Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule dowiesz się, jak zintegrować aplikację rejestru poufnego platformy Azure z identyfikatorem Entra firmy Microsoft, rejestrując ją na platformie tożsamości Microsoft.
Platforma tożsamości firmy Microsoft wykonuje zarządzanie tożsamościami i dostępem tylko w przypadku zarejestrowanych aplikacji. Niezależnie od tego, czy jest to aplikacja kliencka, taka jak aplikacja internetowa, czy mobilna, czy internetowy interfejs API, który wspiera aplikację kliencką, rejestruje relację zaufania między aplikacją a dostawcą tożsamości, platformą tożsamości firmy Microsoft. Dowiedz się więcej o platformie tożsamości firmy Microsoft.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją i uprawnieniami do zarządzania aplikacjami w usłudze Microsoft Entra ID. Utwórz konto bezpłatnie.
- Klient Microsoft Entra. Dowiedz się, jak skonfigurować wersję dzierżawy.
- Aplikacja, która wywołuje poufny rejestr platformy Azure.
Rejestrowanie aplikacji
Zarejestrowanie aplikacji rejestru poufnego platformy Azure ustanawia relację zaufania między aplikacją a platformą tożsamości firmy Microsoft. Zaufanie jest jednokierunkowe: Aplikacja ufa platformie tożsamości firmy Microsoft, a nie odwrotnie.
Wykonaj następujące kroki, aby utworzyć rejestrację aplikacji:
Zaloguj się do witryny Azure Portal.
Jeśli masz dostęp do wielu dzierżaw, użyj filtru Katalogi i subskrypcje w górnym menu, aby przełączyć się do dzierżawy, w której chcesz zarejestrować aplikację.
Wyszukaj i wybierz Microsoft Entra ID.
W obszarze Zarządzanie wybierz pozycję >.
Wprowadź wyświetlaną nazwę dla swojej aplikacji. Użytkownicy aplikacji mogą zobaczyć nazwę wyświetlaną podczas korzystania z aplikacji, na przykład podczas logowania. Nazwę wyświetlaną można zmienić w dowolnym momencie, a wiele rejestracji aplikacji może mieć taką samą nazwę. Automatycznie wygenerowany Identyfikator aplikacji (klienta) dla rejestracji aplikacji, a nie jej nazwa wyświetlana, jednoznacznie identyfikuje aplikację na platformie tożsamości.
Określ, kto może używać aplikacji, czasami nazywanych jej odbiorcami logowania.
Obsługiwane typy kont Description Konta tylko w tym katalogu organizacyjnym Wybierz tę opcję, jeśli tworzysz aplikację do użytku tylko przez użytkowników (lub gości) w dzierżawie .
Często nazywana aplikacją liniową (LOB), ta aplikacja jest aplikacją jednodzierżawczą na platformie tożsamości firmy Microsoft.Konta w dowolnym katalogu organizacyjnym Wybierz tę opcję, jeśli chcesz, aby użytkownicy w dowolnej dzierżawie firmy Microsoft Entra mogli korzystać z aplikacji. Ta opcja jest odpowiednia, jeśli na przykład tworzysz aplikację typu oprogramowanie jako usługa (SaaS), którą zamierzasz udostępnić wielu organizacjom.
Ten typ aplikacji jest znany jako aplikacja wielodostępna na platformie tożsamości firmy Microsoft.Konta w dowolnym katalogu organizacyjnym i osobistych kontach Microsoft Wybierz tę opcję, aby kierować aplikację do najszerszego grona odbiorców.
Wybierając tę opcję, rejestrujesz wielodostępną aplikację, która może również obsługiwać użytkowników, którzy mają osobiste konta Microsoft.Osobiste konta Microsoft Wybierz tę opcję, jeśli tworzysz aplikację tylko dla użytkowników, którzy mają osobiste konta Microsoft. Osobiste konta Microsoft obejmują konta Skype, Xbox, Live i Hotmail. Nie wprowadzaj niczego dla Identyfikatora URI Przekierowania (opcjonalnie). W następnej sekcji skonfigurujesz URI przekierowania.
Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.
Po zakończeniu rejestracji w witrynie Azure Portal zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta). Ta wartość jest również nazywana identyfikatorem klienta. Ta wartość jednoznacznie identyfikuje aplikację na platformie tożsamości firmy Microsoft.
