Alkalmazáskonfigurációs beállítások

A jogkivonatok hitelesítéséhez és beszerzéséhez inicializálnia kell egy új nyilvános vagy bizalmas ügyfélalkalmazást a kódban. Az ügyfélalkalmazás microsoftos hitelesítési kódtárban (MSAL) való inicializálásakor több konfigurációs beállítást is megadhat. Ezek a lehetőségek két csoportba sorolhatók:

Hatóság

A szolgáltató egy URL-cím, amely egy olyan könyvtárat jelöl, amelytől az MSAL jogkivonatokat kérhet.

A közös hatóságok a következők:

Gyakori szolgáltatói URL-címek Mikor érdemes használni?
https://login.microsoftonline.com/<tenant>/ Csak egy adott szervezet felhasználóinak bejelentkezése. Az <tenant> URL-cím a Microsoft Entra-bérlő (GUID) vagy annak bérlői tartományának bérlőazonosítója.
https://login.microsoftonline.com/common/ Jelentkezzen be munkahelyi és iskolai fiókkal vagy személyes Microsoft-fiókkal rendelkező felhasználókba.
https://login.microsoftonline.com/organizations/ Jelentkezzen be munkahelyi és iskolai fiókkal rendelkező felhasználókba.
https://login.microsoftonline.com/consumers/ Csak személyes Microsoft-fiókkal (MSA) rendelkező felhasználókat jelentkezzen be.

A kódban megadott szolgáltatónak összhangban kell lennie az alkalmazáshoz megadott támogatott fióktípusokkal az Azure Portal alkalmazásregisztrációiban .

A hatóság lehet:

  • Egy Microsoft Entra felhőszolgáltató.
  • Egy Azure AD B2C-szolgáltató. Lásd a B2C részleteket.
  • Egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltató. Lásd: AD FS-támogatás.

A Microsoft Entra felhőhatóságai két részből állnak:

  • Az identitásszolgáltató példánya
  • Az alkalmazás bejelentkezési célközönsége

A példány és a célközönség összefűzhető, és szolgáltatói URL-címként is megadható. Ez az ábra a szolgáltató URL-címének összeállítását mutatja be:

A szolgáltató URL-címének összeállítása

Felhőpéldány

A példány használatával megadhatja, hogy az alkalmazás a felhasználókat az Azure nyilvános felhőből vagy az országos felhőből írja-e alá. Az MSAL kódban való használatával beállíthatja az Azure-felhőpéldányt, ha az enumeration vagy az URL megadásával a Instance tagként használja.

MSAL.NET explicit kivételt eredményez, ha mindkettő InstanceAzureCloudInstance meg van adva.

Ha nem ad meg egy példányt, az alkalmazás az Azure nyilvános felhőpéldányt (az URL-példányt https://login.onmicrosoftonline.com) célozza meg.

Alkalmazás célközönsége

A bejelentkezési célközönség az alkalmazás üzleti igényeitől függ:

  • Ha Ön üzletági (LOB) fejlesztő, valószínűleg egy bérlős alkalmazást fog létrehozni, amelyet csak a szervezetben használ. Ebben az esetben adja meg a szervezetet a bérlőazonosítója (a Microsoft Entra-példány azonosítója) vagy a Microsoft Entra-példányhoz társított tartománynév alapján.
  • Ha Ön isV-felhasználó, előfordulhat, hogy munkahelyi és iskolai fiókjával szeretne bejelentkezni a felhasználókba bármely szervezetben vagy bizonyos szervezetekben (több-bérlős alkalmazásban). Előfordulhat azonban, hogy azt is szeretné, hogy a felhasználók személyes Microsoft-fiókjukkal jelentkezzenek be.

