Registrieren einer vertraulichen Azure-Ledger-Anwendung mit Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie Ihre Azure-Vertraulich-Ledger-Anwendung mit Microsoft Entra ID integrieren, indem Sie sie bei der Microsoft Identity Platform registrieren.

IAM-Aktionen (Identity & Access Management) werden von Microsoft Identity Platform nur für registrierte Anwendungen ausgeführt. Durch die Registrierung wird eine Vertrauensstellung zwischen Ihrer Anwendung und Microsoft Identity Platform als Identitätsanbieter hergestellt. Dabei spielt es keine Rolle, ob es sich um eine Clientanwendung (z. B. Web-App oder mobile App) oder um eine Web-API handelt, die eine Client-App unterstützt. Weitere Informationen über die Microsoft Identity Platform.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement und der Berechtigung zum Verwalten von Anwendungen in der Microsoft Entra-ID. Kostenlos ein Konto erstellen.
• Ein Microsoft Entra-Mandant. Informationen zum Einrichten eines Mandanten.
• Eine Anwendung, die Azure Confidential Ledger aufruft.

Registrieren einer Anwendung

Durch die Registrierung Ihrer vertraulichen Azure-Ledger-Anwendung wird eine Vertrauensstellung zwischen Ihrer App und der Microsoft Identity Platform hergestellt. Die Vertrauensstellung ist unidirektional: Ihre App vertraut dem Microsoft Identity Platform und nicht umgekehrt.

Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie die Verzeichnisse + Abonnements Filter im oberen Menü, um zum Mandanten zu wechseln, in dem Sie die Anwendung registrieren möchten.

3. Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.

4. Wählen Sie unter VerwaltenApp-Registrierungen>Neue Registrierungaus.

5. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Benutzern Ihrer Anwendung wird der Anzeigename möglicherweise angezeigt, wenn sie die App verwenden, z. B. während der Anmeldung. Sie können den Anzeigenamen jederzeit ändern, und mehrere App-Registrierungen können denselben Namen verwenden. Die automatisch generierte Anwendungs-ID (Client-ID) der App-Registrierung, nicht der Anzeigename, identifiziert Ihre App innerhalb der Identity Platform eindeutig.

6. Geben Sie an, wer die Anwendung verwenden kann (Zielgruppe für die Anmeldung).

   Unterstützte Kontotypen	BESCHREIBUNG
   Nur Konten in diesem Organisationsverzeichnis	Wählen Sie diese Option aus, wenn Sie eine Anwendung erstellen, die nur von Benutzern (oder Gästen) in Ihrem Mandanten verwendet werden kann. Diese App wird häufig als Branchenanwendung (Branchenanwendung) bezeichnet und ist eine Einzelmandantenanwendung im Microsoft Identity Platform.
   Konten in einem beliebigen Organisationsverzeichnis	Wählen Sie diese Option aus, wenn Sie möchten, dass Benutzer in einem beliebigen Microsoft Entra Mandanten Ihre Anwendung verwenden können. Diese Option ist z. B. geeignet, wenn Sie eine SaaS-Anwendung (Software-as-a-Service) erstellen, die Sie für mehrere Organisationen bereitstellen möchten. Dieser App-Typ wird im Microsoft Identity Platform als mehrinstanzenfähige Anwendung bezeichnet.
   Konten in allen Organisationsverzeichnissen und persönliche Microsoft-Konten	Verwenden Sie diese Option, um die breiteste Kundengruppe anzusprechen. Wenn Sie diese Option auswählen, registrieren Sie eine mehrinstanzenfähige Anwendung, die auch Benutzer unterstützen kann, die über persönliche Microsoft-Konten verfügen.
   Persönliche Microsoft-Konten	Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer erstellen, die über persönliche Microsoft-Konten verfügen. Persönliche Microsoft-Konten umfassen Skype-, Xbox-, Live- und Hotmail-Konten.

7. Geben Sie für Umleitungs-URI (optional) nichts ein. Im nächsten Abschnitt konfigurieren Sie einen Umleitungs-URI.

8. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

   

Nach Abschluss der Registrierung zeigt das Azure-Portal den Übersichtsbereich der App-Registrierung an. Die Anwendungs-ID (Client-ID) wird angezeigt. Dieser Wert wird auch als Client-ID bezeichnet und ermöglicht die eindeutige Identifizierung Ihrer Anwendung in Microsoft Identity Platform.

