Mulai cepat: Mendaftarkan aplikasi di platform identitas Microsoft

  • Artikel

Memulai dengan platform identitas Microsoft dengan mendaftarkan aplikasi di portal Microsoft Azure.

Platform identitas Microsoft melakukan manajemen identitas dan akses (IAM) hanya untuk aplikasi terdaftar. Baik itu aplikasi klien seperti web atau aplikasi seluler, atau API web yang mendukung aplikasi klien, mendaftarkannya membangun hubungan kepercayaan antara aplikasi Anda dan penyedia identitas, platform identitas Microsoft.

Tip

Untuk mendaftarkan aplikasi di Azure AD B2C, ikuti langkah-langkah di Tutorial: Mendaftarkan aplikasi web di Azure AD B2C.

Prasyarat

Daftarkan aplikasi

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Mendaftarkan aplikasi Anda membangun hubungan kepercayaan antara aplikasi Anda dan platform identitas Microsoft. Kepercayaan ini tidak teratur: aplikasi Anda mempercayai platform identitas Microsoft, dan bukan sebaliknya. Setelah dibuat, objek aplikasi tidak dapat dipindahkan di antara penyewa yang berbeda.

Ikuti langkah-langkah berikut untuk membuat pendaftaran aplikasi:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa tempat Anda ingin mendaftarkan aplikasi dari menu Direktori + langganan.

  3. Telusuri Aplikasi >Identitas>Pendaftaran aplikasi dan pilih Pendaftaran baru.

  4. Masukkan Nama tampilan aplikasi Anda. Pengguna aplikasi Anda mungkin melihat nama tampilan saat mereka menggunakan aplikasi, misalnya selama masuk. Anda dapat mengubah nama tampilan kapan saja dan beberapa pendaftaran aplikasi dapat berbagi nama yang sama. ID Aplikasi (klien) yang dibuat secara otomatis, bukan nama tampilannya, secara unik mengidentifikasi aplikasi Anda dalam platform identitas.

  5. Tentukan siapa yang dapat menggunakan aplikasi, terkadang di sebut audiens masuknya

    Jenis akun yang didukung Deskripsi
    Akun hanya dalam direktori organisasi ini Pilih opsi ini jika Anda membuat aplikasi untuk digunakan hanya oleh pengguna (atau tamu) di penyewa Anda.

    Sering disebut aplikasi lini bisnis (LOB), aplikasi ini adalah aplikasi satu penyewa di platform identitas Microsoft.
    Akun di direktori organisasi apa pun Pilih opsi ini jika Anda ingin pengguna di penyewa Microsoft Entra mana pun dapat menggunakan aplikasi Anda. Opsi ini sesuai jika, misalnya, Anda sedang membangun aplikasi perangkat lunak sebagai layanan (SaaS) yang ingin Anda berikan ke beberapa organisasi.

    Jenis aplikasi ini dikenal sebagai aplikasi multipenyewa di platform identitas Microsoft.
    Akun di direktori organisasi dan akun Microsoft pribadi apa pun Pilih opsi ini untuk menargetkan kumpulan pelanggan terluas.

    Dengan memilih opsi ini, Anda mendaftarkan aplikasi multipenyewa yang juga dapat mendukung pengguna yang memiliki akun Microsoft pribadi. Akun Microsoft pribadi mencakup akun Skype, Xbox, Live, dan Hotmail.
    Akun Microsoft pribadi Pilih opsi ini jika Anda membuat aplikasi hanya untuk pengguna yang memiliki akun Microsoft pribadi. Akun Microsoft pribadi mencakup akun Skype, Xbox, Live, dan Hotmail.

  6. Jangan masukkan apa pun untuk Mengalihkan URI (opsional). Anda akan mengonfigurasi URI pengalihan di bagian berikutnya.

  7. Pilih Daftar untuk menyelesaikan pendaftaran aplikasi awal.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

Setelah pendaftaran selesai, pusat admin Microsoft Entra menampilkan panel Gambaran Umum pendaftaran aplikasi. Anda melihat ID Aplikasi (klien). Juga disebut ID klien, nilai ini secara unik mengidentifikasi aplikasi Anda di platform identitas Microsoft.

Penting

Pendaftaran aplikasi baru disembunyikan untuk pengguna secara default. Ketika Anda siap bagi pengguna untuk melihat aplikasi di halaman Aplikasi Saya, Anda dapat mengaktifkannya. Untuk mengaktifkan aplikasi, di pusat admin Microsoft Entra navigasikan ke aplikasi Identity>Applications>Enterprise dan pilih aplikasi. Kemudian pada halaman Properti alihkan Terlihat ke pengguna? ke Ya.

Kode aplikasi Anda, atau lebih biasanya pustaka autentikasi yang digunakan dalam aplikasi Anda, juga menggunakan ID klien. ID digunakan sebagai bagian dari memvalidasi token keamanan yang diterimanya dari platform identitas.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Menambahkan URI pengalihan

URI pengalihan adalah lokasi di mana platform identitas Microsoft mengalihkan klien pengguna dan mengirim token keamanan setelah autentikasi.

