Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Ihre Azure-Vertraulich-Ledger-Anwendung mit Microsoft Entra ID integrieren, indem Sie sie bei der Microsoft Identity Platform registrieren.
IAM-Aktionen (Identity & Access Management) werden von Microsoft Identity Platform nur für registrierte Anwendungen ausgeführt. Durch die Registrierung wird eine Vertrauensstellung zwischen Ihrer Anwendung und Microsoft Identity Platform als Identitätsanbieter hergestellt. Dabei spielt es keine Rolle, ob es sich um eine Clientanwendung (z. B. Web-App oder mobile App) oder um eine Web-API handelt, die eine Client-App unterstützt. Weitere Informationen über die Microsoft Identity Platform.
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement und der Berechtigung zum Verwalten von Anwendungen in der Microsoft Entra-ID. Kostenlos ein Konto erstellen.
- Ein Microsoft Entra-Mandant. Informationen zum Einrichten eines Mandanten.
- Eine Anwendung, die Azure Confidential Ledger aufruft.
Registrieren einer Anwendung
Durch die Registrierung Ihrer vertraulichen Azure-Ledger-Anwendung wird eine Vertrauensstellung zwischen Ihrer App und der Microsoft Identity Platform hergestellt. Die Vertrauensstellung ist unidirektional: Ihre App vertraut Microsoft Identity Platform und nicht umgekehrt.
Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:
Melden Sie sich beim Azure-Portal an.
Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie die Verzeichnisse + Abonnements Filter im oberen Menü, um zum Mandanten zu wechseln, in dem Sie die Anwendung registrieren möchten.
Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
Wählen Sie unter VerwaltenApp-Registrierungen>Neue Registrierungaus.
Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Benutzer Ihrer Anwendung können den Anzeigenamen sehen, wenn sie die App verwenden, z. B. während der Anmeldung. Sie können den Anzeigenamen jederzeit ändern, und mehrere App-Registrierungen können denselben Namen haben. Die automatisch generierte Anwendungs-ID (Client-ID) der App-Registrierung (nicht der Anzeigename) identifiziert Ihre App eindeutig innerhalb der Identitätsplattform.
Geben Sie an, wer die Anwendung verwenden kann (Zielgruppe für die Anmeldung).
Unterstützte Kontotypen BESCHREIBUNG Nur Konten in diesem Organisationsverzeichnis Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer (oder Gäste) in Ihrem Mandanten erstellen.
Bei dieser App, die häufig auch als Branchenanwendung bezeichnet wird, handelt es sich um eine Einzelmandantenanwendung in Microsoft Identity Platform.Konten in einem beliebigen Organisationsverzeichnis Wählen Sie diese Option aus, wenn Sie möchten, dass Benutzer*innen in jedem Microsoft Entra-Mandanten Ihre Anwendung verwenden können. Diese Option eignet sich beispielsweise beim Erstellen von SaaS-Anwendungen (Software-as-a-Service), die Sie für mehrere Organisationen bereitstellen möchten.
Diese Art von App wird in Microsoft Identity Platform als mehrinstanzenfähige Anwendung bezeichnet.Konten in allen Organisationsverzeichnissen und persönliche Microsoft-Konten Verwenden Sie diese Option, um die breiteste Kundengruppe anzusprechen.
Wenn Sie diese Option auswählen, wird eine mehrinstanzenfähige Anwendung registriert, die auch Benutzer mit persönlichen Microsoft-Konten unterstützen kann.Persönliche Microsoft-Konten Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer mit persönlichen Microsoft-Konten erstellen. Zu persönlichen Microsoft-Konten zählen Skype-, Xbox-, Live- und Hotmail-Konten. Lassen Sie Umleitungs-URI (optional) leer. Ein Umleitungs-URI wird im nächsten Abschnitt konfiguriert.
Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
Nach Abschluss der Registrierung zeigt das Azure-Portal den Übersichtsbereich der App-Registrierung an. Die Anwendungs-ID (Client-ID) wird angezeigt. Dieser Wert wird auch als Client-ID bezeichnet und ermöglicht die eindeutige Identifizierung Ihrer Anwendung in Microsoft Identity Platform.
