OpenID Csatlakozás OAuth-alkalmazás konfigurálása a Microsoft Entra alkalmazáskatalógusából
OpenID-alkalmazás hozzáadása a katalógusból
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
Válassza az Új alkalmazás lehetőséget a párbeszédpanel tetején.
A keresőmezőbe írja be az alkalmazás nevét. Válassza ki a kívánt alkalmazást az eredménypanelen, és regisztráljon az alkalmazásra.
Az Alkalmazásnév lapon kattintson a Regisztráció gombra.
Feljegyzés
Itt a bérlői rendszergazdának ki kell választania a regisztráció gombot, és meg kell adnia az alkalmazáshoz való hozzájárulást. Az alkalmazás ezután hozzáadódik a külső bérlőhöz, ahol elvégezheti a konfigurációkat. Nincs szükség az alkalmazás explicit hozzáadására.
A rendszer átirányítja az Alkalmazás bejelentkezési lapjára vagy a Microsoft Entra ID oldalára a bejelentkezési hitelesítő adatokért.
A sikeres hitelesítés után elfogadja a hozzájárulást a hozzájárulási oldalról. Ezután megjelenik az alkalmazás kezdőlapja.
Feljegyzés
Csak egy példányt adhat hozzá az alkalmazáshoz. Ha már hozzáadott egyet, és megpróbálta újból megadni a hozzájárulást, az nem lesz újból hozzáadva a bérlőben. Logikusan tehát csak egy alkalmazáspéldányt használhat a bérlőben.
Az alábbi videóban egy OpenID-alkalmazást vehet fel a katalógusból.
Hitelesítési folyamat OpenID Csatlakozás használatával
A legalapvetőbb bejelentkezési folyamat a következő lépéseket tartalmazza:
Több-bérlős alkalmazás
A több-bérlős alkalmazások számos szervezet számára használhatók, nem csak egy szervezetben. Ezek általában egy független szoftverszállító (ISV) által írt szolgáltatásként (SaaS) készült alkalmazások.
A több-bérlős alkalmazásokat minden olyan könyvtárban ki kell építeni, ahol használni fogják őket. A regisztrációhoz felhasználói vagy rendszergazdai hozzájárulás szükséges. Ez a jóváhagyási folyamat akkor kezdődik, amikor egy alkalmazás regisztrálva van a címtárban, és hozzáférést kap a Graph API-hoz vagy esetleg egy másik webes API-hoz. Amikor egy másik szervezet felhasználója vagy rendszergazdája regisztrál az alkalmazás használatára, egy párbeszédpanel megjeleníti az alkalmazáshoz szükséges engedélyeket.
A felhasználó vagy a rendszergazda ezután beleegyezhet az alkalmazásba. A hozzájárulás hozzáférést ad az alkalmazásnak a megadott adatokhoz, és végül regisztrálja az alkalmazást a címtárban.
Feljegyzés
Ha több címtárban teszi elérhetővé az alkalmazást a felhasználók számára, egy mechanizmusra van szüksége annak meghatározásához, hogy melyik bérlőben vannak. Egy egybérlős alkalmazásnak csak a saját címtárában kell keresnie egy felhasználót. A több-bérlős alkalmazásoknak azonosítaniuk kell egy adott felhasználót a Microsoft Entra ID összes könyvtárából.
A feladat elvégzéséhez a Microsoft Entra ID egy gyakori hitelesítési végpontot biztosít, ahol minden több-bérlős alkalmazás a bérlőspecifikus végpont helyett a bejelentkezési kérelmeket irányítja. Ez a végpont a https://login.microsoftonline.com/common Microsoft Entra ID összes könyvtárához tartozik. A bérlőspecifikus végpont lehet https://login.microsoftonline.com/contoso.onmicrosoft.com.
Az alkalmazás fejlesztésekor fontos figyelembe venni a közös végpontot. Szüksége lesz a szükséges logikára több bérlő kezeléséhez a bejelentkezés, a kijelentkezés és a jogkivonat érvényesítése során.
Alapértelmezés szerint a Microsoft Entra ID előlépteti a több-bérlős alkalmazásokat. A szervezetek könnyen elérhetik őket, és a hozzájárulás elfogadása után könnyen használhatók.
