Das App-Manifest verstehen (Microsoft Graph-Format)
Das Anwendungsmanifest enthält alle Attribute und deren Werte einer Anwendungsregistrierung in der Microsoft Identity Platform.
Ein Microsoft Graph-App-Manifest ist ein JSON-Objekt, das eine App-Registrierung darstellt. Es wird auch als Ressourcentyp der Microsoft Graph-Anwendung oder als Microsoft Graph-App-Objekt (Applikationsobjekt) bezeichnet. Es enthält alle Attribute und deren Werte einer App-Registrierung.
Das Anwendungsobjekt, das Sie mit der Microsoft Graph Get Application-Methode erhalten, ist das gleiche JSON-Objekt, das Sie auf der Manifestseite der App-Registrierung im Microsoft Entra Admin Center sehen.
Hinweis
Für Apps, die mit Ihrem persönlichen Microsoft-Konto (MSA-Konto) registriert sind, werden Sie bis auf weiteres App-Manifeste im Azure AD Graph-Format im Microsoft Entra Admin Center sehen. Weitere Informationen finden Sie im Microsoft Entra-App-Manifest (Azure AD Graph-Format).
Konfigurieren des Microsoft Graph-App-Manifests
Wenn Sie Microsoft Graph App Manifest programmgesteuert konfigurieren möchten, können Sie entweder Microsoft Graph API oder Microsoft Graph PowerShell SDK verwenden.
Sie können das App-Manifest auch über das Microsoft Entra Admin Center konfigurieren. Die meisten Attribute können mithilfe eines UI-Elements in App-Registrierungen konfiguriert werden. Einige Attribute müssen jedoch konfiguriert werden, indem sie das App-Manifest direkt auf der Manifestseite bearbeiten.
Konfigurieren des App-Manifests im Microsoft Entra Admin Center
So konfigurieren Sie das Microsoft Graph-App-Manifest:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsentwickler an.
Navigieren Sie zu Identität>Anwendungen>App-Registrierungen.
Wählen Sie die App aus, die Sie konfigurieren möchten.
Wählen Sie auf der Seite Übersicht der App den Abschnitt Manifest. Ein webbasierter Manifest-Editor wird geöffnet, mit dem Sie das Manifest bearbeiten können. Optional können Sie Herunterladen wählen, um das Manifest lokal zu bearbeiten, und dann Hochladen verwenden, um es wieder auf Ihre Anwendung anzuwenden.
Manifestreferenz
In diesem Abschnitt werden die Attribute im Microsoft Graph-App-Manifest beschrieben.
id-Attribut
Schlüssel | Werttyp |
---|---|
id | String |
Diese Eigenschaft wird im Microsoft Entra Admin Center als Objekt-ID bezeichnet. Es ist ein eindeutiger Bezeichner für das Applikationsobjekt im Verzeichnis.
Diese ID ist nicht der Bezeichner, der verwendet wird, um die App in einer Protokolltransaktion zu bezeichnen. Sie dient dazu, in Verzeichnisabfragen auf das Objekt zu verweisen.
Es handelt sich um ein nicht Nullwerte zulassend und schreibgeschütztes Attribut.
Beispiel:
"id": "f7f9acfc-ae0c-4d6c-b489-0a81dc1652dd",
appId-Attribut
Schlüssel | Werttyp |
---|---|
appId | String |
Diese Eigenschaft wird im Microsoft Entra Admin Center als Anwendungs-ID (Client-ID) bezeichnet. Es ist ein eindeutiger Bezeichner für das Applikationsobjekt im Verzeichnis.
Diese ID ist nicht der Bezeichner, der verwendet wird, um die App in einer Protokolltransaktion zu bezeichnen.
Es handelt sich um ein nicht Nullwerte zulassend und schreibgeschütztes Attribut.
Beispiel:
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
addIns-Attribut
Schlüssel | Werttyp |
---|---|
addIns | Collection |
Definiert ein benutzerdefiniertes Verhalten, mit dem eine App in bestimmten Kontexten von einem Verbraucherdienst aufgerufen werden kann. Beispielsweise kann für Anwendungen, die Dateidatenströme rendern können, die addIns
-Eigenschaft für die Funktionalität „FileHandler“ festgelegt werden. Dieser Parameter ermöglicht Diensten wie Microsoft 365, die Anwendung im Kontext eines Dokuments aufzurufen, an dem der Benutzer arbeitet.