Ważne
Nowe rejestracje aplikacji są domyślnie ukryte dla użytkowników. Gdy wszystko będzie gotowe, aby użytkownicy mogli zobaczyć aplikację na stronie Moje aplikacje , możesz ją włączyć. Aby włączyć aplikację, w witrynie Azure Portal przejdź do aplikacji Microsoft Entra ID>Dla przedsiębiorstw i wybierz aplikację. Następnie na stronie Właściwości przełącz opcję Widoczne dla użytkowników? na wartość Tak.
Kod aplikacji lub zwykle biblioteka uwierzytelniania używana w aplikacji używa również identyfikatora klienta. Identyfikator jest używany w ramach weryfikowania tokenów zabezpieczających odbieranych z platformy tożsamości.
Dodaj identyfikator URI przekierowania
URI przekierowania to lokalizacja, w której platforma tożsamości firmy Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.
Na przykład w produkcyjnej aplikacji internetowej identyfikator URI przekierowania jest często publicznym punktem końcowym, w którym działa aplikacja, na przykład https://contoso.com/auth-response. Podczas programowania często dodaje się również punkt końcowy, w którym uruchamiasz aplikację lokalnie, na przykład https://127.0.0.1/auth-response lub http://localhost/auth-response.
Dodasz i zmodyfikujesz identyfikatory URI przekierowania dla zarejestrowanych aplikacji, konfigurując ich ustawienia platformy.
Konfigurowanie ustawień platformy
Ustawienia dla każdego typu aplikacji, w tym identyfikatory URI przekierowania, są konfigurowane w konfiguracjach platformy w portalu Azure. Niektóre platformy, takie jak aplikacje internetowe i jednostronicowe, wymagają ręcznego określenia identyfikatora URI przekierowania. W przypadku innych platform, jak mobilne i desktopowe, możesz wybrać z wygenerowanych dla ciebie identyfikatorów URI przekierowania podczas konfigurowania ich innych ustawień.
Aby skonfigurować ustawienia aplikacji na podstawie docelowej platformy lub urządzenia, wykonaj następujące kroki:
W witrynie Azure Portal w obszarze Rejestracje aplikacji wybierz aplikację.
W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.
W obszarze Konfiguracje platformy wybierz pozycję Dodaj platformę.
W obszarze Konfigurowanie platform wybierz kafelek dla typu aplikacji (platformy), aby skonfigurować jego ustawienia.
Platforma Ustawienia konfiguracji Sieć Web Wprowadź identyfikator URI przekierowania dla aplikacji. Ten identyfikator URI to lokalizacja, w której Platforma tożsamości Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.
Wybierz tę platformę dla standardowych aplikacji internetowych uruchamianych na serwerze.Aplikacja jednostronicowa Wprowadź identyfikator URI przekierowania dla aplikacji. Ten identyfikator URI to lokalizacja, w której Platforma tożsamości Microsoft przekierowuje klienta użytkownika i wysyła tokeny zabezpieczające po uwierzytelnieniu.
Wybierz tę platformę, jeśli tworzysz aplikację internetową po stronie klienta przy użyciu języka JavaScript lub platformy, takiej jak Angular, Vue.js, React.jslub Blazor WebAssembly.iOS/macOS Wprowadź identyfikator pakietu aplikacji. Znajdź go w obszarze Ustawienia kompilacji lub w pliku Xcode w pliku Info.plist.
Identyfikator URI przekierowania jest generowany dla Ciebie, gdy określisz Bundle ID.Android Wprowadź nazwę pakietu aplikacji. Znajdź go w pliku AndroidManifest.xml . Ponadto wygeneruj i wprowadź skrót podpisu.
Identyfikator URI przekierowania jest generowany podczas określania tych ustawień.Aplikacje mobilne i klasyczne Wybierz jeden z sugerowanych adresów URI na przekierowanie. Możesz też określić własny identyfikator URI przekierowania.
W przypadku aplikacji komputerowych korzystających z przeglądarki osadzonej zalecamyhttps://login.microsoftonline.com/common/oauth2/nativeclient
W przypadku aplikacji komputerowych korzystających z przeglądarki systemowej zalecamyhttp://localhost
Wybierz tę platformę dla aplikacji mobilnych, które nie korzystają z najnowszej biblioteki Microsoft Authentication Library (MSAL) lub nie korzystają z brokera. Wybierz również tę platformę dla aplikacji desktopowych.Wybierz pozycję Konfiguruj , aby ukończyć konfigurację platformy.
