Registrieren einer Anwendung bei der Microsoft Identity Platform

  • Artikel

Damit Ihre App die Identitäts- und Zugriffsverwaltungsfunktionen (IAM) von Microsoft Entra ID verwenden kann, einschließlich des Zugriffs auf geschützte Ressourcen, müssen Sie sie zuerst registrieren. Anschließend führt der Microsoft Identity Platform die IAM-Funktionen für die registrierten Anwendungen aus. In diesem Artikel erfahren Sie, wie Sie eine Webanwendung im Microsoft Entra Admin Center registrieren. Weitere Informationen zu App-Typen, die Sie im Microsoft Identity Platform registrieren können.

Tipp

Führen Sie zum Registrieren einer Anwendung für Azure AD B2C die Schritte unter Tutorial: Registrieren einer Webanwendung in Azure AD B2C aus.

Voraussetzungen

Registrieren einer Anwendung

Durch die Registrierung Ihrer Anwendung wird eine Vertrauensstellung zwischen Ihrer App und dem Microsoft Identity Platform eingerichtet. Die Vertrauensstellung ist unidirektional: Ihre App vertraut dem Microsoft Identity Platform und nicht umgekehrt. Nach der Erstellung kann das Anwendungsobjekt nicht zwischen verschiedenen Mandanten verschoben werden.

  1. Melden Sie sich beim Microsoft Entra Admin Centeran.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol Einstellungen im oberen Menü, um über das Menü Verzeichnisse + Abonnements zu dem Mandanten zu wechseln, bei dem Sie die Anwendung registrieren möchten.

  3. Navigieren Sie zu Identitätsanwendungen>>App-Registrierungen und wählen Sie Neue Registrierung aus.

  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.

  5. Geben Sie im Abschnitt Unterstützte Kontotypen an, wer die Anwendung verwenden kann.

    Unterstützte Kontotypen Beschreibung
    Nur Konten in diesem Organisationsverzeichnis Wählen Sie diese Option aus, wenn Sie eine Anwendung erstellen, die nur von Benutzern (oder Gästen) in Ihrem Mandanten verwendet werden kann.

    Diese App wird häufig als Branchenanwendung (Branchenanwendung) bezeichnet und ist eine Einzelmandantenanwendung im Microsoft Identity Platform.
    Konten in einem beliebigen Organisationsverzeichnis Wählen Sie diese Option aus, wenn Sie möchten, dass Benutzer in einem beliebigen Microsoft Entra Mandanten Ihre Anwendung verwenden können. Diese Option ist z. B. geeignet, wenn Sie eine SaaS-Anwendung (Software-as-a-Service) erstellen, die Sie für mehrere Organisationen bereitstellen möchten.

    Dieser App-Typ wird im Microsoft Identity Platform als mehrinstanzenfähige Anwendung bezeichnet.
    Konten in allen Organisationsverzeichnissen und persönliche Microsoft-Konten Verwenden Sie diese Option, um die breiteste Kundengruppe anzusprechen.

    Wenn Sie diese Option auswählen, registrieren Sie eine mehrinstanzenfähige Anwendung, die auch Benutzer unterstützen kann, die über persönliche Microsoft-Konten verfügen. Persönliche Microsoft-Konten umfassen Skype-, Xbox-, Live- und Hotmail-Konten.
    Persönliche Microsoft-Konten Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer erstellen, die über persönliche Microsoft-Konten verfügen. Persönliche Microsoft-Konten umfassen Skype-, Xbox-, Live- und Hotmail-Konten.

  6. Geben Sie für Umleitungs-URI (optional) nichts ein. Im nächsten Abschnitt konfigurieren Sie einen Umleitungs-URI.

  7. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

    Screenshot der Microsoft Entra Admin Center mit dem Bereich

Wenn die Registrierung abgeschlossen ist, wird im Microsoft Entra Admin Center der Bereich Übersicht der App-Registrierung angezeigt. Auf dieser Seite wurden der App Werte für Folgendes zugewiesen:

  • Anwendungs-ID (Client), die Ihre Anwendung im Microsoft-Cloudökosystem für alle Mandanten eindeutig identifiziert.
  • Objekt-ID , die Ihre Anwendung in Ihrem Mandanten eindeutig identifiziert.

