Sdílet prostřednictvím


Registrace aplikace v externím tenantovi

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Microsoft Entra Externí ID umožňuje vaší organizaci spravovat identity zákazníků a bezpečně řídit přístup k vašim veřejným aplikacím a rozhraním API. Aplikace, ve kterých si vaši zákazníci můžou koupit produkty, přihlásit se k odběru služeb nebo získat přístup ke svému účtu a datům. Vaši zákazníci se musí přihlásit jenom jednou na zařízení nebo ve webovém prohlížeči a mít přístup ke všem vašim aplikacím, kterým jste jim udělili oprávnění.

Pokud chcete aplikaci povolit přihlášení pomocí externího ID, musíte aplikaci zaregistrovat s externím ID. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a externím ID. Během registrace aplikace zadáte identifikátor URI přesměrování. Identifikátor URI přesměrování je koncový bod, do kterého se uživatelé po ověření přesměrují pomocí externího ID. Proces registrace aplikace vygeneruje ID aplikace označované také jako ID klienta, které jednoznačně identifikuje vaši aplikaci.

Externí ID podporuje ověřování pro různé moderní architektury aplikací, například pro webovou aplikaci nebo jednostránkovou aplikaci. Interakce každého typu aplikace s externím tenantem se liší, proto je nutné zadat typ aplikace, kterou chcete zaregistrovat.

V tomto článku se dozvíte, jak zaregistrovat aplikaci v externím tenantovi.

Požadavky

Zvolte typ aplikace.

Registrace jednostrákové aplikace

Externí ID podporuje ověřování pro jednostránkové aplikace (SPA).

Následující kroky ukazují, jak zaregistrovat spa v Centru pro správu Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

  3. Přejděte k aplikacím> identit>Registrace aplikací.

  4. Vyberte + Nová registrace.

  5. Na stránce Registrace aplikace, která se zobrazí, zadejte registrační informace vaší aplikace:

    1. V části Název zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace, například ciam-client-app.

    2. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.

    3. V části Identifikátor URI přesměrování (volitelné) vyberte jednostránkové aplikace (SPA) a do pole adresa URL zadejte http://localhost:3000/.

  6. Vyberte Zaregistrovat.

  7. Po dokončení registrace se zobrazí podokno Přehled aplikace. Poznamenejte si ID adresáře (tenanta) a ID aplikace (klienta), které se má použít ve zdrojovém kódu aplikace.

Identifikátor URI přesměrování

Identifikátor URI přesměrování je koncový bod, do kterého se uživatel po dokončení interakce s uživatelem odešle autorizačnímu serveru (v tomto případě Microsoft Entra ID) a na který se po úspěšné autorizaci odešle přístupový token nebo autorizační kód.

V produkční aplikaci se obvykle jedná o veřejně přístupný koncový bod, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response.

Během vývoje aplikací můžete přidat koncový bod, ve kterém vaše aplikace naslouchá místně, například http://localhost:3000. Identifikátory URI pro přesměrování můžete v registrovaných aplikacích kdykoli přidávat a upravovat.

Pro identifikátory URI přesměrování platí následující omezení:

  • Adresa URL odpovědi musí začínat schématem https, pokud nepoužíváte adresu URL přesměrování místního hostitele.

  • V adrese URL odpovědi se rozlišují malá a velká písmena. Jeho případ se musí shodovat s případem cesty URL spuštěné aplikace. Pokud vaše aplikace například obsahuje jako součást cesty .../abc/response-oidc, nezadávejte .../ABC/response-oidc v adrese URL odpovědi. Vzhledem k tomu, že webový prohlížeč pracuje s cestami jako s rozlišováním velkých a malých písmen, mohou být soubory cookie přidružené .../abc/response-oidc k souborům cookie vyloučeny, pokud jsou přesměrovány na neodpovídající .../ABC/response-oidc adresu URL.

  • Adresa URL odpovědi by měla obsahovat nebo vyloučit koncové lomítko podle očekávání vaší aplikace. Může se například https://contoso.com/auth-response https://contoso.com/auth-response/ považovat za neodpovídající adresy URL ve vaší aplikaci.