Dalam aplikasi web produksi, misalnya, URI pengalihan sering menjadi titik akhir publik tempat aplikasi Anda berjalan, seperti https://contoso.com/auth-response. Selama pengembangan, biasanya juga menambahkan titik akhir tempat Anda menjalankan aplikasi secara lokal, seperti, https://127.0.0.1/auth-response atau http://localhost/auth-response. Pastikan bahwa lingkungan pengembangan/URI pengalihan yang tidak perlu tidak terekspos di aplikasi produksi. Ini dapat dilakukan dengan memiliki pendaftaran aplikasi terpisah untuk pengembangan dan produksi.

Anda menambahkan dan mengubah URI pengalihan untuk aplikasi terdaftar Anda dengan mengonfigurasi pengaturan platform mereka.

Mengonfigurasi pengaturan platform

Pengaturan untuk setiap jenis aplikasi, termasuk URI pengalihan, dikonfigurasi di dalam konfigurasi Platform di portal Microsoft Azure. Beberapa platform, seperti aplikasi Web dan Satu halaman, mengharuskan Anda menentukan URI pengalihan secara manual. Untuk platform lain, seperti seluler dan desktop, Anda dapat memilih dari URI pengalihan yang dibuat untuk Anda saat mengonfigurasi pengaturan lainnya.

Untuk mengonfigurasi pengaturan aplikasi berdasarkan platform atau perangkat yang Anda targetkan, ikuti langkah-langkah ini:

  1. Di pusat admin Microsoft Entra, di Pendaftaran aplikasi, pilih aplikasi Anda.

  2. Di bagian Kelola, pilih Autentikasi.

  3. Di bagian Konfigurasi platform, pilih Tambahkan platform.

  4. Di bawah Konfigurasi platform, pilih ubin untuk jenis aplikasi (platform) Anda untuk mengonfigurasi pengaturannya.

    Screenshot of the platform configuration pane in the Azure portal.

    Platform Pengaturan konfigurasi
    Web Masukkan URI Pengalihan untuk aplikasi Anda. URI ini adalah lokasi di mana platform identitas Microsoft mengalihkan klien pengguna dan mengirim token keamanan setelah otentikasi.

    URL keluar saluran depan dan properti alur implisit dan hibrid juga dapat dikonfigurasi.

    Pilih platform ini untuk aplikasi web standar yang berjalan di server.
    Aplikasi satu halaman Masukkan URI Pengalihan untuk aplikasi Anda. URI ini adalah lokasi di mana platform identitas Microsoft mengalihkan klien pengguna dan mengirim token keamanan setelah otentikasi.

    URL keluar saluran depan dan properti alur implisit dan hibrid juga dapat dikonfigurasi.

    Pilih platform ini jika Anda membangun aplikasi web dari sisi klien dengan menggunakan JavaScript atau kerangka kerja seperti Angular, Vue.js, React.js, atau Blazor WebAssembly.
    iOS / macOS Masukkan aplikasi ID Bundel. Temukan di Pengaturan Build atau di Xcode di Info.plist.

    URI pengalihan dibuat untuk Anda saat Anda menentukan ID Bundle.
    Android Masukkan nama Paket aplikasi. Temukan di file AndroidManifest.xml. Buat dan masukkan juga hash Signature.

    URI pengalihan dibuat untuk Anda ketika Anda menentukan pengaturan ini.
    Aplikasi seluler dan desktop Pilih salah satu URI Pengalihan yang disarankan. Atau tentukan pada atau beberapa URI pengalihan kustom.

    Untuk aplikasi desktop menggunakan browser yang disematkan, kami sarankan
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Untuk aplikasi desktop menggunakan browser sistem, kami sarankan
    http://localhost

    Pilih platform ini untuk aplikasi seluler yang tidak menggunakan Microsoft Authentication Library (MSAL) terbaru atau tidak menggunakan broker. Pilih juga platform ini untuk aplikasi desktop.

  5. Pilih Konfigurasikan untuk menyelesaikan konfigurasi platform.

Mengalihkan pembatasan URI

Ada beberapa batasan pada format URI pengalihan yang Anda tambahkan ke pendaftaran aplikasi. Untuk detail tentang pembatasan ini, lihat Mengalihkan pembatasan dan batasan URI (URL balasan).

Menambahkan info masuk

Kredensial digunakan oleh aplikasi klien rahasia yang mengakses API web. Contoh klien rahasia adalah aplikasi web, API web lainnya, atau aplikasi jenis layanan dan tipe daemon. Kredensial memungkinkan aplikasi Anda untuk mengautentikasi sebagai dirinya sendiri, tidak memerlukan interaksi dari pengguna saat runtime.

