Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform

Začněte s Microsoft identity platform registrací aplikace v Azure Portal.

Microsoft identity platform provádí správu identit a přístupu (IAM) pouze pro registrované aplikace. Ať už se jedná o klientskou aplikaci, jako je webová nebo mobilní aplikace, nebo se jedná o webové rozhraní API, které zálohuje klientskou aplikaci, jeho registrace vytvoří vztah důvěryhodnosti mezi vaší aplikací a zprostředkovatelem identity, Microsoft identity platform.

Tip

Pokud chcete zaregistrovat aplikaci pro Azure AD B2C, postupujte podle kroků v kurzu Registrace webové aplikace v Azure AD B2C.

Požadavky

Registrace aplikace

Registrací aplikace se vytvoří vztah důvěryhodnosti mezi vaší aplikací a Microsoft identity platform. Vztah důvěryhodnosti je jednosměrný: vaše aplikace důvěřuje Microsoft identity platform, a ne naopak.

Pomocí těchto kroků vytvořte registraci aplikace:

  1. Přihlaste se k webu Azure Portal.

  2. Pokud máte přístup k více tenantům, pomocí filtru Adresáře a předplatná v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat.

  3. Vyhledejte a vyberte Azure Active Directory.

  4. V části Spravovat vyberte Registrace aplikací>Nová registrace.

  5. Zadejte zobrazovaný název aplikace. Uživatelům vaší aplikace se může zobrazovat zobrazovaný název při používání aplikace, například při přihlašování. Zobrazovaný název můžete kdykoli změnit a stejný název může sdílet více registrací aplikací. AUTOMATICKY vygenerované ID aplikace (klienta) registrace aplikace, nikoli její zobrazovaný název, jednoznačně identifikuje vaši aplikaci v rámci platformy Identity Platform.

  6. Určete, kdo může aplikaci používat, někdy označovanou jako její přihlašovací cílová skupina.

    Podporované typy účtu Description
    Účty jen v tomto organizačním adresáři Tuto možnost vyberte, pokud vytváříte aplikaci pro použití pouze uživateli (nebo hosty) ve vašem tenantovi.

    Tato aplikace se v Microsoft identity platform často označuje jako obchodníaplikace.
    Účty v libovolném organizačním adresáři Tuto možnost vyberte, pokud chcete, aby vaši aplikaci mohli používat uživatelé v jakémkoli tenantovi Azure Active Directory (Azure AD). Tato možnost je vhodná například v případě, že vytváříte aplikaci SaaS (software jako služba), kterou chcete poskytnout více organizacím.

    Tento typ aplikace se v Microsoft identity platform označuje jako aplikace s více tenanty.
    Účty v libovolném organizačním adresáři a osobní účty Microsoft Tuto možnost vyberte, pokud chcete cílit na co nejširší okruh zákazníků.

    Výběrem této možnosti zaregistrujete aplikaci s více tenanty , která může podporovat také uživatele s osobními účty Microsoft.
    Osobní účty Microsoft Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.
  7. Do identifikátoru URI přesměrování nezadávejte nic (volitelné). V další části nakonfigurujete identifikátor URI přesměrování.

  8. Vyberte Zaregistrovat a dokončete počáteční registraci aplikace.

    Snímek obrazovky Azure Portal ve webovém prohlížeči s podoknem Zaregistrovat aplikaci

Po dokončení registrace Azure Portal zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta). Tato hodnota, označovaná také jako ID klienta, jednoznačně identifikuje vaši aplikaci v Microsoft identity platform.

Důležité

Registrace nových aplikací jsou uživatelům ve výchozím nastavení skryté. Až budete připravení, aby uživatelé aplikaci viděli na stránce Moje aplikace, můžete ji povolit. Pokud chcete aplikaci povolit, přejděte v Azure Portal naPodnikové aplikaceAzure Active Directory> a vyberte aplikaci. Potom na stránce Vlastnosti přepněte možnost Viditelné pro uživatele? na Ano.

Kód vaší aplikace nebo obvykle ověřovací knihovna používaná ve vaší aplikaci také používá ID klienta. ID se používá jako součást ověřování tokenů zabezpečení, které přijímá z platformy Identity Platform.

