Alkalmazáskonfigurációs beállítások

A jogkivonatok hitelesítéséhez és beszerzéséhez inicializálnia kell egy új nyilvános vagy bizalmas ügyfélalkalmazást a kódban. Az ügyfélalkalmazás microsoftos hitelesítési kódtárban (MSAL) való inicializálásakor több konfigurációs beállítást is megadhat. Ezek a lehetőségek két csoportba sorolhatók:

• Regisztrációs lehetőségek, beleértve a következőket:
  • Szolgáltató (az identitásszolgáltatói példányból és az alkalmazás bejelentkezési célközönségéből és esetleg a bérlőazonosítóból áll)
  • Ügyfélazonosító
  • Átirányítási URI
  • Titkos ügyfélkód (bizalmas ügyfélalkalmazásokhoz)
• Naplózási lehetőségek, beleértve a naplószintet, a személyes adatok ellenőrzését és az összetevő nevét a kódtár használatával

Hatóság

A szolgáltató egy URL-cím, amely egy olyan könyvtárat jelöl, amelytől az MSAL jogkivonatokat kérhet.

A közös hatóságok a következők:

Gyakori szolgáltatói URL-címek	Mikor érdemes használni?
https://login.microsoftonline.com/<tenant>/	Csak egy adott szervezet felhasználóinak bejelentkezése. Az <tenant> URL-cím a Microsoft Entra-bérlő (GUID) vagy annak bérlői tartományának bérlőazonosítója.
https://login.microsoftonline.com/common/	Jelentkezzen be munkahelyi és iskolai fiókkal vagy személyes Microsoft-fiókkal rendelkező felhasználókba.
https://login.microsoftonline.com/organizations/	Jelentkezzen be munkahelyi és iskolai fiókkal rendelkező felhasználókba.
https://login.microsoftonline.com/consumers/	Csak személyes Microsoft-fiókkal (MSA) rendelkező felhasználókat jelentkezzen be.

A kódban megadott szolgáltatónak összhangban kell lennie az alkalmazáshoz az Azure Portalon Alkalmazásregisztrációk megadott támogatott fióktípusokkal.

A hatóság lehet:

• Egy Microsoft Entra felhőszolgáltató.
• Egy Azure AD B2C-szolgáltató. Lásd: B2C-specifikusak.
• Egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltató. Lásd: AD FS-támogatás.

A Microsoft Entra felhőhatóságai két részből állnak:

• Az identitásszolgáltató példánya
• Az alkalmazás bejelentkezési célközönsége

A példány és a célközönség összefűzhető, és szolgáltatói URL-címként is megadható. Ez az ábra a szolgáltató URL-címének összeállítását mutatja be:

Felhőpéldány

A példány használatával megadhatja, hogy az alkalmazás a felhasználókat az Azure nyilvános felhőből vagy az országos felhőből írja-e alá. A kódban az MSAL használatával enumerálással vagy az URL-cím tagként való átadásával állíthatja be az Azure-felhőpéldánytInstance.

MSAL.NET explicit kivételt eredményez, ha mindkettő InstanceAzureCloudInstance meg van adva.

Ha nem ad meg egy példányt, az alkalmazás az Azure nyilvános felhőpéldányát (az URL-példányt https://login.onmicrosoftonline.com) célozza meg.

Alkalmazás célközönsége

A bejelentkezési célközönség az alkalmazás üzleti igényeitől függ:

• Ha Ön üzletági (LOB) fejlesztő, valószínűleg egy egybérlős alkalmazást fog létrehozni, amelyet csak a szervezetben fog használni. Ebben az esetben adja meg a szervezetet a bérlőazonosítója (a Microsoft Entra-példány azonosítója) vagy a Microsoft Entra-példányhoz társított tartománynév alapján.
• Ha Ön isV-felhasználó, előfordulhat, hogy munkahelyi és iskolai fiókjával szeretne bejelentkezni a felhasználókba bármely szervezetben vagy bizonyos szervezetekben (több-bérlős alkalmazásban). Előfordulhat azonban, hogy azt is szeretné, hogy a felhasználók személyes Microsoft-fiókjukkal jelentkezzenek be.

Célközönség megadása a kódban/konfigurációban

Az MSAL használatával a kódban az alábbi értékek egyikével adhatja meg a célközönséget:

• A Microsoft Entra-szolgáltató célközönségének számbavétele
• A bérlő azonosítója, amely lehet:
  • GUID (a Microsoft Entra-példány azonosítója) egybérlős alkalmazásokhoz
  • A Microsoft Entra-példányhoz társított tartománynév (egybérlős alkalmazásokhoz is)
• Az alábbi helyőrzők egyike bérlőazonosítóként a Microsoft Entra-szolgáltató célközönségének számbavétele helyett:
  • organizations több-bérlős alkalmazás esetén
  • consumers a felhasználók csak a személyes fiókjukkal való bejelentkezéshez
  • common a felhasználók munkahelyi és iskolai fiókjával vagy személyes Microsoft-fiókjával való bejelentkezéshez

Az MSAL jelentős kivételt eredményez, ha a Microsoft Entra-szolgáltató célközönségét és a bérlőazonosítót is megadja.

Javasoljuk, hogy adjon meg egy célközönséget, mivel sok bérlő, és a bennük üzembe helyezett alkalmazások vendégfelhasználókkal fognak rendelkezni. Ha az alkalmazásnak lesznek külső felhasználói, akkor a végpontok commonorganization kerülhetők el a legjobban. Ha nem ad meg célközönséget, az alkalmazás célközönségként célozza meg a Microsoft Entra-azonosítót és a személyes Microsoft-fiókokat, és a common megadott módon fog viselkedni.

