Registrace aplikace v externím tenantovi

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Microsoft Entra Externí ID umožňuje vaší organizaci spravovat identity zákazníků a bezpečně řídit přístup k vašim veřejným aplikacím a rozhraním API. Aplikace, ve kterých si vaši zákazníci můžou koupit produkty, přihlásit se k odběru služeb nebo získat přístup ke svému účtu a datům. Vaši zákazníci se musí přihlásit jenom jednou na zařízení nebo ve webovém prohlížeči a mít přístup ke všem vašim aplikacím, kterým jste jim udělili oprávnění.

Pokud chcete aplikaci povolit přihlášení pomocí externího ID, musíte aplikaci zaregistrovat s externím ID. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a externím ID. Během registrace aplikace zadáte identifikátor URI přesměrování. Identifikátor URI přesměrování je koncový bod, do kterého se uživatelé po ověření přesměrují pomocí externího ID. Proces registrace aplikace vygeneruje ID aplikace označované také jako ID klienta, které jednoznačně identifikuje vaši aplikaci.

Externí ID podporuje ověřování pro různé moderní architektury aplikací, například pro webovou aplikaci nebo jednostránkovou aplikaci. Interakce každého typu aplikace s externím tenantem se liší, proto je nutné zadat typ aplikace, kterou chcete zaregistrovat.

V tomto článku se dozvíte, jak zaregistrovat aplikaci v externím tenantovi.

Požadavky

• Účet Azure, který má aktivní předplatné. Vytvoření účtu zdarma
• Váš externí tenant. Pokud ho ještě nemáte, zaregistrujte si bezplatnou zkušební verzi.

Zvolte typ aplikace.

Jednostránkové aplikace (SPA)

Registrace jednostrákové aplikace

Externí ID podporuje ověřování pro jednostránkové aplikace (SPA).

Následující kroky ukazují, jak zaregistrovat spa v Centru pro správu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte k aplikacím> identit>Registrace aplikací.

4. Vyberte + Nová registrace.

5. Na stránce Registrace aplikace, která se zobrazí, zadejte registrační informace vaší aplikace:

   1. V části Název zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.

   2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

   3. V části Identifikátor URI přesměrování (volitelné) vyberte jednostránkové aplikace (SPA) a do pole adresa URL zadejte http://localhost:3000/.

6. Vyberte Zaregistrovat.

7. Po dokončení registrace se zobrazí podokno Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Identifikátor URI přesměrování

Identifikátor URI přesměrování je koncový bod, do kterého se uživatel po dokončení interakce s uživatelem odešle autorizačnímu serveru (v tomto případě Microsoft Entra ID) a na který se po úspěšné autorizaci odešle přístupový token nebo autorizační kód.

V produkční aplikaci se obvykle jedná o veřejně přístupný koncový bod, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response.

Během vývoje aplikací můžete přidat koncový bod, ve kterém vaše aplikace naslouchá místně, například http://localhost:3000. Identifikátory URI pro přesměrování můžete v registrovaných aplikacích kdykoli přidávat a upravovat.

Pro identifikátory URI přesměrování platí následující omezení:

• Adresa URL odpovědi musí začínat schématem https, pokud nepoužíváte adresu URL přesměrování místního hostitele.

• V adrese URL odpovědi se rozlišují malá a velká písmena. Jeho případ se musí shodovat s případem cesty URL spuštěné aplikace. Pokud vaše aplikace například obsahuje jako součást cesty .../abc/response-oidc, nezadávejte .../ABC/response-oidc v adrese URL odpovědi. Vzhledem k tomu, že webový prohlížeč pracuje s cestami jako s rozlišováním velkých a malých písmen, mohou být soubory cookie přidružené .../abc/response-oidc k souborům cookie vyloučeny, pokud jsou přesměrovány na neodpovídající .../ABC/response-oidc adresu URL.

• Adresa URL odpovědi by měla obsahovat nebo vyloučit koncové lomítko podle očekávání vaší aplikace. Může se například https://contoso.com/auth-response https://contoso.com/auth-response/ považovat za neodpovídající adresy URL ve vaší aplikaci.

Udělit souhlas správce

Jakmile aplikaci zaregistrujete, přiřadí se mu oprávnění User.Read . Vzhledem k tomu, že je tenant externím tenantem, nemohou vlastní uživatelé zákazníka s tímto oprávněním souhlasit. Jako správce musíte udělit souhlas s tímto oprávněním jménem všech uživatelů v tenantovi:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.
   2. Vyberte Aktualizovat a ověřte, že se pro <název> vašeho tenanta zobrazuje stav oprávnění.

