Sdílet prostřednictvím

Vytvoření nebo úprava vlastního ID aplikace cílové skupiny pro ověřování P2S VPN Microsoft Entra ID

  • Článek

Kroky v tomto článku vám pomůžou vytvořit vlastní ID aplikace Microsoft Entra ID (vlastní cílovou skupinu) pro nové Klient Azure VPN zaregistrované Microsoftem pro připojení typu point-to-site (P2S). Můžete také aktualizovat stávajícího tenanta a změnit novou aplikaci zaregistrovanou Microsoftem Klient Azure VPN z předchozí aplikace Klient Azure VPN.

Při konfiguraci vlastního ID aplikace cílové skupiny můžete použít kteroukoli z podporovaných hodnot přidružených k Klient Azure VPN aplikaci. Pokud je to možné, doporučujeme přidružit hodnotu c632b3df-fb67-4d84-bdcf-b95ad541b5c8 veřejné cílové skupiny Azure zaregistrované microsoftem k vaší vlastní aplikaci. Úplný seznam podporovaných hodnot najdete v tématu P2S VPN – Microsoft Entra ID.

Tento článek obsahuje základní kroky. Snímky obrazovky pro registraci aplikace se můžou mírně lišit v závislosti na způsobu přístupu k uživatelskému rozhraní, ale nastavení jsou stejná. Další informace najdete v tématu Rychlý start: Registrace aplikace. Další informace o ověřování Microsoft Entra ID pro P2S naleznete v tématu Ověřování Microsoft Entra ID pro P2S.

Pokud konfigurujete vlastní ID aplikace cílové skupiny, abyste mohli nakonfigurovat nebo omezit přístup na základě uživatelů a skupin, přečtěte si článek Scénář: Konfigurace přístupu P2S na základě uživatelů a skupin – Ověřování Microsoft Entra ID. Článek scénáře popisuje pracovní postup a kroky pro přiřazení oprávnění.

Požadavky

  • Tento článek předpokládá, že už máte tenanta Microsoft Entra a oprávnění k vytvoření podnikové aplikace, obvykle role Správce cloudových aplikací nebo vyšší. Další informace naleznete v tématu Vytvoření nového tenanta v Microsoft Entra ID a přiřazení uživatelských rolí pomocí Microsoft Entra ID.

  • V tomto článku se předpokládá, že ke konfiguraci vlastní aplikace používáte hodnotu c632b3df-fb67-4d84-bdcf-b95ad541b5c8 veřejné cílové skupiny Azure s ID aplikace zaregistrované Microsoftem. Tato hodnota má globální souhlas, což znamená, že ji nemusíte ručně registrovat, abyste mohli poskytnout souhlas pro vaši organizaci. Tuto hodnotu doporučujeme použít.

    • V tuto chvíli existuje pouze jedna podporovaná hodnota cílové skupiny pro aplikaci zaregistrovanou Microsoftem. Další podporované hodnoty najdete v tabulce podporovaných hodnot cílové skupiny.

    • Pokud hodnota cílové skupiny zaregistrovaná Microsoftem není kompatibilní s vaší konfigurací, můžete stále používat starší ručně registrované hodnoty ID.

  • Pokud místo toho potřebujete použít hodnotu ID ručně zaregistrované aplikace, musíte udělit souhlas, abyste aplikaci povolili přihlášení a čtení profilů uživatelů, než budete pokračovat v této konfiguraci. Musíte se přihlásit pomocí účtu, který má přiřazenou roli Správce cloudových aplikací.

    1. Pokud chcete udělit souhlas správce pro vaši organizaci, upravte následující příkaz tak, aby obsahoval požadovanou client_id hodnotu. V tomto příkladu je hodnota client_id určená pro Azure Public. Další podporované hodnoty najdete v tabulce .

      https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    2. Zkopírujte a vložte adresu URL, která se týká vašeho umístění nasazení, do adresního řádku prohlížeče.

