Snelstart: Een toepassing registreren bij het Microsoft-identiteitsplatform

Ga aan de slag met het Microsoft Identity Platform door een toepassing te registreren in Azure Portal.

Het Microsoft Identity Platform voert alleen identiteits- en toegangsbeheer (IAM) uit voor geregistreerde toepassingen. Of het nu gaat om een clienttoepassing, zoals een web-app of mobiele app, of om een web-API die een client-app ondersteunt, als u de toepassing registreert brengt u een vertrouwensrelatie tot stand tussen de toepassing en de id-provider, het Microsoft Identity Platform.

Tip

Als u een toepassing voor Azure AD B2C wilt registreren, volgt u de stappen in zelfstudie: Een webtoepassing registreren in Azure AD B2C.

Vereisten

Een toepassing registreren

Het registreren van uw toepassing brengt een vertrouwensrelatie tot stand tussen uw app en het Microsoft Identity Platform. De vertrouwensrelatie heeft één richting: uw app vertrouwt Microsoft Identity Platform, en niet andersom.

Volg deze stappen om de app-registratie te maken:

  1. Meld u aan bij de Azure-portal.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u het filter Mappen en abonnementen in het bovenste menu om over te schakelen naar de tenant waarin u de toepassing wilt registreren.

  3. Zoek en selecteer de optie Azure Active Directory.

  4. Selecteer onder Beheren de optie App-registraties>Nieuwe registratie.

  5. Voer een weergavenaam in voor uw toepassing. Gebruikers van uw toepassing zien mogelijk de weergavenaam wanneer ze de app gebruiken, bijvoorbeeld tijdens het aanmelden. U kunt de weergavenaam op elk gewenst moment wijzigen en meerdere app-registraties kunnen dezelfde naam delen. De automatisch gegenereerde toepassings-id (client) van de app-registratie, niet de weergavenaam, identificeert uw app uniek in het identiteitsplatform.

  6. Geef op wie de toepassing kan gebruiken, ook wel de aanmeldingsdoelgroep genoemd.

    Ondersteunde accounttypen Beschrijving
    Alleen accounts in deze organisatiemap Selecteer deze optie als u een toepassing bouwt die alleen is bedoeld voor gebruikers (of gasten) in uw tenant.

    Deze app wordt vaak een LOB-toepassing (Line-Of-Business ) genoemd. Deze app is een toepassing met één tenant in het Microsoft Identity Platform.
    Accounts in elke organisatiemap Selecteer deze optie als u wilt dat gebruikers in een Azure Ad-tenant (Azure Active Directory) uw toepassing kunnen gebruiken. Deze optie is geschikt als u bijvoorbeeld een SaaS-toepassing (Software-as-a-Service) bouwt die u aan meerdere organisaties wilt leveren.

    Dit type app wordt een multitenant-toepassing genoemd in het Microsoft Identity Platform.
    Accounts in elke organisatiemap en persoonlijke Microsoft-accounts Selecteer deze optie om de breedste groep klanten te bereiken.

    Door deze optie te selecteren, registreert u een multitenant-toepassing die ook gebruikers met persoonlijke Microsoft-accounts kan ondersteunen.
    Persoonlijk Microsoft-account Selecteer deze optie als u alleen een toepassing bouwt voor gebruikers met persoonlijke Microsoft-accounts. Persoonlijke Microsoft-accounts inclusief Skype-, Xbox-, Live- en Hotmail-accounts.
  7. Voer niets in voor omleidings-URI (optioneel). In de volgende sectie configureert u een omleidings-URI.

  8. Selecteer Registreren om de initiële app-registratie te voltooien.

    Screenshot of the Azure portal in a web browser, showing the Register an application pane.

Wanneer de registratie is voltooid, wordt in Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client). Deze waarde wordt ook wel de client-id genoemd. Deze waarde identificeert uw toepassing op unieke wijze in het Microsoft Identity Platform.

