Megosztás a következőn keresztül:


Microsoft Identitásplatform és OAuth 2.0 implicit engedélyezési folyamat

A Microsoft Identitásplatform támogatja az OAuth 2.0 implicit engedélyezési folyamatot az OAuth 2.0 specifikációjának megfelelően. Az implicit támogatás meghatározó jellemzője, hogy a jogkivonatok (azonosító jogkivonatok vagy hozzáférési jogkivonatok) a /token végpont helyett közvetlenül a /authorize végpontról lesznek visszaadva. Ezt gyakran használják az engedélyezési kódfolyamat részeként, úgynevezett "hibrid folyamatban" – az azonosító jogkivonat lekérése az /authorization kérelemben egy engedélyezési kóddal együtt.

Ez a cikk azt ismerteti, hogyan programozza közvetlenül az alkalmazás protokollját a Microsoft Entra ID-ból származó jogkivonatok lekéréséhez. Azt javasoljuk, hogy amikor lehetséges, inkább a támogatott Microsoft hitelesítési kódtárakat (MSAL) használja a tokenek beszerzéséhez és biztonságos webes API-k meghívásához. Az MSAL-t használó kódminták listájáért tekintse meg a Microsoft Identitásplatform kódmintákat.

Figyelmeztetés

A Microsoft azt javasolja, hogy ne használja az implicit engedélyezési folyamatot. A legtöbb forgatókönyvben biztonságosabb alternatívák érhetők el és ajánlottak. A folyamat bizonyos konfigurációihoz nagyon nagy megbízhatóságra van szükség az alkalmazásban, és olyan kockázatokat hordoz, amelyek más folyamatokban nincsenek jelen. Ezt a folyamatot csak akkor érdemes használni, ha más biztonságosabb folyamatok nem életképesek. További információkért tekintse meg az implicit engedélyezési folyamattal kapcsolatos biztonsági problémákat.

Protokolldiagram

Az alábbi ábra bemutatja, hogy a teljes implicit bejelentkezési folyamat hogyan néz ki, és az alábbi szakaszok részletesen ismertetik az egyes lépéseket.

Az implicit bejelentkezési folyamatot bemutató ábra.

Megfelelő forgatókönyvek az OAuth2 implicit támogatásához

Az implicit támogatás csak a bejelentkezési folyamat kezdeti, interaktív részéhez megbízható, ahol a külső cookie-k hiánya nem befolyásolja az alkalmazást. Ez a korlátozás azt jelenti, hogy kizárólag a hibrid folyamat részeként kell használnia, ahol az alkalmazás kódot és jogkivonatot kér az engedélyezési végponttól. Hibrid folyamatban az alkalmazás egy olyan kódot kap, amely beváltható egy frissítési jogkivonatra, így biztosítva, hogy az alkalmazás bejelentkezési munkamenete az idő függvényében érvényes maradjon.

A hitelesítési kód folyamatának előnyben részesítése

Egyes böngészők eltávolítják a harmadik féltől származó cookie-k támogatását, az implicit engedélyezési folyamat már nem megfelelő hitelesítési módszer. Az implicit folyamat csendes egyszeri bejelentkezési (SSO) funkciói nem működnek külső cookie-k nélkül, ezért az alkalmazások megszakadnak, amikor új jogkivonatot próbálnak beszerezni. Határozottan javasoljuk, hogy minden új alkalmazás használja az engedélyezési kódfolyamatot , amely mostantól támogatja az egyoldalas alkalmazásokat az implicit folyamat helyett. A meglévő egyoldalas alkalmazásoknak az engedélyezési kód folyamatára is át kell migrálniuk.

Az implicit engedélyezési folyamattal kapcsolatos biztonsági problémák

Az implicit engedélyezési folyamat olyan hagyományos webalkalmazásokhoz készült, ahol a kiszolgáló felügyeli a POST-adatok biztonságos feldolgozását. A jogkivonatok implicit engedélyezési folyamattal történő kézbesítésének két fő módja van: a rendszer response_mode URL-töredékként vagy lekérdezési paraméterként adja vissza (a használatával és GET használatávalform POST). Abban az implicit folyamatban, ahol response_mode=form_posta jogkivonat biztonságosan kézbesítve lesz egy POST HTML-űrlapon keresztül az ügyfél átirányítási URI-jának. Ez a módszer biztosítja, hogy a jogkivonat ne legyen közzétéve az URL-töredékben, így elkerülhető a jogkivonatok kiszivárgásának kockázata a böngészőelőzmények vagy a hivatkozófejlécek között.

