Registrieren einer Anwendung bei der Microsoft Identity Platform

Beginnen Sie mit dem Microsoft Identity Platform, indem Sie eine Anwendung im Microsoft Entra Admin Center registrieren.

Die Microsoft Identity Platform führt die Identitäts- und Zugriffsverwaltung (IAM) nur für registrierte Anwendungen aus. Unabhängig davon, ob es sich um eine Clientanwendung wie eine Web- oder mobile App oder um eine Web-API handelt, die eine Client-App unterstützt, stellt die Registrierung eine Vertrauensstellung zwischen Ihrer Anwendung und dem Identitätsanbieter her, die Microsoft Identity Platform.

Tipp

Führen Sie zum Registrieren einer Anwendung für Azure AD B2C die Schritte unter Tutorial: Registrieren einer Webanwendung in Azure AD B2C aus.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.
• Das Azure-Konto muss über die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra-ID verfügen. Jede der folgenden Microsoft Entra Rollen enthält die erforderlichen Berechtigungen:
  • Anwendungsadministrator
  • Anwendungsentwickler
  • Cloudanwendungsadministrator
• Abschluss des Schnellstarts einrichten eines Mandanten .

Registrieren einer Anwendung

Durch die Registrierung Ihrer Anwendung wird eine Vertrauensstellung zwischen Ihrer App und dem Microsoft Identity Platform eingerichtet. Die Vertrauensstellung ist unidirektional: Ihre App vertraut dem Microsoft Identity Platform und nicht umgekehrt.

Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:

1. Melden Sie sich beim Microsoft Entra Admin Center an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie den Filter Verzeichnisse + Abonnements im oberen Menü, um zu dem Mandanten zu wechseln, bei dem Sie die Anwendung registrieren möchten.

3. Erweitern Sie das Menü >Identität, erweitern Sie Anwendungen> und wählen Sie App-Registrierungen>Neue Registrierung aus.

4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein. Benutzern Ihrer Anwendung wird der Anzeigename möglicherweise angezeigt, wenn sie die App verwenden, z. B. während der Anmeldung. Sie können den Anzeigenamen jederzeit ändern, und mehrere App-Registrierungen können denselben Namen verwenden. Die automatisch generierte Anwendungs-ID (Client-ID) der App-Registrierung, nicht der Anzeigename, identifiziert Ihre App innerhalb der Identity Platform eindeutig.

5. Geben Sie an, wer die Anwendung verwenden darf( manchmal auch als Anmeldezielgruppe bezeichnet).

   Unterstützte Kontotypen	Beschreibung
   Nur Konten in diesem Organisationsverzeichnis	Wählen Sie diese Option aus, wenn Sie eine Anwendung erstellen, die nur von Benutzern (oder Gästen) in Ihrem Mandanten verwendet werden kann. Diese App wird häufig als Branchenanwendung (Branchenanwendung) bezeichnet und ist eine Einzelmandantenanwendung im Microsoft Identity Platform.
   Konten in einem beliebigen Organisationsverzeichnis	Wählen Sie diese Option aus, wenn Sie möchten, dass Benutzer in einem beliebigen Microsoft Entra Mandanten Ihre Anwendung verwenden können. Diese Option ist z. B. geeignet, wenn Sie eine SaaS-Anwendung (Software-as-a-Service) erstellen, die Sie für mehrere Organisationen bereitstellen möchten. Dieser App-Typ wird im Microsoft Identity Platform als mehrinstanzenfähige Anwendung bezeichnet.
   Konten in allen Organisationsverzeichnissen und persönliche Microsoft-Konten	Verwenden Sie diese Option, um die breiteste Kundengruppe anzusprechen. Wenn Sie diese Option auswählen, registrieren Sie eine mehrinstanzenfähige Anwendung, die auch Benutzer unterstützen kann, die über persönliche Microsoft-Konten verfügen.
   Persönliche Microsoft-Konten	Wählen Sie diese Option aus, wenn Sie eine Anwendung nur für Benutzer erstellen, die über persönliche Microsoft-Konten verfügen. Persönliche Microsoft-Konten umfassen Skype-, Xbox-, Live- und Hotmail-Konten.

