Tutorial: Registrieren einer Webanwendung in Azure Active Directory B2C

Bevor Ihre Anwendungen mit Azure Active Directory B2C (Azure AD B2C) interagieren können, müssen sie in einem von Ihnen verwalteten Mandanten registriert werden. In diesem Tutorial erfahren Sie, wie Sie eine Webanwendung mithilfe des Azure-Portals registrieren.

Mit einer „Webanwendung“ ist hier eine herkömmliche Webanwendung gemeint, mit der der Großteil der Anwendungslogik auf dem Server verarbeitet wird. Diese kann mit Frameworks wie ASP.NET Core, Spring (Java), Flask (Python) und Express (Node.js) erstellt werden.

Wichtig

Falls Sie stattdessen eine Single-Page-Webanwendung („SPA“) verwenden (z. B. Angular, Vue oder React), helfen Ihnen die Informationen zum Registrieren einer Single-Page-Webanwendung weiter.

Wenn Sie stattdessen eine native App (z. B. eine iOS- oder Android-App oder eine Mobil- oder Desktop-App) verwenden, lesen Sie die Informationen zum Registrieren einer nativen Clientanwendung.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Wenn Sie Ihren eigenen Azure AD B2C-Mandanten noch nicht erstellt haben, erstellen Sie jetzt einen. Sie können einen vorhandenen Azure AD B2C-Mandanten verwenden.

Registrieren einer Webanwendung

Zum Registrieren einer Webanwendung in Ihrem Azure AD B2C-Mandanten können Sie unsere neue einheitliche Benutzeroberfläche für App-Registrierungen oder unsere alte Benutzeroberfläche für Anwendungen (Legacy) verwenden. Weitere Informationen zur neuen Oberfläche

App-Registrierungen

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C Mandanten zu wechseln.

3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.

4. Wählen Sie App-Registrierungen aus, und wählen Sie dann Registrierung einer neuen Anwendung aus.

5. Geben Sie unter Name einen Namen für die Anwendung ein. Beispiel: webapp1.

6. Wählen Sie unter Unterstützte Kontotypen die Option Konten in einem beliebigen Identitätsanbieter oder Organisationsverzeichnis (zum Authentifizieren von Benutzern mit Benutzerflows) aus.

7. Wählen Sie unter Umleitungs-URI die Option Web aus, und geben Sie https://jwt.ms in das URL-Textfeld ein.

   Die Umleitungs-URI ist der Endpunkt, an den der Benutzer vom Autorisierungsserver (in diesem Fall Azure AD B2C) nach Abschluss seiner Interaktion mit dem Benutzer gesendet wird und an den bei erfolgreicher Autorisierung ein Zugriffstoken oder Autorisierungscode gesendet wird. In einer Produktionsanwendung handelt es sich in der Regel um einen öffentlich zugänglichen Endpunkt, an dem Ihre App ausgeführt wird, etwa um https://contoso.com/auth-response. Für Testzwecke wie in diesem Tutorial können Sie ihn auf https://jwt.ms festlegen. Dabei handelt es sich um eine Microsoft-Webanwendung, die den decodierten Inhalt eines Tokens anzeigt (der Inhalt des Tokens verlässt niemals Ihren Browser). Während der App-Entwicklung können Sie den Endpunkt hinzufügen, an dem die Anwendung lokal lauscht, etwa https://localhost:5000. Sie können Umleitungs-URIs in Ihren registrierten Anwendungen jederzeit hinzufügen und ändern.

   Für Umleitungs-URIs gelten die folgenden Einschränkungen:

   • Die Antwort-URL muss mit dem Schema https beginnen, sofern Sie keine localhost-Umleitungs-URL verwenden.
   • Bei der Antwort-URL muss die Groß-/Kleinschreibung beachtet werden. Die Groß-/Kleinschreibung muss der Groß-/Kleinschreibung des URL-Pfads Ihrer ausgeführten Anwendung entsprechen. Wenn Ihre Anwendung beispielsweise als Teil des Pfads .../abc/response-oidc enthält, geben Sie in der Antwort-URL nicht .../ABC/response-oidc an. Weil der Webbrowser bei Pfaden die Groß-/Kleinschreibung beachtet, werden Cookies, die .../abc/response-oidc zugeordnet sind, möglicherweise ausgeschlossen, wenn eine Umleitung an die anders geschriebene (nicht übereinstimmende) URL .../ABC/response-oidc erfolgt.
   • Die Antwort-URL sollte den nachgestellten Schrägstrich einschließen oder ausschließen, je nachdem, wie Ihre Anwendung dies erwartet. Beispielsweise könnten https://contoso.com/auth-response und https://contoso.com/auth-response/ in Ihrer Anwendung als nicht übereinstimmende URLs behandelt werden.

8. Aktivieren Sie unter Berechtigungen das Kontrollkästchen Administratoreinwilligung für openid- und offline_access-Berechtigungen erteilen.

9. Wählen Sie Registrieren.

Anwendungen (Legacy)

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C Mandanten zu wechseln.

3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.