Beispiel:
"addIns": [
{
"id": "968A844F-7A47-430C-9163-07AE7C31D407",
"type":" FileHandler",
"properties": [
{
"key": "version",
"value": "2"
}
]
}
],
appRoles
Schlüssel | Werttyp |
---|---|
appRoles | Collection |
Gibt Auflistung der Rollen an, die von einer App deklariert werden können. Diese Rollen können Benutzern, Gruppen oder Dienstprinzipalen zugewiesen werden. Weitere Beispiele und Informationen finden Sie unter Hinzufügen von App-Rollen in Ihrer Anwendung und Empfangen der Rollen im Token.
Beispiel:
"appRoles": [
{
"allowedMemberTypes": [
"User"
],
"description": "Read-only access to device information",
"displayName": "Read Only",
"id": "00001111-aaaa-2222-bbbb-3333cccc4444",
"isEnabled": true,
"value": "ReadOnly"
}
],
groupMembershipClaims
Schlüssel | Werttyp |
---|---|
groupMembershipClaims | String |
Konfiguriert den in einem Benutzer- oder OAuth 2.0-Zugriffstoken ausgegebenen Anspruch groups
, der von der App erwartet wird. Um dieses Attribut festzulegen, verwenden Sie einen der folgenden gültigen Zeichenfolgenwerte:
None
SecurityGroup
(für Sicherheitsgruppen und Microsoft Entra Rollen)ApplicationGroup
(diese Option umfasst nur Gruppen, die der Anwendung zugewiesen sind)DirectoryRole
(ruft die Microsoft Entra Verzeichnisrollen ab, in der der Benutzer Mitglied ist)All
(ruft alle Sicherheitsgruppen, Verteilergruppen und Microsoft Entra-Verzeichnisrollen ab, in denen der angemeldete Benutzer ein Mitglied ist).
Beispiel:
"groupMembershipClaims": "SecurityGroup",
optionalClaims-Attribut
Schlüssel | Werttyp |
---|---|
optionalClaims | String |
Die optionalen Ansprüche, die im Token vom Sicherheitstokendienst für diese spezifische App zurückgegeben werden.
Apps, die sowohl persönliche Konten als auch Microsoft Entra ID unterstützen, können keine optionalen Ansprüche verwenden. Apps, die nur für Microsoft Entra ID unter Verwendung des Endpunkts v2.0 registriert sind, können jedoch die optionalen Ansprüche abrufen, die sie im Manifest angefordert haben. Weitere Informationen finden Sie unter Optionale Ansprüche.
Beispiel:
"optionalClaims":{
"idToken": [{"@odata.type": "microsoft.graph.optionalClaim"}],
"accessToken": [{"@odata.type": "microsoft.graph.optionalClaim"}],
"saml2Token": [{"@odata.type": "microsoft.graph.optionalClaim"}]
}
identifierUris-Attribut
Schlüssel | Werttyp |
---|---|
identifierUris | String Array |
Benutzerdefinierte URIs, die eine Web-App innerhalb des zugehörigen Microsoft Entra-Mandanten oder einer überprüften kundeneigenen Domäne eindeutig identifizieren. Wenn eine Anwendung als Ressourcen-App verwendet wird, wird der identifierUri-Wert verwendet, um die Ressource eindeutig zu identifizieren und darauf zuzugreifen.
Für Anwendungs-IDs auf Basis von API- oder HTTP-Schemas werden die folgenden URI-Formate unterstützt. Ersetzen Sie die Platzhalterwerte anhand der Liste, die im Anschluss an die Tabelle aufgeführt ist.
Unterstützte Anwendungs-ID URI-Formate |
URIs für Beispiel-App-IDs |
---|---|
api://<appId> | api://00001111-aaaa-2222-bbbb-3333cccc4444 |
api://<tenantId>/<appId> | api://aaaabbbb-0000-cccc-1111-dddd2222eeee/00001111-aaaa-2222-bbbb-3333cccc4444 |
api://<tenantId>/<string> | api://aaaabbbb-0000-cccc-1111-dddd2222eeee/api |
api://<string>/<appId> | api://productapi/00001111-aaaa-2222-bbbb-3333cccc4444 |
https://<tenantInitialDomain>.onmicrosoft.com/<string> | https://contoso.onmicrosoft.com/productsapi |
https://<verifiedCustomDomain>/<string> | https://contoso.com/productsapi |
https://<string>.<verifiedCustomDomain> | https://product.contoso.com |
https://<string>.<verifiedCustomDomain>/<string> | https://product.contoso.com/productsapi |
- <appId>: Die AppId-Eigenschaft (Anwendungsbezeichner) des Anwendungsobjekts.
