Rychlý start: registrace aplikace pomocí platformy identity Microsoft

  • Článek

Začněte s platformou Microsoft Identity Platform tím, že zaregistrujete aplikaci na webu Azure Portal.

Platforma Microsoft Identity Platform provádí správu identit a přístupu (IAM) pouze pro registrované aplikace. Ať už se jedná o klientskou aplikaci, jako je webová nebo mobilní aplikace, nebo jde o webové rozhraní API, které zálohuje klientskou aplikaci, a zaregistruje se vztah důvěryhodnosti mezi vaší aplikací a zprostředkovatelem identity, platformou Microsoft Identity Platform.

Tip

Pokud chcete zaregistrovat aplikaci pro Azure AD B2C, postupujte podle kroků v kurzu: Registrace webové aplikace v Azure AD B2C.

Požadavky

Registrace aplikace

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Registrace aplikace vytvoří vztah důvěryhodnosti mezi vaší aplikací a platformou Microsoft Identity Platform. Vztah důvěryhodnosti je jednosměrný: vaše aplikace důvěřuje platformě Microsoft Identity Platform a ne naopak. Po vytvoření nelze objekt aplikace přesouvat mezi různými tenanty.

Pokud chcete vytvořit registraci aplikace, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat z nabídky Adresáře a předplatná.

  3. Přejděte na Identity>Applications> Registrace aplikací a vyberte Nová registrace.

  4. Zadejte zobrazovaný název aplikace. Uživatelům vaší aplikace se může zobrazit zobrazované jméno, když aplikaci používají, například při přihlašování. Zobrazovaný název můžete kdykoli změnit a stejný název může sdílet více registrací aplikací. ID automaticky vygenerované aplikace (klienta) registrace aplikace, nikoli její zobrazovaný název, jednoznačně identifikuje vaši aplikaci na platformě Identity Platform.

  5. Určete, kdo může aplikaci používat, někdy označovanou jako cílová skupina přihlašování.

    Typy podporovaných účtů Popis
    Účty jen v tomto organizačním adresáři Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele (nebo hosty) ve vašem tenantovi.

    Tato aplikace se často označuje jako obchodní aplikace (LOB), což je aplikace s jedním tenantem na platformě Microsoft Identity Platform.
    Účty v libovolném organizačním adresáři Tuto možnost vyberte, pokud chcete, aby uživatelé v libovolném tenantovi Microsoft Entra mohli vaši aplikaci používat. Tato možnost je vhodná, pokud například vytváříte aplikaci saaS (software jako služba), kterou chcete poskytnout více organizacím.

    Tento typ aplikace se označuje jako víceklientní aplikace na platformě Microsoft Identity Platform.
    Účty v libovolném organizačním adresáři a osobní účty Microsoft Tuto možnost vyberte, chcete-li zaměřit nejširší sadu odběratelů.

    Výběrem této možnosti zaregistrujete víceklientovou aplikaci, která může také podporovat uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.
    Osobní účty Microsoft Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.

  6. Nezadávejte nic pro identifikátor URI přesměrování (volitelné). V další části nakonfigurujete identifikátor URI přesměrování.

  7. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

Po dokončení registrace se v Centru pro správu Microsoft Entra zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta). Tato hodnota se označuje také jako ID klienta. Tato hodnota jednoznačně identifikuje vaši aplikaci na platformě Microsoft Identity Platform.

Důležité

Registrace nových aplikací jsou ve výchozím nastavení uživatelům skryté. Až budete připravení, aby uživatelé aplikaci viděli na Moje aplikace stránce, můžete ji povolit. Pokud chcete aplikaci povolit, přejděte v Centru pro správu Microsoft Entra do podnikových aplikací identit>a>vyberte aplikaci. Potom na stránce Vlastnosti přepněte možnost Viditelné pro uživatele? Na Ano.

Kód vaší aplikace nebo více obvykle knihovna ověřování používaná ve vaší aplikaci používá také ID klienta. ID se používá jako součást ověřování tokenů zabezpečení, které přijímá z platformy identity.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Přidání identifikátoru URI přesměrování

Identifikátor URI přesměrování je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

Například v produkční webové aplikaci je identifikátor URI přesměrování často veřejným koncovým bodem, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response. Během vývoje je běžné také přidat koncový bod, ve kterém aplikaci spouštíte místně, například https://127.0.0.1/auth-response nebo http://localhost/auth-response. Ujistěte se, že všechna nepotřebná vývojová prostředí nebo identifikátory URI přesměrování nejsou v produkční aplikaci vystavené. Můžete to provést tak, že budete mít samostatné registrace aplikací pro vývoj a produkci.

