MICROSOFT Entra External ID memungkinkan organisasi Anda mengelola identitas pelanggan, dan mengontrol akses dengan aman ke aplikasi dan API publik Anda. Aplikasi tempat pelanggan Anda dapat membeli produk Anda, berlangganan layanan Anda, atau mengakses akun dan data mereka. Pelanggan Anda hanya perlu masuk di perangkat atau browser web sekali dan memiliki akses ke semua aplikasi Anda, Anda memberi mereka izin.
Untuk mengaktifkan aplikasi Anda untuk masuk dengan ID Eksternal, Anda perlu mendaftarkan aplikasi Anda dengan ID Eksternal. Pendaftaran aplikasi menetapkan hubungan kepercayaan antara aplikasi dan ID Eksternal.
Selama pendaftaran aplikasi, Anda menentukan URI pengalihan. URI pengalihan adalah titik akhir tempat pengguna dialihkan oleh ID Eksternal setelah mereka mengautentikasi. Proses pendaftaran aplikasi menghasilkan ID aplikasi, dikenal juga sebagai ID klien, yang secara unik mengidentifikasi aplikasi Anda.
ID eksternal mendukung autentikasi untuk berbagai arsitektur aplikasi modern, misalnya aplikasi web atau aplikasi satu halaman. Interaksi setiap jenis aplikasi dengan penyewa eksternal berbeda, oleh karena itu, Anda harus menentukan jenis aplikasi yang ingin Anda daftarkan.
Dalam artikel ini, Anda mempelajari cara mendaftarkan aplikasi di penyewa eksternal Anda.
Daftarkan aplikasi Halaman tunggal Anda
ID eksternal mendukung autentikasi untuk Aplikasi halaman tunggal (SPAs).
Langkah-langkah berikut menunjukkan cara mendaftarkan SPA Anda di pusat admin Microsoft Entra:
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon 
Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih + Pendaftaran baru.
Di halaman Daftarkan aplikasi yang muncul, masukkan informasi pendaftaran aplikasi Anda:
Di bagian Nama , masukkan nama aplikasi yang bermakna yang ditampilkan kepada pengguna aplikasi, misalnya ciam-client-app.
Di bawah Jenis akun yang didukung, pilih Hanya akun dalam direktori organisasi ini.
Di bawah URI Pengalihan (opsional), pilih Aplikasi halaman tunggal (SPA) lalu, di kotak URL, masukkan http://localhost:3000/.
Pilih Daftarkan.
Panel Gambaran Umum aplikasi ditampilkan saat pendaftaran selesai. Rekam ID Direktori (penyewa) dan ID Aplikasi (klien) yang akan digunakan dalam kode sumber aplikasi Anda.
Tentang URI pengalihan
URI pengalihan adalah titik akhir tempat pengguna dikirim oleh server otorisasi (dalam hal ini, ID Microsoft Entra) setelah menyelesaikan interaksinya dengan pengguna, dan ke mana token akses atau kode otorisasi dikirim ke setelah otorisasi berhasil.
Dalam aplikasi produksi, hal ini biasanya adalah titik akhir yang dapat diakses publik tempat aplikasi Anda berjalan, seperti https://contoso.com/auth-response.
Selama pengembangan aplikasi, Anda dapat menambahkan titik akhir di mana aplikasi Anda mendengarkan secara lokal, seperti http://localhost:3000. Anda dapat menambahkan dan mengubah URI pengalihan di aplikasi Anda yang telah terdaftar kapan saja.
Pembatasan berikut berlaku untuk mengalihkan URI:
URL balasan harus dimulai dengan skema https, kecuali Anda menggunakan URL pengalihan localhost.
URL balasan peka huruf besar/kecil. Ukuran huruf harus sesuai dengan ukuran huruf pada jalur URL pada aplikasi berjalan. Misalnya, jika aplikasi Anda termasuk sebagai bagian dari jalurnya .../abc/response-oidc, jangan tentukan .../ABC/response-oidc di URL balasan. Karena browser web memperlakukan jalur sebagai peka huruf besar/kecil, cookie yang terkait dengan .../abc/response-oidc dapat dikecualikan jika dialihkan ke URL .../ABC/response-oidc yang ukuran hurufnya tidak cocok.
