搜尋並選取 [Azure Active Directory] 。

  4. 管理 下選取 [應用程式註冊] > [新增註冊]。

  5. 輸入應用程式的顯示 名稱 。 當應用程式的使用者使用應用程式時,可能會看到顯示名稱,例如在登入期間。 您可以隨時變更顯示名稱,而多個應用程式註冊可以共用相同的名稱。 應用程式註冊的自動產生應用程式 (用戶端) 識別碼,而不是其顯示名稱,可在身分識別平臺中唯一識別您的應用程式。

  6. 指定可以使用應用程式的人員,有時也稱為其登 入物件

    支援的帳戶類型 描述
    僅此組織目錄中的帳戶 如果您要建置的應用程式僅供「您」租用戶中的使用者 (或來賓) 使用,請選取此選項。

    通常稱為 企業 營運 (LOB) 應用程式,此應用程式是 Microsoft 身分識別平臺中的 單一租 使用者應用程式。
    任何組織目錄中的帳戶 如果您想要讓 任何 Azure Active Directory (Azure AD) 租使用者中的使用者能夠使用您的應用程式,請選取此選項。 例如,如果要建立要提供給多個組織的軟體即服務 (SaaS) 應用程式,則適合使用此選項。

    這種類型的應用程式稱為 Microsoft 身分識別平臺中的多租使用者 應用程式。
    任何組織目錄中的帳戶及個人的 Microsoft 帳戶 選取此選項以鎖定最廣泛的一組客戶。

    選取此選項,即表示您註冊的多租 使用者應用程式 ,也可以支援擁有個人 Microsoft 帳戶 的使用者。
    個人 Microsoft 帳戶 如果您要為擁有個人 Microsoft 帳戶的使用者建立應用程式,請選取此選項。 個人 Microsoft 帳戶包括 Skype、Xbox、Live 和 Hotmail 帳戶。
  7. 請勿為重新 導向 URI 輸入任何 (選擇性)。 您將在下一節中設定重新導向 URI。

  8. 選取 [註冊] 以完成伺服器初始註冊。

    Web 瀏覽器中 Azure 入口網站的螢幕擷取畫面,其中顯示 [註冊應用程式] 窗格。

註冊完成時,Azure 入口網站會顯示應用程式註冊的 [總覽 ] 窗格。 您會看到 應用程式 (用戶端) 識別碼。 此值也稱為 用戶端識別碼,可在 Microsoft 身分識別平臺中唯一識別您的應用程式。

重要

預設會對使用者隱藏新的應用程式註冊。 當您準備好讓使用者查看其 我的應用程式頁面 上的應用程式時,您可以啟用它。 若要啟用應用程式,請在 [Azure 入口網站流覽至 Azure Active Directory > 企業應用程式],然後選取應用程式。 然後,使用者可以看到[內容 ] 頁面切換 為 [是]。

您應用程式的程式碼(或更多通常是應用程式中使用的驗證程式庫)也會使用用戶端識別碼。 此識別碼是用來驗證它從身分識別平臺收到的安全性權杖的一部分。

Web 瀏覽器中 Azure 入口網站的螢幕擷取畫面,其中顯示應用程式註冊的 [總覽] 窗格。

新增重新導向 URI

重新 導向 URI 是 Microsoft 身分識別平臺在驗證之後將使用者的用戶端重新導向並傳送安全性權杖的位置。

例如,在生產 Web 應用程式中,重新導向 URI 通常是執行您應用程式的公用端點,例如 https://contoso.com/auth-response。 在開發期間,通常也會新增您在本機執行應用程式的端點,例如 https://127.0.0.1/auth-responsehttp://localhost/auth-response

您可以藉由設定其平台設定,為已註冊的應用程式新增和修改重新導向 URI。

設定平台設定

每種應用程式類型的設定 (包括重新導向 URI) 都是在 Azure 入口網站的 平台組態 中設定。 某些平台 (例如 Web單一頁面應用程式) 需要您手動指定重新導向 URI。 針對其他平臺(例如行動裝置和桌上型電腦),您可以在設定其他設定時,從為您所產生的重新導向 Uri 中選取。

若要根據平台或裝置來設定應用程式設定,您的目標是:

  1. 在 Azure 入口網站的 應用程式註冊 中,選取您的應用程式。

  2. 在 [管理] 底下,選取 [驗證]。

  3. 在 [平台設定] 下,選取 [新增平台]。

  4. 在 [ 設定平臺] 下,選取您的應用程式類型圖格 (平臺) 來設定其設定。

    Azure 入口網站中 [平臺設定] 窗格的螢幕擷取畫面。

    平台 組態設定
    Web 輸入應用程式的重新 導向 URI 。 此 URI 是 Microsoft 身分識別平臺在驗證之後將使用者的用戶端重新導向並傳送安全性權杖的位置。