Identifikátory URI pro přesměrování registrovaných aplikací přidáte a upravíte tak, že nakonfigurujete jejich nastavení platformy.

Konfigurace nastavení platformy

Nastavení pro každý typ aplikace, včetně identifikátorů URI přesměrování, jsou nakonfigurované v Konfigurace platformy na webu Azure Portal Některé platformy, jako jsou webové a jednostrábové aplikace, vyžadují ruční zadání identifikátoru URI přesměrování. U jiných platforem, jako jsou mobilní a desktopové platformy, si můžete vybrat z identifikátorů URI přesměrování vygenerovaných za vás, když nakonfigurujete jejich další nastavení.

Pokud chcete nakonfigurovat nastavení aplikace na základě platformy nebo zařízení, na které cílíte, postupujte takto:

  1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.

  2. V části Spravovat vyberte Ověřování.

  3. V části Konfigurace platformy vyberte Přidat platformu.

  4. V části Konfigurovat platformy vyberte dlaždici pro váš typ aplikace (platforma) a nakonfigurujte jeho nastavení.

    Screenshot of the platform configuration pane in the Azure portal.

    Platforma Nastavení konfigurace
    Webová Zadejte identifikátor URI přesměrování aplikace. Tento identifikátor URI je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Můžete také nakonfigurovat adresu URL odhlášení front-channel a implicitní a hybridní vlastnosti toku.

    Tuto platformu vyberte pro standardní webové aplikace, které běží na serveru.
    Jednostránková aplikace Zadejte identifikátor URI přesměrování aplikace. Tento identifikátor URI je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Můžete také nakonfigurovat adresu URL odhlášení front-channel a implicitní a hybridní vlastnosti toku.

    Tuto platformu vyberte, pokud vytváříte webovou aplikaci na straně klienta pomocí JavaScriptu nebo architektury, jako je Angular, Vue.js, React.js nebo Blazor WebAssembly.
    iOS / macOS Zadejte ID sady prostředků aplikace. Najdete ho v buildu Nastavení nebo v Xcode v souboru Info.plist.

    Identifikátor URI přesměrování se vygeneruje za vás při zadání ID sady.
    Android Zadejte název balíčku aplikace. Najděte ho v souboru AndroidManifest.xml . Vygenerujte a zadejte hodnotu hash podpisu.

    Identifikátor URI přesměrování se vygeneruje za vás, když zadáte tato nastavení.
    Mobilní a desktopové aplikace Vyberte jednu z navrhovaných identifikátorů URI přesměrování. Nebo určete nebo více identifikátorů URI pro vlastní přesměrování.

    Pro desktopové aplikace používající vložený prohlížeč doporučujeme
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pro desktopové aplikace používající systémový prohlížeč doporučujeme
    http://localhost

    Tuto platformu vyberte pro mobilní aplikace, které nepoužívají nejnovější knihovnu MSAL (Microsoft Authentication Library) nebo nepoužívají zprostředkovatele. Vyberte také tuto platformu pro desktopové aplikace.

  5. Výběrem možnosti Konfigurovat dokončete konfiguraci platformy.

Omezení identifikátoru URI přesměrování

Formát identifikátorů URI přesměrování, které přidáte do registrace aplikace, existují určitá omezení. Podrobnosti o těchto omezeních najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidat přihlašovací údaje

Přihlašovací údaje používají důvěrné klientské aplikace , které přistupují k webovému rozhraní API. Mezi příklady důvěrných klientů patří webové aplikace, jiná webová rozhraní API nebo aplikace typu služby a démona. Přihlašovací údaje umožňují, aby se vaše aplikace ověřila jako sama, což nevyžaduje žádnou interakci uživatele za běhu.

