Новый интерфейс регистрации приложений для Azure Active Directory B2C
Новый интерфейс Регистрация приложений для Azure Active Directory B2C (Azure AD B2C) стал общедоступным. Если вам больше привычен интерфейс Приложения для регистрации приложений для Azure AD B2C, который здесь называется «устаревшим», это руководство поможет вам приступить к работе с новым интерфейсом.
Обзор
Раньше вам приходилось управлять приложениями Azure AD B2C для взаимодействия с потребителями отдельно от остальных приложений, используя устаревший интерфейс. Это приводило к наличию разных интерфейсов создания приложений в разных частях Azure.
В новом интерфейсе показаны все регистрации приложений Azure AD B2C и регистрация приложений Microsoft Entra в одном месте и обеспечивает согласованный способ управления ими. Освоив этот интерфейс, вы сможете выполнять целый ряд задач, от создания приложений для взаимодействия с пользователями до управления приложениями с помощью разрешений Microsoft Graph для управления ресурсами.
Вы можете получить доступ к новому интерфейсу, перейдя к Регистрация приложений в клиенте Azure AD B2C из azure AD B2C или служб идентификатора Microsoft Entra в портал Azure.
Интерфейс Регистрация приложений Azure AD B2C основан на общем интерфейсе регистрации приложений для любого клиента Microsoft Entra, но предназначен для клиентов Azure AD B2C.
Что осталось прежним?
- Приложения и соответствующие конфигурации в новом интерфейсе не изменились. Вам не нужно заново регистрировать приложения, а пользователям приложений не потребуется повторно входить в систему.
Примечание.
Чтобы просмотреть все ранее созданные приложения, перейдите в колонку Регистрация приложений и перейдите на вкладку "Все приложения". При этом будут отображаться приложения, созданные в устаревшем интерфейсе, новом интерфейсе и созданных в службе Microsoft Entra.
Основные новые функции
В едином списке приложений отображаются все приложения, прошедшие проверку подлинности с помощью Azure AD B2C и идентификатора Microsoft Entra в одном удобном месте. Кроме того, вы можете воспользоваться функциями, уже доступными для приложений Microsoft Entra, включая созданные на дату, состояние сертификатов и секретов, панель поиска и многое другое.
Объединенная регистрация приложений позволяет быстро зарегистрировать приложение независимо от его типа: для работы с клиентами или для доступа к Microsoft Graph.
Панель Конечные точки позволяет быстро находить соответствующие конечные точки для вашего сценария, включая конфигурацию OpenID Connect, метаданные SAML, API Microsoft Graph и конечные точки потока пользователей OAuth 2.0.
Функции Разрешения API и Предоставление API обеспечивают расширенные средства управления областями, разрешениями и согласиями. Теперь для приложения можно также назначать разрешения MS Graph.
Владельцы и Манифест теперь доступны для приложений, которые проходят проверку подлинности с помощью Azure AD B2C. Вы можете добавлять владельцев для регистраций и напрямую изменять свойства приложения с помощью редактора манифестов.
Новые поддерживаемые типы учетных записей
В новом интерфейсе можно выбрать один из следующих вариантов типа поддерживаемой учетной записи:
- Учетные записи только в данном каталоге организации
- Учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Multitenant)
- Учетные записи в любом поставщике удостоверений или каталоге организации (для проверки подлинности пользователей с помощью потоков пользователей)
Чтобы разобраться в различных типах учетных записей, щелкните Помогите мне выбрать в интерфейсе создания.
В устаревшем интерфейсе приложения всегда создавались как приложения для взаимодействия с клиентами. Для типа учетной записи таких приложений устанавливается значение Учетные записи в любом поставщике удостоверений или каталоге организации (для проверки подлинности пользователей с помощью потоков пользователей).
Примечание.
Этот параметр необходим для запуска потока пользователей Azure AD B2C, чтобы проверить подлинность пользователей этого приложения. Узнайте, как зарегистрировать приложение для использования с потоками пользователей.
Этот вариант также подходит, если вы хотите использовать Azure AD B2C в качестве поставщика служб SAML. Подробнее.
Приложения для сценариев DevOps
С помощью учетных записей других типов можно создать приложение для управления сценариями DevOps, например, чтобы использовать Microsoft Graph для передачи политик Identity Experience Framework или подготовки пользователей. Узнайте, как зарегистрировать приложение Microsoft Graph для управления ресурсами Azure AD B2C.
Вы можете видеть не все разрешения Microsoft Graph, так как многие из них не применяются к пользователям-потребителям Azure B2C. Подробнее об управлении пользователями с помощью Microsoft Graph.