URL balasan harus menyertakan atau mengecualikan garis miring ke depan seperti yang diharapkan oleh aplikasi Anda. Misalnya, https://contoso.com/auth-response dan https://contoso.com/auth-response/ mungkin diperlakukan sebagai URL yang tidak cocok di aplikasi Anda.
Memberikan izin admin
Setelah Anda mendaftarkan aplikasi, aplikasi akan diberi izin User.Read . Namun, karena penyewa adalah penyewa eksternal, pengguna pelanggan itu sendiri tidak dapat menyetujui izin ini. Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Izin API.
- Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
- Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk izin tersebut.
Berikan izin API (opsional):
Jika SPA Anda perlu memanggil API, Anda harus memberikan izin SPA API Anda sehingga dapat memanggil API. Anda juga harus mendaftarkan API web yang perlu Anda panggil.
Untuk memberikan izin API aplikasi klien Anda (ciam-client-app), ikuti langkah-langkah berikut:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Izin API.
Di Izin yang dikonfigurasi, pilih Tambahkan izin.
Pilih tab API yang digunakan organisasi saya.
Dalam daftar API, pilih API seperti ciam-ToDoList-api.
Pilih opsi Izin yang didelegasikan.
Dari daftar izin, pilih ToDoList.Read, ToDoList.ReadWrite (gunakan kotak pencarian jika perlu).
Pilih tombol Tambahkan izin akses. Pada titik ini, Anda telah menetapkan izin dengan benar. Namun, karena penyewa adalah penyewa pelanggan, pengguna konsumen itu sendiri tidak dapat menyetujui izin ini. Untuk mengatasi masalah ini, Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk kedua cakupan.
Dari daftar Izin yang dikonfigurasi, pilih izin ToDoList.Read dan ToDoList.ReadWrite, satu per satu, lalu salin URI lengkap izin untuk digunakan nanti. URI izin lengkap terlihat mirip dengan api://{clientId}/{ToDoList.Read} atau api://{clientId}/{ToDoList.ReadWrite}.
Jika Anda ingin mempelajari cara mengekspos izin dengan menambahkan tautan, buka bagian API Web.
Menguji alur pengguna (opsional)
Untuk menguji alur pengguna dengan pendaftaran aplikasi ini, aktifkan alur pemberian izin implisit untuk autentikasi.
Penting
Alur implisit harus digunakan hanya untuk tujuan pengujian dan bukan untuk mengautentikasi pengguna di aplikasi produksi Anda. Setelah Anda selesai menguji, sebaiknya hapus.
Untuk mengaktifkan alur implisit, ikuti langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
- Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
- Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
- Pilih pendaftaran aplikasi yang Anda buat.
- Di bagian Kelola, pilih Autentikasi.
- Di bagian Izin implisit dan alur hibrid, pilih kotak centang Token ID (digunakan untuk alur implisit dan hibrid).
- Pilih Simpan.
Daftarkan aplikasi Web Anda
ID eksternal mendukung autentikasi untuk aplikasi web.
Langkah-langkah berikut menunjukkan cara mendaftarkan aplikasi web Anda di pusat admin Microsoft Entra:
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih + Pendaftaran baru.
Di halaman Daftarkan aplikasi yang muncul, masukkan informasi pendaftaran aplikasi Anda:
Di bagian Nama , masukkan nama aplikasi yang bermakna yang ditampilkan kepada pengguna aplikasi, misalnya ciam-client-app.
Di bawah Jenis akun yang didukung, pilih Hanya akun dalam direktori organisasi ini.
Di bawah URI Pengalihan (opsional), pilih Web lalu, dalam kotak URL, masukkan URL seperti, http://localhost:3000/.
Pilih Daftarkan.
Panel Gambaran Umum aplikasi ditampilkan saat pendaftaran selesai. Rekam ID Direktori (penyewa) dan ID Aplikasi (klien) yang akan digunakan dalam kode sumber aplikasi Anda.
Tentang URI pengalihan
URI pengalihan adalah titik akhir tempat pengguna dikirim oleh server otorisasi (dalam hal ini, ID Microsoft Entra) setelah menyelesaikan interaksinya dengan pengguna, dan ke mana token akses atau kode otorisasi dikirim ke setelah otorisasi berhasil.