Snímek obrazovky s Azure Portal ve webovém prohlížeči s podoknem Přehled registrace aplikace

Přidání identifikátoru URI přesměrování

Identifikátor URI přesměrování je umístění, kam Microsoft identity platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

Například v produkční webové aplikaci je identifikátor URI přesměrování často veřejným koncovým bodem, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response. Během vývoje je také běžné přidat koncový bod, ve kterém aplikaci spouštíte místně, například https://127.0.0.1/auth-response nebo http://localhost/auth-response.

Identifikátory URI pro přesměrování můžete přidat a upravit pro zaregistrované aplikace konfigurací jejich nastavení platformy.

Konfigurace nastavení platformy

Nastavení pro každý typ aplikace, včetně identifikátorů URI přesměrování, se konfigurují v konfiguraci platformy v Azure Portal. Některé platformy, jako jsou webové a jednostránkové aplikace, vyžadují ruční zadání identifikátoru URI přesměrování. U jiných platforem, jako jsou mobilní a desktopové počítače, si můžete vybrat z identifikátorů URI pro přesměrování, které se vám vygenerují, když nakonfigurujete jejich další nastavení.

Pokud chcete nakonfigurovat nastavení aplikace na základě platformy nebo zařízení, na které cílíte, postupujte takto:

  1. V Azure Portal vyberte v Registrace aplikací svou aplikaci.

  2. V části Spravovat vyberte Ověřování.

  3. V části Konfigurace platformy vyberte Přidat platformu.

  4. V části Konfigurovat platformy vyberte dlaždici pro typ aplikace (platformu) a nakonfigurujte její nastavení.

    Snímek obrazovky s podoknem konfigurace platformy v Azure Portal

    Platforma Nastavení konfigurace
    Web Zadejte identifikátor URI přesměrování pro vaši aplikaci. Tento identifikátor URI je umístění, kam Microsoft identity platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Tuto platformu vyberte pro standardní webové aplikace, které běží na serveru.
    Jednostránková aplikace Zadejte identifikátor URI přesměrování pro vaši aplikaci. Tento identifikátor URI je umístění, kam Microsoft identity platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Tuto platformu vyberte, pokud vytváříte webovou aplikaci na straně klienta pomocí JavaScriptu nebo architektury, jako je Angular, Vue.js, React.js nebo Blazor WebAssembly.
    iOS / macOS Zadejte ID sady aplikací. Najdete ho v nastavení sestavení nebo v Xcode v Info.plist.

    Identifikátor URI přesměrování se pro vás vygeneruje, když zadáte ID sady.
    Android Zadejte název balíčku aplikace. Najděte ho v souboruAndroidManifest.xml . Vygenerujte také hodnotu hash podpisu a zadejte ji.

    Při zadávání těchto nastavení se pro vás vygeneruje identifikátor URI přesměrování.
    Mobilní a desktopové aplikace Vyberte jednu z navrhovaných identifikátorů URI přesměrování. Nebo zadejte vlastní identifikátor URI přesměrování.

    Pro desktopové aplikace používající vložený prohlížeč doporučujeme
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pro desktopové aplikace používající systémový prohlížeč doporučujeme
    http://localhost

    Tuto platformu vyberte pro mobilní aplikace, které nepoužívají nejnovější knihovnu Microsoft Authentication Library (MSAL) nebo nepoužívají zprostředkovatele. Tuto platformu také vyberte pro desktopové aplikace.
  5. Vyberte Konfigurovat a dokončete konfiguraci platformy.

Omezení identifikátoru URI přesměrování

Formát identifikátorů URI pro přesměrování, které přidáte do registrace aplikace, platí určitá omezení. Podrobnosti o těchto omezeních najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidání přihlašovacích údajů

Přihlašovací údaje používají důvěrné klientské aplikace , které přistupují k webovému rozhraní API. Mezi důvěrné klienty patří webové aplikace, jiná webová rozhraní API nebo aplikace typu služby a démona. Přihlašovací údaje umožňují, aby se vaše aplikace ověřila sama o sobě, což nevyžaduje žádnou interakci od uživatele za běhu.

K registraci důvěrné klientské aplikace můžete jako přihlašovací údaje přidat certifikáty i tajné kódy klienta (řetězec).

