Daftarkan aplikasi

  • 12 menit

Mendaftarkan aplikasi Anda membangun hubungan kepercayaan antara aplikasi Anda dan platform identitas Microsoft. Kepercayaan ini bersifat satu arah: Aplikasi Anda mempercayai platform identitas Microsoft-- dan bukan sebaliknya.

  1. Masuk ke pusat admin Microsoft Entra menggunakan akun Administrator.

  2. Buka menu portal lalu pilih Identitas.

  3. Pada menu Identitas, di bawah Aplikasi, pilih Pendaftaran aplikasi.

  4. Pada halaman Pendaftaran aplikasi, pada menu, pilih + Pendaftaran baru.

  5. Pada dialog daftarkan aplikasi, daftarkan aplikasi bernama aplikasi Demo menggunakan nilai default. Anda tidak perlu memasukkan URI pengalihan.

    Cuplikan layar yang menampilkan Daftarkan aplikasi dengan judul dan pengaturan default.

  6. Setelah selesai, Anda akan diarahkan ke panel aplikasi Demo.

Menambahkan URI pengalihan

URI pengalihan adalah lokasi di mana platform identitas Microsoft mengalihkan klien pengguna dan mengirim token keamanan setelah autentikasi. Dalam aplikasi web produksi, misalnya, URI pengalihan sering kali merupakan titik akhir publik tempat aplikasi Anda berjalan. Selama pengembangan, merupakan hal biasa untuk menambahkan titik akhir tempat Anda menjalankan aplikasi secara lokal.

Tambahkan dan ubah URI pengalihan untuk aplikasi terdaftar Anda dengan mengonfigurasi pengaturan platformnya.

Mengonfigurasi pengaturan platform

Pengaturan untuk setiap jenis aplikasi, termasuk URI pengalihan, dikonfigurasi di dalam konfigurasi Platform di portal Microsoft Azure. Beberapa platform, seperti aplikasi Web dan Satu halaman, mengharuskan Anda menentukan URI pengalihan secara manual. Untuk platform lain, seperti seluler dan desktop, Anda dapat memilih dari URI pengalihan yang dibuat untuk Anda saat mengonfigurasi pengaturan lainnya.

Untuk mengonfigurasi pengaturan aplikasi berdasarkan platform atau perangkat yang Anda targetkan:

  1. Pilih aplikasi Anda di Pendaftaran aplikasi di portal Microsoft Azure.

  2. Di bagian Kelola, pilih Autentikasi.

  3. Di bagian Konfigurasi platform, pilih Tambahkan platform.

  4. Di Mengonfigurasi platform, pilih petak untuk jenis aplikasi (platform) Anda untuk mengonfigurasi pengaturannya.

    Cuplikan layar panel konfigurasi Platform di pusat admin Microsoft Entra.

    Platform Pengaturan konfigurasi
    Web Masukkan URI Pengalihan untuk aplikasi Anda, tempat platform identitas Microsoft mengalihkan klien pengguna dan mengirimkan token keamanan setelah autentikasi. Pilih platform ini untuk aplikasi web standar yang berjalan di server.
    Aplikasi satu halaman Masukkan URI Pengalihan untuk aplikasi Anda, tempat platform identitas Microsoft mengalihkan klien pengguna dan mengirimkan token keamanan setelah autentikasi. Pilih platform ini jika Anda membangun aplikasi web dari sisi klien di JavaScript atau dengan kerangka kerja seperti Angular, Vue.js, React.js, atau Blazor WebAssembly.
    iOS/macOS Masukkan ID Bundel aplikasi, yang dapat ditemukan di XCode di Info.plist atau Pengaturan Build. URI pengalihan dibuat untuk Anda saat Anda menentukan ID Bundel.
    Android Masukkan Nama paket aplikasi, yang dapat Anda temukan di file AndroidManifest.xml, lalu buat dan masukkan Hash tanda tangan. URI pengalihan dibuat untuk Anda saat Anda menentukan pengaturan ini.
    Aplikasi seluler dan desktop Pilih salah satu URI pengalihan yang Disarankan atau tentukan URI pengalihan Kustom. Untuk aplikasi desktop, kami menyarankan:https://login.microsoftonline.com/common/oauth2/nativeclient Pilih platform ini untuk aplikasi seluler yang tidak menggunakan Microsoft Authentication Library (MSAL) atau pun broker. Pilih juga platform ini untuk aplikasi desktop.

  5. Pilih Konfigurasikan untuk menyelesaikan konfigurasi platform.

Menambahkan info masuk

Kredensial digunakan oleh aplikasi klien rahasia yang mengakses API web. Contoh klien rahasia adalah aplikasi web, API web lainnya, atau aplikasi jenis layanan dan tipe daemon. Kredensial memungkinkan aplikasi Anda untuk mengautentikasi sebagai dirinya sendiri, tidak memerlukan interaksi dari pengguna saat runtime.

Anda dapat menambahkan sertifikat dan rahasia klien (string) sebagai kredensial ke pendaftaran aplikasi klien rahasia Anda.

