Kurz: Příprava tenanta zákazníka na autorizaci aplikace démona .NET
Prvním krokem při zabezpečení aplikací je jejich registrace. V tomto kurzu připravíte ID Microsoft Entra pro tenanta zákazníka k autorizaci. Tento kurz je součástí série, která vás provede vývojem aplikace démona .NET, která volá vaše vlastní chráněné webové rozhraní API pomocí id Microsoft Entra pro zákazníky.
V tomto kurzu se naučíte:
- Zaregistrujte webové rozhraní API a nakonfigurujte oprávnění aplikace v centru pro správu Microsoft Entra.
- Registrace aplikace démona klienta a udělení oprávnění k aplikaci v centru pro správu Microsoft Entra
- Vytvořte tajný klíč klienta pro aplikaci démona v centru pro správu Microsoft Entra.
Požadavky
Microsoft Entra ID tenanta zákazníka. Pokud ještě nemáte, zaregistrujte si bezplatnou zkušební verzi.
1. Registrace aplikace webového rozhraní API
Přihlaste se k Centru pro správu Microsoft Entra alespoň jako vývojář aplikací.
Pokud máte přístup k více tenantům, přepněte na tenanta zákazníka pomocí filtru
Adresáře a předplatná v horní nabídce.Přejděte naAplikace>identit>Registrace aplikací.
Vyberte + Nová registrace.
Na stránce Zaregistrovat aplikaci , která se zobrazí, zadejte informace o registraci vaší aplikace:
V části Název zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-ToDoList-api.
V části Podporované typy účtů vyberte Účty pouze v tomto organizačním adresáři.
Výběrem možnosti Registrovat aplikaci vytvořte.
Po dokončení registrace se zobrazí podokno Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a ID aplikace (klienta), které se mají použít ve zdrojovém kódu aplikace.
2. Konfigurace aplikačních rolí
Rozhraní API musí publikovat minimálně jednu roli aplikace, označovanou také jako Oprávnění aplikace, aby klientské aplikace mohly získat přístupový token jako samy. Oprávnění aplikací jsou typ oprávnění, která by rozhraní API měla publikovat, když chtějí klientským aplikacím umožnit úspěšné ověření jako sebe sama a nepotřebují se přihlašovat uživatele. Chcete-li publikovat oprávnění aplikace, postupujte takto:
Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-ToDoList-api), a otevřete tak její stránku Přehled.
V části Spravovat vyberte Role aplikací.
Vyberte Vytvořit roli aplikace, zadejte následující hodnoty a pak vyberte Použít a uložte změny:
Vlastnost Hodnota Zobrazované jméno ToDoList.Read.All Povolené typy členů Aplikace Hodnota ToDoList.Read.All Description Povolit aplikaci číst seznam úkolů každého uživatele pomocí todoListApi Znovu vyberte Vytvořit aplikační roli , zadejte následující hodnoty pro druhou roli aplikace a pak vyberte Použít a uložte změny:
Vlastnost Hodnota Zobrazované jméno ToDoList.ReadWrite.All Povolené typy členů Aplikace Hodnota ToDoList.ReadWrite.All Description Povolit aplikaci číst a zapisovat seznam úkolů každého uživatele pomocí ToDoListApi
3. Konfigurace deklarace identity tokenu idtyp
Tokeny vrácené identitou Microsoftu se uchovávají menší, aby se zajistil optimální výkon klientů, kteří je požadují. V důsledku toho se několik deklarací identity už v tokenu ve výchozím nastavení nenachází a musí se o to požádat konkrétně pro jednotlivé aplikace. Pro tuto aplikaci zahrnete volitelnou deklaraci identity idtyp , která webovému rozhraní API pomůže určit, jestli je token tokenem aplikace nebo tokenem app+user. I když se ke stejnému účelu dá použít kombinace deklarací identity scp a rolí , nejjednodušší způsob, jak token aplikace a token app+user oddělit, je použití deklarace identity idtyp . Hodnota této deklarace identity je například app , pokud je token tokenem pouze pro aplikaci.
Pomocí následujících kroků nakonfigurujte volitelnou deklaraci identity idtyp :
V části Spravovat vyberte Konfigurace tokenu.
Vyberte Přidat volitelnou deklaraci identity.
V části Typ tokenu zvolte Přístup.