    3. Vyberte účet, který má v případě výzvy roli Správce cloudových aplikací.

    4. Na stránce Požadovaná oprávnění vyberte Přijmout.

Registrace aplikace

Na stránku Registrace aplikací se můžete dostat několika různými způsoby. Jedním ze způsobů je centrum pro správu Microsoft Entra. Můžete také použít Azure Portal a Microsoft Entra ID. Přihlaste se pomocí účtu, který má roli Správce cloudových aplikací nebo vyšší.

  1. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat z nabídky Adresáře a předplatná .

  2. Přejděte na Registrace aplikací a vyberte Nová registrace.

    Snímek obrazovky znázorňující stránku registrace aplikací s vybranou novou registrací

  3. Na stránce Registrace aplikace zadejte zobrazovaný název aplikace. Uživatelům vaší aplikace se může zobrazit zobrazované jméno, když aplikaci používají, například při přihlašování. Zobrazovaný název můžete kdykoli změnit. Stejný název může sdílet více registrací aplikací. ID automaticky vygenerované aplikace (klienta) registrace aplikace jednoznačně identifikuje vaši aplikaci v rámci platformy identity.

    Snímek obrazovky znázorňující stránku registrace aplikace

  4. Určete, kdo může aplikaci používat, někdy označovanou jako cílová skupina přihlašování. Vyberte účty pouze v tomto organizačním adresáři (pouze název_adresáře – jeden tenant).

  5. Pokud teď konfigurujete identifikátor URI přesměrování v další části, nechte identifikátor URI přesměrování (volitelný).

  6. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.

Po dokončení registrace se v Centru pro správu Microsoft Entra zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta). Tato hodnota se označuje také jako ID klienta. Tato hodnota jednoznačně identifikuje vaši aplikaci na platformě Microsoft Identity Platform. Jedná se o hodnotu vlastní cílové skupiny, kterou použijete při konfiguraci brány P2S. I když je tato hodnota k dispozici, budete muset dokončit další části, abyste přidružili aplikaci zaregistrovanou v Micrsoftu k ID vaší aplikace.

Zveřejnění rozhraní API a přidání oboru

V této části vytvoříte obor pro přiřazení podrobných oprávnění.

  1. V levém podokně registrované aplikace vyberte Zveřejnit rozhraní API.

    Snímek obrazovky se stránkou Zveřejnit rozhraní API

  2. Vyberte Přidat rozsah. V podokně Přidat obor zobrazte identifikátor URI ID aplikace. Toto pole se vygeneruje automaticky. Výchozí hodnota je api://<application-client-id>. Identifikátor URI ID aplikace funguje jako předpona pro obory, na které odkazujete v kódu rozhraní API, a musí být globálně jedinečný.

    Snímek obrazovky ukazuje podokno Přidat obor s identifikátorem URI ID aplikace.

  3. Vyberte Uložit a pokračujte k dalšímu podoknu Přidat obor .

  4. V tomto podokně Přidat obor zadejte atributy oboru. Pro účely tohoto návodu můžete použít ukázkové hodnoty nebo zadat vlastní.

    Snímek obrazovky s podoknem Přidat obor s dalšími nastaveními

    Pole Hodnota
    Název oboru Příklad: p2s-vpn1
    Kdo může vyjádřit souhlas Pouze správci
    Zobrazovaný název souhlasu správce Příklad: p2s-vpn1-users
    Popis souhlasu správce Příklad: Přístup k síti VPN typu point-to-site
    Kraj Povoleno

  5. Pokud chcete přidat obor, vyberte Přidat obor .

Přidání Klient Azure VPN aplikace

V této části přidružíte ID aplikace zaregistrované microsoftem Klient Azure VPN.

  1. Na stránce Zveřejnit rozhraní API vyberte + Přidat klientskou aplikaci.

    Snímek obrazovky znázorňující vybranou možnost Přidat klientskou aplikaci

  2. V podokně Přidat klientskou aplikaci pro ID klienta použijte ID veřejné aplikace Azure pro aplikaci zaregistrovanou microsoftem Klient Azure VPN, pokud nevíte, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 že potřebujete jinou hodnotu.