Cuplikan layar portal Azure yang menampilkan panel Sertifikat dan rahasia dalam pendaftaran aplikasi.

Tambahkan sertifikat

Terkadang disebut kunci publik, sertifikat adalah jenis info masuk yang disarankan, karena memberikan tingkat jaminan yang lebih tinggi daripada rahasia klien. Saat menggunakan sertifikat publik tepercaya, Anda bisa menambahkan sertifikat menggunakan fitur Sertifikat & rahasia. Sertifikat Anda harus merupakan salah satu dari jenis berikut: .cer, .pem, .crt.

Menambahkan rahasia klien

Rahasia klien, juga dikenal sebagai kata sandi aplikasi, adalah nilai string yang dapat digunakan aplikasi Anda sebagai tempat sertifikat untuk identitas itu sendiri. Hal ini lebih mudah dari dua jenis info masuk untuk digunakan. Hal ini sering digunakan selama pengembangan, tetapi dianggap kurang aman daripada sertifikat. Anda harus menggunakan sertifikat dalam aplikasi yang berjalan dalam produksi.

  1. Pilih aplikasi Anda di Pendaftaran aplikasi di portal Microsoft Azure.
  2. Pilih Sertifikat dan rahasia, lalu pilih Rahasia klien baru.
  3. Tambahkan deskripsi untuk rahasia klien Anda.
  4. Pilih durasi.
  5. Pilih Tambahkan.
  6. Catat nilai rahasia untuk digunakan dalam kode aplikasi klien Anda; Ini tidak pernah ditampilkan lagi setelah Anda meninggalkan halaman ini.

Mendaftarkan API web

Untuk menyediakan akses tercakup ke sumber daya di API web Anda, pertama-tama Anda harus mendaftarkan API dengan platform identitas Microsoft.

  1. Lakukan langkah-langkah di atas.
  2. Lewati bagian Tambahkan URI pengalihan dan Konfigurasikan pengaturan platform. Anda tidak perlu mengonfigurasi URI pengalihan untuk API web karena tidak ada pengguna yang masuk secara interaktif.
  3. Lewati bagian Tambahkan kredensial untuk saat ini. Hanya jika API Anda mengakses API hilir, API akan memerlukan info masuknya sendiri-- sebuah skenario yang tidak tercakup dalam artikel ini.

Dengan API web yang terdaftar, Anda siap menambahkan cakupan yang dapat digunakan kode API untuk memberikan izin terperinci kepada konsumen API Anda.

Menambahkan cakupan

Kode dalam aplikasi klien meminta izin untuk melakukan operasi yang ditentukan oleh API web Anda dengan meneruskan token akses bersama dengan permintaannya ke sumber daya yang dilindungi (API web). API web Anda kemudian melakukan operasi yang diminta hanya jika token akses yang diterimanya berisi cakupan (juga dikenal sebagai izin aplikasi) yang diperlukan untuk operasi tersebut.

Pertama, ikuti langkah-langkah ini untuk membuat contoh cakupan bernama Employees.Read.All:

  1. Masuk ke portal Azure.

  2. Jika Anda memiliki akses ke beberapa penyewa, gunakan filter Direktori + langganan di menu atas untuk memilih penyewa yang berisi pendaftaran aplikasi klien Anda.

  3. Pilih ID Microsoft Entra, lalu Pendaftaran aplikasi, lalu pilih pendaftaran aplikasi API Anda.

  4. Pilih Perlihatkan API, lalu Tambahkan cakupan.

    Cuplikan layar panel Ekspos API pendaftaran aplikasi di pusat admin Microsoft Entra.

  5. Anda diminta untuk mengatur URI ID Aplikasi jika Anda belum mengonfigurasinya. App ID URI bertindak sebagai awalan untuk cakupan yang akan Anda referensikan dalam kode API Anda, dan itu harus unik secara global. Anda dapat menggunakan nilai default yang tersedia dalam bentuk api://, atau menentukan URI yang lebih mudah dibaca seperti https://contoso.com/api.

  6. Berikutnya, tentukan atribut cakupan di panel Tambahkan cakupan. Untuk walk-through ini, Anda dapat menggunakan nilai contoh atau menentukan nilai Anda sendiri.

    Bidang Deskripsi Contoh
    Nama cakupan Nama cakupan anda. Konvensi penamaan cakupan umum adalah resource.operation.constraint. Employees.Read.All
    Siapa yang dapat menyetujui Admin akan menentukan apakah cakupan ini dapat disetujui oleh pengguna atau memerlukan persetujuan admin. Pilih Hanya Admin untuk izin dengan hak istimewa yang lebih tinggi. Admin dan pengguna
    Nama tampilan persetujuan admin Deskripsi singkat tentang tujuan cakupan yang hanya akan dilihat oleh admin. Akses baca-saja ke rekaman karyawan
    Deskripsi persetujuan admin Deskripsi lebih rinci tentang izin yang diberikan oleh cakupan yang hanya akan dilihat oleh admin. Izinkan aplikasi memiliki akses baca-saja ke semua data karyawan.
    Nama tampilan persetujuan pengguna Deskripsi singkat tentang tujuan cakupan. Akan diperlihatkan pada pengguna hanya jika Anda telah mengatur Yang dapat menyetujui ke Admin atau pengguna. Akses baca-saja ke rekaman karyawan Anda
    Deskripsi persetujuan pengguna Deskripsi yang lebih rinci tentang izin yang diberikan oleh cakupan. Akan diperlihatkan pada pengguna hanya jika Anda telah mengatur Yang dapat menyetujui ke Admin atau pengguna. Izinkan aplikasi memiliki akses baca-saja ke semua data karyawan Anda.

