Gyorsútmutató: Alkalmazás regisztrálása a Microsoft Identitásplatformon

Első lépésként regisztráljon egy alkalmazást a Azure Portal a Microsoft Identitásplatform.

A Microsoft Identitásplatform csak regisztrált alkalmazások esetében hajtja végre az identitás- és hozzáférés-kezelést (IAM). Legyen szó akár egy ügyfélalkalmazásról, például egy web- vagy mobilalkalmazásról, vagy egy ügyfélalkalmazást háttérbe indító webes API-ról, a regisztrálás megbízhatósági kapcsolatot hoz létre az alkalmazás és az identitásszolgáltató, a Microsoft Identitásplatform között.

Tipp

Ha alkalmazást szeretne regisztrálni Azure AD B2C-hez, kövesse a Webalkalmazás regisztrálása Azure AD B2C-ben című oktatóanyag lépéseit.

Előfeltételek

Egy alkalmazás regisztrálása

Az alkalmazás regisztrálása megbízhatósági kapcsolatot hoz létre az alkalmazás és a Microsoft Identitásplatform között. A megbízhatóság egyirányú: az alkalmazás megbízik a Microsoft Identitásplatform, és nem fordítva.

Az alkalmazásregisztráció létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz rendelkezik hozzáféréssel, a felső menü Címtárak és előfizetések szűrőjével váltson arra a bérlőre, amelyben regisztrálni szeretné az alkalmazást.

  3. Keresse meg és válassza ki az Azure Active Directoryt.

  4. A Kezelés területen válassza a Alkalmazásregisztrációk>Új regisztráció lehetőséget.

  5. Adja meg az alkalmazás megjelenítendő nevét . Az alkalmazás felhasználói megjeleníthetik a megjelenítendő nevet, amikor az alkalmazást használják, például bejelentkezéskor. A megjelenítendő nevet bármikor módosíthatja, és több alkalmazásregisztráció is használhatja ugyanazt a nevet. Az alkalmazásregisztráció automatikusan generált alkalmazás-(ügyfél-) azonosítója, nem pedig a megjelenített neve, egyedileg azonosítja az alkalmazást az identitásplatformon belül.

  6. Itt adhatja meg, hogy ki használhatja az alkalmazást, más néven a bejelentkezési célközönségét.

    Támogatott fióktípusok Description
    Csak az ebben a szervezeti címtárban található fiókok Akkor válassza ezt a lehetőséget, ha olyan alkalmazást hoz létre, amelyet csak a bérlőben lévő felhasználók (vagy vendégek) használhatnak.

    Ezt az alkalmazást gyakran üzletági (LOB) alkalmazásnak is nevezik, amely egybérlős alkalmazás a Microsoft Identitásplatform.
    Tetszőleges szervezeti címtárban található fiókok Akkor válassza ezt a lehetőséget, ha azt szeretné, hogy bármely Azure Active Directory-bérlő (Azure AD) felhasználói használhassák az alkalmazást. Ez a lehetőség akkor megfelelő, ha például egy szolgáltatott szoftveres (SaaS-) alkalmazást hoz létre, amelyet több szervezetnek szeretne biztosítani.

    Ezt az alkalmazástípust több-bérlős alkalmazásnak nevezzük a Microsoft Identitásplatform.
    Tetszőleges szervezeti címtárban található fiókok és személyes Microsoft-fiókok Akkor válassza ezt a lehetőséget, ha a lehető legszélesebb ügyfélkört szeretbé megcélozni.

    Ha ezt a lehetőséget választja, regisztrál egy több-bérlős alkalmazást, amely a személyes Microsoft-fiókkal rendelkező felhasználókat is támogatja.
    Személyes Microsoft-fiókok Akkor válassza ezt a lehetőséget, ha csak személyes Microsoft-fiókkal rendelkező felhasználók számára készít alkalmazást. A személyes Microsoft-fiókok közé tartoznak a Skype-, Xbox-, Live- és Hotmail-fiókok.
  7. Ne adjon meg semmit az átirányítási URI-hez (nem kötelező). Az átirányítási URI-t a következő szakaszban fogja konfigurálni.