Dalam aplikasi produksi, hal ini biasanya adalah titik akhir yang dapat diakses publik tempat aplikasi Anda berjalan, seperti https://contoso.com/auth-response.
Selama pengembangan aplikasi, Anda dapat menambahkan titik akhir di mana aplikasi Anda mendengarkan secara lokal, seperti http://localhost:3000. Anda dapat menambahkan dan mengubah URI pengalihan di aplikasi Anda yang telah terdaftar kapan saja.
Pembatasan berikut berlaku untuk mengalihkan URI:
URL balasan harus dimulai dengan skema https, kecuali Anda menggunakan URL pengalihan localhost.
URL balasan peka huruf besar/kecil. Ukuran huruf harus sesuai dengan ukuran huruf pada jalur URL pada aplikasi berjalan. Misalnya, jika aplikasi Anda termasuk sebagai bagian dari jalurnya .../abc/response-oidc, jangan tentukan .../ABC/response-oidc di URL balasan. Karena browser web memperlakukan jalur sebagai peka huruf besar/kecil, cookie yang terkait dengan .../abc/response-oidc dapat dikecualikan jika dialihkan ke URL .../ABC/response-oidc yang ukuran hurufnya tidak cocok.
URL balasan harus menyertakan atau mengecualikan garis miring ke depan seperti yang diharapkan oleh aplikasi Anda. Misalnya, https://contoso.com/auth-response dan https://contoso.com/auth-response/ mungkin diperlakukan sebagai URL yang tidak cocok di aplikasi Anda.
Memberikan izin admin
Setelah Anda mendaftarkan aplikasi, aplikasi akan diberi izin User.Read . Namun, karena penyewa adalah penyewa eksternal, pengguna pelanggan itu sendiri tidak dapat menyetujui izin ini. Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Izin API.
- Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
- Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk izin tersebut.
Membuat rahasia klien
Buat rahasia klien untuk aplikasi terdaftar. Aplikasi ini menggunakan rahasia klien untuk membuktikan identitasnya ketika meminta token.
- Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
- Di bagian Kelola, pilih Sertifikat & rahasia.
- Pilih Rahasia klien baru.
- Dalam kotak Deskripsi , masukkan deskripsi untuk rahasia klien (misalnya, rahasia klien aplikasi ciam).
- Di bawah Kedaluwarsa, pilih durasi yang rahasianya valid (sesuai aturan keamanan organisasi Anda), lalu pilih Tambahkan.
- Catat Nilai rahasia. Anda akan menggunakan nilai ini untuk konfigurasi pada langkah selanjutnya. Nilai rahasia tidak akan ditampilkan lagi, dan tidak dapat diambil dengan cara apa pun, setelah Anda menavigasi jauh dari Sertifikat dan rahasia. Pastikan Anda merekamnya.
Memberikan izin API (opsional)
Jika aplikasi web Anda perlu memanggil API, Anda harus memberikan izin API aplikasi web Anda sehingga dapat memanggil API. Anda juga harus mendaftarkan API web yang perlu Anda panggil.
Untuk memberikan izin API aplikasi klien Anda (ciam-client-app), ikuti langkah-langkah berikut:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Izin API.
Di Izin yang dikonfigurasi, pilih Tambahkan izin.
Pilih tab API yang digunakan organisasi saya.
Dalam daftar API, pilih API seperti ciam-ToDoList-api.
Pilih opsi Izin yang didelegasikan.
Dari daftar izin, pilih ToDoList.Read, ToDoList.ReadWrite (gunakan kotak pencarian jika perlu).
Pilih tombol Tambahkan izin akses. Pada titik ini, Anda telah menetapkan izin dengan benar. Namun, karena penyewa adalah penyewa pelanggan, pengguna konsumen itu sendiri tidak dapat menyetujui izin ini. Untuk mengatasi masalah ini, Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk kedua cakupan.
Dari daftar Izin yang dikonfigurasi, pilih izin ToDoList.Read dan ToDoList.ReadWrite, satu per satu, lalu salin URI lengkap izin untuk digunakan nanti. URI izin lengkap terlihat mirip dengan api://{clientId}/{ToDoList.Read} atau api://{clientId}/{ToDoList.ReadWrite}.
