Megosztás a következőn keresztül:


Alkalmazáskonfigurációs beállítások

A jogkivonatok hitelesítéséhez és beszerzéséhez inicializálnia kell egy új nyilvános vagy bizalmas ügyfélalkalmazást a kódban. Az ügyfélalkalmazás microsoftos hitelesítési kódtárban (MSAL) való inicializálásakor több konfigurációs beállítást is megadhat. Ezek a lehetőségek két csoportba sorolhatók:

Hatóság

A szolgáltató egy URL-cím, amely egy olyan könyvtárat jelöl, amelytől az MSAL jogkivonatokat kérhet.

A közös hatóságok a következők:

Gyakori szolgáltatói URL-címek Mikor érdemes használni?
https://login.microsoftonline.com/<tenant>/ Csak egy adott szervezet felhasználóinak bejelentkezése. Az <tenant> URL-cím a Microsoft Entra-bérlő (GUID) vagy annak bérlői tartományának bérlőazonosítója.
https://login.microsoftonline.com/common/ Jelentkezzen be munkahelyi és iskolai fiókkal vagy személyes Microsoft-fiókkal rendelkező felhasználókba.
https://login.microsoftonline.com/organizations/ Jelentkezzen be munkahelyi és iskolai fiókkal rendelkező felhasználókba.
https://login.microsoftonline.com/consumers/ Csak személyes Microsoft-fiókkal (MSA) rendelkező felhasználókat jelentkezzen be.

A kódban megadott szolgáltatónak összhangban kell lennie az alkalmazáshoz az Azure Portalon Alkalmazásregisztrációk megadott támogatott fióktípusokkal.

A hatóság lehet:

  • Egy Microsoft Entra felhőszolgáltató.
  • Egy Azure AD B2C-szolgáltató. Lásd: B2C-specifikusak.
  • Egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltató. Lásd: AD FS-támogatás.

A Microsoft Entra felhőhatóságai két részből állnak:

  • Az identitásszolgáltató példánya
  • Az alkalmazás bejelentkezési célközönsége

A példány és a célközönség összefűzhető, és szolgáltatói URL-címként is megadható. Ez az ábra a szolgáltató URL-címének összeállítását mutatja be:

A szolgáltató URL-címének összeállítása

Felhőpéldány

A példány használatával megadhatja, hogy az alkalmazás a felhasználókat az Azure nyilvános felhőből vagy az országos felhőből írja-e alá. A kódban az MSAL használatával enumerálással vagy az URL-cím tagként való átadásával állíthatja be az Azure-felhőpéldánytInstance.

MSAL.NET explicit kivételt eredményez, ha mindkettő Instance AzureCloudInstance meg van adva.

Ha nem ad meg egy példányt, az alkalmazás az Azure nyilvános felhőpéldányát (az URL-példányt https://login.onmicrosoftonline.com) célozza meg.

Alkalmazás célközönsége

A bejelentkezési célközönség az alkalmazás üzleti igényeitől függ:

  • Ha Ön üzletági (LOB) fejlesztő, valószínűleg egy egybérlős alkalmazást fog létrehozni, amelyet csak a szervezetben fog használni. Ebben az esetben adja meg a szervezetet a bérlőazonosítója (a Microsoft Entra-példány azonosítója) vagy a Microsoft Entra-példányhoz társított tartománynév alapján.
  • Ha Ön isV-felhasználó, előfordulhat, hogy munkahelyi és iskolai fiókjával szeretne bejelentkezni a felhasználókba bármely szervezetben vagy bizonyos szervezetekben (több-bérlős alkalmazásban). Előfordulhat azonban, hogy azt is szeretné, hogy a felhasználók személyes Microsoft-fiókjukkal jelentkezzenek be.

Célközönség megadása a kódban/konfigurációban

Az MSAL használatával a kódban az alábbi értékek egyikével adhatja meg a célközönséget:

  • A Microsoft Entra-szolgáltató célközönségének számbavétele
  • A bérlő azonosítója, amely lehet:
    • GUID (a Microsoft Entra-példány azonosítója) egybérlős alkalmazásokhoz
    • A Microsoft Entra-példányhoz társított tartománynév (egybérlős alkalmazásokhoz is)
  • Az alábbi helyőrzők egyike bérlőazonosítóként a Microsoft Entra-szolgáltató célközönségének számbavétele helyett:
    • organizations több-bérlős alkalmazás esetén
    • consumers a felhasználók csak a személyes fiókjukkal való bejelentkezéshez
    • common a felhasználók munkahelyi és iskolai fiókjával vagy személyes Microsoft-fiókjával való bejelentkezéshez

Az MSAL jelentős kivételt eredményez, ha a Microsoft Entra-szolgáltató célközönségét és a bérlőazonosítót is megadja.

Javasoljuk, hogy adjon meg egy célközönséget, mivel sok bérlő, és a bennük üzembe helyezett alkalmazások vendégfelhasználókkal fognak rendelkezni. Ha az alkalmazásnak lesznek külső felhasználói, akkor a végpontok common organization kerülhetők el a legjobban. Ha nem ad meg célközönséget, az alkalmazás célközönségként célozza meg a Microsoft Entra-azonosítót és a személyes Microsoft-fiókokat, és a common megadott módon fog viselkedni.

Hatékony célközönség

Az alkalmazás tényleges célközönsége az alkalmazásban beállított célközönség és az alkalmazásregisztrációban megadott célközönség minimális (ha van metszete) lesz. Valójában a Alkalmazásregisztrációk felületen megadhatja az alkalmazás célközönségét (a támogatott fióktípusokat). További információ: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform.