Согласие администратора и области offline_access и openid
Область openid необходима, чтобы пользователи могли входить в приложение с помощью службы Azure AD B2C. Область offline_access требуется, чтобы выпускать маркеры обновления для пользователя. Эти области были добавлены ранее и по умолчанию получили согласие администратора. Теперь можно легко добавить разрешения для этих областей в процессе создания. Для этого необходимо выбрать параметр Предоставлять согласие администратора для разрешений openid и offline_access. Кроме того, разрешения Microsoft Graph можно добавить с помощью согласия администратора в параметрах разрешений API для существующего приложения.
Подробнее о разрешениях и согласии.
Платформы и аутентификация: URL-адреса ответа и URI-адреса перенаправления
В устаревшем интерфейсе для управления различными типами платформ использовались Свойства в качестве URL-адресов ответа для веб-приложений и API и URI-адресов перенаправления для собственных клиентов. "Собственные клиенты" также называются "общедоступными клиентами" и включают приложения для iOS, macOS, Android и другие типы мобильных и классических приложений.
В новом интерфейсе и URL-адреса ответа, и URI-адреса перенаправления называются URI-адресами перенаправления, которые можно найти в разделе Проверка подлинности приложения. Регистрировать можно не только веб-приложения или собственное приложение. Вы можете использовать одну регистрацию приложения для всех этих типов платформ, зарегистрировав соответствующие URI-адреса перенаправления.
URI-адреса перенаправления должны быть связаны с типом приложения — веб-приложение или общедоступное приложение (мобильное и классическое). Подробнее о URI-адресах перенаправления
Платформы iOS/macOS и Android представляют собой тип общедоступного клиента. Они обеспечивают простой способ настройки приложений iOS/macOS или Android с помощью соответствующих URI-адресов перенаправления для использования с MSAL. Подробнее о вариантах конфигурации приложений.
Сертификаты и секреты приложений
В новом интерфейсе вместо ключейдля управления сертификатами и секретами используется колонка Сертификаты и секреты. Сертификаты и секреты позволяют приложениям идентифицировать себя в службе проверки подлинности при получении маркеров в расположении с веб-адресом (с использованием схемы HTTPS). Рекомендуется использовать сертификат вместо секрета клиента для сценариев учетных данных клиента при проверке подлинности в идентификаторе Microsoft Entra. Сертификаты нельзя использовать для проверки подлинности в Azure AD B2C.
Функции, неприменимые в клиентах Azure AD B2C
Следующие возможности регистрации приложений Microsoft Entra неприменимы к клиентам Azure AD B2C.
- Роли и администраторы. В настоящее время недоступно для Azure AD B2C.
- Фирменная символика. Конфигурация пользовательского интерфейса и взаимодействия с пользователем настраивается в интерфейсе Фирменная символика компании или в рамках потока пользователя. Узнайте, как настроить пользовательский интерфейс в Azure Active Directory B2C.
- Проверка домена издателя. Ваше приложение регистрируется в домене .onmicrosoft.com, которое не является проверенным доменом. Кроме того, домен издателя в основном используется для предоставления согласия пользователя, которое не применяется к приложениям Azure AD B2C для проверки подлинности пользователей. Подробнее о домене издателя.
- Конфигурация маркера. Маркер настраивается как часть потока пользователя, а не для приложения.
- В настоящее время краткие руководства недоступны для клиентов Azure AD B2C.
Ограничения
Новый интерфейс имеет следующие ограничения:
- В настоящее время Azure AD B2C не различает выдаваемые маркеры доступа и маркеры идентификаторов для неявных потоков. Для неявного потока предоставления разрешений доступны оба типа маркеров, если в колонке Проверка подлинности выбран параметр Маркеры идентификаторов.
- В пользовательском интерфейсе нельзя изменить значение для поддерживаемых учетных записей. Вам потребуется использовать манифест приложения, если вы не переключаетесь между Microsoft Entra с одним клиентом и несколькими клиентами.
Следующие шаги
Чтобы приступить к работе с новым интерфейсом регистрации приложения, выполните следующие действия.
- Узнайте, как зарегистрировать веб-приложение.
- Узнайте, как зарегистрировать веб-API.
- Узнайте, как зарегистрировать собственное клиентское приложение.
- Узнайте, как зарегистрировать приложение Microsoft Graph для управления ресурсами Azure AD B2C.
- Узнайте, как использовать Azure AD B2C в качестве поставщика службы SAML.
- Изучите информацию о типах приложений.