Célközönség megadása a kódban/konfigurációban

Az MSAL használatával a kódban az alábbi értékek egyikével adhatja meg a célközönséget:

  • A Microsoft Entra-szolgáltató célközönségének számbavétele
  • A bérlő azonosítója, amely lehet:
    • GUID (a Microsoft Entra-példány azonosítója) egybérlős alkalmazásokhoz
    • A Microsoft Entra-példányhoz társított tartománynév (egybérlős alkalmazásokhoz is)
  • Az alábbi helyőrzők egyike bérlőazonosítóként a Microsoft Entra-szolgáltató célközönségének számbavétele helyett:
    • organizations több-bérlős alkalmazás esetén
    • consumers a felhasználók csak a személyes fiókjukkal való bejelentkezéshez
    • common a felhasználók munkahelyi és iskolai fiókjával vagy személyes Microsoft-fiókjával való bejelentkezéshez

Az MSAL jelentős kivételt eredményez, ha a Microsoft Entra-szolgáltató célközönségét és a bérlőazonosítót is megadja.

Ajánlott célközönséget megadni, mert sok bérlő és a bennük üzembe helyezett alkalmazások vendégfelhasználókkal fognak rendelkezni. Ha az alkalmazás külső felhasználók számára készült, kerülje a végpontokat és common a organization végpontokat. Ha nem ad meg célközönséget, az alkalmazás célközönségként célozza meg a Microsoft Entra-azonosítót és a személyes Microsoft-fiókokat, és a common megadott módon fog viselkedni.

Hatékony célközönség

Az alkalmazás tényleges célközönsége az alkalmazásban beállított célközönség és az alkalmazásregisztrációban megadott célközönség minimális (ha van metszete) lesz. Az alkalmazásregisztrációk használatával megadhatja az alkalmazás célközönségét (a támogatott fióktípusokat). További információ : Rövid útmutató: Alkalmazás regisztrálása a Microsoft identitásplatformon.

Jelenleg az egyetlen módja annak, hogy egy alkalmazás csak személyes Microsoft-fiókkal jelentkezzen be a felhasználókba, ha mindkét beállítást konfigurálja:

  • Állítsa be az alkalmazásregisztrációs célközönséget a következőre Work and school accounts and personal accounts: .
  • Állítsa be a célközönséget a kódban/konfigurációban (vagy AadAuthorityAudience.PersonalMicrosoftAccount ="fogyasztók") értékre TenantID .

Ügyfél azonosítója

Az ügyfélazonosító az alkalmazáshoz a Microsoft Entra ID által az alkalmazás regisztrálásakor hozzárendelt egyedi alkalmazás-(ügyfél-) azonosító . Az alkalmazás (ügyfél) azonosítóját az alkalmazás Áttekintés lapján találja az Entra ID>Enterprise-alkalmazásokban.

Átirányítási URI

Az átirányítási URI az az URI, amelybe az identitásszolgáltató visszaküldi a biztonsági jogkivonatokat.

URI átirányítása nyilvános ügyfélalkalmazásokhoz

Ha Ön nyilvános ügyfélalkalmazás-fejlesztő, aki MSAL-t használ:

  • Asztali alkalmazásokban (MSAL.NET 4.1+) érdemes használni .WithDefaultRedirectUri() . A .WithDefaultRedirectUri() metódus a nyilvános ügyfélalkalmazás átirányítási URI-tulajdonságát a nyilvános ügyfélalkalmazások alapértelmezett ajánlott átirányítási URI-jára állítja.

    Plattform Átirányítási URI
    Asztali alkalmazás (.NET-keretrendszer) https://login.microsoftonline.com/common/oauth2/nativeclient
    UWP (Univerzális Windows Platform) WebAuthenticationBroker.GetCurrentApplicationCallbackUri()értéke. Ez lehetővé teszi az egyszeri bejelentkezést (SSO) a böngészővel, ha az értéket a WebAuthenticationBroker.GetCurrentApplicationCallbackUri() eredményére állítja, amelyet regisztrálnia kell
    .HÁLÓ https://localhost lehetővé teszi a felhasználó számára, hogy interaktív hitelesítésre használja a rendszerböngészőt, mivel a .NET jelenleg nem rendelkezik felhasználói felülettel a beágyazott webes nézethez.