- <string>: Der Zeichenfolgenwert für den Host oder das API-Pfadsegment.
- <tenantId>: Eine von Azure generierte GUID, die den Mandanten in Azure repräsentiert.
- <tenantInitialDomain> - <tenantInitialDomain>.onmicrosoft.com, wobei <tenantInitialDomain> der anfängliche Domänenname ist, den der Mandantenersteller bei der Mandantenerstellung angegeben hat.
- <verifiedCustomDomain> – eine überprüfte benutzerdefinierte Domäne, die für Ihren Microsoft Entra-Mandanten konfiguriert ist.
Hinweis
Wenn Sie das api:// Schema verwenden, fügen Sie direkt nach dem "api://" einen Zeichenfolgenwert hinzu. Beispiel: api://<Zeichenfolge>. Dieser Zeichenfolgenwert kann eine GUID oder eine beliebige Zeichenfolge sein. Wenn Sie einen GUID-Wert hinzufügen, muss er entweder mit der App-ID oder der Mandanten-ID übereinstimmen. Der Wert des Anwendungs-ID-URI muss für Ihren Mandanten eindeutig sein. Wenn Sie api://<tenantId> als Anwendungs-ID-URI hinzufügen, kann dieser URI in keiner anderen App verwendet werden. Es wird empfohlen, stattdessen api://<appId> oder das HTTP-Schema zu verwenden.
Wichtig
Der Wert für den Anwendungs-ID-URI darf nicht mit einem Schrägstrich (/) enden.
Beispiel:
"identifierUris": "https://contoso.onmicrosoft.com/fc4d2d73-d05a-4a9b-85a8-4f2b3a5f38ed",
keyCredentials-Attribut
Schlüssel | Werttyp |
---|---|
keyCredentials | Collection |
Enthält Verweise auf von der App zugewiesene Anmeldeinformationen, auf Zeichenfolgen basierende gemeinsame geheime Schlüssel und X.509-Zertifikate. Diese Anmeldeinformationen werden beim Anfordern von Zugriffstoken verwendet (wenn die App nicht als Ressource, sondern als Client agiert).
Beispiel:
"keyCredentials": [
{
"customKeyIdentifier":null,
"endDateTime":"2018-09-13T00:00:00Z",
"keyId":"<guid>",
"startDateTime":"2017-09-12T00:00:00Z",
"type":"AsymmetricX509Cert",
"usage":"Verify",
"value":null
}
],
displayName-Attribut
Schlüssel | Werttyp |
---|---|
displayName | String |
Der Anzeigename für die App.
Beispiel:
" displayName": "MyRegisteredApp",
oauth2RequiredPostResponse-Attribut
Schlüssel | Werttyp |
---|---|
oauth2RequiredPostResponse | Boolean |
Gibt an, ob Microsoft Entra ID im Rahmen von OAuth 2.0-Tokenanforderungen POST-Anforderungen zulässt (im Gengensatz zu GET-Anforderungen). Beim Standartwert „false“ sind nur GET-Anforderungen zulässig.
Beispiel:
"oauth2RequirePostResponse": false,
parentalControlSettings-Attribut
Schlüssel | Werttyp |
---|---|
parentalControlSettings | String |
countriesBlockedForMinors
gibt die Länder/Regionen an, in denen die App für Minderjährige blockiert wird.legalAgeGroupRule
gibt die Regel für die rechtliche Altersgruppe an, die für Benutzer der App gilt. Dieser Wert kann aufAllow
,RequireConsentForPrivacyServices
,RequireConsentForMinors
,RequireConsentForKids
oderBlockMinors
festgelegt werden.
Beispiel:
"parentalControlSettings": {
"countriesBlockedForMinors": [],
"legalAgeGroupRule": "Allow"
},
passwordCredentials-Attribut
Schlüssel | Werttyp |
---|---|
passwordCredentials | Collection |
Siehe Beschreibung für die keyCredentials
-Eigenschaft.
