Configuratieopties van de toepassing

Als u tokens wilt verifiëren en verkrijgen, initialiseert u een nieuwe openbare of vertrouwelijke cliënttoepassing in uw code. U kunt verschillende configuratieopties instellen wanneer u de cliënt-app initialiseert in de Microsoft Authentication Library (MSAL). Deze opties kunnen in twee groepen worden verdeeld:

• Registratieopties, waaronder:
  • Instantie (samengesteld uit het exemplaar van de id-provider en aanmeldingsdoelgroep van de app, en mogelijk de tenant-id)
  • Client ID
  • Omleidings-URI
  • Cliëntgeheim (voor vertrouwelijke cliënttoepassingen)
• Opties voor logboekregistratie, zoals het logboekniveau, beheer van persoonsgegevens en de naam van het onderdeel met de bibliotheek

Instantie

De instantie is een URL die een map aangeeft waaruit MSAL tokens kan aanvragen.

Algemene instanties zijn:

URL's van algemene instanties	Wanneer gebruiken
https://login.microsoftonline.com/<tenant>/	Uitsluitend gebruikers van een specifieke organisatie aanmelden. De <tenant> in de URL is de tenant-id van de Microsoft Entra-tenant (een GUID) of het bijbehorende tenantdomein.
https://login.microsoftonline.com/common/	Gebruikers met werk- en schoolaccounts of persoonlijke Microsoft-accounts aanmelden.
https://login.microsoftonline.com/organizations/	Gebruikers met werk- en schoolaccounts aanmelden.
https://login.microsoftonline.com/consumers/	Uitsluitend gebruikers met persoonlijke Microsoft-accounts (MSA) aanmelden.

De instantie die u in uw code opgeeft, moet overeenstemmen met de ondersteunde accounttypen die u hebt opgegeven voor de app in App-registraties in het Azure-portaal.

De instantie kan een van de volgende zijn:

• Een Microsoft Entra-cloudinstantie.
• Een Azure AD B2C-instantie. Raadpleeg B2C-specifieke informatie.
• Een instantie van Active Directory Federation Services (AD FS). Raadpleeg AD FS-ondersteuning.

Microsoft Entra-cloudinstanties hebben twee onderdelen:

• Het exemplaar van de id-provider
• De aanmeldingsdoelgroep voor de app

Het exemplaar en de doelgroep kunnen worden samengevoegd en opgegeven als de instantie-URL. In dit diagram ziet u hoe de instantie-URL is samengesteld:

Cloud-exemplaar

Het exemplaar wordt gebruikt om op te geven of uw app gebruikers ondertekent vanuit de openbare Azure-cloud of vanuit nationale clouds. Met MSAL in uw code kunt u het exemplaar van de Azure-cloud configureren op basis van een opsomming of door de URL door te geven aan het nationale cloud-exemplaar als Instance lid.

MSAL.NET genereert een expliciete uitzondering als zowel Instance en AzureCloudInstance zijn opgegeven.

Als u geen exemplaar opgeeft, richt uw app zich op het exemplaar van de openbare Azure-cloud (het exemplaar van de URL https://login.onmicrosoftonline.com).

Doelgroep van de toepassing

De aanmeldingsdoelgroep is afhankelijk van de bedrijfsbehoeften voor uw app:

• Als u een LOB-ontwikkelaar (Line-Of-Business) bent, produceert u waarschijnlijk een toepassing met één tenant die alleen in uw organisatie wordt gebruikt. Geef in dat geval de organisatie op basis van de tenant-id (de id van uw Microsoft Entra-exemplaar) of op een domeinnaam die is gekoppeld aan het Microsoft Entra-exemplaar.
• Als u een ISV bent, wilt u mogelijk gebruikers aanmelden met hun werk- en schoolaccounts in alle organisaties of in bepaalde organisaties (multitenant-app). Maar misschien wilt u ook dat gebruikers zich aanmelden met hun persoonlijke Microsoft-account.

De doelgroep opgeven in uw code/configuratie

Met MSAL in uw code kunt u de doelgroep opgeven met een van de volgende waarden:

• De opsomming van de Microsoft Entra-instantie
• De tenant-id, die het volgende kan zijn:
  • Een GUID (de id van uw Microsoft Entra-exemplaar) voor toepassingen met één tenant
  • Een domeinnaam die is gekoppeld aan uw Microsoft Entra-exemplaar (ook voor toepassingen met één tenant)
• Een van deze tijdelijke aanduidingen als tenant-id in plaats van de opsomming van de Microsoft Entra-instantie:
  • organizations voor een toepassing met meerdere tenants
  • consumers om gebruikers alleen aan te melden met hun persoonlijke accounts
  • common om gebruikers aan te melden met hun werk- en schoolaccounts of persoonlijke Microsoft-accounts

MSAL genereert een zinvolle uitzondering als u zowel de Microsoft Entra-instantie als de tenant-id opgeeft.

Het wordt aanbevolen om een doelgroep op te geven, net zoals veel tenants en de toepassingen die erin zijn geïmplementeerd, gastgebruikers hebben. Als uw toepassing externe gebruikers heeft, worden de eindpunten van common en organization het beste vermeden. Als u geen doelgroep opgeeft, richt uw app zich op Microsoft Entra-id en persoonlijke Microsoft-accounts als doelgroep en gedraagt deze zich alsof common deze zijn opgegeven.