Screenshot der Microsoft Entra Admin Center in einem Webbrowser mit dem Bereich

Konfigurieren von Plattformeinstellungen

Plattformeinstellungen umfassen Umleitungs-URIs, bestimmte Authentifizierungseinstellungen oder spezifische Felder für die Plattform der Anwendung, z. B. Web - und Single-Page-Anwendungen.

  1. Wählen Sie unter Verwalten die Option Authentifizierung aus.

  2. Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen aus.

  3. Wählen Sie unter Plattformen konfigurieren die Kachel für Ihren Anwendungstyp (Plattform) aus, um die zugehörigen Einstellungen zu konfigurieren.

    Screenshot des Bereichs

    Plattform Einstellungsoption
    Web Geben Sie einen Umleitungs-URI für Ihre App ein. Dieser URI ist der Speicherort, an dem die Microsoft-Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung Sicherheitstoken sendet.

    Sie können auch die Frontkanal-Abmelde-URL und die Eigenschaften implizite Genehmigung und Hybridflows konfigurieren.

    Wählen Sie diese Plattform für Standardwebanwendungen aus, die auf einem Server ausgeführt werden.
    Einzelseiten-Anwendung Geben Sie einen Umleitungs-URI für Ihre App ein. Dieser URI ist der Speicherort, an dem die Microsoft-Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung Sicherheitstoken sendet.

    Sie können auch die Frontkanal-Abmelde-URL und die Eigenschaften implizite Genehmigung und Hybridflows konfigurieren.

    Wählen Sie diese Plattform aus, wenn Sie eine clientseitige Web-App mit JavaScript oder einem Framework wie Angular, Vue.js, React.js oder Blazor WebAssembly erstellen.
    iOS/macOS Geben Sie die Bündel-ID der App ein. Sie finden sie unter Buildeinstellungen oder in Xcode in Info.plist.

    Wenn Sie eine Bundle-ID angeben, wird ein Umleitungs-URI generiert.
    Android Geben Sie den App-Paketnamen ein. Suchen Sie es in der AndroidManifest.xml-Datei . Generieren Sie außerdem den Signaturhash, und geben Sie es ein.

    Wenn Sie diese Einstellungen angeben, wird ein Umleitungs-URI generiert.
    Mobile und Desktopanwendungen Wählen Sie eine der vorgeschlagenen Umleitungs-URIs aus. Oder geben Sie für oder mehrere benutzerdefinierte Umleitungs-URIs an.

    Für Desktopanwendungen mit eingebetteten Browsern empfehlen wir
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Für Desktopanwendungen, die den Systembrowser verwenden, empfehlen wir
    http://localhost

    Wählen Sie diese Plattform für mobile Anwendungen aus, die nicht die neueste Microsoft Authentication Library (MSAL) verwenden oder keinen Broker verwenden. Wählen Sie auch diese Plattform für Desktopanwendungen aus.

  4. Wählen Sie Konfigurieren aus, um die Plattformkonfiguration abzuschließen.

Umleitungs-URI-Einschränkungen

Es gibt einige Einschränkungen für das Format der Umleitungs-URIs, die Sie einer App-Registrierung hinzufügen. Ausführliche Informationen zu diesen Einschränkungen finden Sie unter Einschränkungen und Einschränkungen für Umleitungs-URI (Antwort-URL).

Hinzufügen von Anmeldeinformationen

Anmeldeinformationen werden von vertraulichen Clientanwendungen verwendet, die auf eine Web-API zugreifen. Beispiele für vertrauliche Clients sind Web-Apps, andere Web-APIs oder Anwendungen vom Typ Dienst und Daemon. Anmeldeinformationen ermöglichen es Ihrer Anwendung, sich als sich selbst zu authentifizieren, sodass zur Laufzeit keine Interaktion eines Benutzers erforderlich ist.

Sie können Ihrer vertraulichen Client-App-Registrierung Zertifikate, geheime Clientschlüssel (eine Zeichenfolge oder ein Kennwort) oder Verbundanmeldeinformationen als Anmeldeinformationen hinzufügen.

Screenshot der Microsoft Entra Admin Center mit dem Bereich

Option 1: Hinzufügen eines Zertifikats

Manchmal auch als öffentlicher Schlüssel bezeichnet, ist ein Zertifikat der empfohlene Anmeldeinformationstyp, da sie als sicherer gelten als geheime Clientschlüssel. Weitere Informationen zur Verwendung eines Zertifikats als Authentifizierungsmethode in Ihrer Anwendung finden Sie unter Anmeldeinformationen für Microsoft Identity Platform Anwendungsauthentifizierungszertifikat.