  7. Atur Status ke Aktifkan, lalu pilih Tambahkan cakupan.

  8. (Opsional) Untuk menekan permintaan persetujuan oleh pengguna aplikasi Anda ke cakupan yang telah Anda tentukan, Anda dapat melakukan pra-otorisasi aplikasi klien untuk mengakses API web Anda. Pra-otorisasi hanya aplikasi klien yang Anda percayai karena pengguna Anda tidak akan memiliki kesempatan untuk menolak persetujuan.

    1. Di bagian Aplikasi klien yang diotorisasi, pilih Tambahkan aplikasi klien.
    2. Masukkan ID Aplikasi (klien) dari aplikasi klien yang ingin Anda pra-otorisasi. Misalnya, aplikasi web yang sebelumnya telah Anda daftarkan.
    3. Di bawah Cakupan yang diotorisasi, pilih cakupan yang ingin Anda tekan permintaan persetujuannya, lalu pilih Tambahkan aplikasi.
    4. Jika Anda mengikuti langkah opsional ini, aplikasi klien sekarang menjadi aplikasi klien pra-otorisasi (PCA), dan pengguna tidak akan dimintai persetujuan mereka saat masuk ke aplikasi tersebut.

Selanjutnya, tambahkan contoh cakupan lain yang bernama Employees.Write.All yang hanya dapat disetujui oleh admin. Cakupan yang memerlukan persetujuan admin biasanya digunakan untuk menyediakan akses ke operasi dengan hak istimewa yang lebih tinggi, sering kali oleh aplikasi klien yang berjalan sebagai layanan backend atau daemon yang tidak membuat pengguna masuk secara interaktif.

Untuk menambahkan cakupan contoh Employees.Write.All, ikuti langkah-langkah di atas dan tentukan nilai-nilai ini di panel Tambahkan cakupan:

Bidang Contoh nilai
Nama cakupan Employees.Write.All
Siapa yang dapat menyetujui Hanya admin
Nama tampilan persetujuan admin Akses tulis ke rekaman karyawan
Deskripsi persetujuan admin Izinkan aplikasi memiliki akses tulis ke semua data karyawan.
Nama tampilan persetujuan pengguna Tidak ada (biarkan kosong)
Deskripsi persetujuan pengguna Tidak ada (biarkan kosong)

Memverifikasi cakupan yang diekspos

Jika Anda berhasil menambahkan kedua contoh cakupan yang dijelaskan di bagian sebelumnya, cakupan tersebut akan muncul di panel Expose an API pada registrasi aplikasi web API Anda, mirip dengan gambar ini:

Cuplikan layar Buka panel API yang menampilkan dua lingkup terbuka untuk penetapan dalam pendaftaran aplikasi.

Seperti yang ditunjukkan pada gambar, string lengkap cakupan adalah penggabungan URI ID Aplikasi API web Anda dan cakupan nama cakupan.

Misalnya, jika URI ID aplikasi API web Anda adalah https://contoso.com/api dan nama cakupannya adalah Employee.Read.All, cakupan lengkapnya adalah:

https://contoso.com/api/Employees.Read.All

Menggunakan cakupan yang diekspos

Selanjutnya Anda akan mengonfigurasi pendaftaran aplikasi klien dengan akses ke API web dan cakupan yang Anda tentukan dengan mengikuti langkah-langkah di atas.

Setelah pendaftaran aplikasi klien diberikan izin untuk mengakses API web Anda, klien dapat diberikan token akses OAuth 2.0 oleh platform identitas Microsoft. Saat klien memanggil web API, itu menyajikan token akses yang klaim cakupannya (scp) diatur ke izin yang telah Anda tentukan dalam pendaftaran aplikasi klien.

Anda dapat mengekspos cakupan tambahan nanti jika diperlukan. Pertimbangkan bahwa API web Anda dapat mengekspos beberapa cakupan yang terkait dengan beberapa operasi. Sumber daya Anda dapat mengontrol akses ke API web pada waktu proses dengan mengevaluasi klaim cakupan (scp) dalam token akses OAuth 2.0 yang diterimanya.

Apa yang terjadi di belakang layar

  • Pendaftaran aplikasi dibuat di penyewa rumah
  • Aplikasi ini dibuat dengan prinsip keamanan di ID Microsoft Entra
  • Prinsip keamanan diberikan persetujuan oleh pengguna atau admin pertama, berdasarkan penyiapan API yang diekspos
  • Prinsip keamanan diberikan token keamanan saat pengguna mengakses aplikasi dan menggunakan API