Beispiel:
"passwordCredentials": [
{
"customKeyIdentifier": null,
"displayName": "Generated by App Service",
"endDateTime": "2022-10-19T17:59:59.6521653Z",
"hint": "Nsn",
"keyId": "<guid>",
"secretText": null,
"startDateTime":"2022-10-19T17:59:59.6521653Z"
}
],
publisherDomain-Attribut
Schlüssel | Werttyp |
---|---|
publisherDomain | String |
Die überprüfte Herausgeberdomäne für die Anwendung. Schreibgeschützt. Um die Herausgeber-Domäne Ihrer App-Registrierung zu bearbeiten, befolgen Sie bitte die unter Konfigurieren der Herausgeber-Domäne einer App aufgeführten Schritte.
Beispiel:
"publisherDomain": "{tenant}.onmicrosoft.com",
requiredResourceAccess-Attribut
Schlüssel | Werttyp |
---|---|
requiredResourceAccess | Collection |
Mit dynamischer Einwilligung steuert requiredResourceAccess
die Einwilligungsoberfläche für Administratoren und Benutzer, die statische Einwilligung verwenden. Dieser Parameter steuert jedoch nicht die Oberfläche für die Benutzerzustimmung für den Allgemeinfall.
resourceAppId
ist der eindeutige Bezeichner für die Ressource, auf die die App zugreifen muss. Dieser Wert muss mit der „appId“ identisch sein, die für die Zielressourcen-App deklariert wurde.resourceAccess
ist ein Array, das die OAuth 2.0-Berechtigungsbereiche und App-Rollen auflistet, welche die App für die jeweilige Ressource erfordert. Enthält dieid
- undtype
-Werte der jeweiligen Ressourcen.
Beispiel:
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "311a71cc-e848-46a1-bdf8-97ff7156d8e6",
"type": "Scope"
}
]
}
],
samlMetadataUrl-Attribut
Schlüssel | Werttyp |
---|---|
samlMetadataUrl | String |
Die URL zu den SAML-Metadaten für die App.
Beispiel:
"samlMetadataUrl": "https://MyRegisteredAppSAMLMetadata",
signInAudience-Attribut
Schlüssel | Werttyp |
---|---|
signInAudience | String |
Gibt an, welche Microsoft-Konten für die aktuelle Anwendung unterstützt werden. Diese Werte werden unterstützt:
AzureADMyOrg
: Benutzer mit einem Geschäfts-, Schul- oder Unikonto von Microsoft im Microsoft Entra-Mandanten meiner Organisation (z. B. einzelner Mandant)AzureADMultipleOrgs
: Benutzer mit einem Geschäfts-, Schul- oder Unikonto von Microsoft im Microsoft Entra-Mandanten einer beliebigen Organisation (z. B. mehrere Mandanten)AzureADandPersonalMicrosoftAccount
: Benutzer mit einem persönlichen Microsoft-Konto oder einem Geschäfts-, Schul- oder Unikonto im Microsoft Entra-Mandanten einer beliebigen OrganisationPersonalMicrosoftAccount
: Persönliche Konten, die für die Anmeldung bei Diensten wie Xbox und Skype verwendet werden
Beispiel:
"signInAudience": "AzureADandPersonalMicrosoftAccount",
tags-Attribut
Schlüssel | Werttyp |
---|---|
tags | String Array |
Benutzerdefinierte Zeichenfolgen, die zum Kategorisieren und Identifizieren der Anwendung verwendet werden können
Beispiel:
"tags": [
"ProductionApp"
],
isFallbackPublicClient-Attribut
Schlüssel | Werttyp |
---|---|
isFallbackPublicClient | Boolean |
Gibt den Fallback-Anwendungstyp als öffentlichen Client an, z. B. eine installierte Anwendung, die auf einem mobilen Gerät läuft. Der Standardwert dieses Attributs ist FALSE. Das bedeutet, dass der Fallbackanwendungstyp ein vertraulicher Client ist, etwa eine Web-App. Es gibt bestimmte Szenarien, in denen Microsoft Entra ID den Client-App-Typ nicht bestimmen kann. Zum Beispiel der ROPC-Flow, der ohne Angabe eines Umleitungs-URIs konfiguriert ist. In diesen Fällen interpretiert Microsoft Entra ID den Anwendungstyp basierend auf dem Wert dieser Eigenschaft.