Az implicit folyamattal kapcsolatos biztonsági problémák akkor merülnek fel, ha a jogkivonatok kézbesítése a használatával response_mode=fragmenttörténik. Az URL-töredék annak az URL-címnek a része, amely a # szimbólum után jön, és nem küldi el a kiszolgálónak, amikor a böngésző új lapot kér, hanem elérhető a böngészőben futó JavaScript számára. Ez azt jelenti, hogy a jogkivonat minden, az oldalon futó JavaScript számára elérhető, ami biztonsági kockázatot jelenthet, ha az oldal külső szkripteket tartalmaz. Az SLA-k jogkivonataival kapcsolatos biztonsági aggályok nem vonatkoznak az implicit folyamatra a következővel form POST: .

Mikor kell engedélyeznie egy hozzáférési jogkivonat vagy azonosító jogkivonat kiállítását, ha implicit engedélyezési vagy hibrid folyamat használatával kéri?

Az implicit engedélyezési és hibrid folyamat nem olyan biztonságos, mint a többi OAuth-folyamat. Hacsak nincs feltétlenül szükség rá, nem szabad engedélyeznie egy hozzáférési vagy azonosító jogkivonat kiállítását, ha implicit engedélyezést vagy hibrid folyamatot használ az alkalmazásregisztrációban. Ha Ön (vagy a fejlesztők) az MSAL-t használja az alkalmazásban a hitelesítés és az engedélyezés megvalósításához, akkor egyik mezőt sem kell engedélyezni.

Ha azonban Ön (vagy a fejlesztők) nem használják az MSAL-t az alkalmazásban, az alábbi táblázat ismerteti, hogy mikor kell engedélyezni a hozzáférési jogkivonatokat vagy az azonosító jogkivonatokat.

Az éppen létrehozott alkalmazás típusa Az alkalmazásregisztrációban engedélyezni kívánt jogkivonatok
Spa (egyoldalas alkalmazás), amely nem használja az engedélyezési kódfolyamatot a PKCE-vel Hozzáférési jogkivonatok és azonosító jogkivonatok
Webes vagy SPA-alkalmazás, amely JavaScripten keresztül hív meg egy webes API-t implicit folyamat használatával Hozzáférési jogkivonatok és azonosító jogkivonatok
Egy ASP.NET Core-webalkalmazás és más, hibrid hitelesítést használó webalkalmazás Azonosító jogkivonatok

A bejelentkezési kérelem elküldése

Ha először be szeretné jelentkezni a felhasználót az alkalmazásba, elküldhet egy OpenID Connect hitelesítési kérelmet, és lekérhet egy kérést id_token a Microsoft Identitásplatform.

Fontos

Az azonosító jogkivonat és/vagy hozzáférési jogkivonat sikeres lekéréséhez az alkalmazásregisztrációnak a Microsoft Entra felügyeleti központban – Alkalmazásregisztrációk lapon engedélyezni kell a megfelelő implicit engedélyezési folyamatot. Ehhez válassza ki az azonosító jogkivonatokat és a hozzáférési jogkivonatokat az Implicit engedélyezési és hibrid folyamatok szakaszban. Ha nincs engedélyezve, a rendszer hibát unsupported_response ad vissza:

The provided value for the input parameter 'response_type' is not allowed for this client. Expected value is 'code'