Udělení oprávnění rozhraní API (volitelné):

Pokud vaše spa potřebuje volat rozhraní API, musíte udělit oprávnění rozhraní SPA API, aby mohl volat rozhraní API. Musíte také zaregistrovat webové rozhraní API , které potřebujete volat.

Pokud chcete udělit oprávnění rozhraní API klientské aplikace (ciam-client-app), postupujte takto:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

4. Vyberte rozhraní API, která moje organizace používá, kartu.

5. V seznamu rozhraní API vyberte rozhraní API, jako je ciam-ToDoList-api.

6. Vyberte možnost Delegovaná oprávnění .

7. V seznamu oprávnění vyberte ToDoList.Read, ToDoList.ReadWrite (v případě potřeby použijte vyhledávací pole).

8. Vyberte tlačítko Přidat oprávnění. V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že se jedná o tenanta zákazníka, nemůžou uživatelé uživatele sami vyjádřit souhlas s těmito oprávněními. Pokud chcete tento problém vyřešit, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.

   2. Vyberte Aktualizovat a pak ověřte, že se pro <název> vašeho tenanta zobrazuje v části Stav pro oba obory.

9. V seznamu Konfigurovaná oprávnění vyberte oprávnění ToDoList.Read a ToDoList.ReadWrite, a pak zkopírujte úplný identifikátor URI oprávnění pro pozdější použití. Úplný identifikátor URI oprávnění vypadá podobně jako api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}nebo .

Pokud chcete zjistit, jak oprávnění zveřejnit přidáním odkazu, přejděte do části Webové rozhraní API .

Testování toku uživatele (volitelné)

Pokud chcete otestovat tok uživatele s touto registrací aplikace, povolte implicitní tok udělení pro ověřování.

Důležité

Implicitní tok by se měl používat jenom pro účely testování a ne pro ověřování uživatelů v produkčních aplikacích. Jakmile dokončíte testování, doporučujeme ho odebrat.

Pokud chcete povolit implicitní tok, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
3. Přejděte k aplikacím> identit>Registrace aplikací.
4. Vyberte registraci aplikace, kterou jste vytvořili.
5. V části Spravovat vyberte Ověřování.
6. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).
7. Zvolte Uložit.

Webová aplikace

Registrace webové aplikace

Externí ID podporuje ověřování webových aplikací.

Následující kroky ukazují, jak zaregistrovat webovou aplikaci v Centru pro správu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte k aplikacím> identit>Registrace aplikací.

4. Vyberte + Nová registrace.

5. Na stránce Registrace aplikace, která se zobrazí, zadejte registrační informace vaší aplikace:

   1. V části Název zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.

   2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

   3. V části Identifikátor URI přesměrování (volitelné) vyberte Web a potom do pole adresa URL zadejte adresu URL, http://localhost:3000/například .

6. Vyberte Zaregistrovat.

7. Po dokončení registrace se zobrazí podokno Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Identifikátor URI přesměrování

Identifikátor URI přesměrování je koncový bod, do kterého se uživatel po dokončení interakce s uživatelem odešle autorizačnímu serveru (v tomto případě Microsoft Entra ID) a na který se po úspěšné autorizaci odešle přístupový token nebo autorizační kód.

V produkční aplikaci se obvykle jedná o veřejně přístupný koncový bod, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response.

Během vývoje aplikací můžete přidat koncový bod, ve kterém vaše aplikace naslouchá místně, například http://localhost:3000. Identifikátory URI pro přesměrování můžete v registrovaných aplikacích kdykoli přidávat a upravovat.

Pro identifikátory URI přesměrování platí následující omezení:

• Adresa URL odpovědi musí začínat schématem https, pokud nepoužíváte adresu URL přesměrování místního hostitele.

• V adrese URL odpovědi se rozlišují malá a velká písmena. Jeho případ se musí shodovat s případem cesty URL spuštěné aplikace. Pokud vaše aplikace například obsahuje jako součást cesty .../abc/response-oidc, nezadávejte .../ABC/response-oidc v adrese URL odpovědi. Vzhledem k tomu, že webový prohlížeč pracuje s cestami jako s rozlišováním velkých a malých písmen, mohou být soubory cookie přidružené .../abc/response-oidc k souborům cookie vyloučeny, pokud jsou přesměrovány na neodpovídající .../ABC/response-oidc adresu URL.