  8. A kezdeti alkalmazásregisztráció befejezéséhez válassza a Regisztráció lehetőséget.

    Képernyőkép a Azure Portal egy webböngészőben, amelyen az Alkalmazás regisztrálása panel látható.

Amikor a regisztráció befejeződik, a Azure Portal megjeleníti az alkalmazásregisztráció Áttekintés paneljét. Megjelenik az alkalmazás (ügyfél) azonosítója. Az ügyfél-azonosítónak is nevezett érték egyedileg azonosítja az alkalmazást a Microsoft Identitásplatform.

Fontos

Az új alkalmazásregisztrációk alapértelmezés szerint rejtve vannak a felhasználók számára. Ha készen áll arra, hogy a felhasználók lássák az alkalmazást a Saját alkalmazások lapon, engedélyezheti azt. Az alkalmazás engedélyezéséhez a Azure Portal keresse meg az Azure Active Directory>Enterprise-alkalmazásokat, és válassza ki az alkalmazást. Ezután a Tulajdonságok lapon állítsa a Látható a felhasználók számára? beállítást Igen értékre.

Az alkalmazás kódja, vagy jellemzően az alkalmazásban használt hitelesítési kódtár szintén az ügyfél-azonosítót használja. Az azonosító az identitásplatformtól kapott biztonsági jogkivonatok érvényesítésének részeként használatos.

Képernyőkép a Azure Portal egy webböngészőben, amelyen egy alkalmazásregisztráció Áttekintés panelje látható.

Átirányítási URI hozzáadása

Az átirányítási URI az a hely, ahol a Microsoft Identitásplatform átirányítja a felhasználó ügyfelet, és biztonsági jogkivonatokat küld a hitelesítés után.

Éles webalkalmazásokban például az átirányítási URI gyakran egy nyilvános végpont, ahol az alkalmazás fut, például https://contoso.com/auth-response: . A fejlesztés során gyakran hozzáadjuk azt a végpontot is, ahol helyileg futtatja az alkalmazást, például https://127.0.0.1/auth-response vagy http://localhost/auth-response.

A regisztrált alkalmazások átirányítási URI-jait a platformbeállítások konfigurálásával adhatja hozzá és módosíthatja.

Platformbeállítások konfigurálása

Az egyes alkalmazástípusok beállításai, beleértve az átirányítási URI-kat is, a platformkonfigurációkban vannak konfigurálva a Azure Portal. Egyes platformok, például a webes és az egyoldalas alkalmazások esetében manuálisan kell megadnia egy átirányítási URI-t. Más platformok, például a mobil és asztali platformok esetében a többi beállítás konfigurálásakor létrehozott átirányítási URI-k közül választhat.

Ha az alkalmazásbeállításokat a megcélzott platform vagy eszköz alapján szeretné konfigurálni, kövesse az alábbi lépéseket:

  1. A Azure Portal Alkalmazásregisztrációk válassza ki az alkalmazást.

  2. A Kezelés területen válassza a Hitelesítés lehetőséget.

  3. A Platformkonfigurációk területen válassza a Platform hozzáadása lehetőséget.

  4. A Platformok konfigurálása területen válassza ki az alkalmazástípus (platform) csempéjét a beállítások konfigurálásához.

    Képernyőkép a Azure Portal platformkonfigurációs paneljéről.

    Platform Konfigurációs beállítások
    Web Adja meg az alkalmazás átirányítási URI-ját . Ez az URI az a hely, ahol a Microsoft Identitásplatform átirányítja a felhasználó ügyfelet, és biztonsági jogkivonatokat küld a hitelesítés után.

    Válassza ezt a platformot a kiszolgálón futó standard webalkalmazásokhoz.
    Egyoldalas alkalmazás Adja meg az alkalmazás átirányítási URI-ját . Ez az URI az a hely, ahol a Microsoft Identitásplatform átirányítja a felhasználó ügyfelet, és biztonsági jogkivonatokat küld a hitelesítés után.

