Rychlý start: Registrace aplikace na platformě Microsoft Identity Platform

  • Článek

Začněte s platformou Microsoft Identity Platform tím, že zaregistrujete aplikaci na webu Azure Portal.

Microsoft identity platform provádí správu identit a přístupu (IAM) pouze pro registrované aplikace. Ať už se jedná o klientskou aplikaci, jako je webová nebo mobilní aplikace, nebo o webové rozhraní API, které zálohuje klientskou aplikaci, jeho registrací se vytvoří vztah důvěryhodnosti mezi vaší aplikací a zprostředkovatelem identity, Microsoft identity platform.

Tip

Pokud chcete zaregistrovat aplikaci pro Azure AD B2C, postupujte podle kroků v kurzu Registrace webové aplikace v Azure AD B2C.

Požadavky

Registrace aplikace

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, ze které začínáte.

Registrací aplikace se vytvoří vztah důvěryhodnosti mezi vaší aplikací a Microsoft identity platform. Vztah důvěryhodnosti je jednosměrný: vaše aplikace důvěřuje Microsoft identity platform, nikoli naopak. Po vytvoření nelze objekt aplikace přesouvat mezi různými tenanty.

Registraci aplikace vytvoříte takto:

  1. Přihlaste se k centru pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Pokud máte přístup k více tenantům, pomocí filtru Adresáře a předplatná v horní nabídce vyberte tenanta obsahujícího registraci vaší klientské aplikace.

  3. Přejděte naAplikace>identit>Registrace aplikací a vyberte Nová registrace.

  4. Zadejte zobrazovaný název aplikace. Uživatelům vaší aplikace se může zobrazovat zobrazovaný název, když ji používají, například při přihlašování. Zobrazovaný název můžete kdykoli změnit a stejný název může sdílet více registrací aplikací. AUTOMATICKY generované ID aplikace (klienta) registrace aplikace, nikoli její zobrazovaný název, jednoznačně identifikuje vaši aplikaci v rámci platformy Identity Platform.

  5. Určete, kdo může aplikaci používat, někdy označovanou jako cílová skupina pro přihlášení.

    Podporované typy účtu Description
    Účty jen v tomto organizačním adresáři Tuto možnost vyberte, pokud vytváříte aplikaci pro použití pouze uživateli (nebo hosty) ve vašem tenantovi.

    Tato aplikace se v Microsoft identity platform často označuje jako obchodníaplikace (LOB).
    Účty v libovolném organizačním adresáři Tuto možnost vyberte, pokud chcete, aby vaši aplikaci mohli používat uživatelé v jakémkoli Microsoft Entra tenantovi. Tato možnost je vhodná například v případě, že vytváříte aplikaci saaS (software jako služba), kterou chcete poskytnout více organizacím.

    Tento typ aplikace se v Microsoft identity platform označuje jako víceklientní aplikace.
    Účty v libovolném organizačním adresáři a osobní účty Microsoft Tuto možnost vyberte, pokud chcete cílit na co nejširší okruh zákazníků.

    Výběrem této možnosti zaregistrujete aplikaci s více tenanty , která může podporovat také uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.
    Osobní účty Microsoft Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.

  6. Do pole Identifikátor URI pro přesměrování nezadávejte nic (volitelné). V další části nakonfigurujete identifikátor URI přesměrování.

  7. Vyberte Zaregistrovat a dokončete počáteční registraci aplikace.

    Snímek obrazovky s Azure Portal ve webovém prohlížeči a podoknem Registrace aplikace

Po dokončení registrace se v Centru pro správu Microsoft Entra zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta). Tato hodnota, označovaná také jako ID klienta, jednoznačně identifikuje vaši aplikaci v Microsoft identity platform.

Důležité

Registrace nových aplikací jsou uživatelům ve výchozím nastavení skryté. Až budete připravení, aby uživatelé aplikaci viděli na stránce Moje aplikace, můžete ji povolit. Aplikaci povolíte tak, že v Centru pro správu Microsoft Entra přejdete naPodnikové aplikacepro aplikace>identit> a vyberete aplikaci. Potom na stránce Vlastnosti přepněte možnost Viditelné pro uživatele? na Ano.

Kód vaší aplikace nebo obvykle knihovna ověřování používaná ve vaší aplikaci používá také ID klienta. ID se používá jako součást ověřování tokenů zabezpečení, které obdrží z platformy Identity Platform.