• Adresa URL odpovědi by měla obsahovat nebo vyloučit koncové lomítko podle očekávání vaší aplikace. Může se například https://contoso.com/auth-response https://contoso.com/auth-response/ považovat za neodpovídající adresy URL ve vaší aplikaci.

Udělit souhlas správce

Jakmile aplikaci zaregistrujete, přiřadí se mu oprávnění User.Read . Vzhledem k tomu, že je tenant externím tenantem, nemohou vlastní uživatelé zákazníka s tímto oprávněním souhlasit. Jako správce musíte udělit souhlas s tímto oprávněním jménem všech uživatelů v tenantovi:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.
   2. Vyberte Aktualizovat a ověřte, že se pro <název> vašeho tenanta zobrazuje stav oprávnění.

Vytvoření tajného klíče klienta

 

Vytvořte tajný klíč klienta pro zaregistrovanou aplikaci. Aplikace používá tajný klíč klienta k prokázání své identity při žádosti o tokeny.

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.
2. V části Spravovat vyberte Certifikáty a tajné kódy.
3. Vyberte Nový tajný klíč klienta.
4. Do pole Popis zadejte popis tajného klíče klienta (například tajný klíč klienta ciam).
5. V části Konec platnosti vyberte dobu platnosti tajného kódu (podle pravidel zabezpečení vaší organizace) a pak vyberte Přidat.
6. Poznamenejte si hodnotu tajného kódu. Tuto hodnotu použijete pro konfiguraci v pozdějším kroku. Hodnota tajného kódu se znovu nezobrazí a po přechodu z certifikátů a tajných kódů se nezobrazí žádným způsobem. Ujistěte se, že jste ho nahráli.

Udělení oprávnění rozhraní API (volitelné)

Pokud vaše webová aplikace potřebuje volat rozhraní API, musíte udělit oprávnění rozhraní API webové aplikace, aby mohlo volat rozhraní API. Musíte také zaregistrovat webové rozhraní API , které potřebujete volat.

Pokud chcete udělit oprávnění rozhraní API klientské aplikace (ciam-client-app), postupujte takto:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

4. Vyberte rozhraní API, která moje organizace používá, kartu.

5. V seznamu rozhraní API vyberte rozhraní API, jako je ciam-ToDoList-api.

6. Vyberte možnost Delegovaná oprávnění .

7. V seznamu oprávnění vyberte ToDoList.Read, ToDoList.ReadWrite (v případě potřeby použijte vyhledávací pole).

8. Vyberte tlačítko Přidat oprávnění. V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že se jedná o tenanta zákazníka, nemůžou uživatelé uživatele sami vyjádřit souhlas s těmito oprávněními. Pokud chcete tento problém vyřešit, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.

   2. Vyberte Aktualizovat a pak ověřte, že se pro <název> vašeho tenanta zobrazuje v části Stav pro oba obory.

9. V seznamu Konfigurovaná oprávnění vyberte oprávnění ToDoList.Read a ToDoList.ReadWrite, a pak zkopírujte úplný identifikátor URI oprávnění pro pozdější použití. Úplný identifikátor URI oprávnění vypadá podobně jako api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}nebo .

Testování toku uživatele (volitelné)

Pokud chcete otestovat tok uživatele s touto registrací aplikace, povolte implicitní tok udělení pro ověřování.

Důležité

Implicitní tok by se měl používat jenom pro účely testování a ne pro ověřování uživatelů v produkčních aplikacích. Jakmile dokončíte testování, doporučujeme ho odebrat.

Pokud chcete povolit implicitní tok, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
3. Přejděte k aplikacím> identit>Registrace aplikací.
4. Vyberte registraci aplikace, kterou jste vytvořili.
5. V části Spravovat vyberte Ověřování.
6. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).
7. Zvolte Uložit.

Webové rozhraní API

Registrace webového rozhraní API

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte k aplikacím> identit>Registrace aplikací.

