Alkalmazáskonfigurációs beállítások
A jogkivonatok hitelesítéséhez és beszerzéséhez inicializálnia kell egy új nyilvános vagy bizalmas ügyfélalkalmazást a kódban. Az ügyfélalkalmazás microsoftos hitelesítési kódtárban (MSAL) való inicializálásakor több konfigurációs beállítást is megadhat. Ezek a lehetőségek két csoportba sorolhatók:
- Regisztrációs lehetőségek, beleértve a következőket:
- Szolgáltató (az identitásszolgáltatói példányból és az alkalmazás bejelentkezési célközönségéből és esetleg a bérlőazonosítóból áll)
- Ügyfélazonosító
- Átirányítási URI
- Titkos ügyfélkód (bizalmas ügyfélalkalmazásokhoz)
- Naplózási lehetőségek, beleértve a naplószintet, a személyes adatok ellenőrzését és az összetevő nevét a kódtár használatával
Hatóság
A szolgáltató egy URL-cím, amely egy olyan könyvtárat jelöl, amelytől az MSAL jogkivonatokat kérhet.
A közös hatóságok a következők:
Gyakori szolgáltatói URL-címek | Mikor érdemes használni? |
---|---|
https://login.microsoftonline.com/<tenant>/ |
Csak egy adott szervezet felhasználóinak bejelentkezése. Az <tenant> URL-cím a Microsoft Entra-bérlő (GUID) vagy annak bérlői tartományának bérlőazonosítója. |
https://login.microsoftonline.com/common/ |
Jelentkezzen be munkahelyi és iskolai fiókkal vagy személyes Microsoft-fiókkal rendelkező felhasználókba. |
https://login.microsoftonline.com/organizations/ |
Jelentkezzen be munkahelyi és iskolai fiókkal rendelkező felhasználókba. |
https://login.microsoftonline.com/consumers/ |
Csak személyes Microsoft-fiókkal (MSA) rendelkező felhasználókat jelentkezzen be. |
A kódban megadott szolgáltatónak összhangban kell lennie az alkalmazáshoz az Azure Portalon Alkalmazásregisztrációk megadott támogatott fióktípusokkal.
A hatóság lehet:
- Egy Microsoft Entra felhőszolgáltató.
- Egy Azure AD B2C-szolgáltató. Lásd: B2C-specifikusak.
- Egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltató. Lásd: AD FS-támogatás.
A Microsoft Entra felhőhatóságai két részből állnak:
- Az identitásszolgáltató példánya
- Az alkalmazás bejelentkezési célközönsége
A példány és a célközönség összefűzhető, és szolgáltatói URL-címként is megadható. Ez az ábra a szolgáltató URL-címének összeállítását mutatja be:
Felhőpéldány
A példány használatával megadhatja, hogy az alkalmazás a felhasználókat az Azure nyilvános felhőből vagy az országos felhőből írja-e alá. A kódban az MSAL használatával enumerálással vagy az URL-cím tagként való átadásával állíthatja be az Azure-felhőpéldánytInstance
.
MSAL.NET explicit kivételt eredményez, ha mindkettő Instance
AzureCloudInstance
meg van adva.
Ha nem ad meg egy példányt, az alkalmazás az Azure nyilvános felhőpéldányát (az URL-példányt https://login.onmicrosoftonline.com
) célozza meg.
Alkalmazás célközönsége
A bejelentkezési célközönség az alkalmazás üzleti igényeitől függ:
- Ha Ön üzletági (LOB) fejlesztő, valószínűleg egy egybérlős alkalmazást fog létrehozni, amelyet csak a szervezetben fog használni. Ebben az esetben adja meg a szervezetet a bérlőazonosítója (a Microsoft Entra-példány azonosítója) vagy a Microsoft Entra-példányhoz társított tartománynév alapján.
- Ha Ön isV-felhasználó, előfordulhat, hogy munkahelyi és iskolai fiókjával szeretne bejelentkezni a felhasználókba bármely szervezetben vagy bizonyos szervezetekben (több-bérlős alkalmazásban). Előfordulhat azonban, hogy azt is szeretné, hogy a felhasználók személyes Microsoft-fiókjukkal jelentkezzenek be.
Célközönség megadása a kódban/konfigurációban
Az MSAL használatával a kódban az alábbi értékek egyikével adhatja meg a célközönséget:
- A Microsoft Entra-szolgáltató célközönségének számbavétele
- A bérlő azonosítója, amely lehet:
- GUID (a Microsoft Entra-példány azonosítója) egybérlős alkalmazásokhoz
- A Microsoft Entra-példányhoz társított tartománynév (egybérlős alkalmazásokhoz is)
- Az alábbi helyőrzők egyike bérlőazonosítóként a Microsoft Entra-szolgáltató célközönségének számbavétele helyett:
organizations
több-bérlős alkalmazás eseténconsumers
a felhasználók csak a személyes fiókjukkal való bejelentkezéshezcommon
a felhasználók munkahelyi és iskolai fiókjával vagy személyes Microsoft-fiókjával való bejelentkezéshez
Az MSAL jelentős kivételt eredményez, ha a Microsoft Entra-szolgáltató célközönségét és a bérlőazonosítót is megadja.
Javasoljuk, hogy adjon meg egy célközönséget, mivel sok bérlő, és a bennük üzembe helyezett alkalmazások vendégfelhasználókkal fognak rendelkezni. Ha az alkalmazásnak lesznek külső felhasználói, akkor a végpontok common
organization
kerülhetők el a legjobban. Ha nem ad meg célközönséget, az alkalmazás célközönségként célozza meg a Microsoft Entra-azonosítót és a személyes Microsoft-fiókokat, és a common
megadott módon fog viselkedni.