Menguji alur pengguna (opsional)
Untuk menguji alur pengguna dengan pendaftaran aplikasi ini, aktifkan alur pemberian izin implisit untuk autentikasi.
Penting
Alur implisit harus digunakan hanya untuk tujuan pengujian dan bukan untuk mengautentikasi pengguna di aplikasi produksi Anda. Setelah Anda selesai menguji, sebaiknya hapus.
Untuk mengaktifkan alur implisit, ikuti langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
- Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
- Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
- Pilih pendaftaran aplikasi yang Anda buat.
- Di bagian Kelola, pilih Autentikasi.
- Di bagian Izin implisit dan alur hibrid, pilih kotak centang Token ID (digunakan untuk alur implisit dan hibrid).
- Pilih Simpan.
Daftarkan API Web Anda
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih + Pendaftaran baru.
Di halaman Daftarkan aplikasi yang muncul, masukkan informasi pendaftaran aplikasi Anda:
Di bagian Nama, masukkan nama aplikasi yang bermakna yang akan ditampilkan kepada pengguna aplikasi, misalnya ciam-ToDoList-api.
Di bawah Jenis akun yang didukung, pilih Hanya akun dalam direktori organisasi ini.
Pilih Daftar untuk membuat aplikasi.
Panel Gambaran Umum aplikasi ditampilkan saat pendaftaran selesai. Rekam ID Direktori (penyewa) dan ID Aplikasi (klien) yang akan digunakan dalam kode sumber aplikasi Anda.
Mengekspos izin
API perlu menerbitkan minimal satu cakupan, juga disebut Izin Yang Didelegasikan, agar aplikasi klien mendapatkan token akses bagi pengguna dengan sukses. Untuk menerbitkan cakupan, ikuti langkah-langkah berikut:
Dari halaman Pendaftaran aplikasi, pilih aplikasi API yang Anda buat (ciam-ToDoList-api) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Ekspos API.
Di bagian atas halaman, di samping URI ID Aplikasi, pilih tautan Tambahkan untuk menghasilkan URI yang unik untuk aplikasi ini.
Terima URI ID Aplikasi yang diusulkan seperti api://{clientId}, dan pilih Simpan. Saat aplikasi web Anda meminta token akses untuk API web, aplikasi web menambahkan URI sebagai awalan untuk setiap cakupan yang Anda tentukan untuk API.
Di bagian Cakupan yang ditentukan oleh API ini, pilih Tambahkan cakupan.
Masukkan nilai berikut yang menentukan akses baca ke API, lalu pilih Tambahkan cakupan untuk menyimpan perubahan Anda:
| Properti |
Nilai |
| Nama cakupan |
ToDoList.Read |
| Siapa yang dapat menyetujui |
Hanya Admin |
| Nama tampilan persetujuan admin |
Membaca daftar Pengguna ToDo menggunakan 'TodoListApi' |
| Deskripsi persetujuan admin |
Izinkan aplikasi membaca daftar ToDo pengguna menggunakan 'TodoListApi'. |
| Status |
Diaktifkan |
Pilih Tambahkan cakupan lagi, dan masukkan nilai berikut yang menentukan cakupan akses baca dan tulis ke API. Pilih Tambahkan cakupan untuk menyimpan perubahan Anda:
| Properti |
Nilai |
| Nama cakupan |
ToDoList.ReadWrite |
| Siapa yang dapat menyetujui |
Hanya Admin |
| Nama tampilan persetujuan admin |
Membaca dan menulis daftar ToDo pengguna menggunakan 'ToDoListApi' |
| Deskripsi persetujuan admin |
Izinkan aplikasi membaca dan menulis daftar ToDo pengguna menggunakan 'ToDoListApi' |
| Status |
Diaktifkan |
Di bawah Kelola, pilih Manifes untuk membuka editor manifes API.
Atur accessTokenAcceptedVersion properti ke 2.
Pilih Simpan.
Pelajari selengkapnya tentang prinsip hak istimewa paling sedikit saat menerbitkan izin untuk API web.