Beispiel:
"isFallbackPublicClient ": "false",
Info-Attribut
Schlüssel | Werttyp |
---|---|
info | informationalUrl |
Gibt die grundlegenden Profilinformationen der Anwendung an, einschließlich Marketing, Support, Vertragsbedingungen, Datenschutzerklärung und Logo-URLs der Anwendung.
Beachten Sie dabei Folgendes:
„logoUrl“ ist eine schreibgeschützte Eigenschaft. Sie können sie nicht im App-Manifest bearbeiten. Navigieren Sie in Ihrer gewünschten App-Registrierung zur Seite „Branding und Eigenschaften“ und laden Sie mit „Neues Logo hochladen“ ein neues Logo hoch.
Die Nutzungsbedingungen und Datenschutzbestimmungen werden auf der Oberfläche für die Benutzerzustimmung angezeigt. Weitere Informationen finden Sie unter Nutzungsbedingungen und Datenschutzerklärung für registrierte Microsoft Entra-Apps.
Beispiel:
Info: {
"termsOfService": "https://MyRegisteredApp/termsofservice",
"support": "https://MyRegisteredApp/support",
"privacy": "https://MyRegisteredApp/privacystatement",
"marketing": "https://MyRegisteredApp/marketing"
"logoUrl": "https://MyRegisteredApp/logoUrl",
}
API-Attribut
Schlüssel | Werttyp |
---|---|
api | apiApplication-Ressourcentyp |
Gibt Einstellungen für eine Anwendung an, die eine Web-API implementiert. Enthält fünf Eigenschaften:
Eigenschaft | Typ | Beschreibung |
---|---|---|
acceptMappedClaims | Boolean | Wenn diese Option auf „true“ gesetzt ist, kann eine Anwendung die Zuordnung von Ansprüchen verwenden, ohne einen benutzerdefinierten Signaturschlüssel festzulegen. Anwendungen, die Token empfangen, basieren auf der Tatsache, dass die Anspruchswerte von Microsoft Entra autoritativ ausgestellt werden und nicht manipuliert werden können. Wenn Sie jedoch den Tokeninhalt durch Anspruchszuordnungsrichtlinien ändern, sind diese Annahmen möglicherweise nicht mehr korrekt. Anwendungen müssen explizit bestätigen, dass Token vom Ersteller der Anspruchszuordnungsrichtlinie geändert wurden, um sich vor Anspruchszuordnungsrichtlinien zu schützen, die von böswilligen Akteuren erstellt wurden. Warnung: Legen Sie die acceptMappedClaims-Eigenschaft für mehrmandantenfähige Apps nicht auf TRUE fest. Dies kann dazu führen, dass böswillige Akteure Anspruchszuordnungsrichtlinien für Ihre App erstellen. |
ownClientApplications | collection | Wird zur Bündelung der Zustimmung verwendet, wenn Sie eine aus zwei Teilen bestehende Lösung haben (eine Client-App und eine benutzerdefinierte Web-API-App). Wenn Sie die appID der Client-App auf diesen Wert setzen, stimmt der Benutzer nur einmal für die Client-App zu. Microsoft Entra ID weiß, dass die Zustimmung zum Client eine implizite Zustimmung zur Web-API bedeutet und stellt automatisch Dienstprinzipale für beide APIs gleichzeitig bereit. Die Client- und Web-API-App müssen beim selben Mandanten registriert sein. |
ownClientApplications | collection | Wird zur Bündelung der Zustimmung verwendet, wenn Sie eine aus zwei Teilen bestehende Lösung haben (eine Client-App und eine benutzerdefinierte Web-API-App). Wenn Sie die appID der Client-App auf diesen Wert setzen, stimmt der Benutzer nur einmal für die Client-App zu. Microsoft Entra ID weiß, dass die Zustimmung zum Client eine implizite Zustimmung zur Web-API bedeutet und stellt automatisch Dienstprinzipale für beide APIs gleichzeitig bereit. Die Client- und Web-API-App müssen beim selben Mandanten registriert sein. |
oauth2PermissionScopes | permissionScope-Sammlung | Die Definition der delegierten Berechtigungen, die von der durch diese Anwendungsregistrierung repräsentierten Web-API bereitgestellt werden. Diese delegierten Berechtigungen können von einer Clientanwendung angefordert und von Benutzern oder Administratoren während der Genehmigung erteilt werden. Delegierte Berechtigungen werden manchmal als OAuth 2.0-Bereiche bezeichnet. |