4. Vyberte + Nová registrace.

5. Na stránce Registrace aplikace , která se zobrazí, zadejte registrační informace vaší aplikace:

   1. V části Název zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-ToDoList-api.

   2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

6. Výběrem možnosti Registrovat aplikaci vytvořte.

7. Po dokončení registrace se zobrazí podokno Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Zveřejnění oprávnění

Rozhraní API musí publikovat minimálně jeden obor, označovaný také jako Delegovaná oprávnění, aby klientské aplikace získaly přístupový token pro uživatele. Pokud chcete obor publikovat, postupujte takto:

1. Na stránce Registrace aplikací vyberte aplikaci API, kterou jste vytvořili (ciam-ToDoList-api) a otevřete její stránku Přehled.

2. V části Spravovat vyberte Zveřejnit rozhraní API.

3. V horní části stránky vedle identifikátoru URI ID aplikace vyberte odkaz Přidat a vygenerujte jedinečný identifikátor URI pro tuto aplikaci.

4. Přijměte navrhovaný identifikátor URI ID aplikace, například api://{clientId}, a vyberte Uložit. Když vaše webová aplikace požádá o přístupový token pro webové rozhraní API, přidá identifikátor URI jako předponu pro každý obor, který definujete pro rozhraní API.

5. V části Obory definované tímto rozhraním API vyberte Přidat obor.

6. Zadejte následující hodnoty, které definují přístup pro čtení k rozhraní API, a pak výběrem možnosti Přidat obor uložte změny:

   Vlastnost	Hodnota
   Název oboru	ToDoList.Read
   Kdo může vyjádřit souhlas	Pouze správci
   Zobrazovaný název souhlasu správce	Čtení seznamu úkolů uživatelů pomocí todoListApi
   Popis souhlasu správce	Umožňuje aplikaci číst seznam úkolů uživatele pomocí todo 'TodoApi'.
   State	Povoleno

7. Znovu vyberte Přidat obor a zadejte následující hodnoty, které definují obor přístupu pro čtení a zápis do rozhraní API. Výběrem možnosti Přidat obor uložte změny:

   Vlastnost	Hodnota
   Název oboru	ToDoList.ReadWrite
   Kdo může vyjádřit souhlas	Pouze správci
   Zobrazovaný název souhlasu správce	Čtení a zápis uživatelů seznamu úkolů pomocí toDoListApi
   Popis souhlasu správce	Povolení čtení a zápisu seznamu úkolů uživatele pomocí toDoApi
   State	Povoleno

8. V části Spravovat vyberte Manifest a otevřete editor manifestu rozhraní API.

9. Nastavit accessTokenAcceptedVersion vlastnost na 2hodnotu .

10. Zvolte Uložit.

Přečtěte si další informace o principu nejnižšího oprávnění při publikování oprávnění pro webové rozhraní API.

Přidání rolí aplikace

Rozhraní API musí publikovat minimálně jednu roli aplikace pro aplikace, označované také jako oprávnění aplikace, aby klientské aplikace získaly přístupový token jako vlastní. Oprávnění aplikace jsou typem oprávnění, která by rozhraní API měla publikovat, když chtějí klientským aplikacím umožnit úspěšné ověření jako sebe sama, a nemusí se přihlašovat uživatele. Pokud chcete publikovat oprávnění aplikace, postupujte takto:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-ToDoList-api), a otevřete její stránku Přehled.

2. V části Spravovat vyberte Role aplikace.

3. Vyberte Vytvořit roli aplikace a pak zadejte následující hodnoty a pak vyberte Použít , aby se změny uložily:

   Vlastnost	Hodnota
   Zobrazované jméno	ToDoList.Read.All
   Povolené typy členů	Aplikace
   Hodnota	ToDoList.Read.All
   Popis	Povolit aplikaci číst seznam úkolů každého uživatele pomocí todoListApi

4. Znovu vyberte Vytvořit roli aplikace a pak zadejte následující hodnoty pro druhou roli aplikace a pak vyberte Použít pro uložení změn:

   Vlastnost	Hodnota
   Zobrazované jméno	ToDoList.ReadWrite.All
   Povolené typy členů	Aplikace
   Hodnota	ToDoList.ReadWrite.All
   Popis	Povolit aplikaci čtení a zápisu seznamu úkolů každého uživatele pomocí toDoApi

Desktopová nebo mobilní aplikace

Registrace desktopové nebo mobilní aplikace

Následující kroky ukazují, jak zaregistrovat aplikaci v Centru pro správu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte k aplikacím> identit>Registrace aplikací.