// Line breaks for legibility only

https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id=00001111-aaaa-2222-bbbb-3333cccc4444
&response_type=id_token
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&scope=openid
&response_mode=fragment
&state=12345
&nonce=678910
Paraméter Típus Leírás
tenant kötelező A {tenant} kérés elérési útjának értéke határozza meg, hogy ki jelentkezhet be az alkalmazásba. Az engedélyezett értékek a common, organizationsés consumersa bérlőazonosítók. További részletekért tekintse meg a protokoll alapjait. Kritikus fontosságú, hogy olyan vendégforgatókönyvek esetén, ahol egy felhasználót egy bérlőről egy másik bérlőbe ír alá, meg kell adnia a bérlőazonosítót, hogy helyesen jelentkezzen be az erőforrás-bérlőbe.
client_id kötelező Az alkalmazás (ügyfél) azonosítója, amelyet a Microsoft Entra Felügyeleti központ Alkalmazásregisztrációk az alkalmazáshoz rendelt oldal.
response_type kötelező Az OpenID Connect-bejelentkezéshez szerepelnie id_token kell. A következőt is tartalmazhatja: response_type. token Az itt való használat token lehetővé teszi, hogy az alkalmazás azonnal megkapja a hozzáférési jogkivonatot a /engedélyezés végpontjától anélkül, hogy második kérést kellene küldenie a /engedélyezés végpontjához. Ha a token response_type használja, a scope paraméternek tartalmaznia kell egy hatókört, amely jelzi, hogy melyik erőforrásnak adja ki a jogkivonatot (például user.read a Microsoft Graphon). Emellett az engedélyezési kód megadására szolgáló kódot is tartalmazhat code token az engedélyezési kód folyamatában való használatra. Ezt a id_token+code választ néha hibrid folyamatnak is nevezik.
redirect_uri ajánlott Az alkalmazás átirányítási URI-ja, ahol a rendszer hitelesítési válaszokat küld és fogad az alkalmazásban. Ennek pontosan meg kell egyeznie a Microsoft Entra felügyeleti központban regisztrált átirányítási URI-k egyikével, kivéve, hogy URL-kóddal kell rendelkeznie.
scope kötelező A hatókörök szóközzel elválasztott listája. Az OpenID Connect (id_tokens) esetében tartalmaznia kell a hatókört openid, amely a hozzájárulás felhasználói felületén a "Bejelentkezés" engedélyre lefordítva jelenik meg. Szükség esetén a további felhasználói adatokhoz való hozzáféréshez szükséges hatóköröket és profile hatóköröket is meg kell adniaemail. Más hatóköröket is felvehet ebben a kérésben a különböző erőforrásokhoz való hozzájárulás kéréséhez, ha hozzáférési jogkivonatot kérnek.
response_mode ajánlott Megadja azt a metódust, amellyel az eredményül kapott jogkivonatot vissza kell küldeni az alkalmazásnak. query Alapértelmezés szerint csak egy hozzáférési jogkivonatra vonatkozik, de fragment ha a kérés tartalmaz egy id_token. Biztonsági okokból ajánlott az implicit folyamathoz használni form_post , hogy a jogkivonat ne legyen közzétéve az URL-töredékben.
state ajánlott A rendszer a kérésben szereplő értéket is visszaadja a jogkivonat válaszában. Tetszőleges tartalom sztringje lehet. A véletlenszerűen generált egyedi érték általában a helyek közötti hamisítási támadások megelőzésére szolgál. Az állapot a felhasználó állapotával kapcsolatos információk kódolására is használható az alkalmazásban a hitelesítési kérelem előtt, például a lapon vagy a nézeten.
nonce kötelező A kérelemben foglalt, az alkalmazás által létrehozott érték, amely jogcímként szerepel az eredményül kapott azonosító jogkivonatban. Az alkalmazás ezután ellenőrizheti ezt az értéket a jogkivonatok visszajátszási támadásainak csökkentése érdekében. Az érték általában véletlenszerű, egyedi sztring, amely a kérés eredetének azonosítására használható. Csak id_token kérése esetén szükséges.
prompt választható A szükséges felhasználói beavatkozás típusát jelzi. Az egyetlen érvényes érték jelenleg a login, none, select_accountés consent. prompt=login kényszeríti a felhasználót, hogy adja meg a hitelesítő adatait a kéréshez, és ne kapcsolja be az egyszeri bejelentkezést. prompt=none az ellenkezője – biztosítja, hogy a felhasználó semmilyen interaktív kérdést ne jelenítsen meg. Ha a kérés nem hajtható végre csendesen az egyszeri bejelentkezéssel, a Microsoft Identitásplatform hibát ad vissza. prompt=select_account elküldi a felhasználót egy fiókválasztónak, ahol a munkamenetben megjegyzett összes fiók megjelenik. prompt=consent az OAuth hozzájárulási párbeszédpanelt a felhasználó bejelentkezése után aktiválja, és megkéri a felhasználót, hogy adjon engedélyeket az alkalmazásnak.
login_hint választható Ezzel a paramétersel előre kitöltheti a felhasználó bejelentkezési oldalának felhasználónevét és e-mail-címét, ha előre ismeri a felhasználónevet. Az alkalmazások gyakran használják ezt a paramétert az újrahitelesítés során, miután már kinyerték az login_hint opcionális jogcímet egy korábbi bejelentkezésből.
domain_hint választható Ha tartalmazza, akkor kihagyja az e-mail-alapú felderítési folyamatot, amelyen a felhasználó végighalad a bejelentkezési oldalon, ami kissé leegyszerűsített felhasználói élményt eredményez. Ezt a paramétert gyakran használják olyan üzletági alkalmazásokhoz, amelyek egyetlen bérlőben működnek, ahol egy adott bérlőn belül megadnak egy tartománynevet, és továbbítják a felhasználót az adott bérlő összevonási szolgáltatójának. Ez a tipp megakadályozza, hogy a vendégek bejelentkeznek az alkalmazásba, és korlátozzák a felhőbeli hitelesítő adatok, például a FIDO használatát.

