Sovelluksen rekisteröiminen

  • 12 minuuttia

Sovelluksen rekisteröinti muodostaa luottamussuhteen sovelluksesi ja Microsoftin käyttäjätietoympäristön välille. Luottamus on epäjärjestystä: Sovelluksesi luottaa Microsoftin käyttäjätietoympäristöön – ei toisin päin.

  1. Kirjaudu sisään Microsoft Entra -hallintakeskukseen järjestelmänvalvojatilin avulla.

  2. Avaa portaalivalikko ja valitse sitten Käyttäjätiedot.

  3. Valitse Käyttäjätiedot-valikonSovellukset-kohdastaSovelluksen rekisteröinnit.

  4. Valitse Sovelluksen rekisteröinnit -sivun valikosta + Uusi rekisteröinti.

  5. Rekisteröi sovelluksen valintaikkunassa sovellus, jonka nimi on Esittely-sovellus , käyttämällä oletusarvoja. Sinun ei tarvitse antaa uudelleenohjauksen URI-osoitetta.

    Näyttökuva Rekisteröi sovellus -näytöstä, jossa nimi ja oletusasetukset on korostettu.

  6. Kun olet valmis, sinut ohjataan Esittely-sovelluksen näyttöön.

Uudelleenohjauksen URI-uri:n lisääminen

Uudelleenohjauksen URI-osoite on paikka, jossa Microsoftin käyttäjätietoympäristö ohjaa käyttäjän asiakkaan uudelleen ja lähettää suojaustunnukset todentamisen jälkeen. Esimerkiksi tuotannon verkkosovelluksessa uudelleenohjauksen URI on usein julkinen päätepiste, jossa sovelluksesi on käynnissä. Kehityksen aikana lisätään usein myös päätepiste, jossa sovellus suoritetaan paikallisesti.

Lisää ja muokkaa rekisteröityjen sovellustesi uudelleenohjauksen URI-osoitteita määrittämällä niiden käyttöympäristöasetukset.

Ympäristöasetusten määrittäminen

Kunkin sovellustyypin asetukset, mukaan lukien uudelleenohjauksen URI-osoitteet, määritetään Azure-portaalin käyttöympäristömäärityksissä . Joidenkin ympäristöjen, kuten verkko- ja yksisivuisten sovellusten, on määritettävä uudelleenohjauksen URI-osoite manuaalisesti. Muissa ympäristöissä, kuten mobiili- ja työpöytäympäristöissä, voit valita sinulle luodut uudelleenohjauksen URI-osoitteet, kun määrität niiden muita asetuksia.

Sovellusasetusten määrittäminen kohdeympäristön tai laitteen perusteella:

  1. Valitse sovelluksesi sovellusten rekisteröinnit-kohdassa Azure-portaalissa.

  2. Valitse Hallitse-kohdassa Todennus.

  3. Valitse Platform configurations-kohdasta Lisää ympäristön.

  4. Määritä ympäristöt -kohdassa sovellustyypin (ympäristö) ruutu määrittääksesi sen asetukset.

    Näyttökuva Käyttöympäristön määritys -ruudusta Microsoft Entra -hallintakeskuksessa.

    Ympäristö Kokoonpanoasetukset
    verkko Anna sovelluksesi uudelleenohjauksen URI-osoite . Sijainti, jossa Microsoftin käyttäjätietoympäristö ohjaa käyttäjän asiakkaan uudelleen ja lähettää suojaustunnukset todentamisen jälkeen. Valitse tämä ympäristö vakioverkkosovelluksille, jotka suoritetaan palvelimessa.
    Yksisivuinen sovellus Anna sovelluksesi uudelleenohjauksen URI-osoite . Sijainti, jossa Microsoftin käyttäjätietoympäristö ohjaa käyttäjän asiakkaan uudelleen ja lähettää suojaustunnukset todentamisen jälkeen. Valitse tämä ympäristö, jos luot asiakaspuolen verkkosovellusta JavaScriptissä tai kehyksellä, kuten Angular, Vue.js, React.jstai Blazor WebAssembly.
    iOS/macOS Anna sovelluspaketin tunnus, joka löytyy XCode-tiedostosta Info.plist-tiedostosta tai Koontiasetukset-kohdasta. Uudelleenohjauksen URI-osoite luodaan puolestasi, kun määrität Bundle ID -tunnuksen.
    Androidi Anna Paketin nimi -nimi, joka löytyy AndroidManifest.xml -tiedostosta, ja luo ja kirjoita Allekirjoitus-hajautusmerkki. Uudelleenohjauksen URI-osoite luodaan puolestasi, kun määrität nämä asetukset.
    Mobiili- ja työpöytäsovellukset Valitse jokin ehdotetuista uudelleenohjauksen URI-osoitteista tai määritä Mukautettu uudelleenohjauksen URI-osoite. Työpöytäsovelluksissa suosittelemmehttps://login.microsoftonline.com/common/oauth2/nativeclient , että valitset tämän ympäristön mobiilisovelluksille, joissa ei käytetä uusinta Microsoftin todentamiskirjastoa (MSAL) tai jotka eivät käytä välittäjää. Valitse myös tämä ympäristö työpöytäsovelluksille.