Jakmile aplikaci zaregistrujete, přiřadí se mu oprávnění User.Read . Vzhledem k tomu, že je tenant externím tenantem, nemohou vlastní uživatelé zákazníka s tímto oprávněním souhlasit. Jako správce musíte udělit souhlas s tímto oprávněním jménem všech uživatelů v tenantovi:

  1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

  2. V části Spravovat vyberte oprávnění rozhraní API.

    1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.
    2. Vyberte Aktualizovat a ověřte, že se pro <název> vašeho tenanta zobrazuje stav oprávnění.

Udělení oprávnění rozhraní API (volitelné):

Pokud vaše spa potřebuje volat rozhraní API, musíte udělit oprávnění rozhraní SPA API, aby mohl volat rozhraní API. Musíte také zaregistrovat webové rozhraní API , které potřebujete volat.

Pokud chcete udělit oprávnění rozhraní API klientské aplikace (ciam-client-app), postupujte takto:

  1. Na stránce Registrace aplikací vyberte aplikaci, kterou jste vytvořili (například ciam-client-app), a otevřete její stránku Přehled.

  2. V části Spravovat vyberte oprávnění rozhraní API.

  3. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.

  4. Vyberte rozhraní API, která moje organizace používá, kartu.

  5. V seznamu rozhraní API vyberte rozhraní API, jako je ciam-ToDoList-api.

  6. Vyberte možnost Delegovaná oprávnění .

  7. V seznamu oprávnění vyberte ToDoList.Read, ToDoList.ReadWrite (v případě potřeby použijte vyhledávací pole).

  8. Vyberte tlačítko Přidat oprávnění. V tomto okamžiku jste správně přiřadili oprávnění. Vzhledem k tomu, že se jedná o tenanta zákazníka, nemůžou uživatelé uživatele sami vyjádřit souhlas s těmito oprávněními. Pokud chcete tento problém vyřešit, musíte jako správce udělit souhlas s těmito oprávněními jménem všech uživatelů v tenantovi:

    1. Vyberte Udělit souhlas správce pro <název> vašeho tenanta a pak vyberte Ano.

    2. Vyberte Aktualizovat a pak ověřte, že se pro <název> vašeho tenanta zobrazuje v části Stav pro oba obory.

  9. V seznamu Konfigurovaná oprávnění vyberte oprávnění ToDoList.Read a ToDoList.ReadWrite, a pak zkopírujte úplný identifikátor URI oprávnění pro pozdější použití. Úplný identifikátor URI oprávnění vypadá podobně jako api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}nebo .

Pokud chcete zjistit, jak oprávnění zveřejnit přidáním odkazu, přejděte do části Webové rozhraní API .

Testování toku uživatele (volitelné)

Pokud chcete otestovat tok uživatele s touto registrací aplikace, povolte implicitní tok udělení pro ověřování.

Důležité

Implicitní tok by se měl používat jenom pro účely testování a ne pro ověřování uživatelů v produkčních aplikacích. Jakmile dokončíte testování, doporučujeme ho odebrat.

Pokud chcete povolit implicitní tok, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň vývojář aplikací.
  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
  3. Přejděte k aplikacím> identit>Registrace aplikací.
  4. Vyberte registraci aplikace, kterou jste vytvořili.
  5. V části Spravovat vyberte Ověřování.
  6. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).
  7. Zvolte Uložit.

Vyhledání ID aplikace (klienta)

Po registraci nové aplikace najdete ID aplikace (klienta) z přehledu v Centru pro správu Microsoft Entra.

  1. Na stránce Registrace aplikací vyberte kartu Všechny aplikace nebo Vlastní aplikace.

  2. Výběrem aplikace otevřete stránku Přehled .

  3. V části Základy najdete všechny podrobnosti o aplikaci včetně ID aplikace (klienta).

    Snímek obrazovky znázorňující ID aplikace (klienta)

Další kroky