Uw app registreren in de externe tenant

Microsoft Entra Externe ID stelt uw organisatie in staat om de identiteiten van klanten te beheren en de toegang tot uw openbare toepassingen en API's veilig te beheren. Toepassingen waar uw klanten uw producten kunnen kopen, zich kunnen abonneren op uw services of toegang hebben tot hun account en gegevens. Uw klanten hoeven zich slechts eenmaal aan te melden op een apparaat of webbrowser en toegang te hebben tot al uw toepassingen waaraan u ze machtigingen hebt verleend.

Als u wilt dat uw toepassing zich kan aanmelden met externe id, moet u uw app registreren bij externe id. De app-registratie brengt een vertrouwensrelatie tot stand tussen de app en externe id. Tijdens de app-registratie geeft u de omleidings-URI op. De omleidings-URI is het eindpunt waarnaar gebruikers worden omgeleid door externe id nadat ze zijn geverifieerd. Het toepassingsregistratieproces genereert een toepassings-id, ook wel client-id genoemd, waarmee uw toepassing op unieke wijze wordt aangeduid.

Externe id ondersteunt verificatie voor verschillende moderne toepassingsarchitecturen, bijvoorbeeld web-app of app met één pagina. De interactie van elk toepassingstype met de externe tenant is anders. Daarom moet u het type toepassing opgeven dat u wilt registreren.

In dit artikel leert u hoe u een toepassing registreert in uw externe tenant.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• Uw externe tenant. Als u nog geen abonnement hebt, meldt u zich aan voor een gratis proefversie.

Uw app-type kiezen

App met één pagina (SPA)

Uw app met één pagina registreren

Externe id ondersteunt verificatie voor apps met één pagina (SPA's).

De volgende stappen laten zien hoe u uw BEVEILIGD-WACHTWOORDVERIFICATIE registreert in het Microsoft Entra-beheercentrum:

1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer + Nieuwe registratie.

5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

   1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.

   2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

   3. Selecteer onder Omleidings-URI (optioneel) de optie Toepassing met één pagina (BEVEILIGD-WACHTWOORDVERIFICATIE) en voer vervolgens in het VAK URL de tekst inhttp://localhost:3000/.

6. Selecteer Registreren.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de map-id (tenant) en de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

Over omleidings-URI

De omleidings-URI is het eindpunt waarnaar de gebruiker wordt verzonden door de autorisatieserver (in dit geval Microsoft Entra ID) nadat de interactie met de gebruiker is voltooid en waarnaar een toegangstoken of autorisatiecode wordt verzonden na een geslaagde autorisatie.

In een productietoepassing is dit doorgaans een openbaar toegankelijk eindpunt waarop uw app wordt uitgevoerd, zoals https://contoso.com/auth-response.

Tijdens het ontwikkelen van apps kunt u het eindpunt toevoegen waar uw toepassing lokaal luistert, zoals http://localhost:3000. U kunt op elk gewenst moment omleidings-URI's toevoegen en wijzigen in uw geregistreerde toepassingen.

De volgende beperkingen zijn van toepassing op omleidings-URI's:

• De antwoord-URL moet beginnen met het schema https, tenzij u een localhost-omleidings-URL gebruikt.

• De antwoord-URL is hoofdlettergevoelig. Het hoofdlettergebruik moet overeenkomen met het URL-pad van de actieve toepassing. Als uw toepassing bijvoorbeeld .../abc/response-oidc als deel van het pad bevat, geeft u .../ABC/response-oidc niet op in de antwoord-URL. Omdat de webbrowser paden als hoofdlettergevoelig behandelt, kunnen cookies die zijn gekoppeld aan .../abc/response-oidc worden uitgesloten als ze worden omgeleid naar de qua hoofdlettergebruik niet-overeenkomende URL .../ABC/response-oidc.

• De antwoord-URL moet de afsluitende slash opnemen of uitsluiten, zoals uw toepassing verwacht. En https://contoso.com/auth-response/ kan bijvoorbeeld https://contoso.com/auth-response worden behandeld als niet-overeenkomende URL's in uw toepassing.

Gedelegeerde machtigingen verlenen

Deze app meldt gebruikers aan. U kunt er gedelegeerde machtigingen aan toevoegen door de onderstaande stappen uit te voeren:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer het tabblad Microsoft-API's .

5. Selecteer Microsoft Graph onder de sectie Veelgebruikte Microsoft-API's.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Zoek en selecteer onder de sectie Machtigingen selecteren zowel openid - als offline_access machtigingen.

8. Selecteer de knop Toestemmingen toevoegen.

9. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. U als beheerder moet toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

   1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.
   2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

API-machtigingen verlenen (optioneel):

Als uw BEVEILIGD-WACHTWOORDVERIFICATIE een API moet aanroepen, moet u uw SPA-API-machtigingen verlenen zodat deze de API kan aanroepen. U moet ook de web-API registreren die u moet aanroepen.

Voer de volgende stappen uit om de API-machtigingen voor uw client-app (ciam-client-app) te verlenen:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer het tabblad Microsoft-API's .

5. Selecteer Microsoft Graph onder de sectie Veelgebruikte Microsoft-API's.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Zoek en selecteer onder de sectie Machtigingen selecteren zowel openid - als offline_access machtigingen.

8. Selecteer de knop Machtigingen toevoegen.

9. Selecteer onder Geconfigureerde machtigingen opnieuw een machtigingtoevoegen.

10. Selecteer de API's die door mijn organisatie worden gebruikt .

11. Selecteer in de lijst met API's de API, zoals ciam-ToDoList-api.

12. Selecteer de optie Gedelegeerde machtigingen .

13. Selecteer In de lijst met machtigingen toDoList.Read, ToDoList.ReadWrite (gebruik indien nodig het zoekvak).

14. Selecteer de knop Toestemmingen toevoegen.

15. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. Om dit probleem op te lossen, moet u als beheerder toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

    1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.

    2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

16. Selecteer in de lijst Geconfigureerde machtigingen de machtigingen ToDoList.Read en ToDoList.ReadWrite , één voor één en kopieer de volledige URI van de machtiging voor later gebruik. De volledige machtigings-URI ziet er ongeveer als volgt uit api://{clientId}/{ToDoList.Read} of api://{clientId}/{ToDoList.ReadWrite}.

Als u wilt weten hoe u de machtigingen beschikbaar maakt door een koppeling toe te voegen, gaat u naar de sectie Web-API .

Webapp

Uw web-app registreren

Externe id ondersteunt verificatie voor web-apps.

De volgende stappen laten zien hoe u uw web-app registreert in het Microsoft Entra-beheercentrum:

1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer + Nieuwe registratie.

5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

   1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.

   2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

   3. Selecteer onder Omleidings-URI (optioneel) de optie Web en voer vervolgens in het VAK URL een URL in, zoals http://localhost:3000/.

6. Selecteer Registreren.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de map-id (tenant) en de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

Over omleidings-URI

De omleidings-URI is het eindpunt waarnaar de gebruiker wordt verzonden door de autorisatieserver (in dit geval Microsoft Entra ID) nadat de interactie met de gebruiker is voltooid en waarnaar een toegangstoken of autorisatiecode wordt verzonden na een geslaagde autorisatie.

In een productietoepassing is dit doorgaans een openbaar toegankelijk eindpunt waarop uw app wordt uitgevoerd, zoals https://contoso.com/auth-response.

Tijdens het ontwikkelen van apps kunt u het eindpunt toevoegen waar uw toepassing lokaal luistert, zoals http://localhost:3000. U kunt op elk gewenst moment omleidings-URI's toevoegen en wijzigen in uw geregistreerde toepassingen.

De volgende beperkingen zijn van toepassing op omleidings-URI's:

• De antwoord-URL moet beginnen met het schema https, tenzij u een localhost-omleidings-URL gebruikt.

• De antwoord-URL is hoofdlettergevoelig. Het hoofdlettergebruik moet overeenkomen met het URL-pad van de actieve toepassing. Als uw toepassing bijvoorbeeld .../abc/response-oidc als deel van het pad bevat, geeft u .../ABC/response-oidc niet op in de antwoord-URL. Omdat de webbrowser paden als hoofdlettergevoelig behandelt, kunnen cookies die zijn gekoppeld aan .../abc/response-oidc worden uitgesloten als ze worden omgeleid naar de qua hoofdlettergebruik niet-overeenkomende URL .../ABC/response-oidc.

• De antwoord-URL moet de afsluitende slash opnemen of uitsluiten, zoals uw toepassing verwacht. En https://contoso.com/auth-response/ kan bijvoorbeeld https://contoso.com/auth-response worden behandeld als niet-overeenkomende URL's in uw toepassing.

Gedelegeerde machtigingen toevoegen

Deze app meldt gebruikers aan. U kunt er gedelegeerde machtigingen aan toevoegen door de onderstaande stappen uit te voeren:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer het tabblad Microsoft-API's .

5. Selecteer Microsoft Graph onder de sectie Veelgebruikte Microsoft-API's.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Zoek en selecteer onder de sectie Machtigingen selecteren zowel openid - als offline_access machtigingen.

8. Selecteer de knop Toestemmingen toevoegen.

9. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. U als beheerder moet toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

   1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.
   2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

Een clientgeheim maken

Maak vervolgens een clientgeheim voor de geregistreerde toepassing. De toepassing gebruikt het clientgeheim om de identiteit te bewijzen wanneer er tokens worden aangevraagd.

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.
2. Selecteer onder Beheren de optie Certificaten en geheimen.
3. Selecteer Nieuw clientgeheim.
4. Voer in het vak Beschrijving een beschrijving in voor het clientgeheim (bijvoorbeeld ciam-app-clientgeheim).
5. Selecteer onder Verlopen een duur waarvoor het geheim geldig is (volgens de beveiligingsregels van uw organisatie) en selecteer vervolgens Toevoegen.
6. Noteer de Waarde van het geheim. U gebruikt deze waarde voor configuratie in een latere stap. De geheime waarde wordt niet opnieuw weergegeven en kan op geen enkele manier worden opgehaald nadat u weg navigeert van de certificaten en geheimen. Zorg ervoor dat u deze opneemt.

API-machtigingen verlenen (optioneel)

Als uw web-app een API moet aanroepen, moet u de API-machtigingen voor uw web-app verlenen zodat deze de API kan aanroepen. U moet ook de web-API registreren die u moet aanroepen.

Voer de volgende stappen uit om de API-machtigingen voor uw client-app (ciam-client-app) te verlenen:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer het tabblad Microsoft-API's .

5. Selecteer Microsoft Graph onder de sectie Veelgebruikte Microsoft-API's.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Zoek en selecteer onder de sectie Machtigingen selecteren zowel openid - als offline_access machtigingen.

8. Selecteer de knop Machtigingen toevoegen.

9. Selecteer onder Geconfigureerde machtigingen opnieuw een machtigingtoevoegen.

10. Selecteer de API's die door mijn organisatie worden gebruikt .

11. Selecteer in de lijst met API's de API, zoals ciam-ToDoList-api.

12. Selecteer de optie Gedelegeerde machtigingen .

13. Selecteer In de lijst met machtigingen toDoList.Read, ToDoList.ReadWrite (gebruik indien nodig het zoekvak).

14. Selecteer de knop Toestemmingen toevoegen.

15. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. Om dit probleem op te lossen, moet u als beheerder toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

    1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.

    2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

16. Selecteer in de lijst Geconfigureerde machtigingen de machtigingen ToDoList.Read en ToDoList.ReadWrite , één voor één en kopieer de volledige URI van de machtiging voor later gebruik. De volledige machtigings-URI ziet er ongeveer als volgt uit api://{clientId}/{ToDoList.Read} of api://{clientId}/{ToDoList.ReadWrite}.

Web-API

Uw web-API registreren

1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer + Nieuwe registratie.

5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

   1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-ToDoList-api.

   2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

6. Selecteer Registreren om de toepassing te maken.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de map-id (tenant) en de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

Machtigingen beschikbaar maken

Een API moet minimaal één bereik, ook wel Gedelegeerde machtiging genoemd, publiceren voor de client-apps om een toegangstoken voor een gebruiker te verkrijgen. Voer de volgende stappen uit om een bereik te publiceren:

1. Selecteer op de pagina App-registraties de API-toepassing die u hebt gemaakt (ciam-ToDoList-api) om de overzichtspagina te openen.

2. Selecteer onder BeherenEen API beschikbaar maken.

3. Selecteer boven aan de pagina, naast de URI van de toepassings-id, de koppeling Toevoegen om een URI te genereren die uniek is voor deze app.

4. Accepteer de voorgestelde URI voor de toepassings-id, zoals api://{clientId}, en selecteer Opslaan. Wanneer uw webtoepassing een toegangstoken voor de web-API aanvraagt, wordt de URI toegevoegd als het voorvoegsel voor elk bereik dat u voor de API definieert.

5. Onder Bereiken die door deze API worden bepaald selecteert u Een bereik toevoegen.

6. Voer de volgende waarden in waarmee een leestoegang tot de API wordt gedefinieerd en selecteer vervolgens Bereik toevoegen om uw wijzigingen op te slaan:

   Eigenschappen	Weergegeven als
   Bereiknaam	ToDoList.Read
   Wie kan toestemming verlenen?	Alleen beheerders
   Weergavenaam voor beheerderstoestemming	ToDo-lijst met gebruikers lezen met behulp van de TodoListApi
   Beschrijving van beheerderstoestemming	Sta toe dat de app de Takenlijst van de gebruiker kan lezen met behulp van de TodoListApi.
   Provincie	Ingeschakeld

7. Selecteer Opnieuw een bereik toevoegen en voer de volgende waarden in waarmee een bereik voor lees- en schrijftoegang tot de API wordt gedefinieerd. Selecteer Bereik toevoegen om uw wijzigingen op te slaan:

   Eigenschappen	Weergegeven als
   Bereiknaam	ToDoList.ReadWrite
   Wie kan toestemming verlenen?	Alleen beheerders
   Weergavenaam voor beheerderstoestemming	ToDo-lijst met gebruikers lezen en schrijven met behulp van de ToDoListApi
   Beschrijving van beheerderstoestemming	Toestaan dat de app de Takenlijst van de gebruiker kan lezen en schrijven met behulp van de ToDoListApi
   Provincie	Ingeschakeld

8. Selecteer onder Beheren manifest om de API-manifesteditor te openen.

9. Stel accessTokenAcceptedVersion de eigenschap in op 2.

10. Selecteer Opslaan.

Meer informatie over het principe van minimale bevoegdheden bij het publiceren van machtigingen voor een web-API.

App-rollen toevoegen

Een API moet minimaal één app-rol publiceren voor toepassingen, ook wel Toepassingsmachtiging genoemd, zodat de client-apps zelf een toegangstoken kunnen verkrijgen. Toepassingsmachtigingen zijn het type machtigingen dat API's moeten publiceren wanneer ze clienttoepassingen in staat willen stellen zich als zichzelf te verifiëren en geen gebruikers hoeven aan te melden. Voer de volgende stappen uit om een toepassingsmachtiging te publiceren:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-ToDoList-api) om de overzichtspagina te openen.

2. Selecteer onder Beheren app-rollen.

3. Selecteer App-rol maken en voer vervolgens de volgende waarden in en selecteer Toepassen om uw wijzigingen op te slaan:

   Eigenschappen	Weergegeven als
   Display name	ToDoList.Read.All
   De toegestane ledentypen	Toepassingen
   Weergegeven als	ToDoList.Read.All
   Beschrijving	Toestaan dat de app de Takenlijst van elke gebruiker kan lezen met behulp van de TodoListApi

4. Selecteer De app-rol opnieuw maken en voer vervolgens de volgende waarden in voor de tweede app-rol en selecteer Toepassen om uw wijzigingen op te slaan:

   Eigenschappen	Weergegeven als
   Display name	ToDoList.ReadWrite.All
   De toegestane ledentypen	Toepassingen
   Weergegeven als	ToDoList.ReadWrite.All
   Beschrijving	Toestaan dat de app de Takenlijst van elke gebruiker kan lezen en schrijven met behulp van de ToDoListApi

Desktop- of mobiele app

Uw desktop- of mobiele app registreren

De volgende stappen laten zien hoe u uw app registreert in het Microsoft Entra-beheercentrum:

1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer + Nieuwe registratie.

5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

   1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.

   2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

   3. Selecteer onder Omleidings-URI (optioneel) de optie Mobiele en bureaubladtoepassingen en voer vervolgens in het URL-vak een URI in met een uniek schema. De omleidings-URI van de Electron-desktop-app ziet er bijvoorbeeld ongeveer uit als http://localhost die van een .NET Multi-Platform App UI (MAUI) lijkt op msal{ClientId}://auth.

6. Selecteer Registreren.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de map-id (tenant) en de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

Gedelegeerde machtigingen toevoegen

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer het tabblad Microsoft-API's .

5. Selecteer Microsoft Graph onder de sectie Veelgebruikte Microsoft-API's.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Zoek en selecteer onder de sectie Machtigingen selecteren zowel openid - als offline_access machtigingen.

8. Selecteer de knop Toestemmingen toevoegen.

9. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. U als beheerder moet toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

   1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.
   2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

API-machtigingen verlenen (optioneel)

Als uw mobiele app een API moet aanroepen, moet u de API-machtigingen voor uw mobiele app verlenen zodat deze de API kan aanroepen. U moet ook de web-API registreren die u moet aanroepen.

Voer de volgende stappen uit om de API-machtigingen voor uw client-app (ciam-client-app) te verlenen:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer het tabblad Microsoft-API's .

5. Selecteer Microsoft Graph onder de sectie Veelgebruikte Microsoft-API's.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Zoek en selecteer onder de sectie Machtigingen selecteren zowel openid - als offline_access machtigingen.

8. Selecteer de knop Machtigingen toevoegen.

9. Selecteer onder Geconfigureerde machtigingen opnieuw een machtigingtoevoegen.

10. Selecteer de API's die door mijn organisatie worden gebruikt .

11. Selecteer in de lijst met API's de API, zoals ciam-ToDoList-api.

12. Selecteer de optie Gedelegeerde machtigingen .

13. Selecteer In de lijst met machtigingen toDoList.Read, ToDoList.ReadWrite (gebruik indien nodig het zoekvak).

14. Selecteer de knop Toestemmingen toevoegen.

15. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. Om dit probleem op te lossen, moet u als beheerder toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

    1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.

    2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

16. Selecteer in de lijst Geconfigureerde machtigingen de machtigingen ToDoList.Read en ToDoList.ReadWrite , één voor één en kopieer de volledige URI van de machtiging voor later gebruik. De volledige machtigings-URI ziet er ongeveer als volgt uit api://{clientId}/{ToDoList.Read} of api://{clientId}/{ToDoList.ReadWrite}.

Daemon-apps

Uw Daemon-app registreren

De volgende stappen laten zien hoe u uw daemon-app registreert in het Microsoft Entra-beheercentrum:

1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer + Nieuwe registratie.

5. Voer op de pagina Een toepassing registreren die wordt weergegeven de registratiegegevens van uw toepassing in:

   1. Voer in de sectie Naam een beschrijvende toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.

   2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

6. Selecteer Registreren.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven wanneer de registratie is voltooid. Noteer de map-id (tenant) en de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

API-machtigingen verlenen

Een daemon-app meldt zich aan als zichzelf met behulp van de OAuth 2.0-clientreferentiestroom. U verleent toepassingsmachtigingen (app-rollen), die vereist zijn voor apps die als zichzelf verifiëren. U moet ook de web-API registreren die uw daemon-app moet aanroepen.

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt, zoals ciam-client-app.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer de API's die door mijn organisatie worden gebruikt .

5. Selecteer in de lijst met API's de API, zoals ciam-ToDoList-api.

6. Selecteer de optie Toepassingsmachtigingen . We selecteren deze optie als de app zich aanmeldt als zichzelf, niet voor gebruikers.

7. Selecteer In de lijst met machtigingen todoList.Read.All, ToDoList.ReadWrite.All (gebruik indien nodig het zoekvak).

8. Selecteer de knop Toestemmingen toevoegen.

9. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de daemon-app echter niet toestaat dat gebruikers ermee werken, kunnen de gebruikers zelf geen toestemming geven voor deze machtigingen. Om dit probleem op te lossen, moet u als beheerder toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

   1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.
   2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide machtigingen.

Microsoft Graph API

Een Microsoft Graph API-toepassing registreren

Als u wilt dat uw toepassing gebruikers kan aanmelden met Microsoft Entra, moet Microsoft Entra Externe ID op de hoogte worden gesteld van de toepassing die u maakt. De app-registratie brengt een vertrouwensrelatie tot stand tussen de app en Microsoft Entra. Wanneer u een toepassing registreert, genereert externe id een unieke id die bekend staat als een toepassings-id (client), een waarde die wordt gebruikt om uw app te identificeren bij het maken van verificatieaanvragen.

De volgende stappen laten zien hoe u uw app registreert in het Microsoft Entra-beheercentrum:

1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer + Nieuwe registratie.

5. Op de pagina Een toepassing registreren die wordt weergegeven;

   1. Voer een betekenisvolle toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.
   2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

6. Selecteer Registreren.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven bij een geslaagde registratie. Noteer de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

API-toegang verlenen aan uw toepassing

Voor toegang tot gegevens in Microsoft Graph API verleent u de geregistreerde toepassing de relevante toepassingsmachtigingen. De effectieve machtigingen van uw toepassing zijn het volledige niveau van bevoegdheden die door de machtiging worden geïmpliceerd. Als u bijvoorbeeld elke gebruiker in uw externe tenant wilt maken, lezen, bijwerken en verwijderen, voegt u de machtiging User.ReadWrite.All toe.

1. Selecteer onder Beheren de optie API-machtigingen.

2. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

3. Selecteer het tabblad Microsoft-API's en selecteer vervolgens Microsoft Graph.

4. Selecteer Toepassingstoestemming.

5. Vouw de juiste machtigingsgroep uit en schakel het selectievakje in van de machtiging die u aan uw beheertoepassing wilt verlenen. Voorbeeld:

   • User User.ReadWrite.All>: voor scenario's voor gebruikersmigratie of gebruikersbeheer.

   • Group Group.ReadWrite.All>: voor het maken van groepen, het lezen en bijwerken van groepslidmaatschappen en het verwijderen van groepen.

   • AuditLog>AuditLog.Read.All: voor het lezen van de auditlogboeken van de directory.

   • Policy>Policy.ReadWrite.TrustFramework: Voor CI/CD-scenario's (continue integratie/continue levering). Bijvoorbeeld aangepaste beleidsimplementatie met Azure Pipelines.

6. Selecteer Machtigingen toevoegen. Wacht, zoals aangegeven, een paar minuten voordat u verdergaat met de volgende stap.

7. Selecteer Beheerderstoestemming verlenen voor (naam van uw tenant).

8. Als u momenteel niet bent aangemeld, meldt u zich aan met een account in uw externe tenant waaraan ten minste de rol cloudtoepassing Beheer istrator is toegewezen en selecteert u vervolgens Beheerderstoestemming verlenen voor (uw tenantnaam).

9. Selecteer Vernieuwen en controleer vervolgens of 'Verleend voor ...' wordt weergegeven onder Status. Het kan enkele minuten duren voordat de machtigingen zijn doorgegeven.

Nadat u uw toepassing hebt geregistreerd, moet u een clientgeheim toevoegen aan uw toepassing. Dit clientgeheim wordt gebruikt om uw toepassing te verifiëren om de Microsoft Graph API aan te roepen.

Een clientgeheim maken

Maak vervolgens een clientgeheim voor de geregistreerde toepassing. De toepassing gebruikt het clientgeheim om de identiteit te bewijzen wanneer er tokens worden aangevraagd.

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.
2. Selecteer onder Beheren de optie Certificaten en geheimen.
3. Selecteer Nieuw clientgeheim.
4. Voer in het vak Beschrijving een beschrijving in voor het clientgeheim (bijvoorbeeld ciam-app-clientgeheim).
5. Selecteer onder Verlopen een duur waarvoor het geheim geldig is (volgens de beveiligingsregels van uw organisatie) en selecteer vervolgens Toevoegen.
6. Noteer de Waarde van het geheim. U gebruikt deze waarde voor configuratie in een latere stap. De geheime waarde wordt niet opnieuw weergegeven en kan op geen enkele manier worden opgehaald nadat u weg navigeert van de certificaten en geheimen. Zorg ervoor dat u deze opneemt.

Systeemeigen verificatie

Een systeemeigen verificatietoepassing registreren

Als u wilt dat uw toepassing gebruikers kan aanmelden met Microsoft Entra, moet Microsoft Entra Externe ID op de hoogte worden gesteld van de toepassing die u maakt. De app-registratie brengt een vertrouwensrelatie tot stand tussen de app en Microsoft Entra. Wanneer u een toepassing registreert, genereert externe id een unieke id die bekend staat als een toepassings-id (client), een waarde die wordt gebruikt om uw app te identificeren bij het maken van verificatieaanvragen.

De volgende stappen laten zien hoe u uw app registreert in het Microsoft Entra-beheercentrum:

1. Meld u als toepassingsontwikkelaar aan bij het Microsoft Entra-beheercentrum.

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingenin het bovenste menu om over te schakelen naar uw externe tenant vanuit het menu Mappen en abonnementen.

3. Blader naar identiteitstoepassingen>> App-registraties.

4. Selecteer + Nieuwe registratie.

5. Op de pagina Een toepassing registreren die wordt weergegeven;

   1. Voer een betekenisvolle toepassingsnaam in die wordt weergegeven aan gebruikers van de app, bijvoorbeeld ciam-client-app.
   2. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.

6. Selecteer Registreren.

7. Het deelvenster Overzicht van de toepassing wordt weergegeven bij een geslaagde registratie. Noteer de toepassings-id (client) die moet worden gebruikt in de broncode van uw toepassing.

Gedelegeerde machtigingen toevoegen

Deze app meldt gebruikers aan. U kunt er gedelegeerde machtigingen aan toevoegen door de onderstaande stappen uit te voeren:

1. Selecteer op de pagina App-registraties de toepassing die u hebt gemaakt (zoals ciam-client-app) om de overzichtspagina te openen.

2. Selecteer onder Beheren de optie API-machtigingen.

3. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.

4. Selecteer het tabblad Microsoft-API's .

5. Selecteer Microsoft Graph onder de sectie Veelgebruikte Microsoft-API's.

6. Selecteer de optie Gedelegeerde machtigingen .

7. Zoek en selecteer onder de sectie Machtigingen selecteren zowel openid - als offline_access machtigingen.

8. Selecteer de knop Toestemmingen toevoegen.

9. Op dit moment hebt u de machtigingen correct toegewezen. Omdat de tenant echter de tenant van een klant is, kunnen de consumentengebruikers zelf geen toestemming geven voor deze machtigingen. U als beheerder moet toestemming geven voor deze machtigingen namens alle gebruikers in de tenant:

   1. Selecteer Beheerderstoestemming verlenen voor <uw tenantnaam> en selecteer Vervolgens Ja.
   2. Selecteer Vernieuwen en controleer vervolgens of Verleend voor <uw tenantnaam> wordt weergegeven onder Status voor beide bereiken.

Openbare client- en systeemeigen verificatiestromen inschakelen

Als u wilt opgeven dat deze app een openbare client is en systeemeigen verificatie kan gebruiken, schakelt u openbare client- en systeemeigen verificatiestromen in:

1. Selecteer op de pagina app-registraties de app-registratie waarvoor u openbare client- en systeemeigen verificatiestromen wilt inschakelen.
2. Selecteer Verificatie onder Beheren.
3. Sta onder Geavanceerde instellingen openbare clientstromen toe:
   1. Selecteer Ja als u de volgende mobiele en bureaubladstromen wilt inschakelen.
   2. Selecteer Ja voor Systeemeigen verificatie inschakelen.
4. Selecteer de knop Opslaan .

De toepassings-id (client) zoeken

Nadat u een nieuwe toepassing hebt geregistreerd, kunt u de toepassings-id (client) vinden in het overzicht in het Microsoft Entra-beheercentrum.

1. Selecteer op de pagina App-registraties het tabblad Alle toepassingen of toepassingen in eigendom.

2. Selecteer de toepassing om de overzichtspagina te openen.

3. Onder Essentials vindt u alle app-gegevens, inclusief de toepassings-id (client).

   

Volgende stappen

• Een gebruikersstroom voor registreren en aanmelden maken