    Akkor válassza ezt a platformot, ha ügyféloldali webalkalmazást hoz létre JavaScript vagy olyan keretrendszer használatával, mint a Angular, a Vue.js, a React.js vagy a Blazor WebAssembly.
    iOS /macOS Adja meg az alkalmazás csomagazonosítóját. Keresse meg a buildbeállításokban vagy az Xcode-ban az Info.plist-ben.

    A csomagazonosító megadásakor létrejön egy átirányítási URI.
    Android Adja meg az alkalmazás csomagjának nevét. Keresse meg a AndroidManifest.xml fájlban. Hozza létre és írja be az Aláírás kivonatot is.

    A beállítások megadásakor létrejön egy átirányítási URI.
    Mobil- és asztali alkalmazások Válassza ki a javasolt átirányítási URI-k egyikét. Vagy adjon meg egy egyéni átirányítási URI-t.

    Beágyazott böngészőt használó asztali alkalmazások esetén azt javasoljuk, hogy
    https://login.microsoftonline.com/common/oauth2/nativeclient

    A rendszerböngészőt használó asztali alkalmazások esetében azt javasoljuk, hogy
    http://localhost

    Válassza ezt a platformot olyan mobilalkalmazásokhoz, amelyek nem a legújabb Microsoft Authentication Libraryt (MSAL) használják, vagy nem használnak közvetítőt. Válassza ezt a platformot asztali alkalmazásokhoz is.
  5. A platformkonfiguráció befejezéséhez válassza a Konfigurálás lehetőséget.

Átirányítási URI-korlátozások

Bizonyos korlátozások vonatkoznak az alkalmazásregisztrációhoz hozzáadott átirányítási URI-k formátumára. A korlátozásokkal kapcsolatos részletekért lásd: Átirányítási URI (válasz URL-cím) korlátozásai és korlátozásai.

Hitelesítő adatok hozzáadása

A hitelesítő adatokat a webes API-hoz hozzáférő bizalmas ügyfélalkalmazások használják . A bizalmas ügyfelek közé tartoznak például a webalkalmazások, más webes API-k vagy szolgáltatástípusú és démon típusú alkalmazások. A hitelesítő adatok lehetővé teszik, hogy az alkalmazás önmagában hitelesítse magát, és nem igényel beavatkozást egy felhasználótól futásidőben.

Hitelesítő adatokként a tanúsítványokat és az ügyfél titkos kulcsait (sztringet) is hozzáadhatja a bizalmas ügyfélalkalmazás-regisztrációhoz.

Képernyőkép a Azure Portal, amelyen a Tanúsítványok és titkos kódok panel látható egy alkalmazásregisztrációban.

Tanúsítvány hozzáadása

Néha nyilvános kulcsnak is nevezik, a tanúsítvány az ajánlott hitelesítőadat-típus, mert biztonságosabbnak tekinthetők, mint az ügyfél titkos kódjai. A tanúsítványnak az alkalmazásban való hitelesítési módszerként való használatával kapcsolatos további információkért lásd: Microsoft Identitásplatform alkalmazáshitelesítési tanúsítvány hitelesítő adatai.

  1. A Azure Portal Alkalmazásregisztrációk válassza ki az alkalmazást.
  2. Válassza a Tanúsítványtitkok &tanúsítványfeltöltése>>lehetőséget.
  3. Jelölje ki a feltölteni kívánt fájlt. Az alábbi fájltípusok egyikének kell lennie: .cer, .pem, .crt.
  4. Válassza a Hozzáadás lehetőséget.

Titkos ügyfélkód hozzáadása

Az alkalmazásjelszónak is nevezett titkos ügyfélkód egy sztringérték, amelyet az alkalmazás a tanúsítvány helyett használhat az identitáshoz.