Menambahkan peran aplikasi
API perlu menerbitkan minimal satu peran aplikasi untuk aplikasi, juga disebut Izin Aplikasi, agar aplikasi klien mendapatkan token akses sebagai diri mereka sendiri. Izin aplikasi adalah jenis izin yang harus diterbitkan API ketika mereka ingin memungkinkan aplikasi klien berhasil mengautentikasi sebagai diri mereka sendiri dan tidak perlu memasukkan pengguna. Untuk menerbitkan izin aplikasi, ikuti langkah-langkah berikut:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-ToDoList-api) untuk membuka halaman Gambaran Umumnya.
Di bawah Kelola, pilih Peran aplikasi.
Pilih Buat peran aplikasi, lalu masukkan nilai berikut, lalu pilih Terapkan untuk menyimpan perubahan Anda:
| Properti |
Nilai |
| Nama tampilan |
ToDoList.Read.All |
| Jenis anggota yang diizinkan |
Aplikasi |
| Nilai |
ToDoList.Read.All |
| Deskripsi |
Izinkan aplikasi membaca daftar ToDo setiap pengguna menggunakan 'TodoListApi' |
Pilih Buat peran aplikasi lagi, lalu masukkan nilai berikut untuk peran aplikasi kedua, lalu pilih Terapkan untuk menyimpan perubahan Anda:
| Properti |
Nilai |
| Nama tampilan |
ToDoList.ReadWrite.All |
| Jenis anggota yang diizinkan |
Aplikasi |
| Nilai |
ToDoList.ReadWrite.All |
| Deskripsi |
Izinkan aplikasi membaca dan menulis daftar ToDo setiap pengguna menggunakan 'ToDoListApi' |
Mendaftarkan aplikasi Desktop atau Seluler Anda
Langkah-langkah berikut menunjukkan cara mendaftarkan aplikasi Anda di pusat admin Microsoft Entra:
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih + Pendaftaran baru.
Di halaman Daftarkan aplikasi yang muncul, masukkan informasi pendaftaran aplikasi Anda:
Di bagian Nama , masukkan nama aplikasi yang bermakna yang ditampilkan kepada pengguna aplikasi, misalnya ciam-client-app.
Di bawah Jenis akun yang didukung, pilih Hanya akun dalam direktori organisasi ini.
Di bawah URI Pengalihan (opsional), pilih opsi Aplikasi seluler dan desktop lalu, di kotak URL, masukkan URI dengan skema unik. Misalnya, URI pengalihan aplikasi desktop Electron terlihat mirip dengan http://localhost sementara UI Aplikasi Multi-platform .NET (MAUI) terlihat mirip msal{ClientId}://authdengan .
Pilih Daftarkan.
Panel Gambaran Umum aplikasi ditampilkan saat pendaftaran selesai. Rekam ID Direktori (penyewa) dan ID Aplikasi (klien) yang akan digunakan dalam kode sumber aplikasi Anda.
Memberikan izin admin
Setelah Anda mendaftarkan aplikasi, aplikasi akan diberi izin User.Read . Namun, karena penyewa adalah penyewa eksternal, pengguna pelanggan itu sendiri tidak dapat menyetujui izin ini. Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Izin API.
- Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
- Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk izin tersebut.
Memberikan izin API (opsional)
Jika aplikasi seluler Anda perlu memanggil API, Anda harus memberikan izin API aplikasi seluler Anda sehingga dapat memanggil API. Anda juga harus mendaftarkan API web yang perlu Anda panggil.
Untuk memberikan izin API aplikasi klien Anda (ciam-client-app), ikuti langkah-langkah berikut:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Izin API.
Di Izin yang dikonfigurasi, pilih Tambahkan izin.
Pilih tab API yang digunakan organisasi saya.
Dalam daftar API, pilih API seperti ciam-ToDoList-api.
Pilih opsi Izin yang didelegasikan.
Dari daftar izin, pilih ToDoList.Read, ToDoList.ReadWrite (gunakan kotak pencarian jika perlu).
Pilih tombol Tambahkan izin akses. Pada titik ini, Anda telah menetapkan izin dengan benar. Namun, karena penyewa adalah penyewa pelanggan, pengguna konsumen itu sendiri tidak dapat menyetujui izin ini. Untuk mengatasi masalah ini, Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk kedua cakupan.
