Při vytváření důvěrných klientských aplikací je efektivní správa přihlašovacích údajů kritická. Tento článek vysvětluje, jak do registrace aplikace v Microsoft Entra přidat klientské certifikáty, přihlašovací údaje federované identity nebo tajné kódy klienta. Tyto přihlašovací údaje umožňují vaší aplikaci bezpečně ověřit a přistupovat k webovým rozhraním API bez zásahu uživatele.
Požadavky
Rychlý start: Registrace aplikace v Microsoft Entra ID
Přidání přihlašovacích údajů do aplikace
Při vytváření přihlašovacích údajů pro důvěrnou klientskou aplikaci:
Microsoft doporučuje, abyste před přesunutím aplikace do produkčního prostředí používali certifikát místo tajného klíče klienta. Další informace o tom, jak používat certifikát, najdete v pokynech v přihlašovacích údajů ověřovacího certifikátu aplikace Microsoft Identity Platform.
Pro účely testování můžete vytvořit certifikát podepsaný svým držitelem a nakonfigurovat aplikace tak, aby se s ním ověřily. Nicméně v produkčnímbyste měli zakoupit certifikát podepsaný dobře známou certifikační autoritou a pak použít Azure Key Vault ke správě přístupu k certifikátu a jeho životnosti.
Další informace o ohroženích zabezpečení tajných kódů klienta najdete v tématu Migrace aplikací mimo ověřování na základě tajných kódů.
Někdy nazývaný veřejným klíčem, je certifikát doporučeným typem přihlašovacího údaje, protože se považuje za bezpečnější než klientské tajemství.
V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
Vyberte Certifikáty & tajemstvíCertifikátyNahrát certifikát.
Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
Vyberte Přidat.
Zaznamenejte kryptografický otisk certifikátu pro použití v kódu klientské aplikace.
Někdy se označuje jako heslo aplikace, tajemství klienta je řetězcová hodnota, kterou může vaše aplikace použít místo certifikátu k tomu, aby se sama identifikovala.
Tajné kódy klientů jsou méně zabezpečené než certifikáty nebo federované přihlašovací údaje, a proto by se neměly používat v produkčních prostředích. I když můžou být vhodné pro místní vývoj aplikací, je nezbytné použít certifikát nebo federované přihlašovací údaje pro všechny aplikace spuštěné v produkčním prostředí, aby se zajistilo vyšší zabezpečení.
V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
Vyberte Certifikáty a tajemství>Klientská tajemství>Nové klientské tajemství.
Přidejte popis tajného kódu klienta.
Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
- Životnost tajného klíče klienta je omezená na dva roky (24 měsíců) nebo méně. Nemůžete zadat vlastní životnost delší než 24 měsíců.
- Microsoft doporučuje nastavit hodnotu vypršení platnosti kratší než 12 měsíců.
Vyberte Přidat.
Zaznamenejte hodnotu tajného klíče klienta pro použití v kódu klientské aplikace. Tato hodnota tajného kódu se po opuštění této stránky už nikdy nezobrazí.
Poznámka:
Pokud používáte připojení služby Azure DevOps, které automaticky vytvoří serverový principál, musíte aktualizovat tajný klíč klienta z portálu Azure DevOps a ne přímo tajný klíč klienta. V tomto dokumentu se dozvíte, jak aktualizovat tajný klíč klienta z portálového webu Azure DevOps: Řešení potíží s připojeními služby Azure Resource Manager.
Přihlašovací údaje federované identity jsou typem přihlašovacích údajů, které umožňují úlohy, jako jsou GitHub Actions, úlohy spuštěné v Kubernetes nebo úlohy běžící na výpočetních platformách mimo Azure, přistupovat k prostředkům chráněným Microsoft Entra, aniž by bylo nutné spravovat tajné kódy pomocí federace identit úloh.
Pokud chcete přidat federované přihlašovací údaje, postupujte takto:
V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
Vyberte Služby a tajemství>Federovaná pověření>Přidat přihlašovací údaje.
V rozevíracím seznamu scénářů federovaných přihlašovacích údajů vyberte jeden z podporovaných scénářů a postupujte podle příslušných pokynů k dokončení konfigurace.
-
Klíče spravované zákazníkem pro šifrování dat ve vašem tenantovi pomocí služby Azure Key Vault v jiném tenantovi.
-
Akce GitHubu nasazující prostředky Azure pro konfiguraci pracovního postupu GitHubu pro získání tokenů pro vaši aplikaci a nasazení prostředků do Azure
-
Kubernetes přistupující k prostředkům Azure za účelem konfigurace účtu služby Kubernetes za účelem získání tokenů pro vaši aplikaci a přístupu k prostředkům Azure
-
jiného vystavitele nakonfigurovat aplikaci tak, aby důvěřovala spravované identitě nebo identitě spravované externím poskytovatelem OpenID Connect, aby získala tokeny pro vaši aplikaci a přístup k prostředkům Azure.
Další informace o tom, jak získat přístupový token s federovanými přihlašovacími údaji, najdete v tématu platformu Microsoft Identity a tok přihlašovacích údajů klienta OAuth 2.0.
Související obsah