  5. Viimeistele ympäristön määritys valitsemalla Määritä .

Lisää tunnistetiedot

Luottamukselliset asiakassovellukset käyttävät tunnistetietoja, jotka käyttävät www-ohjelmointirajapintaa. Luottamuksellisia asiakasohjelmia ovat esimerkiksi verkkosovellukset, muut verkon ohjelmointirajapinnat sekä service-type- ja daemon-type-sovellukset. Tunnistetietojen avulla sovellus voi todentautua itsestään edellyttämättä käyttäjän toimia suorituksen aikana.

Voit lisätä sekä varmenteita että asiakassalaisuuksia (merkkijono) tunnistetietoina luottamuksellisen asiakassovelluksen rekisteröintiin.

Näyttökuva Azure-portaalista, jossa on Varmenteet ja salasanat -ruutu sovelluksen rekisteröinnissä.

Varmenteen lisääminen

Joskus julkiseksi avaimeksi kutsutut varmenteet ovat suositeltu tunnistetietotyyppi, koska ne tarjoavat asiakassalaisuutta korkeamman valvontatason. Kun käytät luotettua julkista varmennetta, voit lisätä varmenteen käyttämällä Varmenteet ja salasanat -ominaisuutta. Varmenne on oltava jokin seuraavista tiedostotyypeistä: .cer, .pem, .crt.

Asiakassalaisuuden lisääminen

Asiakkaan salasana eli sovelluksen salasana on merkkijonoarvo, jota sovelluksesi voi käyttää itse varmenteen sijaan. Sitä on helpompi käyttää kahdesta tunnistetietotyypistä. Sitä käytetään usein kehityksen aikana, mutta sitä pidetään vähemmän turvallisena kuin varmennetta. Käytä varmenteita sovelluksissa, jotka suoritetaan tuotannossa.

  1. Valitse sovelluksesi sovellusten rekisteröinnit-kohdassa Azure-portaalissa.
  2. Valitse Varmenteet ja salaisuudet ja valitse sitten Uusi asiakassalaisuus.
  3. Lisää asiakassalaisuuden kuvaus.
  4. Valitse kesto.
  5. Valitse Lisää.
  6. Tallenna salaisen koodin käyttöarvo asiakassovelluskoodiin. Sitä ei enää koskaan näytetä , kun poistut tältä sivulta.

Rekisteröi www-ohjelmointirajapinta

Jotta voit tarjota rajatun pääsyn verkko-ohjelmointirajapintasi resursseihin, sinun on ensin rekisteröitävä ohjelmointirajapinta Microsoftin käyttäjätietoympäristöön.

  1. Suorita yllä olevat vaiheet.
  2. Ohita Lisää uudelleenohjauksen URI ja Määritä ympäristön asetukset - osiot. Sinun ei tarvitse määrittää verkko-ohjelmointirajapinnan uudelleenohjauksen URI-osoitetta, koska kukaan käyttäjistä ei ole kirjautunut sisään vuorovaikutteisesti.
  3. Ohita Lisää tunnistetiedot -osio toistaiseksi. Vain jos ohjelmointirajapintasi käyttää loppuvaiheen ohjelmointirajapintaa, se tarvitsee omat tunnistetietonsa, joita ei tässä artikkelissa käsitellä.

Kun www-ohjelmointirajapintasi on rekisteröity, voit lisätä vaikutusalueita, joita ohjelmointirajapintasi koodi voi käyttää tarjotakseen ohjelmointirajapintasi käyttäjille eriytetyt käyttöoikeudet.