Belangrijk

Nieuwe app-registraties zijn standaard verborgen voor gebruikers. Wanneer u klaar bent voor gebruikers om de app te zien op hun pagina Mijn apps , kunt u deze inschakelen. Als u de app wilt inschakelen, gaat u in Azure Portal naar Azure Active Directory Enterprise-toepassingen> en selecteert u de app. Schakel vervolgens op de pagina Eigenschappenzichtbaar voor gebruikers in op Ja.

De code van uw toepassing, of meer doorgaans een verificatiebibliotheek die in uw toepassing wordt gebruikt, gebruikt ook de client-id. De id wordt gebruikt als onderdeel van het valideren van de beveiligingstokens die deze ontvangt van het identiteitsplatform.

Screenshot of the Azure portal in a web browser, showing an app registration's Overview pane.

Een omleidings-URI toevoegen

Een omleidings-URI is de locatie waar het Microsoft Identity Platform de client van een gebruiker omleidt en beveiligingstokens verzendt na verificatie.

In een productiewebtoepassing is de omleidings-URI bijvoorbeeld vaak een openbaar eindpunt waar de app wordt uitgevoerd, zoals https://contoso.com/auth-response. Tijdens de ontwikkeling is het gebruikelijk om ook het eindpunt toe te voegen waar u de app lokaal uitvoert, zoals https://127.0.0.1/auth-response of http://localhost/auth-response.

U kunt omleidings-URI's voor uw geregistreerde toepassingen toevoegen en wijzigen door de bijbehorende platforminstellingen te configureren.

Platforminstellingen configureren

Instellingen voor elk toepassingstype, waaronder omleidings-URI's, worden geconfigureerd in Platformconfiguraties in de Azure-portal. Voor sommige platformen, zoals Webtoepassingen en Toepassingen met één pagina, moet u handmatig een omleidings-URI opgeven. Voor andere platforms, zoals mobiel en desktop, kunt u kiezen uit omleidings-URI's die voor u worden gegenereerd wanneer u hun andere instellingen configureert.

Voer de volgende stappen uit om toepassingsinstellingen te configureren op basis van het platform of het apparaat waarop u zich richt:

  1. Selecteer uw toepassing in de Azure-portal in App-registraties.

  2. Selecteer Verificatie onder Beheren.

  3. Selecteer Een platform toevoegenonder Platformconfiguraties.

  4. Selecteer onder Platformen configureren de tegel voor uw toepassingstype (platform) om de instellingen te configureren.

    Screenshot of the platform configuration pane in the Azure portal.

    Platform Configuratie-instellingen
    Web Voer een omleidings-URI voor uw app in. Deze URI is de locatie waar het Microsoft Identity Platform de client van een gebruiker omleidt en beveiligingstokens verzendt na verificatie.

    Selecteer dit platform voor standaardwebtoepassingen die worden uitgevoerd op een server.
    Toepassing met één pagina Voer een omleidings-URI voor uw app in. Deze URI is de locatie waar het Microsoft Identity Platform de client van een gebruiker omleidt en beveiligingstokens verzendt na verificatie.

    Selecteer dit platform als u een web-app aan de clientzijde bouwt met behulp van JavaScript of een framework zoals Angular, Vue.js, React.js of Blazor WebAssembly.
    iOS / macOS Voer de app-bundel-id in. Zoek deze in Build Settings of in Xcode in Info.plist.

    Er wordt een omleidings-URI gegenereerd wanneer u een bundel-id opgeeft.
    Android Voer de naam van het app-pakket in. Zoek het bestand in het AndroidManifest.xml . Genereer en voer ook de handtekening-hash in.

    Er wordt een omleidings-URI gegenereerd wanneer u deze instellingen opgeeft.
    Mobiele toepassingen en desktoptoepassingen Selecteer een van de voorgestelde omleidings-URI's. Of geef een aangepaste omleidings-URI op.

