警告
此內容適用於較舊的 Azure AD v1.0 端點。 針對新專案使用 Microsoft身分識別平臺。
Web 應用程式是一種在網頁瀏覽器中驗證使用者以進入 Web 應用程式的應用程式。 在此案例中,Web 應用程式會指示使用者的瀏覽器將其登入 Azure AD。 Azure AD 會透過使用者瀏覽器傳回登入回應,其中包含安全性令牌中用戶的相關聲明。 此案例支援使用 OpenID Connect、SAML 2.0 和 WS-Federation 通訊協定登入。
圖表
通訊協定流程
- 當使用者瀏覽應用程式且需要登入時,系統會透過登入要求將他們重新導向至 Azure AD 中的驗證端點。
- 用戶在登入頁面上登入。
- 如果驗證成功,Azure AD 會建立一個驗證令牌,並將登入回應傳回到在 Azure 入口網站中設定的應用程式的回復 URL。 對於生產應用程式,此回復 URL 應該是 HTTPS。 傳回的令牌包含有關使用者和 Azure AD 的宣告,這些宣告是應用程式為了驗證令牌所需的。
- 應用程式會使用 Azure AD 同盟元數據檔中提供的公開簽署密鑰和簽發者資訊來驗證令牌。 應用程式驗證令牌之後,會啟動與使用者的新會話。 此工作階段可讓使用者存取應用程式,直到應用程式到期為止。
程式代碼範例
請參閱網頁瀏覽器至 Web 應用程式案例的程式代碼範例。 而且,因為經常新增範例,因此請經常回來查看。
應用程式註冊
若要註冊 Web 應用程式,請參閱 註冊應用程式。
- 單一租使用者 - 如果您要為組織建置應用程式,則必須使用 Azure 入口網站在公司的目錄中註冊該應用程式。
- 多租戶 - 如果您正在建置一個可以讓組織外部使用者使用的應用程式,該應用程式必須在您的公司目錄中註冊,此外,還必須在每個將使用該應用程式的組織的目錄中註冊。 若要在他們的目錄中提供您的應用程式,您可以包含客戶的註冊程式,讓他們同意您的應用程式。 當他們註冊您的應用程式時,他們會看到一個對話框,顯示應用程式所需的許可權,然後選擇同意的選項。 根據必要的許可權,其他組織中的系統管理員可能需要授與同意。 當使用者或系統管理員同意時,應用程式會在其目錄中註冊。
憑證到期
用戶會話會在 Azure AD 所發行令牌的存留期到期時到期。 如有需要,您的應用程式可以縮短此時間週期,例如根據閑置期間註銷使用者。 會話到期時,系統會提示使用者再次登入。