Bagikan melalui

Mengonfigurasi aplikasi OpenID Koneksi OAuth dari galeri aplikasi Microsoft Entra

  • Artikel

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise.

    Bilah aplikasi Perusahaan

  3. Pilih Aplikasi baru di bagian atas kotak dialog.

    Tombol Aplikasi baru

  4. Dalam kotak pencarian, ketik nama aplikasi. Pilih aplikasi yang diinginkan dari panel hasil, dan daftar ke aplikasi.

    Openid dalam daftar hasil

  5. Di halaman nama Aplikasi, klik tombol Daftar.

    Menambahkan tombol

    Catatan

    Di sini admin penyewa harus memilih tombol pendaftaran dan memberikan persetujuan untuk aplikasi. Aplikasi kemudian ditambahkan ke penyewa eksternal, tempat Anda dapat melakukan konfigurasi. Tidak perlu menambahkan aplikasi secara eksplisit.

  6. Anda dialihkan ke halaman Login Aplikasi atau halaman ID Microsoft Entra untuk kredensial masuk.

  7. Setelah autentikasi berhasil, Anda menerima persetujuan dari halaman persetujuan. Lalu halaman beranda aplikasi muncul.

    Catatan

    Anda hanya dapat menambahkan satu instans aplikasi. Jika Anda telah menambahkan satu dan mencoba memberikan persetujuan lagi, itu tidak akan ditambahkan lagi di penyewa. Jadi secara logika, Anda hanya dapat menggunakan satu instans aplikasi di penyewa.

  8. Ikuti video di bawah ini untuk menambahkan aplikasi OpenID dari galeri.

Alur autentikasi menggunakan OpenID Connect

Alur masuk paling mendasar berisi langkah-langkah berikut:

Alur autentikasi menggunakan OpenID Connect

Aplikasi multitenan

Aplikasi multitenan ditujukan untuk digunakan di banyak organisasi, bukan hanya satu organisasi. Ini biasanya merupakan aplikasi software-as-a-service (SaaS) yang ditulis oleh vendor perangkat lunak independen (ISV).

Aplikasi multitenan perlu disediakan di setiap direktori tempat aplikasi tersebut akan digunakan. Aplikasi multitenan memerlukan persetujuan pengguna atau admin untuk mendaftarkannya. Proses persetujuan ini dimulai ketika aplikasi telah terdaftar di direktori dan diberikan akses ke API Graph atau mungkin API web lain. Saat pengguna atau admin dari organisasi lain mendaftar untuk menggunakan aplikasi, kotak dialog menampilkan izin yang dibutuhkan aplikasi.

Pengguna atau admin kemudian dapat menyetujui aplikasi. Persetujuan memberikan akses aplikasi ke data yang disebutkan, dan akhirnya mendaftarkan aplikasi di direktori.

Catatan

Jika Anda membuat aplikasi tersedia untuk pengguna di beberapa direktori, Anda memerlukan mekanisme untuk menentukan penyewa tempat mereka berada. Aplikasi penyewa tunggal hanya perlu mencari direktorinya sendiri untuk pengguna. Aplikasi multipenyewa perlu mengidentifikasi pengguna tertentu dari semua direktori di ID Microsoft Entra.

Untuk menyelesaikan tugas ini, MICROSOFT Entra ID menyediakan titik akhir autentikasi umum di mana aplikasi multipenyewa dapat mengarahkan permintaan masuk, bukan titik akhir khusus penyewa. Titik akhir ini untuk https://login.microsoftonline.com/common semua direktori di MICROSOFT Entra ID. Titik akhir khusus penyewa mungkin https://login.microsoftonline.com/contoso.onmicrosoft.com.

Titik akhir umum penting untuk dipertimbangkan ketika Anda mengembangkan aplikasi Anda. Anda memerlukan logika yang diperlukan untuk menangani beberapa penyewa selama masuk, keluar, dan validasi token.

Secara default, MICROSOFT Entra ID mempromosikan aplikasi multipenyewa. Aplikasi multitenan mudah diakses di seluruh organisasi, dan mudah digunakan setelah Anda menerima persetujuan.

Anda dapat menggunakan kerangka kerja persetujuan Microsoft Entra untuk mengembangkan aplikasi web multipenyewa dan klien asli. Aplikasi ini memungkinkan masuk oleh akun pengguna dari penyewa Microsoft Entra, berbeda dari aplikasi tempat aplikasi terdaftar. Mereka mungkin juga perlu mengakses API web seperti:

  • Microsoft Graph API, untuk mengakses MICROSOFT Entra ID, Intune, dan layanan di Microsoft 365.
  • API layanan Microsoft lainnya.
  • API web Anda sendiri.

Kerangka kerja didasarkan pada pengguna atau admin yang memberikan persetujuan untuk aplikasi yang meminta untuk terdaftar di direktori mereka. Pendaftaran dapat melibatkan akses data direktori. Setelah persetujuan diberikan, aplikasi klien dapat memanggil API Microsoft Graph atas nama pengguna, dan menggunakan informasi sesuai kebutuhan.

API Microsoft Graph memberikan akses ke data di Microsoft 365, seperti:

  • Kalender dan pesan dari Exchange.
  • Situs dan daftar dari SharePoint.
  • Dokumen dari OneDrive.
  • Notebooks dari OneNote.
  • Tugas dari Planner.
  • Buku kerja dari Excel.

Graph API juga menyediakan akses ke pengguna dan grup dari ID Microsoft Entra dan objek data lainnya dari lebih banyak layanan cloud Microsoft.