Jelenleg az egyetlen módja annak, hogy egy alkalmazás csak személyes Microsoft-fiókkal jelentkezzen be a felhasználókba, ha mindkét beállítást konfigurálja:

  • Állítsa be az alkalmazásregisztrációs célközönséget a következőre Work and school accounts and personal accounts: .
  • Állítsa be a célközönséget a kódban/konfigurációban (vagy TenantID ="fogyasztók") értékre AadAuthorityAudience.PersonalMicrosoftAccount .

Ügyfél azonosítója

Az ügyfélazonosító az alkalmazáshoz a Microsoft Entra ID által az alkalmazás regisztrálásakor hozzárendelt egyedi alkalmazás-(ügyfél-) azonosító . Az alkalmazás (ügyfél) azonosítóját az alkalmazás Áttekintés lapján találja az Identity>Applications>Enterprise-alkalmazásokban.

Átirányítási URI

Az átirányítási URI az az URI, amelybe az identitásszolgáltató visszaküldi a biztonsági jogkivonatokat.

URI átirányítása nyilvános ügyfélalkalmazásokhoz

Ha Ön nyilvános ügyfélalkalmazás-fejlesztő, aki MSAL-t használ:

  • Asztali vagy Univerzális Windows-platform (UWP) alkalmazásokban (MSAL.NET 4.1+) érdemes használni.WithDefaultRedirectUri(). A .WithDefaultRedirectUri() metódus a nyilvános ügyfélalkalmazás átirányítási URI-tulajdonságát a nyilvános ügyfélalkalmazások alapértelmezett ajánlott átirányítási URI-jára állítja.

    Platform Átirányítási URI
    Asztali alkalmazás (.NET-keretrendszer) https://login.microsoftonline.com/common/oauth2/nativeclient
    UWP WebAuthenticationBroker.GetCurrentApplicationCallbackUri()értéke. Ez lehetővé teszi az egyszeri bejelentkezést (SSO) a böngészővel, ha az értéket a WebAuthenticationBroker.GetCurrentApplicationCallbackUri() eredményére állítja, amelyet regisztrálnia kell
    .NET https://localhost lehetővé teszi a felhasználó számára, hogy interaktív hitelesítésre használja a rendszerböngészőt, mivel a .NET jelenleg nem rendelkezik felhasználói felülettel a beágyazott webes nézethez.

Az átirányítási URI felülbírálható a RedirectUri tulajdonság használatával (például közvetítők használata esetén). Íme néhány példa az adott forgatókönyv átirányítási URI-jaira:

  • RedirectUriOnAndroid = "msauth-5a434691-ccb2-4fd1-b97b-b64bcfbc03fc://com.microsoft.identity.client.sample";
  • RedirectUriOnIos = $"msauth. {Bundle.ID}://auth";

További Android-részletekért lásd : Közvetített hitelesítés Androidon.

  • Ha MSAL Android használatával készít alkalmazásokat, konfigurálhatja a redirect_uri kezdeti alkalmazásregisztrációs lépés során, vagy hozzáadhatja azt utána.

    • Az átirányítási URI formátuma a következő: msauth://<yourpackagename>/<base64urlencodedsignature>
    • Példa: redirect_uri = msauth://com.azuresamples.myapp/6/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=
  • Az MSAL Android-alkalmazáskonfigurációval kapcsolatos további részletekért tekintse meg az MSAL Android-konfigurációt.

  • Konfigurálja az átirányítási URI-t a Alkalmazásregisztrációk:

    Képernyőkép az Átirányítás URI panelről, valamint a Alkalmazásregisztrációk oldalon található beállításokról.

URI átirányítása bizalmas ügyfélalkalmazásokhoz

Webalkalmazások esetén az átirányítási URI (vagy válasz URL-cím) az az URI, amellyel a Microsoft Entra-azonosító visszaküldi a jogkivonatot az alkalmazásnak. Az URI lehet a webalkalmazás/web API URL-címe, ha a bizalmas alkalmazás egyike. Az átirányítási URI-t regisztrálni kell az alkalmazásregisztrációban. A regisztráció különösen fontos egy olyan alkalmazás üzembe helyezésekor, amelyet eredetileg helyileg tesztelt. Ezután hozzá kell adnia az üzembe helyezett alkalmazás válasz URL-címét az alkalmazásregisztrációs portálon.

Démonalkalmazások esetén nem kell átirányítási URI-t megadnia.

Titkos ügyfélkód

Ez a beállítás megadja a bizalmas ügyfélalkalmazás titkos ügyfélkulcsát. Az ügyfél titkos kódját (az alkalmazásjelszót) az alkalmazásregisztrációs portál biztosítja, vagy a Microsoft Entra ID-nak adja meg a PowerShell Microsoft Entra ID-val, a PowerShell AzureRM-szel vagy az Azure CLI-vel való alkalmazásregisztráció során.

Naplózás

A hibakeresési és hitelesítési hibák hibaelhárítási forgatókönyveinek segítéséhez az MSAL beépített naplózási támogatást nyújt. Az egyes kódtárakba való bejelentkezésről az alábbi cikkekben olvashat:

Következő lépések

Ismerje meg az ügyfélalkalmazások példányosítását az MSAL.NET használatával, és az ügyfélalkalmazások példányosítását MSAL.js használatával.