Udostępnij przez

Aplikacje internetowe

Ostrzeżenie

Ta zawartość dotyczy starszego punktu końcowego usługi Azure AD w wersji 1.0. Użyj platformy tożsamości firmy Microsoft dla nowych projektów.

Aplikacje internetowe to aplikacje, które uwierzytelniają użytkownika w przeglądarce internetowej w aplikacji internetowej. W tym scenariuszu aplikacja internetowa kieruje przeglądarkę użytkownika w celu zalogowania się do usługi Azure AD. Usługa Azure AD zwraca odpowiedź logowania za pośrednictwem przeglądarki użytkownika, która zawiera informacje o użytkowniku w tokenie zabezpieczającym. Ten scenariusz obsługuje logowanie przy użyciu protokołów OpenID Connect, SAML 2.0 i WS-Federation.

Schemat

Przepływ uwierzytelniania dla przeglądarki do aplikacji internetowej

Przepływ protokołu

  1. Gdy użytkownik odwiedza aplikację i musi się zalogować, jest przekierowywany za pośrednictwem żądania logowania do punktu końcowego uwierzytelniania w usłudze Azure AD.
  2. Użytkownik loguje się na stronie logowania.
  3. Jeśli uwierzytelnianie zakończy się pomyślnie, usługa Azure AD utworzy token uwierzytelniania i zwróci odpowiedź logowania na adres URL odpowiedzi aplikacji skonfigurowany w witrynie Azure Portal. W przypadku aplikacji produkcyjnej ten adres URL odpowiedzi powinien mieć wartość HTTPS. Zwrócony token zawiera oświadczenia dotyczące użytkownika i usługi Azure AD, które są wymagane przez aplikację do zweryfikowania tokenu.
  4. Aplikacja weryfikuje token przy użyciu publicznego klucza podpisywania i informacji wystawcy dostępnych w dokumencie metadanych federacji dla usługi Azure AD. Gdy aplikacja zweryfikuje token, rozpocznie nową sesję z użytkownikiem. Ta sesja umożliwia użytkownikowi dostęp do aplikacji do momentu jego wygaśnięcia.

Przykłady kodu

Zobacz przykłady kodu dla scenariuszy interakcji między przeglądarką internetową a aplikacją internetową. I regularnie sprawdzaj, ponieważ często dodawane są nowe próbki.

Rejestracja aplikacji

Aby zarejestrować aplikację internetową, zobacz Rejestrowanie aplikacji.

  • Pojedyncza dzierżawa — jeśli tworzysz aplikację tylko dla swojej organizacji, musi zostać zarejestrowana w katalogu firmy przy użyciu portalu Azure.
  • Wiele dzierżaw — jeśli tworzysz aplikację, która może być używana przez użytkowników spoza organizacji, musi być zarejestrowana w katalogu firmy, ale także musi być zarejestrowana w katalogu każdej organizacji, której użytkownicy będą korzystać z aplikacji. Aby udostępnić aplikację w katalogu, możesz dołączyć proces rejestracji dla klientów, który umożliwia im wyrażanie zgody na aplikację. Po zarejestrowaniu się w aplikacji zostanie wyświetlone okno dialogowe z uprawnieniami wymaganymi przez aplikację oraz możliwością wyrażenia zgody. W zależności od wymaganych uprawnień administrator w innej organizacji może być zobowiązany do wyrażenia zgody. Gdy użytkownik lub administrator wyrazi zgodę, aplikacja jest zarejestrowana w katalogu.

Wygaśnięcie tokenu

Sesja użytkownika wygasa po wygaśnięciu okresu istnienia tokenu wystawionego przez usługę Azure AD. Aplikacja może skrócić ten okres w razie potrzeby, na przykład wylogować użytkowników na podstawie okresu braku aktywności. Po wygaśnięciu sesji użytkownik zostanie poproszony o ponowne zalogowanie.

Dalsze kroki

  • Dowiedz się więcej o innych typach aplikacji i scenariuszach
  • Dowiedz się więcej o podstawach uwierzytelniania usługi Azure AD
  • Last updated on