Jako přihlašovací údaje k registraci důvěrné klientské aplikace můžete přidat certifikáty, tajné klíče klienta (řetězec) nebo přihlašovací údaje federované identity.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Přidání certifikátu

Někdy se označuje jako veřejný klíč, je doporučeným typem přihlašovacích údajů certifikát, protože jsou považovány za bezpečnější než tajné kódy klienta. Další informace o použití certifikátu jako metody ověřování ve vaší aplikaci najdete v tématu Přihlašovací údaje ověřovacího certifikátu aplikace platformy Microsoft Identity Platform.

  1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
  2. Vyberte Certifikáty a certifikáty>pro nahrání certifikátů.>
  3. Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
  4. Vyberte Přidat.

Přidání tajného klíče klienta

Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota, kterou může aplikace použít místo certifikátu k samotné identitě.

Tajné kódy klienta jsou považovány za méně bezpečné než přihlašovací údaje certifikátu. Vývojáři aplikací někdy používají tajné kódy klienta během vývoje místních aplikací kvůli jejich snadnému použití. Pro všechny aplikace spuštěné v produkčním prostředí byste ale měli použít přihlašovací údaje certifikátu.

  1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
  2. Vyberte Certifikáty a tajné>klíče>klienta Nové tajné klíče klienta.
  3. Přidejte popis tajného klíče klienta.
  4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
    • Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
    • Microsoft doporučuje nastavit hodnotu vypršení platnosti kratší než 12 měsíců.
  5. Vyberte Přidat.
  6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Tato hodnota tajného kódu se po opuštění této stránky už nikdy nezobrazí.

Doporučení k zabezpečení aplikací najdete v osvědčených postupech a doporučeních platformy Microsoft Identity Platform.

Pokud používáte připojení služby Azure DevOps, které automaticky vytvoří instanční objekt, musíte aktualizovat tajný klíč klienta z portálového webu Azure DevOps místo přímé aktualizace tajného klíče klienta. V tomto dokumentu se dozvíte, jak aktualizovat tajný klíč klienta z portálového webu Azure DevOps: Řešení potíží s připojeními služby Azure Resource Manager.

Přidání federovaných přihlašovacích údajů

Přihlašovací údaje federované identity jsou typem přihlašovacích údajů, které umožňují úlohy, jako jsou GitHub Actions, úlohy spuštěné v Kubernetes nebo úlohy běžící na výpočetních platformách mimo Azure, přistupovat k prostředkům chráněným Microsoft Entra, aniž by bylo nutné spravovat tajné kódy pomocí federace identit úloh.

Pokud chcete přidat federované přihlašovací údaje, postupujte takto:

  1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.

  2. Vyberte Certifikáty a tajné>kódy federovaných přihlašovacích údajů>– Přidejte přihlašovací údaje.

  3. V rozevíracím seznamu Scénář federovaných přihlašovacích údajů vyberte jeden z podporovaných scénářů a podle odpovídajících pokynů dokončete konfiguraci.

    • Klíče spravované zákazníkem pro šifrování dat ve vašem tenantovi pomocí služby Azure Key Vault v jiném tenantovi.
    • Akce GitHubu nasazující prostředky Azure pro konfiguraci pracovního postupu GitHubu pro získání tokenů pro vaši aplikaci a nasazení prostředků do Azure
    • Kubernetes přistupující k prostředkům Azure za účelem konfigurace účtu služby Kubernetes za účelem získání tokenů pro vaši aplikaci a přístupu k prostředkům Azure
    • Jiný vystavitel pro konfiguraci identity spravované externím zprostředkovatelem OpenID Připojení pro získání tokenů pro vaši aplikaci a přístup k prostředkům Azure.

Další informace o tom, jak získat přístupový token s federovanými přihlašovacími údaji, najdete v článku o toku přihlašovacích údajů klienta OAuth 2.0 na platformě Microsoft Identity Platform.

Další kroky

Klientské aplikace obvykle potřebují přístup k prostředkům ve webovém rozhraní API. Klientskou aplikaci můžete chránit pomocí platformy Microsoft Identity Platform. Platformu můžete také použít k autorizaci omezeného přístupu na základě oprávnění k vašemu webovému rozhraní API.

Přejděte k dalšímu rychlému startu v řadě, kde vytvoříte další registraci aplikace pro webové rozhraní API a zpřístupníte její rozsahy.

Konfigurace aplikace pro zveřejnění webového rozhraní API