Dari daftar Izin yang dikonfigurasi, pilih izin ToDoList.Read dan ToDoList.ReadWrite, satu per satu, lalu salin URI lengkap izin untuk digunakan nanti. URI izin lengkap terlihat mirip dengan api://{clientId}/{ToDoList.Read} atau api://{clientId}/{ToDoList.ReadWrite}.
Menguji alur pengguna (opsional)
Untuk menguji alur pengguna dengan pendaftaran aplikasi ini, aktifkan alur pemberian izin implisit untuk autentikasi.
Penting
Alur implisit harus digunakan hanya untuk tujuan pengujian dan bukan untuk mengautentikasi pengguna di aplikasi produksi Anda. Setelah Anda selesai menguji, sebaiknya hapus.
Untuk mengaktifkan alur implisit, ikuti langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
- Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
- Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
- Pilih pendaftaran aplikasi yang Anda buat.
- Di bagian Kelola, pilih Autentikasi.
- Di bagian Izin implisit dan alur hibrid, pilih kotak centang Token ID (digunakan untuk alur implisit dan hibrid).
- Pilih Simpan.
Daftarkan aplikasi Daemon Anda
Langkah-langkah berikut menunjukkan cara mendaftarkan aplikasi daemon Anda di pusat admin Microsoft Entra:
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih + Pendaftaran baru.
Di halaman Daftarkan aplikasi yang muncul, masukkan informasi pendaftaran aplikasi Anda:
Di bagian Nama , masukkan nama aplikasi yang bermakna yang akan ditampilkan kepada pengguna aplikasi, misalnya ciam-client-app.
Di bawah Jenis akun yang didukung, pilih Hanya akun dalam direktori organisasi ini.
Pilih Daftarkan.
Panel Gambaran Umum aplikasi ditampilkan saat pendaftaran selesai. Rekam ID Direktori (penyewa) dan ID Aplikasi (klien) yang akan digunakan dalam kode sumber aplikasi Anda.
Memberikan izin API
Aplikasi daemon masuk dengan sendirinya menggunakan alur kredensial klien OAuth 2.0. Anda memberikan izin aplikasi (peran aplikasi), yang diperlukan oleh aplikasi yang mengautentikasi sebagai dirinya sendiri. Anda juga harus mendaftarkan API web yang perlu dipanggil aplikasi daemon Anda.
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat, seperti ciam-client-app.
Di bagian Kelola, pilih Izin API.
Di Izin yang dikonfigurasi, pilih Tambahkan izin.
Pilih tab API yang digunakan organisasi saya.
Dalam daftar API, pilih API seperti ciam-ToDoList-api.
Pilih opsi Izin aplikasi . Kami memilih opsi ini sebagai aplikasi masuk sebagai dirinya sendiri, tetapi bukan atas nama pengguna.
Dari daftar izin, pilih TodoList.Read.All, ToDoList.ReadWrite.All (gunakan kotak pencarian jika perlu).
Pilih tombol Tambahkan izin akses.
Pada titik ini, Anda telah menetapkan izin dengan benar. Namun, karena aplikasi daemon tidak mengizinkan pengguna untuk berinteraksi dengannya, pengguna itu sendiri tidak dapat menyetujui izin ini. Untuk mengatasi masalah ini, Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
- Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
- Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk kedua izin.
Menguji alur pengguna (opsional)
Untuk menguji alur pengguna dengan pendaftaran aplikasi ini, aktifkan alur pemberian izin implisit untuk autentikasi.
Penting
Alur implisit harus digunakan hanya untuk tujuan pengujian dan bukan untuk mengautentikasi pengguna di aplikasi produksi Anda. Setelah Anda selesai menguji, sebaiknya hapus.
Untuk mengaktifkan alur implisit, ikuti langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
- Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
- Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
- Pilih pendaftaran aplikasi yang Anda buat.
- Di bagian Kelola, pilih Autentikasi.
- Di bagian Izin implisit dan alur hibrid, pilih kotak centang Token ID (digunakan untuk alur implisit dan hibrid).
- Pilih Simpan.