4. Vyberte + Nová registrace.

5. Na stránce Registrace aplikace, která se zobrazí, zadejte registrační informace vaší aplikace:

   1. V části Název zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.

   2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

   3. V části Identifikátor URI přesměrování (volitelné) vyberte možnost Mobilní a desktopové aplikace a potom do pole adresa URL zadejte identifikátor URI s jedinečným schématem. Například identifikátor URI přesměrování desktopové aplikace Elektron vypadá podobně, jako http://localhost když uživatelské rozhraní aplikace .NET pro více platforem (MAUI) vypadá podobně jako msal{ClientId}://auth.

6. Vyberte Zaregistrovat.

7. Po dokončení registrace se zobrazí podokno Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Udělit souhlas správce

Jakmile aplikaci zaregistrujete, přiřadí se mu oprávnění User.Read . Vzhledem k tomu, že je tenant externím tenantem, nemohou vlastní uživatelé zákazníka s tímto oprávněním souhlasit. Jako správce musíte udělit souhlas s tímto oprávněním jménem všech uživatelů v tenantovi:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.
   2. Vyberte Aktualizovat a ověřte, že se pro <název> vašeho tenanta zobrazuje stav oprávnění.

Udělení oprávnění rozhraní API (volitelné)

Pokud vaše mobilní aplikace potřebuje volat rozhraní API, musíte udělit oprávnění rozhraní API mobilní aplikace, aby mohlo volat rozhraní API. Musíte také zaregistrovat webové rozhraní API , které potřebujete volat.

Pokud chcete udělit oprávnění rozhraní API klientské aplikace (ciam-client-app), postupujte takto:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

4. Vyberte rozhraní API, která moje organizace používá, kartu.

5. V seznamu rozhraní API vyberte rozhraní API, jako je ciam-ToDoList-api.

6. Vyberte možnost Delegovaná oprávnění .

7. V seznamu oprávnění vyberte ToDoList.Read, ToDoList.ReadWrite (v případě potřeby použijte vyhledávací pole).

8. Vyberte tlačítko Přidat oprávnění. V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že se jedná o tenanta zákazníka, nemůžou uživatelé uživatele sami vyjádřit souhlas s těmito oprávněními. Pokud chcete tento problém vyřešit, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.

   2. Vyberte Aktualizovat a pak ověřte, že se pro <název> vašeho tenanta zobrazuje v části Stav pro oba obory.

9. V seznamu Konfigurovaná oprávnění vyberte oprávnění ToDoList.Read a ToDoList.ReadWrite, a pak zkopírujte úplný identifikátor URI oprávnění pro pozdější použití. Úplný identifikátor URI oprávnění vypadá podobně jako api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}nebo .

Testování toku uživatele (volitelné)

Pokud chcete otestovat tok uživatele s touto registrací aplikace, povolte implicitní tok udělení pro ověřování.

Důležité

Implicitní tok by se měl používat jenom pro účely testování a ne pro ověřování uživatelů v produkčních aplikacích. Jakmile dokončíte testování, doporučujeme ho odebrat.

Pokud chcete povolit implicitní tok, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
3. Přejděte k aplikacím> identit>Registrace aplikací.
4. Vyberte registraci aplikace, kterou jste vytvořili.
5. V části Spravovat vyberte Ověřování.
6. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).
7. Zvolte Uložit.

Aplikace démon

Registrace aplikace démona

Následující kroky ukazují, jak zaregistrovat aplikaci démona v Centru pro správu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte k aplikacím> identit>Registrace aplikací.

4. Vyberte + Nová registrace.

5. Na stránce Registrace aplikace, která se zobrazí, zadejte registrační informace vaší aplikace:

   1. V části Název zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.

   2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

6. Vyberte Zaregistrovat.

7. Po dokončení registrace se zobrazí podokno Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Udělení oprávnění rozhraní API

Aplikace démona se přihlásí jako sama sebe pomocí toku přihlašovacích údajů klienta OAuth 2.0. Udělíte oprávnění aplikace (role aplikací), které vyžadují aplikace, které se ověřují jako samy. Musíte také zaregistrovat webové rozhraní API , které vaše aplikace démona potřebuje volat.

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili, například ciam-client-app.

2. V části Spravovat vyberte oprávnění rozhraní API.

3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

4. Vyberte rozhraní API, která moje organizace používá, kartu.

5. V seznamu rozhraní API vyberte rozhraní API, jako je ciam-ToDoList-api.

6. Vyberte možnost Oprávnění aplikace. Tuto možnost vybereme jako aplikaci, která se přihlásí jako sama sebe, ale ne jménem uživatele.