Snímek obrazovky Azure Portal ve webovém prohlížeči s podoknem Přehled registrace aplikace

Přidání identifikátoru URI přesměrování

Identifikátor URI přesměrování je umístění, kam Microsoft identity platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

Například v produkční webové aplikaci je identifikátor URI přesměrování často veřejným koncovým bodem, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response. Během vývoje je také běžné přidat koncový bod, ve kterém aplikaci spouštíte místně, například https://127.0.0.1/auth-response nebo http://localhost/auth-response. Ujistěte se, že v produkční aplikaci nejsou vystavená všechna nepotřebná vývojová prostředí nebo identifikátory URI přesměrování. Můžete to provést tak, že budete mít samostatné registrace aplikací pro vývoj a produkci.

Identifikátory URI přesměrování pro zaregistrované aplikace můžete přidat a upravit konfigurací nastavení platformy.

Konfigurace nastavení platformy

Nastavení pro každý typ aplikace, včetně identifikátorů URI přesměrování, se konfigurují v konfiguraci platformy v Azure Portal. Některé platformy, jako jsou webové a jednostránkové aplikace, vyžadují ruční zadání identifikátoru URI přesměrování. U jiných platforem, jako jsou mobilní a desktopové počítače, si můžete vybrat z identifikátorů URI přesměrování, které se vygenerují za vás, když nakonfigurujete jejich další nastavení.

Pokud chcete nakonfigurovat nastavení aplikace na základě platformy nebo zařízení, na které cílíte, postupujte takto:

  1. V Centru pro správu Microsoft Entra vyberte v Registrace aplikací svou aplikaci.

  2. V části Spravovat vyberte Ověřování.

  3. V části Konfigurace platformy vyberte Přidat platformu.

  4. V části Konfigurovat platformy vyberte dlaždici pro typ vaší aplikace (platformu) a nakonfigurujte její nastavení.

    Snímek obrazovky s podoknem konfigurace platformy v Azure Portal

    Platforma Nastavení konfigurace
    Web Zadejte identifikátor URI přesměrování pro vaši aplikaci. Tento identifikátor URI je umístění, kam Microsoft identity platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Je také možné nakonfigurovat adresu URL pro odhlášení z front-channelu a vlastnosti implicitního a hybridního toku.

    Vyberte tuto platformu pro standardní webové aplikace, které běží na serveru.
    Jednostránková aplikace Zadejte identifikátor URI přesměrování pro vaši aplikaci. Tento identifikátor URI je umístění, kam Microsoft identity platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Je také možné nakonfigurovat adresu URL pro odhlášení z front-channelu a vlastnosti implicitního a hybridního toku.

    Tuto platformu vyberte, pokud vytváříte webovou aplikaci na straně klienta pomocí JavaScriptu nebo architektury, jako je Angular, Vue.js, React.js nebo Blazor WebAssembly.
    iOS /macOS Zadejte ID sady prostředků aplikace. Najdete ho v nastavení sestavení nebo v Xcode v Info.plist.

    Identifikátor URI přesměrování se vygeneruje za vás, když zadáte ID sady prostředků.
    Android Zadejte název balíčku aplikace. Najděte ho v AndroidManifest.xml souboru. Také vygenerujte a zadejte hodnotu hash podpisu.

    Když zadáte tato nastavení, vygeneruje se pro vás identifikátor URI přesměrování.
    Mobilní a desktopové aplikace Vyberte jeden z navrhovaných identifikátorů URI přesměrování. Nebo zadejte nebo více identifikátorů URI pro vlastní přesměrování.

    Pro desktopové aplikace používající vložený prohlížeč doporučujeme
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pro desktopové aplikace používající systémový prohlížeč doporučujeme
    http://localhost

    Tuto platformu vyberte pro mobilní aplikace, které nepoužívají nejnovější knihovnu Microsoft Authentication Library (MSAL) nebo nepoužívají zprostředkovatele. Tuto platformu vyberte také pro desktopové aplikace.

  5. Vyberte Konfigurovat a dokončete konfiguraci platformy.

Omezení identifikátoru URI přesměrování

Formát identifikátorů URI přesměrování, které přidáte do registrace aplikace, platí určitá omezení. Podrobnosti o těchto omezeních najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidání přihlašovacích údajů

Přihlašovací údaje používají důvěrné klientské aplikace , které přistupují k webovému rozhraní API. Mezi důvěrné klienty patří webové aplikace, jiná webová rozhraní API nebo aplikace typu služby a démona. Přihlašovací údaje umožňují, aby se vaše aplikace ověřila jako sama, a nevyžaduje žádnou interakci uživatele za běhu.

Jako přihlašovací údaje k registraci důvěrné klientské aplikace můžete přidat certifikáty, tajné klíče klienta (řetězec) nebo přihlašovací údaje federované identity.