  1. Wählen Sie Zertifikate & Geheimnisse>Zertifikate>Zertifikat hochladen aus.
  2. Wählen Sie die Datei aus, die Sie hochladen möchten. Es muss einer der folgenden Dateitypen sein: .cer, .pem, .crt.
  3. Wählen Sie Hinzufügen.

Option 2: Hinzufügen eines geheimen Clientschlüssels

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, den Ihre App anstelle eines Zertifikats verwenden kann, um sich selbst zu identifizieren.

Geheime Clientschlüssel gelten als weniger sicher als Zertifikatanmeldeinformationen. Anwendungsentwickler verwenden aufgrund ihrer Benutzerfreundlichkeit manchmal geheime Clientschlüssel während der entwicklung lokaler Apps. Sie sollten jedoch entweder Zertifikatanmeldeinformationen oder Verbundanmeldeinformationen für Anwendungen verwenden, die in der Produktion ausgeführt werden.

  1. Wählen Sie Zertifikate & Geheimnisse>Geheime Clientschlüssel>Neuer geheimer Clientschlüssel aus.
  2. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
  3. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an.
    • Die Lebensdauer des geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) beschränkt. Sie können keine benutzerdefinierte Lebensdauer angeben, die länger als 24 Monate ist.
    • Microsoft empfiehlt, einen Ablaufwert von weniger als 12 Monaten festzulegen.
  4. Wählen Sie Hinzufügen.
  5. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt , nachdem Sie diese Seite verlassen haben.

Empfehlungen zur Anwendungssicherheit finden Sie unter Microsoft Identity Platform bewährte Methoden und Empfehlungen.

Wenn Sie eine Azure DevOps-Dienstverbindung verwenden, die automatisch einen Dienstprinzipal erstellt, müssen Sie den geheimen Clientschlüssel über die Azure DevOps-Portalwebsite aktualisieren, anstatt den geheimen Clientschlüssel direkt zu aktualisieren. Informationen zum Aktualisieren des geheimen Clientschlüssels über die Azure DevOps-Portalwebsite finden Sie in diesem Dokument: Problembehandlung bei Azure Resource Manager-Dienstverbindungen.

Option 3: Hinzufügen von Verbundanmeldeinformationen

Verbundanmeldeinformationen sind eine Art von Anmeldeinformationen, mit der Workloads wie GitHub Actions, workloads, die auf Kubernetes ausgeführt werden, oder Workloads, die auf Computeplattformen außerhalb von Azure ausgeführt werden, auf Microsoft Entra ID geschützten Ressourcen zugreifen können, ohne Geheimnisse verwalten zu müssen. Verbundanmeldeinformationen verwenden den Workloadidentitätsverbund.

Führen Sie die folgenden Schritte aus, um Verbundanmeldeinformationen hinzuzufügen:

  1. Wählen Sie Zertifikate & Geheimnisse>Verbundanmeldeinformationen>Anmeldeinformationen hinzufügen aus.

  2. Wählen Sie im Dropdownfeld Verbundanmeldeinformationsszenario eines der unterstützten Szenarien aus, und befolgen Sie die entsprechende Anleitung, um die Konfiguration abzuschließen.

    • Kundenseitig verwaltete Schlüssel zum Verschlüsseln von Daten in Ihrem Mandanten mithilfe von Azure Key Vault in einem anderen Mandanten.
    • GitHub actions deploying Azure resources to configure a GitHub workflow to get tokens for your application and deploy assets to Azure.
    • Kubernetes greift auf Azure-Ressourcen zu , um ein Kubernetes-Dienstkonto zu konfigurieren, um Token für Ihre Anwendung abzurufen und auf Azure-Ressourcen zuzugreifen.
    • Anderer Aussteller zum Konfigurieren einer Identität, die von einem externen OpenID Connect-Anbieter verwaltet wird, um Token für Ihre Anwendung abzurufen und auf Azure-Ressourcen zuzugreifen.

Weitere Informationen zum Abrufen eines Zugriffstokens mit Verbundanmeldeinformationen finden Sie unter Microsoft Identity Platform und dem Flow für OAuth 2.0-Clientanmeldeinformationen.

Sonstige Ressourcen

Nächster Schritt

Verwenden sie die App, um Zugriff im Namen eines Benutzers oder Zugriff ohne Benutzer zu erhalten.