Lisää vaikutusalue

Asiakassovelluksen koodi pyytää käyttöoikeutta verkko-ohjelmointirajapintasi määrittämien toimintojen suorittamiseen välittämällä käyttöoikeustietueen ja sen pyynnöt suojattuun resurssiin (www-ohjelmointirajapinta). Verkko-ohjelmointirajapintasi suorittaa pyydetyn toiminnon vain, jos sen saama käyttöoikeustietue sisältää toiminnolle vaaditut vaikutusalueet (eli sovelluksen käyttöoikeudet).

Luo ensin seuraavasti esimerkkialue nimeltä Employees.Read.All:

  1. Kirjaudu sisään Azure-portaaliin.

  2. Jos sinulla on käyttöoikeus useisiin vuokraajaan, valitse yläreunan valikosta Hakemisto ja tilaus -suodattimella vuokraaja, joka sisältää asiakassovelluksesi rekisteröinnin.

  3. Valitse Microsoft Entra -tunnus, sitten Sovelluksen rekisteröinnit ja valitse sitten ohjelmointirajapintasi sovelluksen rekisteröinti.

  4. Valitse Paljasta ohjelmointirajapinta ja valitse sitten Lisää vaikutusalue.

    Näyttökuva sovelluksen rekisteröinnin Paljastaa ohjelmointirajapinta -ruudusta Microsoft Entra -hallintakeskuksessa.

  5. Sinua pyydetään määrittämään sovellustunnuksen URI, jos et ole vielä määrittänyt sovellustunnusta . Sovellustunnuksen URI-tunnus toimii etuliitteenä vaikutusalueille, joihin viittaat ohjelmointirajapinnan koodissa, ja sen on oltava yleisesti yksilöivä. Voit käyttää annettua oletusarvoa, joka on -lomakkeessa api:// , tai määrittää helpommin luettavan URI-tunnuksen, kuten https://contoso.com/api.

  6. Määritä sitten vaikutusalueen määritteet Lisää vaikutusalue -ruudussa. Tässä ohjeartikkelissa voit käyttää esimerkkiarvoja tai määrittää omasi.

    Kentän Kuvaus- Esimerkiksi
    Vaikutusalueen nimi Vaikutusalueen nimi. Yleinen vaikutusalueen nimeämiskäytäntö on resource.operation.constraint. Työntekijät.Read.All
    Kuka voi suostua Järjestelmänvalvoja päättää, voivatko käyttäjät antaa tälle laajuudelle suostumuksen vai edellyttääkö hän järjestelmänvalvojan suostumusta. Valitse vain järjestelmänvalvojat, jos sinulla on suuremmat oikeudet. Järjestelmänvalvojat ja käyttäjät
    Järjestelmänvalvojan suostumuksen näyttönimi Lyhyt kuvaus vaikutusalueen tarkoituksesta, jonka vain järjestelmänvalvojat näkevät. Vain luku -oikeudet työntekijätietueisiin
    Järjestelmänvalvojan suostumuksen kuvaus Tarkempi kuvaus käyttöoikeudesta, jonka vain järjestelmänvalvojat näkevät. Salli sovellukselle vain luku -oikeus kaikkiin työntekijätietoihin.
    Käyttäjän suostumuksen näyttönimi Alueen tarkoituksen lyhyt kuvaus. Näytetään käyttäjille vain, jos määrität Kuka voi antaa suostumuksen järjestelmänvalvojille ja käyttäjille. Vain luku -oikeudet työntekijätietueisiin
    Käyttäjän suostumuksen kuvaus Tarkempi kuvaus laajuuden myöntämästä käyttöoikeudesta. Näytetään käyttäjille vain, jos määrität Kuka voi antaa suostumuksen järjestelmänvalvojille ja käyttäjille. Salli, että sovelluksella on vain luku -oikeudet työntekijätietoihisi.

  7. Määritä State -asetukseksi Enabled, ja valitse sitten Lisää vaikutusalue -.

  8. (Valinnainen) Jos haluat estää sovelluksen käyttäjien suostumuksen käytön määrittämiesi vaikutusalueiden osalta, voit esimäärittää asiakassovellukselle luvan käyttää verkko-ohjelmointirajapintaasi. Pre-valtuuta vain ne asiakassovellukset, joihin luotat, koska käyttäjillä ei ole mahdollisuutta hylätä suostumusta.

    1. Valitse Valtuutetut asiakassovellukset -kohdassa Lisää asiakassovellus.
    2. Anna esi valtuutettavan asiakassovelluksen sovellustunnus (asiakassovellus ). Esimerkiksi aiemmin rekisteröimäsi verkkosovelluksen.
    3. Valitse kohdassa Valtuutetut alueetalueet, joissa haluat estää suostumuspyyntöjen käytön, ja valitse sitten Lisää sovellus.
    4. Jos olet noudattanut tätä valinnaista vaihetta, asiakassovellus on nyt esivaltuutettu asiakassovellus (PCA), eikä käyttäjiä pyydetään antamaan suostumustaan, kun he kirjautuvat siihen.