Hatékony célközönség
Az alkalmazás tényleges célközönsége az alkalmazásban beállított célközönség és az alkalmazásregisztrációban megadott célközönség minimális (ha van metszete) lesz. Valójában a Alkalmazásregisztrációk felületen megadhatja az alkalmazás célközönségét (a támogatott fióktípusokat). További információ: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform.
Jelenleg az egyetlen módja annak, hogy egy alkalmazás csak személyes Microsoft-fiókkal jelentkezzen be a felhasználókba, ha mindkét beállítást konfigurálja:
- Állítsa be az alkalmazásregisztrációs célközönséget a következőre
Work and school accounts and personal accounts
: . - Állítsa be a célközönséget a kódban/konfigurációban (vagy
TenantID
="fogyasztók") értékreAadAuthorityAudience.PersonalMicrosoftAccount
.
Ügyfél azonosítója
Az ügyfélazonosító az alkalmazáshoz a Microsoft Entra ID által az alkalmazás regisztrálásakor hozzárendelt egyedi alkalmazás-(ügyfél-) azonosító . Az alkalmazás (ügyfél) azonosítóját az alkalmazás Áttekintés lapján találja az Identity>Applications>Enterprise-alkalmazásokban.
Átirányítási URI
Az átirányítási URI az az URI, amelybe az identitásszolgáltató visszaküldi a biztonsági jogkivonatokat.
URI átirányítása nyilvános ügyfélalkalmazásokhoz
Ha Ön nyilvános ügyfélalkalmazás-fejlesztő, aki MSAL-t használ:
Asztali vagy Univerzális Windows-platform (UWP) alkalmazásokban (MSAL.NET 4.1+) érdemes használni
.WithDefaultRedirectUri()
. A.WithDefaultRedirectUri()
metódus a nyilvános ügyfélalkalmazás átirányítási URI-tulajdonságát a nyilvános ügyfélalkalmazások alapértelmezett ajánlott átirányítási URI-jára állítja.Platform Átirányítási URI Asztali alkalmazás (.NET-keretrendszer) https://login.microsoftonline.com/common/oauth2/nativeclient
UWP WebAuthenticationBroker.GetCurrentApplicationCallbackUri()
értéke. Ez lehetővé teszi az egyszeri bejelentkezést (SSO) a böngészővel, ha az értéket a WebAuthenticationBroker.GetCurrentApplicationCallbackUri() eredményére állítja, amelyet regisztrálnia kell.NET https://localhost
lehetővé teszi a felhasználó számára, hogy interaktív hitelesítésre használja a rendszerböngészőt, mivel a .NET jelenleg nem rendelkezik felhasználói felülettel a beágyazott webes nézethez.
Az átirányítási URI felülbírálható a RedirectUri
tulajdonság használatával (például közvetítők használata esetén). Íme néhány példa az adott forgatókönyv átirányítási URI-jaira:
RedirectUriOnAndroid
= "msauth-5a434691-ccb2-4fd1-b97b-b64bcfbc03fc://com.microsoft.identity.client.sample";RedirectUriOnIos
= $"msauth. {Bundle.ID}://auth";
További Android-részletekért lásd : Közvetített hitelesítés Androidon.
Ha MSAL Android használatával készít alkalmazásokat, konfigurálhatja a
redirect_uri
kezdeti alkalmazásregisztrációs lépés során, vagy hozzáadhatja azt utána.- Az átirányítási URI formátuma a következő:
msauth://<yourpackagename>/<base64urlencodedsignature>
- Példa:
redirect_uri
=msauth://com.azuresamples.myapp/6/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=
- Az átirányítási URI formátuma a következő:
Az MSAL Android-alkalmazáskonfigurációval kapcsolatos további részletekért tekintse meg az MSAL Android-konfigurációt.
Konfigurálja az átirányítási URI-t a Alkalmazásregisztrációk:
URI átirányítása bizalmas ügyfélalkalmazásokhoz
Webalkalmazások esetén az átirányítási URI (vagy válasz URL-cím) az az URI, amellyel a Microsoft Entra-azonosító visszaküldi a jogkivonatot az alkalmazásnak. Az URI lehet a webalkalmazás/web API URL-címe, ha a bizalmas alkalmazás egyike. Az átirányítási URI-t regisztrálni kell az alkalmazásregisztrációban. A regisztráció különösen fontos egy olyan alkalmazás üzembe helyezésekor, amelyet eredetileg helyileg tesztelt. Ezután hozzá kell adnia az üzembe helyezett alkalmazás válasz URL-címét az alkalmazásregisztrációs portálon.
Démonalkalmazások esetén nem kell átirányítási URI-t megadnia.
Titkos ügyfélkód
Ez a beállítás megadja a bizalmas ügyfélalkalmazás titkos ügyfélkulcsát. Az ügyfél titkos kódját (az alkalmazásjelszót) az alkalmazásregisztrációs portál biztosítja, vagy a Microsoft Entra ID-nak adja meg a PowerShell Microsoft Entra ID-val, a PowerShell AzureRM-szel vagy az Azure CLI-vel való alkalmazásregisztráció során.
Naplózás
A hibakeresési és hitelesítési hibák hibaelhárítási forgatókönyveinek segítéséhez az MSAL beépített naplózási támogatást nyújt. Az egyes kódtárakba való bejelentkezésről az alábbi cikkekben olvashat:
Következő lépések
Ismerje meg az ügyfélalkalmazások példányosítását az MSAL.NET használatával, és az ügyfélalkalmazások példányosítását MSAL.js használatával.