Az ügyfél titkos kódjai kevésbé biztonságosak, mint a tanúsítvány hitelesítő adatai. Az alkalmazásfejlesztők a könnyű használatuk miatt néha ügyfélkódokat használnak a helyi alkalmazásfejlesztés során. Az éles környezetben futó alkalmazásokhoz azonban a tanúsítvány hitelesítő adatait kell használnia.

  1. A Azure Portal Alkalmazásregisztrációk válassza ki az alkalmazást.
  2. Válassza a & Tanúsítványok titkos>kódjai Ügyfél titkos kódjai>Új titkos ügyfélkód lehetőséget.
  3. Adja meg titkos ügyfélkódja leírását.
  4. Válasszon ki egy lejáratot a titkos kódhoz, vagy adjon meg egy egyéni élettartamot.
    • Az ügyfél titkos kulcsának élettartama legfeljebb két év (24 hónap) lehet. 24 hónapnál hosszabb egyéni élettartamot nem adhat meg.
    • A Microsoft azt javasolja, hogy 12 hónapnál rövidebb lejárati értéket állítson be.
  5. Válassza a Hozzáadás lehetőséget.
  6. Jegyezze fel a titkos kód értékét az ügyfélalkalmazás kódjában való használatra. Ez a titkos érték soha többé nem jelenik meg a lap elhagyása után.

Az alkalmazásbiztonsági javaslatokért lásd Microsoft Identitásplatform ajánlott eljárásokat és javaslatokat.

Összevont hitelesítő adatok hozzáadása

Az összevont identitás hitelesítő adatai olyan típusú hitelesítő adatok, amelyek lehetővé teszik a számítási feladatok, például a GitHub Actions, a Kubernetesen futó számítási feladatok vagy az Azure-beli hozzáférésen kívüli számítási platformokon futó számítási feladatok Azure AD védett erőforrásokat anélkül, hogy titkos kulcsokat kellene kezelniük a számításifeladat-identitás összevonásával.

Összevont hitelesítő adatok hozzáadásához kövesse az alábbi lépéseket:

  1. A Azure Portal Alkalmazásregisztrációk válassza ki az alkalmazást.

  2. Válassza a Tanúsítványok titkos kódja &>összevont hitelesítő adatok>hozzáadása lehetőséget.

  3. Az Összevont hitelesítőadat-forgatókönyv legördülő listában válassza ki a támogatott forgatókönyvek egyikét, és kövesse a megfelelő útmutatást a konfiguráció befejezéséhez.

    • Ügyfél által felügyelt kulcsok a bérlő adatainak titkosításához az Azure Key Vault használatával egy másik bérlőben.
    • Az Azure-erőforrásokat üzembe helyező GitHub-műveletekegy GitHub-munkafolyamat konfigurálásához , hogy jogkivonatokat szerezzenek be az alkalmazáshoz, és eszközöket helyezzenek üzembe az Azure-ban.
    • A Kubernetes hozzáfér az Azure-erőforrásokhoz , hogy konfiguráljon egy Kubernetes-szolgáltatásfiókot az alkalmazás jogkivonatainak lekéréséhez és az Azure-erőforrások eléréséhez.
    • Más kiállító egy külső OpenID Connect-szolgáltató által felügyelt identitás konfigurálására az alkalmazás jogkivonatainak lekéréséhez és az Azure-erőforrások eléréséhez.

A hozzáférési jogkivonat összevont hitelesítő adatokkal való beszerzéséről további információt a Microsoft Identitásplatform és az OAuth 2.0 ügyfél hitelesítő adatainak folyamatáról szóló cikkben talál.

Következő lépések

Az ügyfélalkalmazások általában egy webes API-ban lévő erőforrásokhoz kell hozzáférni. Az ügyfélalkalmazást az Microsoft Identitásplatform használatával védheti. A platformot a webes API-hoz való hatóköralapú, engedélyalapú hozzáférés engedélyezésére is használhatja.

A sorozat következő rövid útmutatójában hozzon létre egy másik alkalmazásregisztrációt a webes API-hoz, és tegye közzé a hatóköreit.