Langkah-langkah berikut menunjukkan kepada Anda cara kerja pengalaman persetujuan untuk pengembang dan pengguna aplikasi:

  1. Misalnya Anda memiliki aplikasi klien web yang perlu meminta izin khusus untuk mengakses sumber daya atau API. Portal Microsoft Azure digunakan untuk mendeklarasikan permintaan izin pada waktu konfigurasi. Seperti pengaturan konfigurasi lainnya, pengaturan tersebut menjadi bagian dari pendaftaran Microsoft Entra aplikasi. Untuk jalur permintaan Izin, Anda memerlukan langkah-langkah berikut:

    a. Klik pada Pendaftaran aplikasi dari sisi kiri menu dan buka aplikasi Anda dengan mengetikkan nama aplikasi di kotak pencarian.

    Cuplikan layar yang memperlihatkan

    b. Klik Lihat Izin API.

    Cuplikan layar yang memperlihatkan halaman

    c. Klik Tambahkan izin.

    Cuplikan layar yang memperlihatkan bagian

    d. Klik Microsoft Graph.

    Cuplikan layar yang memperlihatkan halaman

    e. Pilih opsi yang diperlukan dari Izin yang Didelegasikan dan Izin Aplikasi.

    Graph API

  2. Pertimbangkan bahwa izin aplikasi Anda telah diperbarui. Aplikasi sedang berjalan, dan pengguna akan menggunakannya untuk pertama kalinya. Pertama, aplikasi perlu mendapatkan kode otorisasi dari titik akhir ID /otorisasi Microsoft Entra. Kode otorisasi lalu dapat digunakan untuk memperoleh akses baru dan toke refresh.

  3. Jika pengguna belum diautentikasi, ID Microsoft Entra /otorisasi titik akhir meminta masuk.

    Cuplikan layar perintah masuk untuk akun

  4. Setelah pengguna masuk, ID Microsoft Entra menentukan apakah pengguna perlu ditampilkan halaman persetujuan. Penetapan ini didasarkan pada apakah pengguna (atau admin organisasi mereka) telah memberikan persetujuan aplikasi.

    Jika persetujuan belum diberikan, Microsoft Entra meminta persetujuan kepada pengguna dan menampilkan izin yang diperlukan yang perlu difungsikan. Izin yang ditampilkan dalam kotak dialog persetujuan cocok dengan izin yang dipilih dalam izin yang didelegasikan.

    Halaman persetujuan

Pengguna reguler dapat menyetujui beberapa izin. Izin lain memerlukan persetujuan admin penyewa.

Sebagai admin, Anda juga dapat menyetujui izin yang didelegasikan aplikasi atas nama semua pengguna di penyewa Anda. Persetujuan administratif mencegah kotak dialog persetujuan muncul untuk setiap pengguna pada penyewa. Pengguna yang memiliki peran administrator dapat memberikan persetujuan. Dari halaman Pengaturan untuk aplikasi Anda, pilih Izin yang Diperlukan>Berikan persetujuan admin.

Tombol Berikan Izin

Catatan

Memberikan persetujuan eksplisit dengan menggunakan tombol Berikan persetujuan admin sekarang diperlukan untuk aplikasi satu halaman (SPA) yang menggunakan MSAL.js. Jika tidak, aplikasi gagal ketika token akses diminta.

Izin khusus aplikasi selalu memerlukan persetujuan admin penyewa. Jika aplikasi Anda meminta izin khusus aplikasi dan pengguna mencoba masuk ke aplikasi, pesan kesalahan akan muncul. Pesan mengatakan bahwa pengguna tidak dapat menyetujui.

Jika aplikasi Anda menggunakan izin yang memerlukan persetujuan admin, Anda perlu memiliki langkah seperti tombol atau tautan di mana admin dapat memulai tindakan. Permintaan yang dikirim aplikasi Anda untuk tindakan ini adalah permintaan otorisasi OAuth2/OpenID Connect yang biasa. Permintaan ini mencakup parameter untai (karakter) permintaan prompt=admin_consent.

Setelah admin menyetujui dan perwakilan layanan dibuat di penyewa pelanggan, permintaan masuk kemudian tidak memerlukan parameter prompt=admin_consent. Karena admin telah memutuskan bahwa izin yang diminta dapat diterima, tidak ada pengguna lain di penyewa yang dimintai persetujuan dari titik tersebut ke depannya.

Administrator penyewa dapat menonaktifkan kemampuan pengguna biasa untuk menyetujui aplikasi. Jika kemampuan ini dinonaktifkan, persetujuan admin selalu diperlukan agar aplikasi dapat digunakan di penyewa. Jika Anda ingin menguji aplikasi Anda dengan persetujuan pengguna akhir dinonaktifkan, Anda dapat menemukan pengalih konfigurasi di portal Microsoft Azure. Pengalih konfigurasi ada di bagian Pengaturan pengguna pada aplikasi Enterprise.

Parameter prompt=admin_consent juga dapat digunakan oleh aplikasi yang meminta izin yang tidak memerlukan persetujuan admin. Contohnya adalah aplikasi yang memerlukan pengalaman di mana admin penyewa "mendaftar" satu kali, dan tidak ada pengguna lain yang dimintai persetujuan sejak saat itu.

Bayangkan bahwa aplikasi memerlukan persetujuan admin, dan admin masuk tanpa parameter prompt=admin_consent dikirim. Ketika admin berhasil menyetujui aplikasi, itu hanya berlaku untuk akun pengguna mereka. Pengguna reguler masih tidak akan dapat masuk atau menyetujui aplikasi. Fitur ini berguna jika Anda ingin memberikan kemampuan kepada admin penyewa untuk menjelajahi aplikasi Anda sebelum mengizinkan akses pengguna lain.

Langkah berikutnya

Menyiapkan akses menyeluruh (SSO) berbasis OIDC untuk aplikasi di penyewa Microsoft Entra Anda