Nové prostředí Registrace aplikací pro Azure Active Directory B2C

  • Článek

Nové prostředí Registrace aplikací pro Azure Active Directory B2C (Azure AD B2C) je nyní obecně dostupné. Pokud znáte prostředí Aplikací pro registraci aplikací pro Azure AD B2C, které se zde označuje jako starší verze, tato příručka vám pomůže začít používat nové prostředí.

Přehled

Dříve jste museli spravovat aplikace Azure AD B2C pro uživatele odděleně od ostatních aplikací pomocí starší verze prostředí. To znamenalo různé prostředí pro vytváření aplikací na různých místech v Azure.

Nové prostředí zobrazuje všechny registrace aplikací Azure AD B2C a registrace aplikací Microsoft Entra na jednom místě a poskytuje konzistentní způsob, jak je spravovat. Od vytvoření aplikace pro zákazníky až po správu aplikace s oprávněními Microsoft Graphu ke správě prostředků je potřeba se naučit jenom jeden způsob, jak to udělat.

K novému prostředí se můžete dostat tak, že přejdete na Registrace aplikací v tenantovi Azure AD B2C z Azure AD B2C nebo služeb Microsoft Entra ID na webu Azure Portal.

Prostředí Azure AD B2C Registrace aplikací vychází z obecného prostředí registrace aplikací pro libovolného tenanta Microsoft Entra, ale je přizpůsobené pro tenanty Azure AD B2C.

Co se nemění?

  • Vaše aplikace a související konfigurace se dají najít tak, jak jsou v novém prostředí. Aplikace nemusíte znovu registrovat a uživatelé vašich aplikací se nebudou muset znovu přihlásit.

Poznámka:

Pokud chcete zobrazit všechny dříve vytvořené aplikace, přejděte do okna Registrace aplikací a vyberte kartu Všechny aplikace. Zobrazí se aplikace vytvořené ve starší verzi, novém prostředí a aplikacích vytvořených ve službě Microsoft Entra.

Klíčové nové funkce

  • Jednotný seznam aplikací zobrazuje všechny aplikace, které se ověřují pomocí Azure AD B2C a ID Microsoft Entra na jednom vhodném místě. Kromě toho můžete využívat funkce, které už jsou dostupné pro aplikace Microsoft Entra, včetně stavu Datum vytvoření , Certifikáty a tajné kódy, vyhledávacího panelu a mnoho dalšího.

  • Kombinovaná registrace aplikace umožňuje rychle zaregistrovat aplikaci bez ohledu na to, jestli se jedná o aplikaci pro zákazníky nebo aplikaci pro přístup k Microsoft Graphu.

  • Podokno Koncové body umožňuje rychle identifikovat relevantní koncové body pro váš scénář, včetně konfigurace připojení OpenID, metadat SAML, rozhraní Microsoft Graph API a koncových bodů toku uživatele OAuth 2.0.

  • Oprávnění rozhraní API a zveřejnění rozhraní API poskytují rozsáhlejší rozsah, oprávnění a správu souhlasu. Teď můžete aplikaci také přiřadit oprávnění MS Graphu.

  • Vlastníci a manifest jsou teď k dispozici pro aplikace, které se ověřují pomocí Azure AD B2C. Vlastníci můžete přidat pro své registrace a přímo upravit vlastnosti aplikace pomocí editoru manifestu.

Nové podporované typy účtů

V novém prostředí vyberete typ účtu podpory z následujících možností:

  • Účty pouze v tomto organizačním adresáři
  • Účty v libovolném organizačním adresáři (libovolný adresář Microsoft Entra – Víceklient)
  • Účty v libovolném zprostředkovateli identity nebo organizačním adresáři (pro ověřování uživatelů s toky uživatelů)

Pokud chcete porozumět různým typům účtů, vyberte Možnost Pomoc při vytváření.

Ve starších verzích se aplikace vždy vytvářely jako aplikace orientované na zákazníky. U těchto aplikací je typ účtu nastavený na Účty v libovolném zprostředkovateli identity nebo organizačním adresáři (pro ověřování uživatelů s toky uživatelů).

Poznámka:

Tato možnost se vyžaduje, aby bylo možné spouštět toky uživatelů Azure AD B2C pro ověřování uživatelů pro tuto aplikaci. Zjistěte , jak zaregistrovat aplikaci pro použití s toky uživatelů.

Tuto možnost můžete použít také k použití Azure AD B2C jako poskytovatele služeb SAML. Další informace.

Scénáře aplikací pro DevOps

Pomocí dalších typů účtů můžete vytvořit aplikaci pro správu scénářů DevOps, jako je použití Microsoft Graphu k nahrání zásad architektury Identity Experience Framework nebo zřizování uživatelů. Zjistěte , jak zaregistrovat aplikaci Microsoft Graph ke správě prostředků Azure AD B2C.