Von Bedeutung
Neue App-Registrierungen werden für Benutzer standardmäßig ausgeblendet. Wenn die App Benutzern auf der Seite „Meine Apps“ angezeigt werden soll, können Sie sie aktivieren. Um die App zu aktivieren, navigieren Sie im Azure-Portal zu Microsoft Entra ID>Enterprise-Anwendungen , und wählen Sie die App aus. Legen Sie anschließend auf der Seite Eigenschaften die Option Für Benutzer sichtbar? auf „Ja“ fest.
Die Client-ID wird auch vom Code Ihrer Anwendung (bzw. üblicherweise von einer in Ihrer Anwendung verwendeten Authentifizierungsbibliothek) genutzt. Sie wird bei der Überprüfung der von Identity Platform empfangenen Sicherheitstoken herangezogen.
Hinzufügen eines Umleitungs-URI
Ein Umleitungs-URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.
In einer Webanwendung für die Produktion beispielsweise ist der Umleitungs-URI häufig ein öffentlicher Endpunkt (z. B. https://contoso.com/auth-response), auf dem Ihre App ausgeführt wird. Bei der Entwicklung wird häufig auch der Endpunkt hinzugefügt, auf dem Sie Ihre App lokal ausführen, z. B. https://127.0.0.1/auth-response oder http://localhost/auth-response.
Durch Konfigurieren Ihrer Plattformeinstellungen können Sie Umleitungs-URIs für Ihre registrierten Anwendungen hinzufügen und ändern.
Konfigurieren von Plattformeinstellungen
Die Einstellungen für jeden Anwendungstyp (einschließlich Umleitungs-URIs) werden unter Plattformkonfigurationen im Azure-Portal konfiguriert. Bei einigen Plattformen (z. B. Web- und Single-Page-Webanwendungen) müssen Sie manuell einen Umleitungs-URI angeben. Bei anderen Plattformen (z. B. mobile Anwendungen und Desktopanwendungen) stehen Umleitungs-URIs zur Auswahl, die beim Konfigurieren anderer Einstellungen für Sie generiert wurden.
Führen Sie die folgenden Schritte aus, um Anwendungseinstellungen basierend auf der Zielplattform oder dem Zielgerät zu konfigurieren:
Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
Wählen Sie unter Verwalten die Option Authentifizierung aus.
Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen aus.
Wählen Sie unter Plattformen konfigurieren die Kachel für Ihren Anwendungstyp (Plattform) aus, um die Einstellungen zu konfigurieren.
Plattform Konfigurationseinstellungen Web Geben Sie einen Umleitungs-URI für Ihre Anwendung ein. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.
Wählen Sie diese Plattform für Standardwebanwendungen aus, die auf einem Server ausgeführt werden.Einzelseitenanwendung Geben Sie einen Umleitungs-URI für Ihre Anwendung ein. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.
Wählen Sie diese Plattform aus, wenn Sie eine clientseitige Web-App in JavaScript oder mit einem Framework wie Angular, Vue.js, React.js oder Blazor WebAssembly erstellen.iOS/macOS Geben Sie die Paket-ID der App ein. Diese Angabe finden Sie in den Buildeinstellungen oder in Xcode in Info.plist.
Wenn Sie eine Paket-ID angeben, wird ein Umleitungs-URI für Sie generiert.Android Geben Sie den Paketnamen der App ein. Diese Angabe finden Sie in der Datei AndroidManifest.xml. Generieren Sie außerdem den Signaturhash, und geben Sie ihn ein.
Bei der Angabe dieser Einstellungen wird ein Umleitungs-URI für Sie generiert.Mobile Anwendungen und Desktopanwendungen Wählen Sie eine der vorgeschlagenen Umleitungs-URIs aus. Oder geben Sie einen benutzerdefinierten Umleitungs-URI an.
Für Desktopanwendungen mit eingebettetem Browser wird Folgendes empfohlen:https://login.microsoftonline.com/common/oauth2/nativeclient
Für Desktopanwendungen mit Systembrowser wird Folgendes empfohlen:http://localhost
Wählen Sie diese Plattform für mobile Anwendungen aus, die nicht die aktuelle Microsoft-Authentifizierungsbibliothek (Microsoft Authentication Library, MSAL) oder keinen Broker verwenden. Wählen Sie diese Plattform auch für Desktopanwendungen aus.Wählen Sie Konfigurieren aus, um die Plattformkonfiguration abzuschließen.