    Voor bureaubladtoepassingen die gebruikmaken van een ingesloten browser, raden we u aan
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Voor desktoptoepassingen die gebruikmaken van de systeembrowser, raden we u aan
    http://localhost

    Selecteer dit platform voor mobiele toepassingen die niet gebruikmaken van de nieuwste MICROSOFT Authentication Library (MSAL) of die geen broker gebruiken. Selecteer dit platform ook voor desktoptoepassingen.
  5. Selecteer Configureren om de platformconfiguratie te voltooien.

URI-beperkingen omleiden

Er zijn enkele beperkingen voor de indeling van de omleidings-URI's die u toevoegt aan een app-registratie. Zie Beperkingen en beperkingen voor omleidings-URI (antwoord-URL) voor meer informatie over deze beperkingen.

Referenties toevoegen

Referenties worden gebruikt door vertrouwelijke clienttoepassingen die toegang hebben tot een web-API. Voorbeelden van vertrouwelijke clients zijn web-apps, andere web-API's of toepassingen van het type service en daemon. Met referenties kan uw toepassing zichzelf verifiëren, waardoor er geen interactie van een gebruiker tijdens runtime nodig is.

U kunt zowel certificaten als clientgeheimen (een tekenreeks) toevoegen als referenties voor de registratie van uw vertrouwelijke client-app.

Screenshot of the Azure portal, showing the Certificates and secrets pane in an app registration.

Een certificaat toevoegen

Ook wel een openbare sleutel genoemd, is een certificaat het aanbevolen referentietype omdat ze als veiliger worden beschouwd dan clientgeheimen. Zie De referenties van het Microsoft Identity Platform-toepassingsverificatiecertificaat voor meer informatie over het gebruik van een certificaat als verificatiemethode in uw toepassing.

  1. Selecteer uw toepassing in de Azure-portal in App-registraties.
  2. Selecteer Certificaten & voor het>uploaden van certificaten>.
  3. Selecteer het bestand dat u wilt uploaden. Het moet een van de volgende bestandstypen zijn: .cer, .pem, .crt.
  4. Selecteer Toevoegen.

Een clientgeheim toevoegen

Soms een toepassingswachtwoord genoemd, is een clientgeheim een tekenreekswaarde die uw app kan gebruiken in plaats van een certificaat om zichzelf te identificeren.

Clientgeheimen worden beschouwd als minder veilig dan certificaatreferenties. Toepassingsontwikkelaars gebruiken soms clientgeheimen tijdens het ontwikkelen van lokale apps vanwege hun gebruiksgemak. U moet echter certificaatreferenties gebruiken voor alle toepassingen die in productie worden uitgevoerd.

  1. Selecteer uw toepassing in de Azure-portal in App-registraties.
  2. Selecteer Certificatengeheimen & Clientgeheimen>>Nieuwe clientgeheim.
  3. Voeg een beschrijving voor uw clientgeheim toe.
  4. Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op.
    • De levensduur van het clientgeheim is beperkt tot twee jaar (24 maanden) of minder. U kunt geen aangepaste levensduur opgeven die langer is dan 24 maanden.
    • Microsoft raadt u aan een verloopwaarde van minder dan 12 maanden in te stellen.
  5. Selecteer Toevoegen.
  6. Noteer de waarde van het geheim voor gebruik in de code van uw clienttoepassing. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten.

Zie aanbevolen procedures en aanbevelingen voor microsoft Identity Platform voor aanbevelingen voor toepassingsbeveiliging.

Volgende stappen

Clienttoepassingen hebben meestal toegang nodig tot resources in een web-API. U kunt uw clienttoepassing beveiligen met behulp van het Microsoft Identity Platform. U kunt ook het platform gebruiken voor het autoriseren van toegang tot uw web-API op basis van machtigingen.

Ga naar de volgende quickstart in de reeks om een andere app-registratie voor uw web-API te maken en de bijbehorende bereiken beschikbaar te maken.