Share via

Web-apps

  • Artikel

Waarschuwing

Deze inhoud is voor het oudere Azure AD v1.0-eindpunt. Gebruik het Microsoft Identity Platform voor nieuwe projecten.

Web-apps zijn toepassingen die een gebruiker in een webbrowser verifiëren bij een webtoepassing. In dit scenario geeft de webtoepassing de browser van de gebruiker opdracht om de gebruiker zich te laten aanmelden bij Azure Active Directory (Azure AD). Azure AD retourneert een aanmeldingsreactie via de browser van de gebruiker, die claims over de gebruiker in een beveiligingstoken bevat. Dit scenario biedt ondersteuning voor aanmelding met behulp van de OpenID Connect-, SAML 2.0- en WS-Federation-protocollen.

Diagram

Verificatiestroom voor browser naar webtoepassing

Protocolstroom

  1. Wanneer een gebruiker de toepassing bezoekt en zich moet aanmelden, wordt deze omgeleid via een aanmeldingsaanvraag naar het verificatie-eindpunt in Azure AD.
  2. De gebruiker meldt zich aan op de aanmeldingspagina.
  3. Als de verificatie is geslaagd, maakt Azure AD een verificatietoken en retourneert een aanmeldingsreactie op de antwoord-URL van de toepassing die is geconfigureerd in Azure Portal. Voor een productietoepassing moet deze antwoord-URL HTTPS zijn. Het geretourneerde token bevat claims over de gebruiker en Azure AD die door de toepassing zijn vereist om het token te valideren.
  4. De toepassing valideert het token met behulp van een openbare ondertekeningssleutel en gegevens van de verlener die beschikbaar zijn in het Federation Metadata-document voor Azure AD. Nadat de toepassing het token heeft gevalideerd, wordt een nieuwe sessie met de gebruiker gestart. Met deze sessie kan de gebruiker toegang krijgen tot de toepassing totdat deze verloopt.

Codevoorbeelden

Zie de codevoorbeelden voor scenario's voor webbrowser naar webtoepassing. Er worden regelmatig nieuwe voorbeelden toegevoegd. Controleer dit dus regelmatig.

App-registratie

Zie Een app registrerenom een web-app te registreren.

  • Eén tenant: als u een toepassing bouwt voor uw organisatie, moet deze worden geregistreerd in de adreslijst van uw bedrijf met behulp van Azure Portal.
  • Meerdere tenants: als u een toepassing bouwt die kan worden gebruikt door gebruikers buiten uw organisatie, moet deze worden geregistreerd in de directory van uw bedrijf en in de directory van elke organisatie die de toepassing gebruikt. Als u uw toepassing beschikbaar wilt maken in hun directory, kunt u een registratieproces opnemen voor uw klanten waarmee ze toestemming kunnen geven voor uw toepassing. Wanneer ze zich registreren voor uw toepassing, wordt een dialoogvenster weergegeven met de machtigingen die de toepassing nodig heeft en vervolgens de optie om toestemming te geven. Afhankelijk van de vereiste machtigingen moet een beheerder in de andere organisatie mogelijk toestemming gegeven. Wanneer de gebruiker of beheerder toestemming heeft gegeven, wordt de toepassing geregistreerd in de directory.

Tokenverloop

De sessie van de gebruiker verloopt wanneer de levensduur van het token dat is uitgegeven door Azure AD verloopt. Uw toepassing kan deze periode indien gewenst verkorten, bijvoorbeeld door het afmelden van gebruikers op basis van een periode van inactiviteit. Wanneer de sessie verloopt, wordt de gebruiker gevraagd zich opnieuw aan te melden.

Volgende stappen