7. V seznamu oprávnění vyberte TodoList.Read.All, ToDoList.ReadWrite.All (v případě potřeby použijte vyhledávací pole).

8. Vyberte tlačítko Přidat oprávnění.

9. V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že aplikace démona neumožňuje uživatelům pracovat s ním, nemůžou s těmito oprávněními souhlasit sami uživatelé. Pokud chcete tento problém vyřešit, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.
   2. Vyberte Aktualizovat a ověřte, že se pro <název> vašeho tenanta zobrazuje v části Stav pro obě oprávnění.

Testování toku uživatele (volitelné)

Pokud chcete otestovat tok uživatele s touto registrací aplikace, povolte implicitní tok udělení pro ověřování.

Důležité

Implicitní tok by se měl používat jenom pro účely testování a ne pro ověřování uživatelů v produkčních aplikacích. Jakmile dokončíte testování, doporučujeme ho odebrat.

Pokud chcete povolit implicitní tok, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
3. Přejděte k aplikacím> identit>Registrace aplikací.
4. Vyberte registraci aplikace, kterou jste vytvořili.
5. V části Spravovat vyberte Ověřování.
6. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).
7. Zvolte Uložit.

Microsoft Graph API

Registrace aplikace Rozhraní Microsoft Graph API

Pokud chcete aplikaci umožnit přihlášení uživatelů pomocí Microsoft Entra, Microsoft Entra Externí ID musí být informována o aplikaci, kterou vytvoříte. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a Microsoft Entra. Když zaregistrujete aplikaci, externí ID vygeneruje jedinečný identifikátor označovaný jako ID aplikace (klienta), což je hodnota použitá k identifikaci aplikace při vytváření žádostí o ověření.

Následující kroky ukazují, jak zaregistrovat aplikaci v Centru pro správu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte k aplikacím> identit>Registrace aplikací.

4. Vyberte + Nová registrace.

5. Na stránce Zaregistrovat aplikaci, která se zobrazí;

   1. Zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.
   2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

6. Vyberte Zaregistrovat.

7. Po úspěšné registraci se zobrazí podokno Přehled aplikace. Poznamenejte si ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Udělení přístupu rozhraní API k aplikaci

Aby vaše aplikace přistupovala k datům v rozhraní Microsoft Graph API, udělte zaregistrované aplikaci příslušná oprávnění aplikace. Platná oprávnění vaší aplikace jsou úplná úroveň oprávnění vyplývajících z oprávnění. Pokud chcete například vytvořit, číst, aktualizovat a odstranit každého uživatele v externím tenantovi, přidejte oprávnění User.ReadWrite.All.

1. V části Spravovat vyberte oprávnění rozhraní API.

2. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

3. Vyberte kartu Microsoft API a pak vyberte Microsoft Graph.

4. Vyberte Oprávnění aplikace.

5. Rozbalte příslušnou skupinu oprávnění a zaškrtněte políčko udělte aplikaci pro správu. Příklad:

   • User.ReadWrite.All>: Pro scénáře migrace uživatelů nebo správy uživatelů.

   • Group.ReadWrite.All>: Pro vytváření skupin, čtení a aktualizace členství ve skupinách a odstraňování skupin.

   • AuditLog>AuditLog.Read.All: Pro čtení protokolů auditu adresáře.

   • Policy>Policy.ReadWrite.TrustFramework: Pro scénáře kontinuální integrace/průběžného doručování (CI/CD). Například vlastní nasazení zásad pomocí Azure Pipelines.

6. Vyberte Přidat oprávnění. Podle pokynů počkejte několik minut, než budete pokračovat k dalšímu kroku.

7. Vyberte Udělení souhlasu správce pro (název vašeho tenanta).

8. Pokud nejste aktuálně přihlášení, přihlaste se pomocí účtu v externím tenantovi, kterému byla přiřazena alespoň role Správce cloudových aplikací, a pak vyberte Udělit souhlas správce (název vašeho tenanta).

9. Vyberte Aktualizovat a pak ověřte, že je uděleno pro... zobrazí se v části Stav. Rozšíření oprávnění může trvat několik minut.