Snímek obrazovky Azure Portal s podoknem Certifikáty a tajné kódy v registraci aplikace

Přidání certifikátu

Certifikát, který se někdy označuje jako veřejný klíč, je doporučeným typem přihlašovacích údajů, protože se považují za bezpečnější než tajné kódy klienta. Další informace o použití certifikátu jako metody ověřování ve vaší aplikaci najdete v tématu Microsoft identity platform přihlašovacích údajů certifikátu pro ověřování aplikací.

  1. V Centru pro správu Microsoft Entra vyberte v Registrace aplikací svou aplikaci.
  2. Vyberte Certifikáty & tajné kódy>Certifikáty>Nahrát certifikát.
  3. Vyberte soubor, který chcete nahrát. Musí se jednat o jeden z následujících typů souborů: .cer, .pem, .crt.
  4. Vyberte Přidat.

Přidání tajného klíče klienta

Někdy se označuje jako heslo aplikace a tajný klíč klienta je řetězcová hodnota, kterou vaše aplikace může použít místo certifikátu k vlastní identitě.

Tajné klíče klienta jsou považovány za méně bezpečné než přihlašovací údaje certifikátu. Vývojáři aplikací někdy používají tajné kódy klientů během vývoje místních aplikací kvůli jejich snadnému použití. Přihlašovací údaje certifikátu byste ale měli použít pro všechny aplikace, které běží v produkčním prostředí.

  1. V Centru pro správu Microsoft Entra vyberte v Registrace aplikací svou aplikaci.
  2. Vyberte Certifikáty Tajné kódy &>>klientaNový tajný klíč klienta.
  3. Přidejte popis tajného klíče klienta.
  4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
    • Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
    • Microsoft doporučuje nastavit hodnotu vypršení platnosti na méně než 12 měsíců.
  5. Vyberte Přidat.
  6. Poznamenejte si hodnotu tajného klíče pro použití v kódu klientské aplikace. Tato hodnota tajného kódu se po opuštění této stránky už nikdy nezobrazí .

Doporučení k zabezpečení aplikací najdete v tématu Microsoft identity platform osvědčené postupy a doporučení.

Pokud používáte připojení služby Azure DevOps, které automaticky vytvoří instanční objekt, musíte tajný klíč klienta aktualizovat z portálového webu Azure DevOps místo přímé aktualizace tajného klíče klienta. Informace o aktualizaci tajného klíče klienta z portálového webu Azure DevOps najdete v tomto dokumentu: Řešení potíží s připojeními služby Azure Resource Manager.

Přidání federovaných přihlašovacích údajů

Přihlašovací údaje federované identity jsou typem přihlašovacích údajů, které umožňují úlohám, jako je GitHub Actions, úlohám běžícím v Kubernetes nebo úlohám spuštěným na výpočetních platformách mimo Azure, přístup k chráněným prostředkům Microsoft Entra bez nutnosti spravovat tajné kódy pomocí federace identit úloh.

Chcete-li přidat federované přihlašovací údaje, postupujte takto:

  1. V Centru pro správu Microsoft Entra vyberte v Registrace aplikací svou aplikaci.

  2. Vyberte Certifikáty & tajných kódů>federovaných přihlašovacích údajů>Přidat přihlašovací údaje.

  3. V rozevíracím seznamu Scénář federovaných přihlašovacích údajů vyberte jeden z podporovaných scénářů a podle odpovídajících pokynů dokončete konfiguraci.

    • Klíče spravované zákazníkem pro šifrování dat ve vašem tenantovi pomocí Azure Key Vault v jiném tenantovi.
    • GitHub Actions nasazuje prostředky Azure za účelem konfigurace pracovního postupu GitHubu pro získání tokenů pro vaši aplikaci a nasazení prostředků do Azure.
    • Kubernetes přistupující k prostředkům Azure za účelem konfigurace účtu služby Kubernetes pro získání tokenů pro vaši aplikaci a přístup k prostředkům Azure
    • Jiný vystavitel , který nakonfiguruje identitu spravovanou externím zprostředkovatelem OpenID Connect pro získání tokenů pro vaši aplikaci a přístup k prostředkům Azure.

Další informace o tom, jak získat přístupový token s federovanými přihlašovacími údaji, najdete v článku Microsoft identity platform a toku přihlašovacích údajů klienta OAuth 2.0.

Další kroky

Klientské aplikace obvykle potřebují přístup k prostředkům ve webovém rozhraní API. Klientskou aplikaci můžete chránit pomocí Microsoft identity platform. Platformu můžete také použít k autorizaci přístupu k webovému rozhraní API s vymezeným oborem na základě oprávnění.

Přejděte k dalšímu rychlému startu v této sérii, vytvořte další registraci aplikace pro vaše webové rozhraní API a zpřístupněte její obory.

Konfigurace aplikace pro zveřejnění webového rozhraní API