Ograniczenia przekierowań URI
Istnieją pewne ograniczenia dotyczące formatu identyfikatorów URI przekierowania, które dodajesz do rejestracji aplikacji. Aby uzyskać szczegółowe informacje na temat tych ograniczeń, zobacz Ograniczenia i ograniczenia dotyczące identyfikatora URI przekierowania (adres URL odpowiedzi).
Dodaj poświadczenia
Poświadczenia są używane przez poufne aplikacje klienckie , które uzyskują dostęp do internetowego interfejsu API. Przykłady poufnych klientów to aplikacje internetowe, inne internetowe interfejsy API lub aplikacje typu usługi i demona. Poświadczenia umożliwiają aplikacji uwierzytelnianie się w swoim imieniu, bez konieczności interakcji z użytkownikiem w czasie działania.
Możesz dodać zarówno certyfikaty, jak i wpisy tajne klienta (ciąg) jako poświadczenia do poufnej rejestracji aplikacji klienckiej.
Dodawanie certyfikatu
Czasami nazywany kluczem publicznym certyfikat jest zalecanym typem poświadczeń, ponieważ są uważane za bezpieczniejsze niż wpisy tajne klienta. Aby uzyskać więcej informacji na temat używania certyfikatu jako metody uwierzytelniania w aplikacji, zobacz Poświadczenia certyfikatu uwierzytelniania aplikacji platformy tożsamości firmy Microsoft.
- W witrynie Azure Portal w obszarze Rejestracje aplikacji wybierz aplikację.
- Wybierz pozycję Certyfikaty i wpisy tajne>Certyfikaty>Przekaż certyfikat.
- Wybierz plik, który chcesz przekazać. Musi to być jeden z następujących typów plików: .cer, pem, crt.
- Wybierz Dodaj.
Dodaj sekretny klucz klienta
Czasami nazywany hasłem aplikacji, tajny klucz klienta jest wartością ciągu, której aplikacja może używać zamiast certyfikatu do identyfikacji siebie.
Tajemnice klienta są uznawane za mniej bezpieczne niż poświadczenia certyfikatu. Deweloperzy aplikacji czasami używają tajemnic klienta podczas tworzenia lokalnej aplikacji ze względu na łatwość użycia. Niemniej jednak należy używać poświadczeń certyfikatu dla dowolnych aplikacji uruchamianych w środowisku produkcyjnym.
- W witrynie Azure Portal w obszarze Rejestracje aplikacji wybierz aplikację.
- Wybierz Certyfikaty i tajne klucze>Tajne klucze klienta>Nowy tajny klucz klienta.
- Dodaj opis tajemnicy klienta.
- Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności.
- Czas ważności tajemnicy klienta jest ograniczony do dwóch lat (24 miesięcy) lub mniej. Nie można określić niestandardowego okresu ważności dłuższego niż 24 miesiące.
- Firma Microsoft zaleca ustawienie wartości wygaśnięcia mniejszej niż 12 miesięcy.
- Wybierz Dodaj.
- Zapisz wartość tajemnicy aby użyć w kodzie aplikacji klienckiej. Ta tajna wartość nigdy nie jest wyświetlana ponownie po opuszczeniu tej strony.
Aby uzyskać zalecenia dotyczące zabezpieczeń aplikacji, zobacz Najlepsze rozwiązania i zalecenia dotyczące platformy tożsamości firmy Microsoft.
Dalsze kroki
- Uwierzytelnianie poufnej księgi platformy Azure przy użyciu identyfikatora Entra firmy Microsoft
- Omówienie poufnego rejestru platformy Microsoft Azure
- Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft
- Użyj portalu, aby utworzyć aplikację Microsoft Entra i główną usługę, które mogą uzyskiwać dostęp do zasobów
- Tworzenie jednostki usługi platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
- Uwierzytelnianie węzłów rejestru poufnego platformy Azure
- Funkcje zdefiniowane przez użytkownika w poufnym rejestrze platformy Azure
- Proste funkcje zdefiniowane przez użytkownika w poufnym rejestrze platformy Azure
- Zaawansowane funkcje zdefiniowane przez użytkownika w poufnym rejestrze platformy Azure