Lisää seuraavaksi toinen esimerkkialue nimeltä Employees.Write.All, johon vain järjestelmänvalvojat voivat suostua. Järjestelmänvalvojan suostumusta vaativia vaikutusalueita käytetään yleensä korkeamman etuoikeutetun toiminnan käyttämiseen. Usein asiakassovellukset toimivat taustapalveluina tai daemoneina, jotka eivät kirjaudu sisään käyttäjään vuorovaikutteisesti.

Lisää Employees.Write.All-esimerkkialue noudattamalla yllä olevia ohjeita ja määrittämällä nämä arvot Lisää vaikutusalue -ruudussa:

Kentän Esimerkkiarvo
Vaikutusalueen nimi Työntekijät.Write.All
Kuka voi suostua Vain järjestelmänvalvojat
Järjestelmänvalvojan suostumuksen näyttönimi Työntekijän tietueiden kirjoitusoikeus
Järjestelmänvalvojan suostumuksen kuvaus Salli sovellukselle kirjoitusoikeudet kaikkiin työntekijöiden tietoihin.
Käyttäjän suostumuksen näyttönimi Ei mitään (jätä tyhjäksi)
Käyttäjän suostumuksen kuvaus Ei mitään (jätä tyhjäksi)

Tarkista paljastetut vaikutusalueet

Jos olet onnistuneesti lisännyt molemmat edellisissä osioissa kuvatut esimerkkialueet, ne näkyvät Verkko-ohjelmointirajapinnan sovelluksen rekisteröinnin Ohjelmointirajapinta-ruudun Paljasta ohjelmointirajapinta -ruudussa, joka on seuraavan kuvan kaltainen:

Näyttökuva Näytä ohjelmointirajapinta -ruudusta, jossa näkyy kaksi näkyvää määritysaluetta sovelluksen rekisteröinnissä.

Kuten kuvasta näkyy, vaikutusalueen koko merkkijono on verkko-ohjelmointirajapinnan sovellustunnuksen URI- ketjutus ja vaikutusalueen Vaikutusalueen nimi.

Jos esimerkiksi www-ohjelmointirajapinnan sovellustunnuksen URI on ja vaikutusalueen nimi on https://contoso.com/api Employees.Read.All, vaikutusalue on koko:

https://contoso.com/api/Employees.Read.All

Näkyvissä olevien vaikutusalueiden käyttäminen

Seuraavaksi määrität asiakassovelluksen rekisteröinnin verkko-ohjelmointirajapinnan käyttöoikeudella ja määrittämäsi vaikutusalueet edellä annettujen ohjeiden mukaisesti.

Kun asiakassovelluksen rekisteröinnille on myönnetty käyttöoikeus verkko-ohjelmointirajapintaasi, asiakkaalle voidaan myöntää OAuth 2.0 -käyttöoikeustietue Microsoftin käyttäjätietoympäristössä. Kun asiakas kutsuu www-ohjelmointirajapintaa, se näyttää käyttöoikeustietueen, jonka vaikutusalueella (scp) on käyttöoikeudet, jotka olet määrittänyt asiakkaan sovelluksen rekisteröinnissä.

Voit paljastaa muita vaikutusalueita myöhemmin tarpeen mukaan. Huomaa, että verkko-ohjelmointirajapintasi voi paljastaa useita useisiin toimintoihin liittyviä vaikutusalueita. Resurssisi voi hallita WWW-ohjelmointirajapinnan käyttöä suorituksen aikana arvioimalla vaikutusalueen (scp) väitteet OAuth 2.0 -käyttöoikeustietueessa, jonka se saa.

Mitä kulissien takana tapahtuu?

  • Sovelluksen rekisteröinti luodaan kotivuokraajassa
  • Sovelluksen alustamisen yhteydessä on suojausobjekti Microsoft Entra -tunnuksessa
  • Ensimmäinen käyttäjä tai järjestelmänvalvoja antaa suojausobjektin suostumuksen paljastuneen ohjelmointirajapinnan määrityksen perusteella.
  • Suojausobjektille myönnetään suojaustunnus, kun käyttäjä käyttää sovellusta ja ohjelmointirajapintaa