Einschränkungen bei Umleitungs-URIs
Beim Format der Umleitungs-URIs, die Sie einer App-Registrierung hinzufügen, gibt es gewisse Einschränkungen. Einzelheiten zu diesen Einschränkungen finden Sie unter Einschränkungen für Umleitungs-URI/Antwort-URL.
Hinzufügen von Anmeldeinformationen
Anmeldeinformationen werden von vertraulichen Clientanwendungen verwendet, die auf eine Web-API zugreifen. Beispiele für vertrauliche Clients sind Web-Apps, andere Web-APIs oder Dienst- und Daemonanwendungen. Zugangsdaten ermöglichen es Ihrer Anwendung, sich selbst zu authentifizieren, ohne dass zur Laufzeit eine Benutzerinteraktion erforderlich ist.
Sie können Ihrer vertraulichen Client-App-Registrierung sowohl Zertifikate als auch geheime Clientschlüssel (Zeichenfolge) als Anmeldeinformationen hinzufügen.
Hinzufügen eines Zertifikats
Für die Anmeldung wird die Verwendung eines Zertifikats (gelegentlich auch als öffentlicher Schlüssel bezeichnet) empfohlen, da ein Zertifikat im Vergleich zu einem Clientschlüssel als sicherer gilt. Weitere Informationen zur Verwendung von Zertifikaten als Authentifizierungsmethode in Ihrer Anwendung finden Sie unter Microsoft Identity Platform-Zertifikatanmeldeinformationen für die Anwendungsauthentifizierung.
- Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
- Wählen Sie Zertifikate und Geheimnisse>Zertifikate>Zertifikat hochladen aus.
- Wählen Sie die Datei, die Sie hochladen möchten. Dabei muss es sich um einen der folgenden Dateitypen handeln: .cer, .pem oder .crt.
- Wählen Sie Hinzufügen aus.
Geheimen Clientschlüssel hinzufügen
Bei einem geheimen Clientschlüssel (gelegentlich auch als Anwendungskennwort bezeichnet) handelt es sich um einen Zeichenfolgenwert, der anstelle eines Zertifikats von Ihrer App für die Identifizierung verwendet werden kann.
Geheime Clientschlüssel gelten im Vergleich zu Zertifikatanmeldeinformationen als weniger sicher. Anwendungsentwickler verwenden bei der Entwicklung lokaler Apps aufgrund der Benutzerfreundlichkeit gelegentlich geheime Clientschlüssel. Sie sollten jedoch Zertifikats-Anmeldeinformationen für alle Ihre Anwendungen verwenden, die in der Produktion ausgeführt werden.
- Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
- Wählen Sie Zertifikate und Geheimnisse>Clientgeheimnisse>Neues Clientgeheimnis aus.
- Fügen Sie eine Beschreibung für Ihr Client-Secret hinzu.
- Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an.
- Die Lebensdauer eines geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) begrenzt. Das bedeutet, dass keine benutzerdefinierte Lebensdauer angegeben werden kann, die über die 24 Monate hinausgeht.
- Microsoft empfiehlt, den Wert für die Ablauffrist auf maximal 12 Monate festzulegen.
- Wählen Sie Hinzufügen aus.
- Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden.
Empfehlungen zur Anwendungssicherheit finden Sie unter Bewährte Methoden und Empfehlungen für Microsoft Identity Platform.
Nächste Schritte
- Vertrauliche Azure-Ledger-Authentifizierung mit Microsoft Entra-ID
- Übersicht über Microsoft Azure Confidential Ledger
- Integrieren von Anwendungen mit Microsoft Entra ID
- Verwenden Sie das Portal, um eine Microsoft Entra-Anwendung und einen Dienstprinzipal zu erstellen, die auf Ressourcen zugreifen können
- Erstellen Sie einen Azure-Dienstprinzipal mit der Azure CLI.
- Authentifizieren von Azure Confidential Ledger-Knoten
- Benutzerdefinierte Funktionen im vertraulichen Azure-Hauptbuch
- Einfache benutzerdefinierte Funktionen in Einem vertraulichen Azure-Hauptbuch
- Erweiterte benutzerdefinierte Funktionen im vertraulichen Azure-Hauptbuch