Po registraci aplikace musíte do aplikace přidat tajný klíč klienta. Tento tajný klíč klienta se použije k ověření aplikace pro volání rozhraní Microsoft Graph API.

Vytvoření tajného klíče klienta

Vytvořte tajný klíč klienta pro zaregistrovanou aplikaci. Aplikace používá tajný klíč klienta k prokázání své identity při žádosti o tokeny.

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.
2. V části Spravovat vyberte Certifikáty a tajné kódy.
3. Vyberte Nový tajný klíč klienta.
4. Do pole Popis zadejte popis tajného klíče klienta (například tajný klíč klienta ciam).
5. V části Konec platnosti vyberte dobu platnosti tajného kódu (podle pravidel zabezpečení vaší organizace) a pak vyberte Přidat.
6. Poznamenejte si hodnotu tajného kódu. Tuto hodnotu použijete pro konfiguraci v pozdějším kroku. Hodnota tajného kódu se znovu nezobrazí a po přechodu z certifikátů a tajných kódů se nezobrazí žádným způsobem. Ujistěte se, že jste ho nahráli.

Testování toku uživatele (volitelné)

Pokud chcete otestovat tok uživatele s touto registrací aplikace, povolte implicitní tok udělení pro ověřování.

Důležité

Implicitní tok by se měl používat jenom pro účely testování a ne pro ověřování uživatelů v produkčních aplikacích. Jakmile dokončíte testování, doporučujeme ho odebrat.

Pokud chcete povolit implicitní tok, postupujte takto:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
3. Přejděte k aplikacím> identit>Registrace aplikací.
4. Vyberte registraci aplikace, kterou jste vytvořili.
5. V části Spravovat vyberte Ověřování.
6. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).
7. Zvolte Uložit.

Nativní ověřování

Registrace nativní ověřovací aplikace

Pokud chcete aplikaci umožnit přihlášení uživatelů pomocí Microsoft Entra, Microsoft Entra Externí ID musí být informována o aplikaci, kterou vytvoříte. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a Microsoft Entra. Když zaregistrujete aplikaci, externí ID vygeneruje jedinečný identifikátor označovaný jako ID aplikace (klienta), což je hodnota použitá k identifikaci aplikace při vytváření žádostí o ověření.

Následující kroky ukazují, jak zaregistrovat aplikaci v Centru pro správu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte k aplikacím> identit>Registrace aplikací.

4. Vyberte + Nová registrace.

5. Na stránce Zaregistrovat aplikaci, která se zobrazí;

   1. Zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.
   2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

6. Vyberte Zaregistrovat.

7. Po úspěšné registraci se zobrazí podokno Přehled aplikace. Poznamenejte si ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Udělit souhlas správce

Jakmile aplikaci zaregistrujete, přiřadí se mu oprávnění User.Read . Vzhledem k tomu, že je tenant externím tenantem, nemohou vlastní uživatelé zákazníka s tímto oprávněním souhlasit. Jako správce musíte udělit souhlas s tímto oprávněním jménem všech uživatelů v tenantovi:

1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

2. V části Spravovat vyberte oprávnění rozhraní API.

   1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.
   2. Vyberte Aktualizovat a ověřte, že se pro <název> vašeho tenanta zobrazuje stav oprávnění.

Povolení toků veřejného klienta a nativního ověřování

Pokud chcete určit, že tato aplikace je veřejným klientem a může používat nativní ověřování, povolte toky veřejného klienta a nativního ověřování:

1. Na stránce registrace aplikací vyberte registraci aplikace, pro kterou chcete povolit veřejné klienty a nativní toky ověřování.
2. V části Spravovat vyberte Ověřování.
3. V části Upřesnit nastavení povolte toky veřejných klientů:
   1. Pro povolení následujících mobilních a desktopových toků vyberte Ano.
   2. Pro povolení nativního ověřování vyberte Ano.
4. Vyberte tlačítko Uložit .

Vyhledání ID aplikace (klienta)

Po registraci nové aplikace najdete ID aplikace (klienta) z přehledu v Centru pro správu Microsoft Entra.

1. Na stránce Registrace aplikací vyberte kartu Všechny aplikace nebo Vlastní aplikace.

2. Výběrem aplikace otevřete stránku Přehled .

3. V části Základy najdete všechny podrobnosti o aplikaci včetně ID aplikace (klienta).

   

Další kroky

• Vytvoření toku uživatele registrace a přihlášení