Egyoldalas alkalmazás regisztrálása az Azure Active Directory B2C-ben

Fontos

2025. május 1-jére az Azure AD B2C már nem lesz elérhető az új ügyfelek számára. További információ a GYIK-ben.

Ahhoz, hogy az alkalmazások interakcióba lépnének az Azure Active Directory B2C-vel (Azure AD B2C), regisztrálniuk kell őket egy Ön által felügyelt bérlőben. Ez az útmutató bemutatja, hogyan regisztrálhat egy egyoldalas alkalmazást ("SPA") az Azure Portalon.

A hitelesítési lehetőségek áttekintése

Számos modern webalkalmazás ügyféloldali egyoldalas alkalmazásként (SPA- k) épülnek fel. A fejlesztők JavaScript vagy SPA-keretrendszer, például Angular, Vue és React használatával írják meg őket. Ezek az alkalmazások webböngészőben futnak, és eltérő hitelesítési jellemzőkkel rendelkeznek, mint a hagyományos kiszolgálóoldali webalkalmazások.

Az Azure AD B2C két lehetőséget biztosít arra, hogy az egyoldalas alkalmazások bejelentkezhessenek a felhasználókba, és jogkivonatokat szerezzenek be a háttérszolgáltatásokhoz vagy webes API-khoz való hozzáféréshez:

Engedélyezési kódfolyamat (PKCE-vel)

Az OAuth 2.0 engedélyezési kódfolyamat (PKCE-vel) lehetővé teszi az alkalmazás számára, hogy az azonosító jogkivonatokra vonatkozó engedélyezési kódot cseréljen a védett API-k meghívásához szükséges hitelesített felhasználó- és Hozzáférési jogkivonatok megjelenítésére. Emellett olyan frissítési jogkivonatokat is visszaad, amelyek hosszú távú hozzáférést biztosítanak az erőforrásokhoz a felhasználók nevében anélkül, hogy interakcióra lenne szükség a felhasználókkal.

Ez az ajánlott megközelítés. A korlátozott élettartamú frissítési jogkivonatok segítenek az alkalmazásnak alkalmazkodni a modern böngésző cookie-k adatvédelmi korlátaihoz, például a Safari ITP-hez.

A folyamat előnyeinek kihasználásához az alkalmazás használhat egy olyan hitelesítési kódtárat, amely támogatja azt, például MSAL.js.

Egyoldalas alkalmazások hitelesítése

Implicit jogosultságkezelési folyamat

Egyes kódtárak, például MSAL.js 1.x, csak az implicit engedélyezési folyamatot támogatják, vagy az alkalmazások implicit folyamat használatára vannak implementálva. Ezekben az esetekben az Azure AD B2C támogatja az OAuth 2.0 implicit folyamatot. Az implicit engedélyezési folyamat lehetővé teszi az alkalmazás számára az azonosítók és hozzáférési jogkivonatok lekérését az engedélyezési végpontról. Az engedélyezési kód folyamatától eltérően az implicit engedélyezési folyamat nem ad vissza frissítési jogkivonatot.

Egyoldalas alkalmazások - implicit módon

Ez a hitelesítési folyamat nem tartalmaz olyan alkalmazásforgatókönyveket, amelyek platformfüggetlen JavaScript-keretrendszereket használnak, például az Electront és a React-Native-t. Ezek a forgatókönyvek további képességeket igényelnek a natív platformokkal való interakcióhoz.

Előfeltételek

  • Ha nincs Azure-előfizetésed, hozz létre egy ingyenes fiókot mielőtt elkezdenéd.

  • Ha nem rendelkezik Azure AD B2C-bérlővel, hozzon létre egyet. Használhatja egy meglévő Azure AD B2C-bérlőt.

Az SPA-alkalmazás regisztrálása

  1. Jelentkezzen be a Azure portalra.

  2. Ha több bérlőhöz is hozzáférése van, a felső menüben a Beállítások ikont választva váltson az Azure AD B2C-bérlőre a Címtárak + előfizetések menüből.

  3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.

  4. Válassza Alkalmazásregisztrációklehetőséget, majd válassza Új regisztrációslehetőséget.

  5. Adja meg az alkalmazás nevét. Például spaapp1.

  6. A Támogatott fióktípusok csoportban válassza a Fiókok lehetőséget bármely identitásszolgáltatóban vagy szervezeti címtárban (a felhasználók felhasználói folyamatokkal való hitelesítéséhez)

  7. Az Átirányítási URI területen válassza az Egyoldalas alkalmazás (SPA) lehetőséget, majd írja be https://jwt.ms az URL-szövegmezőt.