6. Geben Sie für Umleitungs-URI (optional) nichts ein. Im nächsten Abschnitt konfigurieren Sie einen Umleitungs-URI.

7. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

   

Nach Abschluss der Registrierung wird im Microsoft Entra Admin Center der Bereich Übersicht der App-Registrierung angezeigt. Die Anwendungs-ID (Client) wird angezeigt. Dieser Wert wird auch als Client-ID bezeichnet und identifiziert Ihre Anwendung im Microsoft Identity Platform eindeutig.

Wichtig

Neue App-Registrierungen sind für Benutzer standardmäßig ausgeblendet. Wenn Sie bereit sind, dass Benutzer die App auf ihrer Meine Apps Seite sehen, können Sie sie aktivieren. Um die App zu aktivieren, erweitern Sie im Microsoft Entra Admin Center das Menü >Identität erweitern Anwendungen>und wählen Sie > die App aus. Aktivieren Sie dann auf der Seite Eigenschaften die Option Für Benutzer sichtbar? auf Ja.

Der Code Ihrer Anwendung oder in der Regel eine Authentifizierungsbibliothek, die in Ihrer Anwendung verwendet wird, verwendet ebenfalls die Client-ID. Die ID wird als Teil der Überprüfung der Sicherheitstoken verwendet, die sie von der Identity Platform empfängt.

Hinzufügen eines Umleitungs-URI

Ein Umleitungs-URI ist der Speicherort, an dem der Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung Sicherheitstoken sendet.

In einer Produktionswebanwendung ist der Umleitungs-URI häufig ein öffentlicher Endpunkt, auf dem Ihre App ausgeführt wird, z. B https://contoso.com/auth-response. . Während der Entwicklung wird häufig auch der Endpunkt hinzugefügt, auf dem Sie Ihre App lokal ausführen, z https://127.0.0.1/auth-response . B. oder http://localhost/auth-response.

Sie können Umleitungs-URIs für Ihre registrierten Anwendungen hinzufügen und ändern, indem Sie deren Plattformeinstellungen konfigurieren.

Konfigurieren von Plattformeinstellungen

Einstellungen für jeden Anwendungstyp, einschließlich Umleitungs-URIs, werden unter Plattformkonfigurationen im Microsoft Entra Admin Center konfiguriert. Für einige Plattformen, z. B. Web- und Single-Page-Anwendungen, müssen Sie manuell einen Umleitungs-URI angeben. Für andere Plattformen wie Mobilgeräte und Desktops können Sie eine Umleitungs-URIs auswählen, die für Sie generiert werden, wenn Sie ihre anderen Einstellungen konfigurieren.

Führen Sie die folgenden Schritte aus, um Anwendungseinstellungen basierend auf der Plattform oder dem Gewünschten Gerät zu konfigurieren:

1. Melden Sie sich beim Microsoft Entra Admin Center an.

2. Erweitern Sie das Menü >Identität, erweitern Sie Anwendungen>App-Registrierungen wählen Sie Ihre Anwendung aus.

3. Wählen Sie unter Verwalten die Option Authentifizierung aus.

4. Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen aus.

5. Wählen Sie unter Plattformen konfigurieren die Kachel für Ihren Anwendungstyp (Plattform) aus, um die zugehörigen Einstellungen zu konfigurieren.