Možná se nezobrazí všechna oprávnění Microsoft Graphu, protože mnoho z těchto oprávnění se nevztahuje na uživatele uživatelů Azure B2C. Přečtěte si další informace o správě uživatelů pomocí Microsoft Graphu.

Rozsah openid je nezbytný, aby se Azure AD B2C mohl přihlásit k aplikaci. K vydávání obnovovacích tokenů pro uživatele je potřeba rozsah offline_access . Tyto obory byly dříve přidány a uděleny souhlas správce ve výchozím nastavení. Teď můžete během procesu vytváření snadno přidat oprávnění pro tyto obory tím, že zajistíte, že je vybraná možnost Udělit správci souhlas s openid a offline_access oprávnění . Jinak je možné přidat oprávnění Microsoft Graphu se souhlasem správce v nastavení oprávnění rozhraní API pro existující aplikaci.

Přečtěte si další informace o oprávněních a souhlasu.

Platformy/ověřování: Adresy URL odpovědí/ identifikátory URI pro přesměrování

Ve starších verzích se různé typy platforem spravovaly v části Vlastnosti jako adresy URL odpovědí pro webové aplikace nebo rozhraní API a identifikátor URI přesměrování pro nativní klienty. Nativní klienti se také označují jako "Veřejné klienty" a zahrnují aplikace pro iOS, macOS, Android a další typy mobilních a desktopových aplikací.

V novém prostředí se adresy URL odpovědí a identifikátory URI přesměrování označují jako identifikátory URI přesměrování a najdete je v části Ověřování aplikace. Registrace aplikací se neomezuje na webovou aplikaci nebo nativní aplikaci. Stejnou registraci aplikace můžete použít pro všechny tyto typy platforem registrací příslušných identifikátorů URI přesměrování.

Identifikátory URI pro přesměrování musí být přidružené k typu aplikace, ať už k webu, nebo k veřejnému (mobilní a desktopové). Další informace o identifikátorech URI přesměrování

Platformy iOS/macOS a Android jsou typem veřejného klienta. Poskytují snadný způsob konfigurace aplikací pro iOS/macOS nebo Android s odpovídajícími identifikátory URI přesměrování pro použití s knihovnou MSAL. Přečtěte si další informace o možnostech konfigurace aplikace.

Certifikáty aplikací a tajné kódy

V novém prostředí místo klíčů použijete okno Certifikáty a tajné kódy ke správě certifikátů a tajných kódů. Certifikáty a tajné kódy umožňují aplikacím identifikovat se v ověřovací službě při přijímání tokenů ve webovém adresovatelném umístění (pomocí schématu HTTPS). Při ověřování v microsoft Entra ID doporučujeme místo tajného klíče klienta použít certifikát. Certifikáty se nedají použít k ověření v Azure AD B2C.

Funkce, které nejsou použitelné v tenantech Azure AD B2C

Následující možnosti registrace aplikací Microsoft Entra se nevztahují na tenanty Azure AD B2C ani nejsou k dispozici:

  • Role a správci – V současné době není k dispozici pro Azure AD B2C.
  • Branding – Přizpůsobení uživatelského rozhraní nebo uživatelského rozhraní se konfiguruje v prostředí brandingu společnosti nebo v rámci toku uživatele. Zjistěte, jak přizpůsobit uživatelské rozhraní v Azure Active Directory B2C.
  • Ověření domény vydavatele – Vaše aplikace je zaregistrovaná v .onmicrosoft.com, což není ověřená doména. Doména vydavatele se navíc primárně používá k udělení souhlasu uživatele, která se nevztahuje na aplikace Azure AD B2C pro ověřování uživatelů. Přečtěte si další informace o doméně vydavatele.
  • Konfigurace tokenu – Token se konfiguruje jako součást toku uživatele místo aplikace.
  • Prostředí Rychlý start není aktuálně k dispozici pro tenanty Azure AD B2C.

Omezení

Nové prostředí má následující omezení:

  • V současné době Azure AD B2C nerozlišuje mezi schopností vydávat přístupové tokeny nebo tokeny ID pro implicitní toky; Oba typy tokenů jsou k dispozici pro implicitní tok udělení, pokud je v okně Ověřování vybraná možnost Tokeny ID.
  • Změna hodnoty podporovaných účtů se v uživatelském rozhraní nepodporuje. Pokud přepínáte mezi Microsoft Entra s jedním tenantem a více tenanty, budete muset použít manifest aplikace.

Další kroky

Začínáme s novým prostředím registrace aplikací: