Delen via


Een app registreren in uw externe tenant

Van toepassing op:Witte cirkel met een grijs X-symbool. Externe tenantsGroene cirkel met een wit vinkje. van werknemers (meer informatie)

Microsoft Entra Externe ID stelt uw organisatie in staat om de identiteiten van klanten te beheren en de toegang tot uw openbare toepassingen en API's veilig te beheren. Toepassingen waar uw klanten uw producten kunnen kopen, zich kunnen abonneren op uw services of toegang hebben tot hun account en gegevens. Uw klanten hoeven zich slechts eenmaal aan te melden op een apparaat of webbrowser en toegang te hebben tot al uw toepassingen waaraan u ze machtigingen hebt verleend.

Als u wilt dat uw toepassing zich kan aanmelden met externe id, moet u uw app registreren bij externe id. De app-registratie brengt een vertrouwensrelatie tot stand tussen de app en externe id. Tijdens de app-registratie geeft u de omleidings-URI op. De omleidings-URI is het eindpunt waarnaar gebruikers worden omgeleid door externe id nadat ze zijn geverifieerd. Het toepassingsregistratieproces genereert een toepassings-id, ook wel client-id genoemd, waarmee uw toepassing op unieke wijze wordt aangeduid.

Externe id ondersteunt verificatie voor verschillende moderne toepassingsarchitecturen, bijvoorbeeld web-app of app met één pagina. De interactie van elk toepassingstype met de externe tenant is anders. Daarom moet u het type toepassing opgeven dat u wilt registreren.

In dit artikel leert u hoe u een toepassing registreert in uw externe tenant.

Vereisten

Uw app-type kiezen

Uw app met één pagina registreren

Externe id ondersteunt verificatie voor apps met één pagina (SPA's).

De volgende stappen laten zien hoe u uw BEVEILIGD-WACHTWOORDVERIFICATIE registreert in het Microsoft Entra-beheercentrum:

  1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

  2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om vanuit het menu Mappen en abonnementen over te schakelen naar uw externe tenant.

  3. Blader naar identiteitstoepassingen>> App-registraties.

  4. Selecteer + Nieuwe registratie.

  5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

    1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.

    2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

    3. Selecteer onder Omleidings-URI (optioneel) de optie Toepassing met één pagina (BEVEILIGD-WACHTWOORDVERIFICATIE) en voer vervolgens in het VAK URL de tekst inhttp://localhost:3000/.

  6. Selecteer Registreren.

  7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de map-id (tenant) en de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

Over omleidings-URI

De omleidings-URI is het eindpunt waarnaar de gebruiker wordt verzonden door de autorisatieserver (in dit geval Microsoft Entra ID) nadat de interactie met de gebruiker is voltooid en waarnaar een toegangstoken of autorisatiecode wordt verzonden na een geslaagde autorisatie.

In een productietoepassing is dit doorgaans een openbaar toegankelijk eindpunt waarop uw app wordt uitgevoerd, zoals https://contoso.com/auth-response.

Tijdens het ontwikkelen van apps kunt u het eindpunt toevoegen waar uw toepassing lokaal luistert, zoals http://localhost:3000. U kunt op elk gewenst moment omleidings-URI's toevoegen en wijzigen in uw geregistreerde toepassingen.

De volgende beperkingen zijn van toepassing op omleidings-URI's:

  • De antwoord-URL moet beginnen met het schema https, tenzij u een localhost-omleidings-URL gebruikt.

  • De antwoord-URL is hoofdlettergevoelig. Het hoofdlettergebruik moet overeenkomen met het URL-pad van de actieve toepassing. Als uw toepassing bijvoorbeeld .../abc/response-oidc als deel van het pad bevat, geeft u .../ABC/response-oidc niet op in de antwoord-URL. Omdat de webbrowser paden als hoofdlettergevoelig behandelt, kunnen cookies die zijn gekoppeld aan .../abc/response-oidc worden uitgesloten als ze worden omgeleid naar de qua hoofdlettergebruik niet-overeenkomende URL .../ABC/response-oidc.

  • De antwoord-URL moet de afsluitende slash opnemen of uitsluiten, zoals uw toepassing verwacht. En https://contoso.com/auth-response/ kan bijvoorbeeld https://contoso.com/auth-response worden behandeld als niet-overeenkomende URL's in uw toepassing.

Nadat u uw toepassing hebt geregistreerd, krijgt deze de machtiging User.Read toegewezen. Omdat de tenant echter een externe tenant is, kunnen de gebruikers van de klant zelf geen toestemming geven voor deze machtiging. U als beheerder moet toestemming geven voor deze machtiging namens alle gebruikers in de tenant:

  1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

  2. Selecteer onder Beheren de optie API-machtigingen.

    1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.
    2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor de machtiging.

API-machtigingen verlenen (optioneel):

Als uw BEVEILIGD-WACHTWOORDVERIFICATIE een API moet aanroepen, moet u uw SPA-API-machtigingen verlenen zodat deze de API kan aanroepen. U moet ook de web-API registreren die u moet aanroepen.

Voer de volgende stappen uit om de API-machtigingen voor uw client-app (ciam-client-app) te verlenen:

  1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

  2. Selecteer onder Beheren de optie API-machtigingen.

  3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

  4. Selecteer de API's die door mijn organisatie worden gebruikt .

  5. Selecteer in de lijst met API's de API, zoals ciam-ToDoList-api.

  6. Selecteer de optie Gedelegeerde machtigingen .

  7. Selecteer In de lijst met machtigingen toDoList.Read, ToDoList.ReadWrite (gebruik indien nodig het zoekvak).

  8. Selecteer de knop Toestemmingen toevoegen. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. Om dit probleem op te lossen, moet u als beheerder toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

    1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.

    2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

  9. Selecteer in de lijst Geconfigureerde machtigingen de machtigingen ToDoList.Read en ToDoList.ReadWrite , één voor één en kopieer de volledige URI van de machtiging voor later gebruik. De volledige machtigings-URI ziet er ongeveer als volgt uit api://{clientId}/{ToDoList.Read} of api://{clientId}/{ToDoList.ReadWrite}.

Als u wilt weten hoe u de machtigingen beschikbaar maakt door een koppeling toe te voegen, gaat u naar de sectie Web-API .

De gebruikersstroom testen (optioneel)

Als u een gebruikersstroom wilt testen met deze app-registratie, schakelt u de impliciete toekenningsstroom in voor verificatie.

Belangrijk

De impliciete stroom mag alleen worden gebruikt voor testdoeleinden en niet voor het verifiëren van gebruikers in uw productie-apps. Zodra u klaar bent met testen, raden we u aan deze te verwijderen.

Voer de volgende stappen uit om de impliciete stroom in te schakelen:

  1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.
  2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om vanuit het menu Mappen en abonnementen over te schakelen naar uw externe tenant.
  3. Blader naar identiteitstoepassingen>> App-registraties.
  4. Selecteer de app-registratie die u hebt gemaakt.
  5. Selecteer Verificatie onder Beheren.
  6. Schakel onder Impliciete toekenning en hybride stromen het selectievakje ID-tokens (gebruikt voor impliciete en hybride stromen) in.
  7. Selecteer Opslaan.

De toepassings-id (client) zoeken

Nadat u een nieuwe toepassing hebt geregistreerd, kunt u de toepassings-id (client) vinden in het overzicht in het Microsoft Entra-beheercentrum.

  1. Selecteer op de pagina App-registraties het tabblad Alle toepassingen of toepassingen in eigendom.

  2. Selecteer de toepassing om de overzichtspagina te openen.

  3. Onder Essentials vindt u alle app-gegevens, inclusief de toepassings-id (client).

    Schermopname van de toepassings-id (client).

Volgende stappen