Snímek obrazovky Azure Portal s podoknem Certifikáty a tajné kódy v registraci aplikace

Přidání certifikátu

Certifikát, který se někdy označuje jako veřejný klíč, je doporučeným typem přihlašovacích údajů, protože se považují za bezpečnější než tajné kódy klienta. Další informace o použití certifikátu jako metody ověřování ve vaší aplikaci najdete v tématu Microsoft identity platform přihlašovací údaje certifikátu ověřování aplikací.

  1. V Azure Portal vyberte v Registrace aplikací svou aplikaci.
  2. Vyberte Certifikáty tajné kódy &>Certifikáty>Nahrání certifikátu.
  3. Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
  4. Vyberte Přidat.

Přidání tajného klíče klienta

Tajný klíč klienta se někdy označuje jako heslo aplikace a jedná se o řetězcovou hodnotu, kterou vaše aplikace může použít místo certifikátu k identitě.

Tajné kódy klienta jsou považovány za méně zabezpečené než přihlašovací údaje certifikátu. Vývojáři aplikací někdy používají tajné kódy klientů během vývoje místních aplikací kvůli jejich snadnému použití. Přihlašovací údaje certifikátu byste ale měli použít pro všechny aplikace, které běží v produkčním prostředí.

  1. V Azure Portal vyberte v Registrace aplikací svou aplikaci.
  2. Vyberte Certifikáty Tajné kódy &>>klientaNový tajný klíč klienta.
  3. Přidejte popis tajného klíče klienta.
  4. Vyberte vypršení platnosti tajného klíče nebo zadejte vlastní životnost.
    • Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
    • Společnost Microsoft doporučuje nastavit hodnotu vypršení platnosti na méně než 12 měsíců.
  5. Vyberte Přidat.
  6. Poznamenejte si hodnotu tajného klíče pro použití v kódu klientské aplikace. Tato hodnota tajného kódu se po opuštění této stránky už nikdy nezobrazí .

Doporučení k zabezpečení aplikací najdete v tématu Microsoft identity platform osvědčené postupy a doporučení.

Přidání federovaných přihlašovacích údajů

Přihlašovací údaje federované identity jsou typem přihlašovacích údajů, které umožňují úlohám, jako jsou GitHub Actions, úlohy spuštěné v Kubernetes nebo úlohy běžící na výpočetních platformách mimo přístup k Azure, Azure AD chráněné prostředky, aniž by bylo nutné spravovat tajné kódy pomocí federace identit úloh.

Chcete-li přidat federované přihlašovací údaje, postupujte takto:

  1. V Azure Portal vyberte v Registrace aplikací svou aplikaci.

  2. Vyberte Certifikáty tajné kódy &>federovaných přihlašovacích údajů>Přidat přihlašovací údaje.

  3. V rozevíracím seznamu Scénář federovaných přihlašovacích údajů vyberte jeden z podporovaných scénářů a podle příslušných pokynů dokončete konfiguraci.

    • Klíče spravované zákazníkem pro šifrování dat ve vašem tenantovi pomocí Azure Key Vault v jiném tenantovi.
    • GitHub Actions nasazuje prostředky Azure za účelem konfigurace pracovního postupu GitHubu pro získání tokenů pro vaši aplikaci a nasazení prostředků do Azure.
    • Kubernetes přistupující k prostředkům Azure za účelem konfigurace účtu služby Kubernetes pro získání tokenů pro vaši aplikaci a přístupu k prostředkům Azure
    • Jiný vystavitel nakonfiguruje identitu spravovanou externím zprostředkovatelem OpenID Connect pro získání tokenů pro vaši aplikaci a přístup k prostředkům Azure.

Další informace o tom, jak získat přístupový token s federovanými přihlašovacími údaji, najdete v článku Microsoft identity platform a toku přihlašovacích údajů klienta OAuth 2.0.

Další kroky

Klientské aplikace obvykle potřebují přístup k prostředkům ve webovém rozhraní API. Klientskou aplikaci můžete chránit pomocí Microsoft identity platform. Platformu můžete také použít k autorizaci přístupu k webovému rozhraní API s vymezeným oborem a na základě oprávnění.

Přejděte k dalšímu rychlému startu v sérii, kde vytvoříte další registraci aplikace pro vaše webové rozhraní API a zveřejníte její obory.