    針對在伺服器上執行的標準 Web 應用程式,選取此平台。
    單一頁面應用程式 輸入應用程式的重新 導向 URI 。 此 URI 是 Microsoft 身分識別平臺在驗證之後將使用者的用戶端重新導向並傳送安全性權杖的位置。

    如果您要使用 JavaScript 或像是角、Vue.js、React.js 或 Blazor WebAssembly 等架構建立用戶端 web 應用程式,請選取此平臺。
    iOS / macOS 輸入應用程式套件組合 識別碼。 在 [ 組建設定 ] 或 Xcode 中的 [ 資訊 plist] 中找到它。

    當您指定套件組合 識別碼 時,系統會為您產生重新導向 URI。
    Android 輸入應用程式 封裝名稱。 在 AndroidManifest.xml 檔案中找到它。 也會產生並輸入簽章 雜湊

    指定這些設定時,系統會為您產生重新導向 URI。
    行動應用程式與傳統型應用程式 選取其中一個建議的重新 導向 uri。 或指定 自訂重新導向 URI

    針對使用內嵌瀏覽器的桌面應用程式,我們建議您
    https://login.microsoftonline.com/common/oauth2/nativeclient

    針對使用系統瀏覽器的桌面應用程式,我們建議您
    http://localhost

    針對未使用最新 Microsoft 驗證程式庫 (MSAL) 或未使用 broker 的行動應用程式,請選取此平臺。 此外,也請為桌面應用程式選取此平台。
  5. 選取 [設定] 以完成平台組態。

重新導向 URI 的限制

您新增至應用程式註冊的重新導向 Uri 格式有一些限制。 如需這些限制的詳細資訊,請參閱 (回復 URL 的重新導向 URI) 限制和限制

新增認證

存取 web API 的 機密用戶端應用程式 會使用認證。 機密用戶端的範例包括 web 應用程式、其他 web Api 或服務類型和背景程式類型的應用程式。 認證可讓您的應用程式以自己的身分進行驗證,不需要在執行階段與使用者進行互動。

您可以將憑證和用戶端密碼 (字串) 當作認證新增至您的機密用戶端應用程式註冊。

Azure 入口網站的螢幕擷取畫面,其中顯示應用程式註冊中的 [憑證] 和 [秘密] 窗格。

新增憑證

有時也稱為 公開金鑰,這是建議的認證類型,因為它們被視為比用戶端密碼更安全。 如需在應用程式中使用憑證作為驗證方法的詳細資訊,請參閱 Microsoft 身分識別平臺應用程式驗證憑證認證。

  1. 在 Azure 入口網站的 應用程式註冊 中,選取您的應用程式。
  2. 選取 [憑證及祕密] > [上傳憑證]。
  3. 選取您要上傳的檔案。 它必須是下列其中一種檔案類型: .cerpem.crt
  4. 選取 [新增] 。

新增用戶端密碼

有時也稱為 應用程式密碼,用戶端密碼是您的應用程式可用來取代憑證本身身分識別本身的字串值。

用戶端密碼被視為比憑證認證更不安全。 應用程式開發人員有時會在本機應用程式開發期間使用用戶端秘密,因為它們容易使用。 不過,您應該針對您在生產環境中執行的任何應用程式使用憑證認證。

  1. 在 Azure 入口網站的 應用程式註冊 中,選取您的應用程式。
  2. 選取 [憑證及祕密] > [新增用戶端密碼]。
  3. 新增用戶端密碼的描述。
  4. 選取密碼的到期日,或指定自訂存留期。
    • 用戶端密碼存留期限制為兩年, (24 個月) 或更少。 您無法指定自訂存留期超過24個月。
    • Microsoft 建議您將到期日值設定為少於12個月。
  5. 選取 [新增]。
  6. 記錄秘密的值 ,以便在您的用戶端應用程式程式碼中使用。 離開此頁面後,就不會 再次顯示 此秘密值。

如需應用程式安全性建議,請參閱 Microsoft 身分識別平臺的最佳作法和建議

後續步驟

用戶端應用程式通常需要存取 Web API 中的資源。 您可以使用 Microsoft 身分識別平臺來保護用戶端應用程式。 您也可以使用此平臺,以授權範圍的許可權存取您的 web API。

移至系列中的下一個快速入門,為您的 web API 建立另一個應用程式註冊,並公開其範圍。