Jóváhagyási keretrendszer
A Microsoft Entra hozzájárulási keretrendszerével több-bérlős webes és natív ügyfélalkalmazásokat fejleszthet. Ezek az alkalmazások lehetővé teszik a felhasználói fiókok általi bejelentkezést egy Microsoft Entra-bérlőről, amely eltér attól, amelyikben az alkalmazás regisztrálva van. Előfordulhat, hogy webes API-khoz is hozzá kell férniük, például:
- A Microsoft Graph API a Microsoft Entra ID, az Intune és a Microsoft 365 szolgáltatásainak eléréséhez.
- Egyéb Microsoft-szolgáltatások API-k.
- Saját webes API-k.
A keretrendszer azon alapul, hogy egy felhasználó vagy adminisztrátor jóváhagyja egy alkalmazás címtár-regisztrációs kérelmét. A regisztráció címtáradatokhoz való hozzáférést is magában foglalhat. A hozzájárulás megadása után az ügyfélalkalmazás meghívhatja a Microsoft Graph API-t a felhasználó nevében, és szükség szerint felhasználhatja az információkat.
A Microsoft Graph API hozzáférést biztosít az adatokhoz a Microsoft 365-ben, például:
- Naptárak és üzenetek az Exchange-ből.
- Webhelyek és listák a SharePointból.
- Dokumentumok a OneDrive-ról.
- Jegyzetfüzetek a OneNote-ból.
- Feladatok a Plannertől.
- Munkafüzetek az Excelből.
A Graph API hozzáférést biztosít a Microsoft Entra ID-ból származó felhasználókhoz és csoportokhoz, valamint több Microsoft-felhőszolgáltatás egyéb adatobjektumaihoz is.
Az alábbi lépések bemutatják, hogyan működik a hozzájárulási felület az alkalmazás fejlesztője és felhasználója számára:
Tegyük fel, hogy van egy webes ügyfélalkalmazása, amely meghatározott engedélyeket igényel egy erőforrás vagy API eléréséhez. Az Azure Portalon konfigurációs időpontban deklarálhatók az engedélykérelmek. A többi konfigurációs beállításhoz hasonlóan ezek is az alkalmazás Microsoft Entra-regisztrációinak részévé válnak. Az Engedélykérés elérési útjának megtekintéséhez kövesse az alábbi lépéseket:
a. Kattintson a Alkalmazásregisztrációk a menü bal oldalán, és nyissa meg az alkalmazást az alkalmazás nevének beírásával a keresőmezőbe.
b. Kattintson az API-engedélyek megtekintése gombra.
c. Kattintson az Engedély hozzáadása elemre.
d. Kattintson a Microsoft Graphra.
e. Válassza ki a szükséges beállításokat a delegált engedélyek és az alkalmazásengedélyek közül.
Vegye figyelembe, hogy az alkalmazás engedélyei frissültek. Az alkalmazás fut, és egy felhasználó először fogja használni. Az alkalmazásnak először le kell szereznie egy engedélyezési kódot a Microsoft Entra-azonosítóról /engedélyezés végpontjáról. Az engedélyezési kód ezután egy új hozzáférési és frissítési jogkivonat beszerzésére használható.
Ha a felhasználó még nincs hitelesítve, a Microsoft Entra-azonosító /engedélyezés végpontja kéri a bejelentkezést.
Miután a felhasználó bejelentkezett, a Microsoft Entra-azonosító határozza meg, hogy a felhasználónak meg kell-e jelenítenie egy hozzájárulási oldalt. Ez a megállapítás azon alapul, hogy a felhasználó (vagy a szervezet rendszergazdája) már megadta-e az alkalmazás hozzájárulását.
Ha nem adták meg a hozzájárulást, a Microsoft Entra kéri a felhasználót, hogy adja meg a hozzájárulást, és megjeleníti a működéséhez szükséges engedélyeket. A hozzájárulás párbeszédpanelen megjelenő engedélyek megegyeznek a delegált engedélyekben kijelölt engedélyekkel.