Mendaftarkan aplikasi Microsoft Graph API
Untuk mengaktifkan aplikasi Anda untuk memasukkan pengguna dengan Microsoft Entra, MICROSOFT Entra External ID harus mengetahui aplikasi yang Anda buat. Pendaftaran aplikasi membangun hubungan kepercayaan antara aplikasi dan Microsoft Entra. Saat Anda mendaftarkan aplikasi, ID Eksternal menghasilkan pengidentifikasi unik yang dikenal sebagai ID Aplikasi (klien), nilai yang digunakan untuk mengidentifikasi aplikasi Anda saat membuat permintaan autentikasi.
Langkah-langkah berikut menunjukkan cara mendaftarkan aplikasi Anda di pusat admin Microsoft Entra:
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih + Pendaftaran baru.
Di halaman Daftarkan aplikasi yang muncul;
- Masukkan Nama aplikasi yang bermakna yang ditampilkan kepada pengguna aplikasi, misalnya ciam-client-app.
- Di bawah Jenis akun yang didukung, pilih Hanya akun dalam direktori organisasi ini.
Pilih Daftarkan.
Panel Gambaran Umum aplikasi ditampilkan setelah pendaftaran berhasil. Rekam ID Aplikasi (klien) yang akan digunakan dalam kode sumber aplikasi Anda.
Memberikan Akses API ke aplikasi Anda
Agar aplikasi Anda mengakses data di Microsoft Graph API, berikan aplikasi terdaftar izin aplikasi yang relevan. Izin efektif aplikasi Anda adalah tingkat keistimewaan penuh yang tersirat oleh izin. Misalnya, untuk membuat, membaca, memperbarui, dan menghapus setiap pengguna di penyewa eksternal Anda, tambahkan izin User.ReadWrite.All.
Di bagian Kelola, pilih Izin API.
Di Izin yang dikonfigurasi, pilih Tambahkan izin.
Pilih tab API Microsoft, lalu pilih Microsoft Graph.
Pilih Izin aplikasi.
Perluas grup izin yang sesuai dan pilih kotak centang untuk memberikan izin kepada aplikasi manajemen Anda. Contohnya:
Pengguna>User.ReadWrite.All: Untuk migrasi pengguna atau skenario manajemen pengguna.
Grup>Group.ReadWrite.All: Untuk membuat grup, membaca dan memperbarui keanggotaan grup, dan menghapus grup.
AuditLog>AuditLog.Read.All: Untuk membaca log audit direktori.
Kebijakan>Policy.ReadWrite.TrustFramework: Untuk skenario integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD). Misalnya, penyebaran kebijakan kustom dengan Azure Pipelines.
Pilih Tambahkan izin. Sesuai petunjuk, tunggu beberapa menit sebelum melanjutkan ke langkah berikutnya.
Pilih Berikan persetujuan admin untuk (nama penyewa Anda).
Jika saat ini Anda tidak masuk, masuk dengan akun di penyewa eksternal Anda yang telah ditetapkan setidaknya peran Administrator Aplikasi Cloud lalu pilih Berikan persetujuan admin untuk (nama penyewa Anda).
Pilih Refresh, lalu verifikasi bahwa itu "Diberikan untuk ..." muncul di bagian Status. Penerapan izin mungkin memerlukan waktu beberapa menit.
Setelah mendaftarkan aplikasi, Anda perlu menambahkan rahasia klien ke aplikasi Anda. Rahasia klien ini akan digunakan untuk mengautentikasi aplikasi Anda untuk memanggil Microsoft Graph API.
Membuat rahasia klien
Buat rahasia klien untuk aplikasi terdaftar. Aplikasi ini menggunakan rahasia klien untuk membuktikan identitasnya ketika meminta token.
- Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
- Di bagian Kelola, pilih Sertifikat & rahasia.
- Pilih Rahasia klien baru.
- Dalam kotak Deskripsi , masukkan deskripsi untuk rahasia klien (misalnya, rahasia klien aplikasi ciam).
- Di bawah Kedaluwarsa, pilih durasi yang rahasianya valid (sesuai aturan keamanan organisasi Anda), lalu pilih Tambahkan.
- Catat Nilai rahasia. Anda akan menggunakan nilai ini untuk konfigurasi pada langkah selanjutnya. Nilai rahasia tidak akan ditampilkan lagi, dan tidak dapat diambil dengan cara apa pun, setelah Anda menavigasi jauh dari Sertifikat dan rahasia. Pastikan Anda merekamnya.