Vyberte volitelný idtyp deklarace identity.
Vyberte Přidat a uložte změny.
4. Registrace aplikace démona
Pokud chcete aplikaci povolit přihlašování uživatelů pomocí Microsoft Entra, musí být Microsoft Entra ID pro zákazníky informováno o aplikaci, kterou vytvoříte. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a Microsoft Entra. Když zaregistrujete aplikaci, externí ID vygeneruje jedinečný identifikátor označovaný jako ID aplikace (klienta), což je hodnota, která se používá k identifikaci vaší aplikace při vytváření žádostí o ověření.
Následující kroky ukazují, jak zaregistrovat aplikaci v Centru pro správu Microsoft Entra:
Přihlaste se k Centru pro správu Microsoft Entra alespoň jako vývojář aplikací.
Pokud máte přístup k více tenantům, přepněte na tenanta zákazníka pomocí filtru
Adresáře a předplatná v horní nabídce.Přejděte naAplikace>identit>Registrace aplikací.
Vyberte + Nová registrace.
Na stránce Zaregistrovat aplikaci , která se zobrazí;
- Zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.
- V části Podporované typy účtů vyberte Účty pouze v tomto organizačním adresáři.
Vyberte Zaregistrovat.
Po úspěšné registraci se zobrazí podokno Přehled aplikace. Poznamenejte si ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.
5. Vytvoření tajného klíče klienta
Vytvořte tajný klíč klienta pro zaregistrovanou aplikaci. Aplikace používá tajný klíč klienta k prokázání své identity při žádosti o tokeny.
- Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete tak její stránku Přehled.
- V části Spravovat vyberte Tajné kódy certifikátů&.
- Vyberte Nový tajný klíč klienta.
- Do pole Popis zadejte popis tajného klíče klienta (například tajný klíč klienta aplikace CIAM).
- V části Konec platnosti vyberte dobu platnosti tajného kódu (podle pravidel zabezpečení vaší organizace) a pak vyberte Přidat.
- Zaznamenejte hodnotu tajného klíče. Tuto hodnotu použijete pro konfiguraci v pozdějším kroku.
Poznámka
Po přechodu ze stránky Certifikáty a tajné kódy se hodnota tajného kódu znovu nezobrazí a v žádném případě se nedá načíst, proto ji nezapomeňte zaznamenat.
V případě zvýšeného zabezpečení zvažte použití certifikátů místo tajných klíčů klienta.
6. Udělení oprávnění rozhraní API k aplikaci démona
Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili, například ciam-client-app.
V části Spravovat vyberte Oprávnění rozhraní API.
V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.
Vyberte kartu Moje rozhraní API .
V seznamu rozhraní API vyberte rozhraní API, například ciam-ToDoList-api.
Vyberte Možnost Oprávnění aplikace . Tuto možnost vybereme, protože se aplikace přihlašuje jako sama, ne jako uživatelé.
V seznamu oprávnění vyberte TodoList.Read.All, ToDoList.ReadWrite.All (v případě potřeby použijte vyhledávací pole).
Vyberte tlačítko Přidat oprávnění .
V tuto chvíli jste oprávnění přiřadili správně. Vzhledem k tomu, že aplikace démona neumožňuje uživatelům s ní pracovat, nemůžou s těmito oprávněními souhlasit samotní uživatelé. Pokud chcete tento problém vyřešit, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:
- Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.
- Vyberte Aktualizovat a pak ověřte, že pro <název> vašeho tenanta je v části Stav u obou oprávnění uvedeno Uděleno.
6. Záznam podrobností o registraci aplikace
Dalším krokem po tomto kurzu je vytvoření aplikace démona, která volá vaše webové rozhraní API. Ujistěte se, že máte následující podrobnosti:
- ID aplikace (klienta) aplikace démon klienta, kterou jste zaregistrovali.
- Subdoména adresáře (tenanta), ve které jste zaregistrovali aplikaci démona. Pokud nemáte název tenanta, přečtěte si, jak si přečíst podrobnosti o tenantovi.
- Hodnota tajného klíče aplikace pro aplikaci démona, kterou jste vytvořili.
- ID aplikace (klienta) aplikace webového rozhraní API, kterou jste zaregistrovali.
Další kroky
V dalším kurzu nakonfigurujete aplikace démona a webového rozhraní API.