   

   Plattform	Konfigurationseinstellungen
   Web	Geben Sie einen Umleitungs-URI für Ihre App ein. Dieser URI ist der Speicherort, an dem die Microsoft-Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung Sicherheitstoken sendet. Wählen Sie diese Plattform für Standardwebanwendungen aus, die auf einem Server ausgeführt werden.
   Einzelseiten-Anwendung	Geben Sie einen Umleitungs-URI für Ihre App ein. Dieser URI ist der Speicherort, an dem die Microsoft-Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung Sicherheitstoken sendet. Wählen Sie diese Plattform aus, wenn Sie eine clientseitige Web-App mit JavaScript oder einem Framework wie Angular, Vue.js, React.js oder Blazor WebAssembly erstellen.
   iOS/macOS	Geben Sie die Bündel-ID der App ein. Sie finden sie unter Buildeinstellungen oder in Xcode in Info.plist. Wenn Sie eine Bundle-ID angeben, wird ein Umleitungs-URI generiert.
   Android	Geben Sie den App-Paketnamen ein. Suchen Sie es in der AndroidManifest.xml-Datei . Generieren Sie außerdem den Signaturhash, und geben Sie es ein. Wenn Sie diese Einstellungen angeben, wird ein Umleitungs-URI generiert.
   Mobile und Desktopanwendungen	Wählen Sie eine der vorgeschlagenen Umleitungs-URIs aus. Oder geben Sie einen benutzerdefinierten Umleitungs-URI an. Für Desktopanwendungen mit eingebetteten Browsern empfehlen wir https://login.microsoftonline.com/common/oauth2/nativeclient Für Desktopanwendungen, die den Systembrowser verwenden, empfehlen wir http://localhost Wählen Sie diese Plattform für mobile Anwendungen aus, die nicht die neueste Microsoft Authentication Library (MSAL) verwenden oder keinen Broker verwenden. Wählen Sie auch diese Plattform für Desktopanwendungen aus.

6. Wählen Sie Konfigurieren aus, um die Plattformkonfiguration abzuschließen.

Umleitungs-URI-Einschränkungen

Es gibt einige Einschränkungen für das Format der Umleitungs-URIs, die Sie einer App-Registrierung hinzufügen. Ausführliche Informationen zu diesen Einschränkungen finden Sie unter Einschränkungen und Einschränkungen für Umleitungs-URI (Antwort-URL).

Hinzufügen von Anmeldeinformationen

Anmeldeinformationen werden von vertraulichen Clientanwendungen verwendet, die auf eine Web-API zugreifen. Beispiele für vertrauliche Clients sind Web-Apps, andere Web-APIs oder Anwendungen vom Typ Dienst und Daemon. Anmeldeinformationen ermöglichen es Ihrer Anwendung, sich als sich selbst zu authentifizieren, sodass zur Laufzeit keine Interaktion eines Benutzers erforderlich ist.

Sie können sowohl Zertifikate als auch geheime Clientschlüssel (eine Zeichenfolge) als Anmeldeinformationen zu Ihrer registrierung vertraulichen Client-App hinzufügen.

Option 1: Hinzufügen eines Zertifikats

Manchmal auch als öffentlicher Schlüssel bezeichnet, ist ein Zertifikat der empfohlene Anmeldeinformationstyp, da sie als sicherer gelten als geheime Clientschlüssel. Weitere Informationen zur Verwendung eines Zertifikats als Authentifizierungsmethode in Ihrer Anwendung finden Sie unter Anmeldeinformationen für Microsoft Identity Platform Anwendungsauthentifizierungszertifikat.

1. Wählen Sie im Microsoft Entra Admin Center >Identity>Applications>App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse>Zertifikate>Zertifikat hochladen aus.
3. Wählen Sie die Datei aus, die Sie hochladen möchten. Es muss einer der folgenden Dateitypen sein: .cer, .pem, .crt.
4. Klicken Sie auf Hinzufügen.

Option 2: Hinzufügen eines geheimen Clientschlüssels

Manchmal auch als Anwendungskennwort bezeichnet, ist ein geheimer Clientschlüssel ein Zeichenfolgenwert, den Ihre App anstelle eines Zertifikats verwenden kann, um sich selbst zu identifizieren.

Geheime Clientschlüssel gelten als weniger sicher als Zertifikatanmeldeinformationen. Anwendungsentwickler verwenden aufgrund ihrer Benutzerfreundlichkeit manchmal geheime Clientschlüssel während der entwicklung lokaler Apps. Sie sollten jedoch Zertifikatanmeldeinformationen für alle Anwendungen verwenden, die in der Produktion ausgeführt werden.