Von Bedeutung

Neue App-Registrierungen werden für Benutzer standardmäßig ausgeblendet. Wenn die App Benutzern auf der Seite „Meine Apps“ angezeigt werden soll, können Sie sie aktivieren. Um die App zu aktivieren, navigieren Sie im Azure-Portal zu Microsoft Entra ID>Enterprise-Anwendungen , und wählen Sie die App aus. Legen Sie anschließend auf der Seite Eigenschaften die Option Für Benutzer sichtbar? auf „Ja“ fest.

Die Client-ID wird auch vom Code Ihrer Anwendung (bzw. üblicherweise von einer in Ihrer Anwendung verwendeten Authentifizierungsbibliothek) genutzt. Sie wird bei der Überprüfung der von Identity Platform empfangenen Sicherheitstoken herangezogen.

Hinzufügen eines Umleitungs-URI

Ein Umleitungs-URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet.

In einer Webanwendung für die Produktion beispielsweise ist der Umleitungs-URI häufig ein öffentlicher Endpunkt (z. B. https://contoso.com/auth-response), auf dem Ihre App ausgeführt wird. Bei der Entwicklung wird häufig auch der Endpunkt hinzugefügt, auf dem Sie Ihre App lokal ausführen, z. B. https://127.0.0.1/auth-response oder http://localhost/auth-response.

Durch Konfigurieren Ihrer Plattformeinstellungen können Sie Umleitungs-URIs für Ihre registrierten Anwendungen hinzufügen und ändern.

Konfigurieren von Plattformeinstellungen

Die Einstellungen für jeden Anwendungstyp (einschließlich Umleitungs-URIs) werden unter Plattformkonfigurationen im Azure-Portal konfiguriert. Bei einigen Plattformen (z. B. Web- und Single-Page-Webanwendungen) müssen Sie manuell einen Umleitungs-URI angeben. Bei anderen Plattformen (z. B. mobile Anwendungen und Desktopanwendungen) stehen Umleitungs-URIs zur Auswahl, die beim Konfigurieren anderer Einstellungen für Sie generiert wurden.

Führen Sie die folgenden Schritte aus, um Anwendungseinstellungen basierend auf der Zielplattform oder dem Zielgerät zu konfigurieren:

1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.

2. Wählen Sie unter Verwalten die Option Authentifizierung aus.

3. Wählen Sie unter "Plattformkonfigurationen" die Option "Plattform hinzufügen" aus.

4. Wählen Sie unter Plattformen konfigurieren die Kachel für Ihren Anwendungstyp (Plattform) aus, um die zugehörigen Einstellungen zu konfigurieren.

   

   Plattform	Konfigurationseinstellungen
   Web	Geben Sie einen Umleitungs-URI für Ihre App ein. Dieser URI ist der Speicherort, an dem die Microsoft-Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung Sicherheitstoken sendet. Wählen Sie diese Plattform für Standardwebanwendungen aus, die auf einem Server ausgeführt werden.
   Einzelseiten-Anwendung	Geben Sie einen Umleitungs-URI für Ihre App ein. Dieser URI ist der Speicherort, an dem die Microsoft-Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung Sicherheitstoken sendet. Wählen Sie diese Plattform aus, wenn Sie eine clientseitige Web-App mit JavaScript oder einem Framework wie Angular, Vue.js, React.js oder Blazor WebAssembly erstellen.
   iOS/macOS	Geben Sie die Bündel-ID der App ein. Sie finden sie unter Buildeinstellungen oder in Xcode in Info.plist. Wenn Sie eine Bundle-ID angeben, wird ein Umleitungs-URI generiert.
   Android	Geben Sie den App-Paketnamen ein. Suchen Sie es in der AndroidManifest.xml-Datei . Generieren Sie außerdem den Signaturhash, und geben Sie es ein. Wenn Sie diese Einstellungen angeben, wird ein Umleitungs-URI generiert.
   Mobile und Desktopanwendungen	Wählen Sie eine der vorgeschlagenen Umleitungs-URIs aus. Oder geben Sie einen benutzerdefinierten Umleitungs-URI an. Für Desktopanwendungen mit eingebetteten Browsern empfehlen wir https://login.microsoftonline.com/common/oauth2/nativeclient Für Desktopanwendungen, die den Systembrowser verwenden, empfehlen wir http://localhost Wählen Sie diese Plattform für mobile Anwendungen aus, die nicht die neueste Microsoft Authentication Library (MSAL) verwenden oder keinen Broker verwenden. Wählen Sie auch diese Plattform für Desktopanwendungen aus.