    Az átirányítási URI az a végpont, ahová az engedélyezési kiszolgáló (ebben az esetben az Azure AD B2C) elküldi a felhasználót, miután befejezte a felhasználóval való interakciót. Az átirányítási URI-végpont a sikeres engedélyezéskor megkapja a hozzáférési jogkivonatot vagy az engedélyezési kódot. Éles alkalmazásokban ez általában egy nyilvánosan elérhető végpont, ahol az alkalmazás fut, például https://contoso.com/auth-response. Az útmutatóhoz hasonló tesztelési célokra beállíthatja azt egy Microsoft-tulajdonú webalkalmazásra https://jwt.ms, amely megjeleníti egy jogkivonat dekódolt tartalmát (a jogkivonat tartalma soha nem hagyja el a böngészőt). Az alkalmazásfejlesztés során hozzáadhatja azt a végpontot, ahol az alkalmazás helyileg figyel, például http://localhost:5000. A regisztrált alkalmazásokban bármikor hozzáadhat és módosíthat átirányítási URI-kat.

    Az átirányítási URI-kra a következő korlátozások vonatkoznak:

    • A válasz URL-címnek a https sémával kell kezdődnie, hacsak nem használja a localhost sémát.
    • A válasz URL-címe megkülönbözteti a kis- és nagybetűkre vonatkozó adatokat. Az esetnek meg kell egyeznie a futó alkalmazás URL-elérési útjának esetével. Ha például az alkalmazás az elérési út részeként tartalmazza a .../abc/response-oidc elemet, ne adja meg a .../ABC/response-oidc a válasz URL-címben. Mivel a webböngésző megkülönbözteti a kis- és nagybetűket, a .../abc/response-oidc-hoz társított cookie-k kizárhatók, ha a betűméret-különbségekkel rendelkező .../ABC/response-oidc URL-re irányítják át.

  8. Az Engedélyekcsoportban jelölje be a Rendszergazdai hozzájárulás megadása az openid és offline_access engedélyekhez jelölőnégyzetet.

  9. Válassza a Regisztrálás lehetőséget.

Az implicit engedélyezési folyamat engedélyezése

Az implicit engedélyezési folyamatot két okból engedélyezheti, ha MSAL.js 1.3-as vagy korábbi verzióját használja, vagy ha alkalmazásregisztrációval tesztel egy felhasználói folyamatot tesztelési célokra.

Az alábbi lépésekkel engedélyezheti az implicit engedélyezési folyamatot az alkalmazás számára:

  1. Válassza ki a létrehozott alkalmazásregisztrációt.

  2. A Kezelés területen válassza a Hitelesítés lehetőséget.

  3. Az Implicit engedélyezési és hibrid folyamatok területen jelölje be az Access-jogkivonatokat (implicit folyamatokhoz) és az azonosító jogkivonatokat (implicit és hibrid folyamatokhoz).

  4. Válassza az Mentésgombot.

Megjegyzés:

Ha az alkalmazás MSAL.js 2.0-s vagy újabb verziót használ, ne engedélyezze az implicit engedélyezési folyamatot, mivel MSAL.js 2.0+ támogatja az OAuth 2.0 engedélyezési kódfolyamatot (PKCE-vel). Ha engedélyezi az implicit engedélyezést egy felhasználói folyamat teszteléséhez, az alkalmazás éles környezetben való üzembe helyezése előtt tiltsa le az implicit engedélyezési folyamat beállításait.

Migrálás az implicit engedélyezési folyamatból

Ha rendelkezik olyan alkalmazással, amely az implicit folyamatot használja, javasoljuk, hogy migrálja az engedélyezési kódfolyamatot a PKCE-vel egy olyan keretrendszer használatával, amely támogatja azt, például MSAL.js 2.0+.

Ha az alkalmazásregisztráció által képviselt összes éles spa az engedélyezési kódfolyamatot használja, tiltsa le az implicit engedélyezési folyamat beállításait az alábbiak szerint:

  1. A bal oldali menü Kezelés területén válassza a Hitelesítés lehetőséget.
  2. Az Implicit engedélyezés alatt törölje a jelölést mind a hozzáférési tokenek, mind az azonosító tokenek jelölőnégyzetéből.
  3. Válassza az Mentésgombot.

Az implicit folyamatot használó alkalmazások továbbra is működhetnek, ha az implicit folyamatot engedélyezve (bejelölve) hagyja.

Következő lépések

Megtudhatja, hogyan hozhat létre felhasználói folyamatokat az Azure Active Directory B2C-ben.

  • Last updated on