Az átirányítási URI felülbírálható a RedirectUri tulajdonság használatával (például közvetítők használata esetén). Íme néhány példa az adott forgatókönyv átirányítási URI-jaira:

  • RedirectUriOnAndroid = "msauth-00001111-aaaa-2222-bbbb-3333cccc4444://com.microsoft.identity.client.sample";
  • RedirectUriOnIos = $"msauth.{Bundle.ID}://auth";

További Android-részletekért lásd: Közvetített hitelesítés Androidon.

  • Ha MSAL Android használatával készít alkalmazásokat, konfigurálhatja a redirect_uri kezdeti alkalmazásregisztrációs lépés során, vagy hozzáadhatja azt utána.

    • Az átirányítási URI formátuma a következő: msauth://<yourpackagename>/<base64urlencodedsignature>
    • Példa: redirect_uri = msauth://com.azuresamples.myapp/6/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=

  • Az MSAL Android-alkalmazáskonfigurációval kapcsolatos további részletekért tekintse meg az MSAL Android-konfigurációt.

  • Az átirányítási URI konfigurálása az alkalmazásregisztrációkban:

    Képernyőkép az Átirányítás URI panelről és az Alkalmazásregisztrációk lapon található beállításokról.

URI átirányítása bizalmas ügyfélalkalmazásokhoz

Webalkalmazások esetén az átirányítási URI (vagy válasz URL-cím) az az URI, amellyel a Microsoft Entra-azonosító visszaküldi a jogkivonatot az alkalmazásnak. Az URI lehet a webalkalmazás/web API URL-címe, ha a bizalmas alkalmazás egyike. Az átirányítási URI-t regisztrálni kell az alkalmazásregisztrációban. A regisztráció különösen fontos egy olyan alkalmazás üzembe helyezésekor, amelyet eredetileg helyileg tesztelt. Ezután hozzá kell adnia az üzembe helyezett alkalmazás válasz URL-címét az alkalmazásregisztrációs portálon.

Démonalkalmazások esetén nem kell átirányítási URI-t megadnia.

Alkalmazás hitelesítő adatai

A bizalmas ügyfélalkalmazások esetében elengedhetetlen a hitelesítő adatok hatékony kezelése. A hitelesítő adatok összevont hitelesítő adatokkal (ajánlott), tanúsítvánnyal vagy titkos ügyfélkóddal is rendelkezhetnek.

Összevont identitás hitelesítő adatai

Az összevont identitás hitelesítő adatai olyan hitelesítő adatok, amelyek lehetővé teszik a számítási feladatok (például a GitHub Actions, a Kubernetesen futó számítási feladatok vagy az Azure-on kívüli számítási platformokon futó számítási feladatok) számára a Microsoft Entra által védett erőforrásokat anélkül, hogy titkokat kellene kezelniük a munkaállomások identitás-összevonásával.

Bizonyítvány

Ez a beállítás a bizalmas ügyfélalkalmazás tanúsítványát adja meg. Néha nyilvános kulcsnak is nevezik, a tanúsítvány az ajánlott hitelesítőadat-típus, mivel biztonságosabbnak minősülnek, mint az ügyfél titkos kulcsai.

Titkos ügyfélkód

Ez a beállítás megadja a bizalmas ügyfélalkalmazás titkos ügyfélkulcsát. Az ügyfél titkos kódját (az alkalmazásjelszót) az alkalmazásregisztrációs portál biztosítja, vagy a Microsoft Entra ID-nak adja meg a PowerShell Microsoft Entra ID-val, a PowerShell AzureRM-szel vagy az Azure CLI-vel való alkalmazásregisztráció során.

Naplózás

A hibakeresési és hitelesítési hibák hibaelhárítási forgatókönyveinek segítéséhez az MSAL beépített naplózási támogatást nyújt. Az egyes kódtárakba való bejelentkezésről az alábbi cikkekben olvashat:

Következő lépések

Ismerje meg az ügyfélalkalmazások MSAL.NET használatával történő példányosítását és az ügyfélalkalmazások MSAL.jshasználatával történő példányosítását .

  • Last updated on