Hatékony célközönség

Az alkalmazás tényleges célközönsége az alkalmazásban beállított célközönség és az alkalmazásregisztrációban megadott célközönség minimális (ha van metszete) lesz. Valójában a Alkalmazásregisztrációk felületen megadhatja az alkalmazás célközönségét (a támogatott fióktípusokat). További információ: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Jelenleg az egyetlen módja annak, hogy egy alkalmazás csak személyes Microsoft-fiókkal jelentkezzen be a felhasználókba, ha mindkét beállítást konfigurálja:

• Állítsa be az alkalmazásregisztrációs célközönséget a következőre Work and school accounts and personal accounts: .
• Állítsa be a célközönséget a kódban/konfigurációban (vagy TenantID ="fogyasztók") értékre AadAuthorityAudience.PersonalMicrosoftAccount .

Ügyfél azonosítója

Az ügyfélazonosító az alkalmazáshoz a Microsoft Entra ID által az alkalmazás regisztrálásakor hozzárendelt egyedi alkalmazás-(ügyfél-) azonosító . Az alkalmazás (ügyfél) azonosítóját az alkalmazás Áttekintés lapján találja az Identity>Applications>Enterprise-alkalmazásokban.

Átirányítási URI

Az átirányítási URI az az URI, amelybe az identitásszolgáltató visszaküldi a biztonsági jogkivonatokat.

URI átirányítása nyilvános ügyfélalkalmazásokhoz

Ha Ön nyilvános ügyfélalkalmazás-fejlesztő, aki MSAL-t használ:

• Asztali vagy Univerzális Windows-platform (UWP) alkalmazásokban (MSAL.NET 4.1+) érdemes használni.WithDefaultRedirectUri(). A .WithDefaultRedirectUri() metódus a nyilvános ügyfélalkalmazás átirányítási URI-tulajdonságát a nyilvános ügyfélalkalmazások alapértelmezett ajánlott átirányítási URI-jára állítja.

  Platform	Átirányítási URI
  Asztali alkalmazás (.NET-keretrendszer)	https://login.microsoftonline.com/common/oauth2/nativeclient
  UWP	WebAuthenticationBroker.GetCurrentApplicationCallbackUri()értéke. Ez lehetővé teszi az egyszeri bejelentkezést (SSO) a böngészővel, ha az értéket a WebAuthenticationBroker.GetCurrentApplicationCallbackUri() eredményére állítja, amelyet regisztrálnia kell
  .NET	https://localhost lehetővé teszi a felhasználó számára, hogy interaktív hitelesítésre használja a rendszerböngészőt, mivel a .NET jelenleg nem rendelkezik felhasználói felülettel a beágyazott webes nézethez.

• Nem kell átirányítási URI-t hozzáadnia, ha olyan Xamarin Android- és iOS-alkalmazást hoz létre, amely nem támogatja a közvetítő átirányítási URI-ját. Automatikusan Xamarin Androidra és iOS-re msal{ClientId}://auth van beállítva.

• Konfigurálja az átirányítási URI-t a Alkalmazásregisztrációk:

  

Az átirányítási URI felülbírálható a RedirectUri tulajdonság használatával (például közvetítők használata esetén). Íme néhány példa az adott forgatókönyv átirányítási URI-jaira:

• RedirectUriOnAndroid = "msauth-5a434691-ccb2-4fd1-b97b-b64bcfbc03fc://com.microsoft.identity.client.sample";
• RedirectUriOnIos = $"msauth. {Bundle.ID}://auth";

További iOS-részletekért lásd : Microsoft Authenticatort használó iOS-alkalmazások migrálása ADAL.NET-ból MSAL.NET és a közvetítő használata iOS-en. További Android-részletekért lásd : Közvetített hitelesítés Androidon.

URI átirányítása bizalmas ügyfélalkalmazásokhoz

Webalkalmazások esetén az átirányítási URI (vagy válasz URL-cím) az az URI, amellyel a Microsoft Entra-azonosító visszaküldi a jogkivonatot az alkalmazásnak. Az URI lehet a webalkalmazás/web API URL-címe, ha a bizalmas alkalmazás egyike. Az átirányítási URI-t regisztrálni kell az alkalmazásregisztrációban. A regisztráció különösen fontos egy olyan alkalmazás üzembe helyezésekor, amelyet eredetileg helyileg tesztelt. Ezután hozzá kell adnia az üzembe helyezett alkalmazás válasz URL-címét az alkalmazásregisztrációs portálon.

Démonalkalmazások esetén nem kell átirányítási URI-t megadnia.

Titkos ügyfélkód

Ez a beállítás megadja a bizalmas ügyfélalkalmazás titkos ügyfélkulcsát. Az ügyfél titkos kódját (az alkalmazásjelszót) az alkalmazásregisztrációs portál biztosítja, vagy a Microsoft Entra ID-nak adja meg a PowerShell Microsoft Entra ID-val, a PowerShell AzureRM-szel vagy az Azure CLI-vel való alkalmazásregisztráció során.

Naplózás

A hibakeresési és hitelesítési hibák hibaelhárítási forgatókönyveinek segítéséhez az MSAL beépített naplózási támogatást nyújt. Az egyes kódtárakba való bejelentkezésről az alábbi cikkekben olvashat:

• Bejelentkezés MSAL.NET
• Bejelentkezés androidos MSAL-ben
• Bejelentkezés MSAL.js

• Bejelentkezés az MSAL-ba iOS/macOS rendszeren
• Bejelentkezés az MSAL for Java szolgáltatásba
• Bejelentkezés a Pythonhoz készült MSAL-ben

Következő lépések

Ismerje meg az ügyfélalkalmazások példányosítását az MSAL.NET használatával, és az ügyfélalkalmazások példányosítását MSAL.js használatával.