Anda dapat menambahkan sertifikat, rahasia klien (string), atau kredensial identitas gabungan sebagai kredensial ke pendaftaran aplikasi klien rahasia Anda.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Tambahkan sertifikat

Terkadang disebut kunci umum, sertifikat adalah jenis kredensial yang direkomendasikan karena dianggap lebih aman daripada rahasia klien. Untuk informasi selengkapnya tentang menggunakan sertifikat sebagai metode autentikasi dalam aplikasi Anda, lihat Kredensial sertifikat autentikasi aplikasi platform identitas Microsoft.

  1. Di pusat admin Microsoft Entra, di Pendaftaran aplikasi, pilih aplikasi Anda.
  2. Pilih Sertifikat & rahasia>Sertifikat.
  3. Pilih file yang ingin diunggah. File tersebut harus merupakan salah satu tipe file berikut: .cer, .pem, .crt.
  4. Pilih Tambahkan.

Menambahkan rahasia klien

Terkadang disebut kata sandi aplikasi, rahasia klien adalah nilai string yang dapat digunakan aplikasi Anda sebagai ganti sertifikat untuk identitas itu sendiri.

Rahasia klien dianggap kurang aman daripada kredensial sertifikat. Pengembang aplikasi terkadang menggunakan rahasia klien selama pengembangan aplikasi lokal karena mudah digunakan. Namun, Anda harus menggunakan kredensial sertifikat untuk aplikasi apa pun yang sedang berjalan dalam produksi.

  1. Di pusat admin Microsoft Entra, di Pendaftaran aplikasi, pilih aplikasi Anda.
  2. Pilih Sertifikat & rahasia>Rahasia>klien Rahasia klien baru.
  3. Tambahkan deskripsi untuk rahasia klien Anda.
  4. Pilih kedaluwarsa untuk rahasia atau tentukan masa pakai kustom.
    • Masa pakai rahasia klien dibatasi hingga dua tahun (24 bulan) atau kurang. Anda tidak dapat menentukan masa pakai kustom lebih dari 24 bulan.
    • Microsoft menyarankan agar Anda menetapkan nilai kedaluwarsa kurang dari 12 bulan.
  5. Pilih Tambahkan.
  6. Catat nilai rahasia untuk digunakan dalam kode aplikasi klien Anda. Nilai rahasia ini tidak pernah ditampilkan lagi setelah Anda meninggalkan halaman ini.

Untuk rekomendasi keamanan aplikasi, lihat Praktik terbaik dan rekomendasi platform identitas Microsoft.

Jika Anda menggunakan koneksi layanan Azure DevOps yang secara otomatis membuat perwakilan layanan, Anda perlu memperbarui rahasia klien dari situs portal Azure DevOps alih-alih langsung memperbarui rahasia klien. Lihat dokumen ini tentang cara memperbarui rahasia klien dari situs portal Azure DevOps: Memecahkan masalah koneksi layanan Azure Resource Manager.

Menambahkan kredensial federasi

Kredensial identitas gabungan adalah jenis kredensial yang memungkinkan beban kerja, seperti Tindakan GitHub, beban kerja yang berjalan di Kubernetes, atau beban kerja yang berjalan di platform komputasi di luar sumber daya yang dilindungi Microsoft Entra akses Azure tanpa perlu mengelola rahasia menggunakan federasi identitas beban kerja.

Untuk menambahkan kredensial federasi, ikuti langkah-langkah berikut:

  1. Di pusat admin Microsoft Entra, di Pendaftaran aplikasi, pilih aplikasi Anda.

  2. Pilih Sertifikat & rahasia>Info masuk>Federasi Tambahkan kredensial.

  3. Dalam kotak drop-down Skenario kredensial federasi, pilih salah satu skenario yang didukung, dan ikuti panduan terkait untuk menyelesaikan konfigurasi.

    • Kunci yang dikelola pelanggan untuk mengenkripsi data di penyewa Anda menggunakan Azure Key Vault di penyewa lain.
    • Tindakan GitHub menyebarkan sumber daya Azure untuk mengonfigurasi alur kerja GitHub untuk mendapatkan token untuk aplikasi Anda dan menyebarkan aset ke Azure.
    • Kubernetes yang mengakses sumber daya Azure untuk mengonfigurasi akun layanan Kubernetes untuk mendapatkan token untuk aplikasi Anda dan mengakses sumber daya Azure.
    • Penerbit lain untuk mengonfigurasi identitas yang dikelola oleh penyedia Koneksi OpenID eksternal untuk mendapatkan token untuk aplikasi Anda dan mengakses sumber daya Azure.

Untuk informasi selengkapnya, cara mendapatkan token akses dengan kredensial federasi, lihat artikel alur kredensial klien platform identitas Microsoft dan OAuth 2.0.

Langkah berikutnya

Aplikasi klien biasanya perlu mengakses sumber daya dalam API web. Anda dapat melindungi aplikasi klien Anda dengan menggunakan platform identitas Microsoft. Anda juga dapat menggunakan platform untuk mengotorisasi akses berbasis izin yang tercakup ke API web Anda.

Buka mulai cepat berikutnya di seri untuk membuat pendaftaran aplikasi lain untuk API web Anda dan mengekspos cakupannya.

Mengonfigurasi aplikasi untuk mengekspos API web