Menguji alur pengguna (opsional)
Untuk menguji alur pengguna dengan pendaftaran aplikasi ini, aktifkan alur pemberian izin implisit untuk autentikasi.
Penting
Alur implisit harus digunakan hanya untuk tujuan pengujian dan bukan untuk mengautentikasi pengguna di aplikasi produksi Anda. Setelah Anda selesai menguji, sebaiknya hapus.
Untuk mengaktifkan alur implisit, ikuti langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
- Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
- Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
- Pilih pendaftaran aplikasi yang Anda buat.
- Di bagian Kelola, pilih Autentikasi.
- Di bagian Izin implisit dan alur hibrid, pilih kotak centang Token ID (digunakan untuk alur implisit dan hibrid).
- Pilih Simpan.
Mendaftarkan aplikasi autentikasi asli
Untuk mengaktifkan aplikasi Anda untuk memasukkan pengguna dengan Microsoft Entra, MICROSOFT Entra External ID harus mengetahui aplikasi yang Anda buat. Pendaftaran aplikasi membangun hubungan kepercayaan antara aplikasi dan Microsoft Entra. Saat Anda mendaftarkan aplikasi, ID Eksternal menghasilkan pengidentifikasi unik yang dikenal sebagai ID Aplikasi (klien), nilai yang digunakan untuk mengidentifikasi aplikasi Anda saat membuat permintaan autentikasi.
Langkah-langkah berikut menunjukkan cara mendaftarkan aplikasi Anda di pusat admin Microsoft Entra:
Masuk ke pusat admin Microsoft Entra setidaknya sebagai Pengembang Aplikasi.
Jika Anda memiliki akses ke beberapa penyewa, gunakan ikon Pengaturan di menu atas untuk beralih ke penyewa eksternal Anda dari menu Direktori + langganan.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Pilih + Pendaftaran baru.
Di halaman Daftarkan aplikasi yang muncul;
- Masukkan Nama aplikasi yang bermakna yang ditampilkan kepada pengguna aplikasi, misalnya ciam-client-app.
- Di bawah Jenis akun yang didukung, pilih Hanya akun dalam direktori organisasi ini.
Pilih Daftarkan.
Panel Gambaran Umum aplikasi ditampilkan setelah pendaftaran berhasil. Rekam ID Aplikasi (klien) yang akan digunakan dalam kode sumber aplikasi Anda.
Memberikan izin admin
Setelah Anda mendaftarkan aplikasi, aplikasi akan diberi izin User.Read . Namun, karena penyewa adalah penyewa eksternal, pengguna pelanggan itu sendiri tidak dapat menyetujui izin ini. Anda sebagai admin harus menyetujui izin ini atas nama semua pengguna di penyewa:
Dari halaman Pendaftaran aplikasi, pilih aplikasi yang Anda buat (seperti ciam-client-app) untuk membuka halaman Gambaran Umumnya.
Di bagian Kelola, pilih Izin API.
- Pilih Berikan persetujuan admin untuk <nama> penyewa Anda, lalu pilih Ya.
- Pilih Refresh, lalu verifikasi bahwa Diberikan untuk <nama> penyewa Anda muncul di bawah Status untuk izin tersebut.
Mengaktifkan klien publik dan alur autentikasi asli
Untuk menentukan bahwa aplikasi ini adalah klien publik dan dapat menggunakan autentikasi asli, aktifkan klien publik dan alur autentikasi asli:
- Dari halaman pendaftaran aplikasi, pilih pendaftaran aplikasi yang ingin Anda aktifkan klien publik dan alur autentikasi asli.
- Di bagian Kelola, pilih Autentikasi.
- Di bawah Pengaturan tingkat lanjut, izinkan alur klien publik:
- Untuk Mengaktifkan alur seluler dan desktop berikut, pilih Ya.
- Untuk Aktifkan autentikasi asli, pilih Ya.
- Pilih tombol Simpan .
Setelah mendaftarkan aplikasi baru, Anda dapat menemukan ID Aplikasi (klien) dari gambaran umum di pusat admin Microsoft Entra.
Penyewa Tenaga Kerja Penyewa 
eksternal (pelajari lebih lanjut)