5. Wählen Sie Konfigurieren aus, um die Plattformkonfiguration abzuschließen.

Umleitungs-URI-Einschränkungen

Es gibt einige Einschränkungen für das Format der Umleitungs-URIs, die Sie einer App-Registrierung hinzufügen. Ausführliche Informationen zu diesen Einschränkungen finden Sie unter Einschränkungen und Einschränkungen für Umleitungs-URI (Antwort-URL).

Anmeldeinformationen hinzufügen

Anmeldeinformationen werden von vertraulichen Clientanwendungen verwendet, die auf eine Web-API zugreifen. Beispiele für vertrauliche Clients sind Web-Apps, andere Web-APIs oder Anwendungen vom Typ Dienst und Daemon. Zugangsdaten ermöglichen es Ihrer Anwendung, sich selbst zu authentifizieren, ohne dass zur Laufzeit eine Benutzerinteraktion erforderlich ist.

Sie können Ihrer vertraulichen Client-App-Registrierung sowohl Zertifikate als auch geheime Clientschlüssel (Zeichenfolge) als Anmeldeinformationen hinzufügen.

Hinzufügen eines Zertifikats

Manchmal auch als öffentlicher Schlüssel bezeichnet, ist ein Zertifikat der empfohlene Anmeldeinformationstyp, da sie als sicherer gelten als geheime Clientschlüssel. Weitere Informationen zur Verwendung eines Zertifikats als Authentifizierungsmethode in Ihrer Anwendung finden Sie unter Anmeldeinformationen für Microsoft Identity Platform Anwendungsauthentifizierungszertifikat.

1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse>Zertifikate>Zertifikat hochladen aus.
3. Wählen Sie die Datei aus, die Sie hochladen möchten. Es muss einer der folgenden Dateitypen sein: .cer, .pem, .crt.
4. Wählen Sie Hinzufügen aus.

Geheimen Clientschlüssel hinzufügen

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, den Ihre App anstelle eines Zertifikats verwenden kann, um sich selbst zu identifizieren.

Geheime Clientschlüssel gelten als weniger sicher als Zertifikatanmeldeinformationen. Anwendungsentwickler verwenden aufgrund ihrer Benutzerfreundlichkeit manchmal geheime Clientschlüssel während der entwicklung lokaler Apps. Sie sollten jedoch Zertifikats-Anmeldeinformationen für alle Ihre Anwendungen verwenden, die in der Produktion ausgeführt werden.

1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate und Geheimnisse>Clientgeheimnisse>Neues Clientgeheimnis aus.
3. Fügen Sie eine Beschreibung für Ihr Client-Secret hinzu.
4. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an.
   • Die Lebensdauer des geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) beschränkt. Das bedeutet, dass keine benutzerdefinierte Lebensdauer angegeben werden kann, die über die 24 Monate hinausgeht.
   • Microsoft empfiehlt, den Wert für die Ablauffrist auf maximal 12 Monate festzulegen.
5. Wählen Sie Hinzufügen aus.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden.

Empfehlungen zur Anwendungssicherheit finden Sie unter Microsoft Identity Platform bewährte Methoden und Empfehlungen.

Nächste Schritte

• Vertrauliche Azure-Ledger-Authentifizierung mit Microsoft Entra-ID
• Übersicht über Microsoft Azure Confidential Ledger
• Integrieren von Anwendungen mit Microsoft Entra ID
• Verwenden Sie das Portal, um eine Microsoft Entra-Anwendung und einen Dienstprinzipal zu erstellen, die auf Ressourcen zugreifen können
• Erstellen Sie einen Azure-Dienstprinzipal mit der Azure CLI.
• Authentifizieren von Azure Confidential Ledger-Knoten
• Benutzerdefinierte Funktionen im vertraulichen Azure-Hauptbuch
• Einfache benutzerdefinierte Funktionen in Einem vertraulichen Azure-Hauptbuch
• Erweiterte benutzerdefinierte Funktionen im vertraulichen Azure-Hauptbuch