preAuthorizedApplications | preAuthorizedApplication-Sammlung | Listet die Clientanwendungen auf, die mit den angegebenen delegierten Berechtigungen für den Zugriff auf die APIs dieser Anwendung vorautorisiert sind. Benutzer sind nicht verpflichtet, einer vorab authentifizierten Anwendung (für die angegebenen Berechtigungen) zuzustimmen. Alle anderen Berechtigungen, die nicht in preAuthorizedApplications aufgeführt sind (z. B. durch inkrementelle Zustimmung angefordert), erfordern jedoch eine Benutzereinwilligung. |
requestedAccessTokenVersion | Int32 | Gibt die Zugriffstokenversion an, die von dieser Ressource erwartet wird. Dadurch ändern sich die Version und das Format des erzeugten JWT unabhängig vom Endpunkt oder Client, der zum Anfordern des Zugriffstokens verwendet wird. Der verwendete Endpunkt, v1.0 oder v2.0, wird vom Client ausgewählt und wirkt sich nur auf die Version der ID-Token aus. Ressourcen müssen requestedAccessTokenVersion explizit konfigurieren, um das unterstützte Zugriffstokenformat anzugeben. Mögliche Werte für requestedAccessTokenVersion sind 1, 2 oder null. Wenn der Wert null ist, wird standardmäßig 1 verwendet. Dies entspricht dem v1.0-Endpunkt. Wenn signInAudience in der Anwendung als AzureADundPersonalMicrosoftAccount oder PersonalMicrosoftAccount konfiguriert ist, muss der Wert für diese Eigenschaft 2 sein. |
Beispiel:
Api:{
"acceptMappedClaims": true,
"knownClientApplications": ["f7f9acfc-ae0c-4d6c-b489-0a81dc1652dd"],
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the app to access resources on behalf of the signed-in user.",
"adminConsentDisplayName": "Access resource1",
"id": "<guid>",
"isEnabled": true,
"type": "User",
"userConsentDescription": "Allow the app to access resource1 on your behalf.",
"userConsentDisplayName": "Access resources",
"value": "user_impersonation"
}
],
"preAuthorizedApplications": [{
"appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"permissionIds": [
"8748f7db-21fe-4c83-8ab5-53033933c8f1"
]
}],
"requestedAccessTokenVersion": 2
}
Web-Attribut
Schlüssel | Werttyp |
---|---|
web | webApplication-Ressourcentyp |
Gibt Einstellungen für eine Webanwendung an. Es enthält vier Eigenschaften.
Eigenschaft | Typ | Beschreibung |
---|---|---|
homePageUrl | String | Startseite oder Landing Page der Anwendung. |
implicitGrantSettings | implicitGrantSettings | Gibt an, ob diese Webanwendung Token unter Verwendung des impliziten OAuth 2.0-Flusses anfordern kann. |
logoutUrl | String | Gibt die URL an, die vom Autorisierungsdienst von Microsoft verwendet wird, um einen Benutzer mithilfe von Front-Channel-, Back-Channel- oder SAML-Abmeldungsprotokollen abzumelden. |
redirectUris | Zeichenfolgensammlung | Gibt die URLs an, an die Benutzertoken für die Anmeldung gesendet werden, oder die Redirect-URIs, an die OAuth 2.0-Autorisierungscodes und Zugriffstoken in der Webplattform gesendet werden. |
Beispiel:
web: {
"homePageUrl": "String",
"implicitGrantSettings": {
"enableIdTokenIssuance": "Boolean",
"enableAccessTokenIssuance": "Boolean"}
"logoutUrl": "String",
"redirectUris": ["String"]
}
Spa-Attribut
Schlüssel | Werttyp |
---|---|
Spa | spaApplication-Ressourcentyp |
Gibt Einstellungen für eine Single-Page-Webanwendung an, einschließlich Abmelde-URLs und Umleitungs-URIs für Autorisierungscodes und Zugriffstoken.
Eigenschaft | Typ | Beschreibung |
---|---|---|
redirectUris | Zeichenfolgensammlung | Gibt die URLs an, an die Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, an die OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden. |
Beispiel:
spa: {
"redirectUris": ["String"]
}
publicClient-Attribut
Schlüssel | Werttyp |
---|---|
publicClient | publicClientApplication-Ressourcentyp |
Legt Einstellungen für Nicht-Web-Apps oder Nicht-Web-APIs fest (z. B. iOS, Android, mobile oder andere öffentliche Clients wie eine installierte Anwendung, die auf einem Desktop-Gerät läuft).