4. Wählen Sie Anwendungen (Legacy) und dann Hinzufügen aus.

5. Geben Sie einen Namen für die Anwendung ein. Beispiel: webapp1.

6. Wählen Sie für Web-App/Web-API einschließen die Option Ja aus.

7. Geben Sie für Antwort-URLs einen Endpunkt ein, an den Azure AD B2C von Ihrer App angeforderte Token zurückgibt. Sie können sie so einrichten, dass sie lokal bei http://localhost:5000 lauschen. Sie können Umleitungs-URIs in Ihren registrierten Anwendungen jederzeit hinzufügen und ändern.

   Für Umleitungs-URIs gelten die folgenden Einschränkungen:

   • Die Antwort-URL muss mit dem Schema https beginnen, es sei denn, Sie verwenden localhost.
   • Bei der Antwort-URL muss die Groß-/Kleinschreibung beachtet werden. Die Groß-/Kleinschreibung muss der Groß-/Kleinschreibung des URL-Pfads Ihrer ausgeführten Anwendung entsprechen. Wenn Ihre Anwendung beispielsweise als Teil des Pfads .../abc/response-oidc enthält, geben Sie in der Antwort-URL nicht .../ABC/response-oidc an. Weil der Webbrowser bei Pfaden die Groß-/Kleinschreibung beachtet, werden Cookies, die .../abc/response-oidc zugeordnet sind, möglicherweise ausgeschlossen, wenn eine Umleitung an die anders geschriebene (nicht übereinstimmende) URL .../ABC/response-oidc erfolgt.
   • Die Antwort-URL sollte den nachgestellten Schrägstrich einschließen oder ausschließen, je nachdem, wie Ihre Anwendung dies erwartet. Beispielsweise könnten https://contoso.com/auth-response und https://contoso.com/auth-response/ in Ihrer Anwendung als nicht übereinstimmende URLs behandelt werden.

8. Wählen Sie Erstellen aus, um die Anwendungsregistrierung abzuschließen.

Tipp

Aktualisieren Sie das Portal, wenn die Apps, die Sie unter App-Registrierungen erstellt haben, nicht angezeigt werden.

Erstellen eines Clientgeheimnisses

Für eine Webanwendung müssen Sie ein Anwendungsgeheimnis erstellen. Der geheime Clientschlüssel wird auch als Anwendungskennwort bezeichnet. Das Geheimnis wird von Ihrer Anwendung verwendet, um einen Autorisierungscode durch ein Zugriffstoken zu ersetzen.

App-Registrierungen

1. Wählen Sie auf der Seite Azure AD B2C – App-Registrierungen die von Ihnen erstellte Anwendung aus, etwa webapp1.
2. Wählen Sie im linken Menü unter Verwalten die Option Zertifikate und Geheimnisse aus.
3. Wählen Sie Neuer geheimer Clientschlüssel.
4. Geben Sie im Feld Beschreibung eine Beschreibung für das Clientgeheimnis ein. Beispielsweise clientsecret1.
5. Wählen Sie unter Läuft ab einen Zeitraum aus, für den das Geheimnis gültig ist, und wählen Sie dann Hinzufügen aus.
6. Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Sie verwenden diesen Wert als Anwendungsgeheimnis im Code Ihrer Anwendung.

Anwendungen (Legacy)

1. Wählen Sie auf der Seite Azure AD B2C – Anwendungen die von Ihnen erstellte Anwendung aus, z.B. webapp1.
2. Wählen Sie Schlüssel und dann Schlüssel generieren aus.
3. Wählen Sie Speichern, um den Schlüssel anzuzeigen. Notieren Sie sich den Wert für App-Schlüssel. Sie verwenden diesen Wert als Anwendungsgeheimnis im Code Ihrer Anwendung.

Hinweis

Aus Sicherheitsgründen können Sie ein Rollover des Anwendungsgeheimnisses periodisch oder im Notfall auch sofort durchführen. Jede in Azure AD B2C integrierte Anwendung muss in der Lage sein, ein Geheimnisrollover zu verarbeiten, unabhängig davon, wie häufig dies geschieht. Sie können zwei Anwendungsgeheimnisse festlegen, sodass Ihre Anwendung das alte Geheimnis während eines Ereignisses für die Anwendungsgeheimnisrotation weiterhin verwenden kann. Um einen weiteren geheimen Clientschlüssel hinzuzufügen, wiederholen Sie die Schritte in diesem Abschnitt.

Aktivieren der impliziten Genehmigung von ID-Token

Wenn Sie diese App registrieren und mit https://jwt.ms/ konfigurieren, um einen Benutzerflow oder eine benutzerdefinierte Richtlinie zu testen, müssen Sie den Flow zur impliziten Genehmigung in der App-Registrierung aktivieren:

1. Wählen Sie im linken Menü unter Verwalten die Option Authentifizierung aus.

2. Aktivieren Sie unter Implizite Genehmigung und Hybridflows die Kontrollkästchen Zugriffstoken (werden für implizite Flows verwendet) und ID-Token (für implizite und Hybridflows verwendet).

3. Wählen Sie Speichern aus.

Nächste Schritte

In diesem Artikel haben Sie Folgendes gelernt:

• Registrieren einer Webanwendung
• Erstellen eines Clientgeheimnisses

Weitere Informationen zu Erstellen von Benutzerflows in Azure Active Directory B2C