Ezen a ponton a rendszer felkéri a felhasználót, hogy adja meg a hitelesítő adatait, és fejezze be a hitelesítést. A Microsoft Identitásplatform biztosítja, hogy a felhasználó hozzájárult a lekérdezési paraméterben megadott engedélyekhezscope. Ha a felhasználó egyik engedélyhez sem járult hozzá, megkéri a felhasználót, hogy járuljon hozzá a szükséges engedélyekhez. További információ: engedélyek, hozzájárulás és több-bérlős alkalmazások.

Miután a felhasználó hitelesíti és hozzájárulást ad, a Microsoft Identitásplatform a megadott redirect_uriidőpontban választ ad vissza az alkalmazásra a paraméterben response_mode megadott módszerrel.

Sikeres válasz

A sikeres válasz az response_mode=fragment response_type=id_token+code alábbihoz hasonlóan működik (olvashatóság érdekében sortörésekkel):

GET https://localhost/myapp/#
code=0.AgAAktYV-sfpYESnQynylW_UKZmH-C9y_G1A
&id_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik5HVEZ2ZEstZnl0aEV1Q...
&state=12345
Paraméter Leírás
code Tartalmazza, ha response_type tartalmazza code. Ez egy engedélyezési kód, amely alkalmas az engedélyezési kód folyamatában való használatra.
access_token Tartalmazza, ha response_type tartalmazza token. Az alkalmazás által kért hozzáférési jogkivonat. A hozzáférési jogkivonatot nem szabad dekódolni vagy más módon ellenőrizni, átlátszatlan sztringként kell kezelni.
token_type Tartalmazza, ha response_type tartalmazza token. Ez mindig egy Bearer.
expires_in Tartalmazza, ha response_type tartalmazza token. Azt jelzi, hogy a jogkivonat hány másodpercig érvényes gyorsítótárazási célokra.
scope Tartalmazza, ha response_type tartalmazza token. Egy vagy több hatókört jelöl, amelyre érvényes access_token . Előfordulhat, hogy nem tartalmazza az összes kért hatókört, ha nem alkalmazhatók a felhasználóra. Például a microsoft entra-only hatókörök, amikor személyes fiók használatával jelentkeznek be.
id_token Aláírt JSON-webjogkivonat (JWT). Az alkalmazás dekódolhatja ennek a jogkivonatnak a szegmenseit, hogy információt kérjen a bejelentkezett felhasználóról. Az alkalmazás gyorsítótárazhatja az értékeket, és megjelenítheti őket, de nem támaszkodhat rájuk semmilyen engedélyezési vagy biztonsági határ esetén. Az azonosító jogkivonatokkal kapcsolatos további információkért lásd: id_token reference.
Megjegyzés: Csak akkor van megadva, ha openid a hatókört kérték és response_type belefoglalták id_tokens.
state Ha egy állapotparaméter szerepel a kérelemben, akkor ugyanaz az érték jelenik meg a válaszban. Az alkalmazásnak ellenőriznie kell, hogy a kérés és a válasz állapotértékei azonosak-e.

Figyelmeztetés

Ne kísérelje meg a jogkivonatok érvényesítését vagy olvasását a kódban a nem birtokolt API-k esetében, beleértve az ebben a példában szereplő jogkivonatokat is. A Microsoft-szolgáltatások jogkivonatai olyan speciális formátumot használhatnak, amely nem érvényesíthető JWT-ként, és titkosíthatók a fogyasztói (Microsoft-fiók) felhasználók számára is. Bár a jogkivonatok olvasása hasznos hibakeresési és tanulási eszköz, ne vegyen fel függőségeket a kódban, és ne feltételezze a nem ön által vezérelt API-khoz tartozó jogkivonatokat.