1. Wählen Sie im Microsoft Entra Admin Center >Identity>Applications>App-Registrierungen Ihre Anwendung aus.
2. Wählen Sie Zertifikate & Geheimnisse>Geheime Clientschlüssel>Neuer geheimer Clientschlüssel aus.
3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
4. Wählen Sie einen Ablauf für das Geheimnis aus, oder geben Sie eine benutzerdefinierte Lebensdauer an.
   • Die Lebensdauer des geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) beschränkt. Sie können keine benutzerdefinierte Lebensdauer angeben, die länger als 24 Monate ist.
   • Microsoft empfiehlt, einen Ablaufwert von weniger als 12 Monaten festzulegen.
5. Klicken Sie auf Hinzufügen.
6. Notieren Sie sich den Wert des Geheimnisses zur Verwendung in Ihrem Clientanwendungscode. Dieser Geheimniswert wird nie wieder angezeigt , nachdem Sie diese Seite verlassen haben.

Empfehlungen zur Anwendungssicherheit finden Sie unter Microsoft Identity Platform bewährte Methoden und Empfehlungen.

Option 3: Hinzufügen von Verbundanmeldeinformationen

Anmeldeinformationen für Verbundidentitäten sind eine Art von Anmeldeinformationen, mit denen Workloads wie GitHub Actions, auf Kubernetes ausgeführte Workloads oder Workloads, die auf Computeplattformen außerhalb von Azure ausgeführt werden, auf Microsoft Entra geschützten Ressourcen zugreifen können, ohne Geheimnisse mithilfe des Workloadidentitätsverbunds verwalten zu müssen.

Führen Sie die folgenden Schritte aus, um Verbundanmeldeinformationen hinzuzufügen:

1. Wählen Sie im Microsoft Entra Admin Center >Identity>Applications>App-Registrierungen Ihre Anwendung aus.

2. Wählen Sie Zertifikate & geheimnisse>Verbundanmeldeinformationen>Anmeldeinformationen hinzufügen aus.

3. Wählen Sie im Dropdownfeld Verbundanmeldeinformationsszenario eines der unterstützten Szenarien aus, und befolgen Sie die entsprechende Anleitung, um die Konfiguration abzuschließen.

   • Kundenseitig verwaltete Schlüssel zum Verschlüsseln von Daten in Ihrem Mandanten mithilfe von Azure Key Vault in einem anderen Mandanten.
   • GitHub actions deploying Azure resources to configure a GitHub workflow to get tokens for your application and deploy assets to Azure.
   • Kubernetes greift auf Azure-Ressourcen zu , um ein Kubernetes-Dienstkonto zu konfigurieren, um Token für Ihre Anwendung abzurufen und auf Azure-Ressourcen zuzugreifen.
   • Anderer Aussteller zum Konfigurieren einer Identität, die von einem externen OpenID Connect-Anbieter verwaltet wird, um Token für Ihre Anwendung abzurufen und auf Azure-Ressourcen zuzugreifen.

Weitere Informationen zum Abrufen eines Zugriffstokens mit Verbundanmeldeinformationen finden Sie im Artikel Microsoft Identity Platform und OAuth 2.0-Clientanmeldeinformationen.

Nächste Schritte

• Erfahren Sie mehr über Berechtigungen und Zustimmung im Microsoft Identity Platform oder wie Berechtigungen in Microsoft Graph funktionieren.
• Wählen Sie einen Schnellstart aus, der Sie durch das Hinzufügen wichtiger IAM-Features (Identity and Access Management) zu Ihren Anwendungen und bewährten Methoden zum Schützen und Verfügbarhalten Ihrer Apps führt.
• Erfahren Sie mehr über die beiden Microsoft Entra Objekte, die eine registrierte Anwendung darstellen, und die Beziehung zwischen ihnen: Anwendungsobjekte und Dienstprinzipalobjekte.