    Snímek obrazovky znázorňující podokno přidat klientskou aplikaci

  3. Ujistěte se, že jsou vybrané autorizované obory .

  4. Vyberte Přidat aplikaci.

Shromáždění hodnot

Na stránce Přehled vaší aplikace si poznamenejte následující hodnoty, které potřebujete při konfiguraci brány VPN typu point-to-site pro ověřování Microsoft Entra ID.

  • ID aplikace (klienta): Toto je vlastní ID cílové skupiny, které používáte pro pole Cílová skupina při konfiguraci brány VPN typu P2S.
  • ID adresáře (tenanta): Tato hodnota je součástí hodnoty požadované pro pole Tenant a Issuer pro bránu VPN typu P2S.

Konfigurace brány VPN typu point-to-site

Po dokončení kroků v předchozích částech pokračujte v konfiguraci brány VPN typu P2S pro ověřování Microsoft Entra ID – aplikace zaregistrovaná Microsoftem.

Aktualizace na ID klienta aplikace VPN zaregistrované microsoftem

Poznámka:

Tyto kroky je možné použít pro kteroukoli z podporovaných hodnot přidružených k Klient Azure VPN aplikaci. Pokud je to možné, doporučujeme přidružit hodnotu c632b3df-fb67-4d84-bdcf-b95ad541b5c8 veřejné cílové skupiny Azure zaregistrované microsoftem k vaší vlastní aplikaci.

Pokud jste už bránu VPN typu P2S nakonfigurovali tak, aby používala vlastní hodnotu pro pole ID cílové skupiny a chcete přejít na novou Klient Azure VPN zaregistrovanou Microsoftem, můžete novou aplikaci autorizovat přidáním klientské aplikace do svého rozhraní API. Pomocí této metody nemusíte měnit nastavení služby Azure VPN Gateway ani Klient Azure VPN, pokud používají nejnovější verzi klienta.

V následujících krocích přidáte další autorizovanou klientskou aplikaci pomocí hodnoty cílové skupiny ID klientské aplikace VPN zaregistrované microsoftem v Azure. Hodnotu stávající autorizované klientské aplikace nezměníte. Stávající autorizovanou klientskou aplikaci můžete kdykoli odstranit, pokud ji už nepoužíváte.

  1. Na stránku Registrace aplikací se můžete dostat několika různými způsoby. Jedním ze způsobů je centrum pro správu Microsoft Entra. Můžete také použít Azure Portal a Microsoft Entra ID. Přihlaste se pomocí účtu, který má roli Správce cloudových aplikací nebo vyšší.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do tenanta, kterého chcete použít z nabídky Adresáře a předplatná .

  3. Přejděte na Registrace aplikací a vyhledejte zobrazovaný název registrované aplikace. Kliknutím otevřete stránku.

  4. Klikněte na Zveřejnit rozhraní API. Na stránce Zveřejnit rozhraní API si všimněte, že existuje předchozí hodnota Client Id cílové skupiny Klient Azure VPN.

    Snímek obrazovky se stránkou Zveřejnit rozhraní API se zvýrazněnou možností Přidat klientskou aplikaci

  5. Vyberte + Přidat klientskou aplikaci.

  6. V podokně Přidat klientskou aplikaci pro ID klienta použijte ID veřejné aplikace Azure pro aplikaci c632b3df-fb67-4d84-bdcf-b95ad541b5c8zaregistrovanou microsoftem Klient Azure VPN .

  7. Ujistěte se, že jsou vybrané autorizované obory . Potom klikněte na Přidat aplikaci.

  8. Na stránce Vystavení rozhraní API se teď zobrazí obě hodnoty ID klienta. Pokud chcete odstranit předchozí verzi, kliknutím na hodnotu otevřete stránku Upravit klientskou aplikaci a klikněte na Odstranit.

  9. Na stránce Přehled si všimněte, že se hodnoty nezměnily. Pokud jste už bránu a klienty nakonfigurovali pomocí vlastního ID aplikace (klienta) zobrazeného pro pole ID cílové skupiny brány a vaši klienti jsou už nakonfigurovaní tak, aby používali tuto vlastní hodnotu, nemusíte provádět žádné další změny.

Další kroky