Effectieve doelgroep

De effectieve doelgroep voor uw toepassing is het minimum (als er een snijpunt is) van de doelgroep die u hebt ingesteld in uw app en de doelgroep die is opgegeven in de app-registratie. In feite kunt u met de App-registraties de doelgroep (de ondersteunde accounttypen) voor de app opgeven. Zie voor meer informatie Snelle start: een toepassing registreren bij het Microsoft-identiteitsplatform.

Momenteel is de enige manier om een app alleen gebruikers met persoonlijke Microsoft-accounts te laten aanmelden, deze beide instellingen te configureren:

• Stel de doelgroep voor app-registratie in op Work and school accounts and personal accounts.
• Stel de doelgroep in uw code/configuratie in op AadAuthorityAudience.PersonalMicrosoftAccount (of TenantID ="consumers").

Client ID

De client-id is de unieke toepassings-id (client) die is toegewezen aan uw app door Microsoft Entra ID toen de app werd geregistreerd. U vindt de toepassings-id (client) op de pagina Overzicht voor de toepassing in Bedrijfstoepassingen voor identiteiten>>.

Omleidings-URI

De omleidings-URL is de URL waar de id-provider de beveiligingstokens naar terugstuurt.

Omleidings-URI voor openbare cliënt-apps

Als u een ontwikkelaar van een openbare cliënt-app bent die MSAL gebruikt:

• U wilt .WithDefaultRedirectUri() gebruiken in desktoptoepassingen of Universeel Windows-platform (UWP)-toepassingen (MSAL.NET 4.1+). De .WithDefaultRedirectUri() methode stelt de eigenschap omleidings-URI van de openbare cliënttoepassing in op de standaard aanbevolen omleidings-URI voor openbare cliënttoepassingen.

  Platform	Omleidings-URI
  Bureaublad-app (.NET Framework)	https://login.microsoftonline.com/common/oauth2/nativeclient
  UWP	Waarde van WebAuthenticationBroker.GetCurrentApplicationCallbackUri(). Dit schakelt de eenmalige aanmelding (SSO) op de browser in door de waarde in te stellen op het resultaat van WebAuthenticationBroker.GetCurrentApplicationCallbackUri(). Dit moet u registreren
  .NET	https://localhost hiermee kan de gebruiker de systeembrowser gebruiken voor interactieve verificatie, omdat .NET momenteel geen gebruikersinterface heeft voor de ingesloten webweergave.

• U hoeft geen omleidings-URI toe te voegen als u een Xamarin Android- en iOS-toepassing bouwt die geen ondersteuning biedt voor de omleidings-URI van de broker. Deze wordt automatisch ingesteld msal{ClientId}://auth op Xamarin Android en iOS.

• Configureer de omleidings-URI in App-registraties:

  

U kunt de omleidings-URI overschrijven met de RedirectUri eigenschap (bv. als u brokers gebruikt). Hier volgen enkele voorbeelden van omleidings-URI's voor dat scenario:

• RedirectUriOnAndroid = "msauth-5a434691-ccb2-4fd1-b97b-b64bcfbc03fc://com.microsoft.identity.client.sample";
• RedirectUriOnIos = $"msauth.{Bundle.ID}://auth";

Raadpleeg iOS-toepassingen die Microsoft Authenticator gebruiken migreren van ADAL.NET naar MSAL.NET en de broker gebruiken in iOS voor meer informatie over iOS. Zie Brokered-verificatie in Android voor meer informatie over Android.

Omleidings-URI voor vertrouwelijke cliënt-apps

Voor web-apps is de omleidings-URI (of antwoord-URL) de URI die door Microsoft Entra-id wordt gebruikt om het token terug te sturen naar de toepassing. De URI kan de URL van de web-app/web-API zijn als de vertrouwelijke app een van deze beiden is. De omleidings-URI moet worden geregistreerd in de app-registratie. De registratie is vooral belangrijk wanneer u een app implementeert die u aanvankelijk lokaal hebt getest. Vervolgens moet u de antwoord-URL van de geïmplementeerde app toevoegen in het portaal voor toepassingsregistratie.

Voor daemon-apps hoeft u geen omleidings-URI op te geven.

Clientgeheim

Met deze optie geeft u het cliëntgeheim voor de vertrouwelijke cliënt-app op. Het clientgeheim (app-wachtwoord) wordt geleverd door de portal voor toepassingsregistratie of doorgegeven aan Microsoft Entra-id tijdens de app-registratie met PowerShell Microsoft Entra ID, PowerShell AzureRM of Azure CLI.

Logboekregistratie

De MSAL biedt ingebouwde ondersteuning voor de logboekregistratie om te helpen bij scenario's voor foutenopsporing en probleemoplossing bij verificatiefouten. De logboekregistratie in elke bibliotheek wordt behandeld in de volgende artikelen:

• Aanmelden bij MSAL.NET
• Aanmelden bij MSAL voor Android
• Aanmelden bij MSAL.js

• Aanmelden bij MSAL voor iOS/macOS
• Aanmelden bij MSAL voor Java
• Logboekregistratie in MSAL voor Python

Volgende stappen

Meer informatie over het bekrachtigen van cliënttoepassingen met MSAL.NET en het bekrachtigen van cliënttoepassingen met MSAL.js.