A rendszeres felhasználók bizonyos engedélyekhez adhatnak hozzájárulást. Más engedélyekhez bérlői rendszergazdai hozzájárulás szükséges.
A rendszergazdai hozzájárulás és a felhasználói hozzájárulás közötti különbség
Rendszergazdaként az alkalmazás delegált engedélyeit is jóváhagyhatja a bérlő összes felhasználója nevében. Rendszergazda a hozzájárulás megakadályozza, hogy a hozzájárulás párbeszédpanel megjelenjen a bérlő minden felhasználója számára. A rendszergazdai szerepkört betöltő felhasználók hozzájárulást adhatnak. Az alkalmazás Gépház lapján válassza a Szükséges engedélyek rendszergazdai>hozzájárulás megadása lehetőséget.
Feljegyzés
Az MSAL.js használó egyoldalas alkalmazásokhoz (SPA-k) mostantól explicit hozzájárulást kell adni a Rendszergazdai hozzájárulás megadása gombbal. Ellenkező esetben az alkalmazás meghiúsul, amikor a hozzáférési jogkivonatot kérik.
A csak alkalmazásra vonatkozó engedélyekhez mindig bérlői rendszergazdai hozzájárulás szükséges. Ha az alkalmazás csak alkalmazásengedélyt kér, és egy felhasználó megpróbál bejelentkezni az alkalmazásba, hibaüzenet jelenik meg. Az üzenet szerint a felhasználó nem tud hozzájárulni.
Ha az alkalmazás rendszergazdai hozzájárulást igénylő engedélyeket használ, kézmozdulatot kell használnia, például egy gombot vagy hivatkozást, ahol a rendszergazda elindíthatja a műveletet. Az alkalmazás által erre a műveletre küldött kérés a szokásos OAuth2/OpenID Csatlakozás engedélyezési kérelem. Ez a kérés tartalmazza a prompt=admin_consent lekérdezési sztring paramétert.
Miután a rendszergazda hozzájárult, és a szolgáltatásnév létre lett hozva az ügyfél bérlőjében, a későbbi bejelentkezési kérelmeknek nincs szükségük a prompt=admin_consent paraméterre. Mivel a rendszergazda úgy döntött, hogy a kért engedélyek elfogadhatóak, a bérlő többi felhasználója nem kér hozzájárulást ettől a ponttól kezdve.
A bérlői rendszergazda letilthatja, hogy a rendszeres felhasználók beleegyezhessenek az alkalmazásokba. Ha ez a funkció le van tiltva, a rendszergazdai hozzájárulásra mindig szükség van ahhoz, hogy az alkalmazás a bérlőben legyen használva. Ha le szeretné tiltani az alkalmazást a végfelhasználói hozzájárulás letiltásával, a konfigurációs kapcsolót az Azure Portalon találja. Ez a Nagyvállalati alkalmazások alatti Felhasználói beállítások szakaszban található.
A prompt=admin_consent paramétert olyan alkalmazások is használhatják, amelyek rendszergazdai hozzájárulást nem igénylő engedélyeket kérnek. Ilyen például egy olyan alkalmazás, amely olyan felhasználói felületet igényel, amelyben a bérlő rendszergazdája egyszer "regisztrál", és a rendszer nem kér más felhasználóktól hozzájárulást ettől a ponttól kezdve.
Tegyük fel, hogy egy alkalmazáshoz rendszergazdai hozzájárulásra van szükség, és egy rendszergazda a prompt=admin_consent paraméter elküldése nélkül jelentkezik be. Ha a rendszergazda sikeresen hozzájárul az alkalmazáshoz, az csak a felhasználói fiókjára vonatkozik. A rendszeres felhasználók továbbra sem tudnak bejelentkezni vagy hozzájárulni az alkalmazáshoz. Ez a funkció akkor hasznos, ha lehetővé szeretné tenni a bérlői rendszergazda számára, hogy megismerje az alkalmazást, mielőtt engedélyezi más felhasználók hozzáférését.
Következő lépések
OIDC-alapú egyszeri bejelentkezés (SSO) beállítása egy alkalmazáshoz a Microsoft Entra-bérlőben