Eigenschaft | Typ | Beschreibung |
---|---|---|
redirectUris | Zeichenfolgensammlung | Gibt die URLs an, an die Benutzertoken für die Anmeldung gesendet werden, oder die Umleitungs-URIs, an die OAuth 2.0-Autorisierungscodes und Zugriffstoken gesendet werden. |
Beispiel:
publicClient: {
"redirectUris": ["String"]
}
Häufige Probleme
Grenzwerte für das Manifest
Ein Anwendungsmanifest verfügt über mehrere Attribute, die als Sammlungen bezeichnet werden, beispielsweise „appRoles“, „keyCredentials“, „knownClientApplications“, „identifierUris“, „redirectUris“, „requiredResourceAccess“ und „oauth2PermissionScopes“. Im gesamten Anwendungsmanifest für jede Anwendung wurde die Gesamtanzahl von Einträgen in allen kombinierten Sammlungen auf 1200 begrenzt. Wenn Sie vorher im Anwendungsmanifest 100 AppRoles angeben, können Sie in allen anderen kombinierten Sammlungen, aus denen das Manifest besteht, nur noch 1.100 weitere Einträge verwenden.
Hinweis
Falls Sie versuchen, dem Anwendungsmanifest mehr als 1.200 Einträge hinzuzufügen, erhalten Sie möglicherweise die Fehlermeldung Fehler beim Aktualisieren der Anwendung xxxxxx. Fehlerdetails: Die Größe des Manifests hat den Grenzwert überschritten. Verringern Sie die Anzahl der Werte, und wiederholen Sie die Anforderung.
Problembehandlung bei der Manifestmigration vom Azure AD Graph-Format in das Microsoft Graph-Format
Wenn Sie ein zuvor heruntergeladenes App-Manifest im Azure AD Graph-Format hochladen, erhalten Sie möglicherweise die folgende Fehlermeldung:
Die Anwendung {Anwendungsname} konnte nicht aktualisiert werden. Fehlerdetails: ungültige Eigenschaft '{Eigenschaftenname}'.**
Dies könnte auf die Migration von Azure AD Graph zu Microsoft Graph App-Manifest zurückzuführen sein. Zunächst sollten Sie überprüfen, ob sich das App-Manifest im Azure AD Graph-Format befindet. Wenn dies der Grund ist, sollten Sie das App-Manifest in das Microsoft Graph-Format konvertieren.
Das Attribut trustedCertificateSubjects kann nicht gefunden werden
trustedCertificateSubjects-Attribut ist eine interne Microsoft-Eigenschaft. Das Microsoft Entra Admin Center zeigt Version 1.0 des Microsoft Graph-App-Manifests an, das Attribut trustedCertificateSubjects ist nur in der Betaversion des App-Manifests (Microsoft Graph-Format) vorhanden. Bearbeiten Sie diese Eigenschaft weiter mit dem App-Manifest (Azure AD Graph Format) im Microsoft Entra Admin Center.
FEHLER: Die Anwendung wurde nicht gefunden. Wenn die Anwendung gerade erstellt wurde, warten Sie einige Minuten und aktualisieren Sie die Seite.**
Wenn Ihre Anwendung nicht gerade erst erstellt wurde, kann es sein, dass Sie diesen Fehler erhalten, weil Sie ein ungültiges Attribut im Microsoft Graph-App-Manifest hinzugefügt haben. Bitte überprüfen Sie die Attributunterschiede zwischen Azure AD Graph und Microsoft Graph-Formaten und stellen Sie fest, ob Sie ein Attribut hinzugefügt haben, das in der im Portal angezeigten Version des Microsoft Graph-Formats v1.0 nicht unterstützt wird.
Nächste Schritte
Weitere Informationen zu den Beziehungen zwischen den Anwendungs- und Dienstprinzipalobjekten einer App finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.
Definitionen einiger wichtiger Konzepte für Entwickler von Microsoft Identity Platform finden Sie unter Microsoft Identity Platform – Glossar für Entwickler.
Bitte geben Sie uns über den folgenden Kommentarabschnitt Ihr Feedback, um uns bei der Verbesserung unserer Inhalte zu unterstützen.