Hibaválasz

A hibaválaszokat is elküldheti a rendszer, redirect_uri hogy az alkalmazás megfelelően kezelje őket:

GET https://localhost/myapp/#
error=access_denied
&error_description=the+user+canceled+the+authentication
Paraméter Leírás
error Hibakódsztring, amely a előforduló hibák típusainak besorolására használható, és a hibákra való reagálásra használható.
error_description Egy adott hibaüzenet, amely segíthet a fejlesztőknek a hitelesítési hibák kiváltó okának azonosításában.

Hozzáférési jogkivonatok csendes beszerzése

Most, hogy a felhasználó bejelentkezett az egyoldalas alkalmazásba, csendesen lekérheti a Microsoft Identitásplatform által védett webes API-k( például a Microsoft Graph) meghívásához szükséges hozzáférési jogkivonatokat. Még akkor is, ha már kapott egy jogkivonatot a response_type használatával, ezzel a token módszerrel jogkivonatokat szerezhet be további erőforrásokba anélkül, hogy átirányította volna a felhasználót a bejelentkezésre.

Fontos

Az implicit folyamat ezen része valószínűleg nem fog működni az alkalmazás számára, mivel a harmadik féltől származó cookie-k alapértelmezés szerint eltávolítása miatt különböző böngészőkben használják. Bár ez még mindig működik a Chromium-alapú böngészőkben, amelyek nem inkognitó, a fejlesztőknek újra kell gondolniuk ezt a részét a folyamatnak. A harmadik féltől származó cookie-kat nem támogató böngészőkben hibaüzenet jelenik meg, amely azt jelzi, hogy nincsenek bejelentkezve felhasználók, mivel a bejelentkezési oldal munkamenet-cookie-jait a böngésző eltávolította.

A normál OpenID Connect/OAuth folyamatban ezt a Microsoft Identitásplatform /token végpontra irányuló kéréssel teheti meg. A kérést egy rejtett iframe-ben is megadhatja, hogy új jogkivonatokat kapjon más webes API-khoz:

// Line breaks for legibility only

https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id=00001111-aaaa-2222-bbbb-3333cccc4444&response_type=token
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&scope=https%3A%2F%2Fgraph.microsoft.com%2Fuser.read
&response_mode=fragment
&state=12345
&nonce=678910
&prompt=none
&login_hint=myuser@mycompany.com

Az URL-ben található lekérdezési paraméterekkel kapcsolatos részletekért lásd a bejelentkezési kérés elküldését.

Tipp.

Próbálja meg átmásolni és beilleszteni a következő kérést egy böngészőlapra egy valós client_id és username az alkalmazásregisztrációból. Ez lehetővé teszi a csendes jogkivonat-kérés működés közbeni megtekintését.

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id={your-client-id}&response_type=token&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F&scope=https%3A%2F%2Fgraph.microsoft.com%2Fuser.read&response_mode=fragment&state=12345&nonce=678910&prompt=none&login_hint={username}

Vegye figyelembe, hogy ez a külső cookie-támogatás nélküli böngészőkben is működni fog, mivel ezt közvetlenül egy böngészősávba nyitja meg, nem pedig egy iframe-en belül.

A paraméternek köszönhetően ez a prompt=none kérés sikeres vagy azonnal meghiúsul, és visszatér az alkalmazáshoz. A rendszer a megadott redirect_urimódon küldi el a választ az alkalmazásnak a response_mode paraméterben megadott módszerrel.

Sikeres válasz

Sikeres válasz a response_mode=fragment következőképpen néz ki:

GET https://localhost/myapp/#
access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik5HVEZ2ZEstZnl0aEV1Q...
&state=12345
&token_type=Bearer
&expires_in=3599
&scope=https%3A%2F%2Fgraph.microsoft.com%2Fdirectory.read
Paraméter Leírás
access_token Tartalmazza, ha response_type tartalmazza token. Az alkalmazás által kért hozzáférési jogkivonat, ebben az esetben a Microsoft Graph esetében. A hozzáférési jogkivonatot nem szabad dekódolni vagy más módon ellenőrizni, átlátszatlan sztringként kell kezelni.
token_type Ez mindig egy Bearer.
expires_in Azt jelzi, hogy a jogkivonat hány másodpercig érvényes gyorsítótárazási célokra.
scope Egy vagy több hatókört jelöl, amelyre érvényes a hozzáférési jogkivonat. Előfordulhat, hogy nem tartalmazza az összes kért hatókört, ha azok nem vonatkoznak a felhasználóra (Ha a microsoft Entra-only hatóköröket kéri a rendszer, amikor egy személyes fiókot használnak a bejelentkezéshez).
id_token Aláírt JSON-webjogkivonat (JWT). Tartalmazza, ha response_type tartalmazza id_token. Az alkalmazás dekódolhatja ennek a jogkivonatnak a szegmenseit, hogy információt kérjen a bejelentkezett felhasználóról. Az alkalmazás gyorsítótárazhatja az értékeket, és megjelenítheti őket, de nem támaszkodhat rájuk semmilyen engedélyezési vagy biztonsági határ esetén. A id_tokens kapcsolatos további információkért lásd a id_token hivatkozást.
Megjegyzés: Csak akkor van megadva, ha openid a hatókört kérték.
state Ha egy állapotparaméter szerepel a kérelemben, akkor ugyanaz az érték jelenik meg a válaszban. Az alkalmazásnak ellenőriznie kell, hogy a kérés és a válasz állapotértékei azonosak-e.

Hibaválasz

A hibaválaszokat is elküldheti a rendszer, redirect_uri hogy az alkalmazás megfelelően kezelje őket. Ha prompt=nonea várt hiba a következő:

GET https://localhost/myapp/#
error=user_authentication_required
&error_description=the+request+could+not+be+completed+silently
Paraméter Leírás
error Hibakódsztring, amely a előforduló hibák típusainak besorolására használható, és a hibákra való reagálásra használható.
error_description Egy adott hibaüzenet, amely segíthet a fejlesztőknek a hitelesítési hibák kiváltó okának azonosításában.

Ha ezt a hibát az iframe-kérelemben kapja, a felhasználónak újra interaktívan be kell jelentkeznie egy új jogkivonat lekéréséhez. Dönthet úgy, hogy bármilyen módon kezeli ezt az esetet az alkalmazás számára.

Jogkivonatok frissítése

Az implicit támogatás nem biztosít frissítési jogkivonatokat. Az azonosító jogkivonatok és a hozzáférési jogkivonatok is rövid idő elteltével lejárnak, ezért az alkalmazásnak készen kell állnia arra, hogy rendszeresen frissítse ezeket a jogkivonatokat. Bármelyik jogkivonattípus frissítéséhez végrehajthatja ugyanazt a korábban felvázolt rejtett iframe-kérést, amely a prompt=none paraméterrel szabályozza az identitásplatform viselkedését. Ha új azonosító jogkivonatot szeretne kapni, mindenképpen használja id_token az response_type és scope=openid, és egy paramétert nonce .

Olyan böngészőkben, amelyek nem támogatják a harmadik féltől származó cookie-kat, ez hibaüzenetet eredményez, amely azt jelzi, hogy nincs bejelentkezve felhasználó.

Bejelentkezési kérés küldése

Az OpenID Connect end_session_endpoint lehetővé teszi, hogy az alkalmazás kérést küldjön a Microsoft Identitásplatform a felhasználó munkamenetének befejezéséhez, és törölje a Microsoft Identitásplatform által beállított cookie-kat. Ha egy felhasználót teljes mértékben ki szeretne jelentkezni egy webalkalmazásból, az alkalmazásnak be kell fejeznie a saját munkamenetét a felhasználóval (általában a jogkivonat-gyorsítótár törlésével vagy a cookie-k elvetésével), majd átirányítani a böngészőt a következőre:

https://login.microsoftonline.com/{tenant}/oauth2/v2.0/logout?post_logout_redirect_uri=https://localhost/myapp/
Paraméter Típus Leírás
tenant kötelező A {tenant} kérés elérési útjának értéke határozza meg, hogy ki jelentkezhet be az alkalmazásba. Az engedélyezett értékek a common, organizationsés consumersa bérlőazonosítók. További részletekért tekintse meg a protokoll alapjait.
post_logout_redirect_uri ajánlott Az URL-cím, amelybe a felhasználónak vissza kell adni a kijelentkezés befejezése után. Ennek az értéknek meg kell egyeznie az alkalmazáshoz regisztrált átirányítási URI-k egyikével. Ha nem tartalmazza, a felhasználó egy általános üzenetet jelenít meg a Microsoft Identitásplatform.

Lásd még