Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure Active Directory B2C

Aby aplikacje mogły wchodzić w interakcje z usługą Azure Active Directory B2C (Azure AD B2C), muszą być zarejestrowane w dzierżawie, którą zarządzasz. W tym samouczku pokazano, jak zarejestrować aplikację internetową przy użyciu Azure Portal.

"Aplikacja internetowa" odnosi się do tradycyjnej aplikacji internetowej, która wykonuje większość logiki aplikacji na serwerze. Mogą być tworzone przy użyciu struktur, takich jak ASP.NET Core, Spring (Java), Flask (Python) i Express (Node.js).

Ważne

Jeśli używasz aplikacji jednostronicowej ("SPA") zamiast tego (np. przy użyciu Angular, Vue lub React), dowiedz się, jak zarejestrować aplikację jednostronicową.

Jeśli używasz aplikacji natywnej (np. iOS, Android, mobile & Desktop), dowiedz się, jak zarejestrować natywną aplikację kliencką.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Jeśli nie utworzono jeszcze własnej dzierżawy usługi Azure AD B2C, utwórz ją teraz. Możesz użyć istniejącej dzierżawy usługi Azure AD B2C.

Rejestrowanie aplikacji internetowej

Aby zarejestrować aplikację internetową w dzierżawie usługi Azure AD B2C, możesz użyć naszego nowego ujednoliconego środowiska Rejestracje aplikacji lub starszego środowiska aplikacji (starsza wersja). Dowiedz się więcej na temat nowego środowiska.

Rejestracje aplikacji

1. Zaloguj się w witrynie Azure Portal.

2. Upewnij się, że używasz katalogu zawierającego dzierżawę usługi Azure AD B2C. Wybierz ikonę Katalogi i subskrypcje na pasku narzędzi portalu.

3. W ustawieniach portalu | Strona Katalogi i subskrypcje, znajdź katalog Azure AD B2C na liście Nazwa katalogu, a następnie wybierz pozycję Przełącz.

4. W Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

5. Wybierz Rejestracje aplikacji, a następnie wybierz pozycję Nowa rejestracja.

6. Wprowadź nazwę aplikacji. Na przykład webapp1.

7. W obszarze Obsługiwane typy kont wybierz pozycję Konta w dowolnym dostawcy tożsamości lub katalogu organizacyjnym (w celu uwierzytelniania użytkowników za pomocą przepływów użytkownika).

8. W obszarze Identyfikator URI przekierowania wybierz pozycję Sieć Web, a następnie wprowadź https://jwt.ms ciąg w polu tekstowym Adres URL.

   Identyfikator URI przekierowania to punkt końcowy, do którego użytkownik jest wysyłany przez serwer autoryzacji (w tym przypadku Azure AD B2C) po zakończeniu interakcji z użytkownikiem oraz do którego token dostępu lub kod autoryzacji jest wysyłany po pomyślnej autoryzacji. W aplikacji produkcyjnej zazwyczaj jest to publicznie dostępny punkt końcowy, w którym działa aplikacja, na przykład https://contoso.com/auth-response. W celach testowych, takich jak w tym samouczku, można ustawić ją na , należącą do https://jwt.msfirmy Microsoft aplikację internetową, która wyświetla zdekodowana zawartość tokenu (zawartość tokenu nigdy nie opuszcza przeglądarki). Podczas opracowywania aplikacji możesz dodać punkt końcowy, w którym aplikacja nasłuchuje lokalnie, na przykład https://localhost:5000. Identyfikatory URI przekierowania można dodawać i modyfikować w zarejestrowanych aplikacjach w dowolnym momencie.

   Następujące ograniczenia dotyczą identyfikatorów URI przekierowania:

   • Adres URL odpowiedzi musi zaczynać się od schematu https, chyba że używasz adresu URL przekierowania hosta lokalnego.
   • W adresie URL odpowiedzi jest uwzględniana wielkość liter. Jego wielkość liter musi odpowiadać wielkości liter ścieżki adresu URL uruchomionej aplikacji. Jeśli na przykład aplikacja zawiera ciąg jako część ścieżki .../abc/response-oidc, nie należy określać .../ABC/response-oidc w adresie URL odpowiedzi. Ponieważ przeglądarka internetowa traktuje ścieżki jako rozróżnianą wielkość liter, pliki cookie skojarzone z usługą .../abc/response-oidc mogą zostać wykluczone, jeśli nastąpi przekierowanie do niezgodnego .../ABC/response-oidc adresu URL.
   • Adres URL odpowiedzi powinien zawierać lub wykluczać ukośnik końcowy, jak oczekuje aplikacja. Na przykład https://contoso.com/auth-response i https://contoso.com/auth-response/ może być traktowana jako niezgodne adresy URL w aplikacji.

9. W obszarze Uprawnienia zaznacz pole wyboru Udziel zgody administratora na uprawnienia openid i offline_access .

10. Wybierz pozycję Zarejestruj.

Aplikacje (starsza wersja)

1. Zaloguj się w witrynie Azure Portal.

2. Upewnij się, że używasz katalogu zawierającego dzierżawę usługi Azure AD B2C. Wybierz ikonę Katalogi i subskrypcje na pasku narzędzi portalu.

3. W ustawieniach portalu | Strona Katalogi i subskrypcje, znajdź katalog Azure AD B2C na liście Nazwa katalogu, a następnie wybierz pozycję Przełącz.

4. W Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

5. Wybierz pozycję Aplikacje (starsza wersja), a następnie wybierz pozycję Dodaj.

6. Wprowadź nazwę aplikacji. Na przykład webapp1.

7. W obszarze Uwzględnij aplikację internetową/internetowy interfejs API wybierz pozycję Tak.

8. Dla pozycji Adres URL odpowiedzi wprowadź punkt końcowy, w którym usługa Azure AD B2C powinna zwracać wszelkie tokeny żądane przez Twoją aplikację. Można na przykład ustawić go tak, aby nasłuchiwać lokalnie pod adresem http://localhost:5000. Identyfikatory URI przekierowania można dodawać i modyfikować w zarejestrowanych aplikacjach w dowolnym momencie.

   Następujące ograniczenia dotyczą identyfikatorów URI przekierowania:

   • Adres URL odpowiedzi musi rozpoczynać się od schematu https, chyba że jest używany .localhost
   • W adresie URL odpowiedzi jest uwzględniana wielkość liter. Jego wielkość liter musi odpowiadać wielkości liter ścieżki adresu URL uruchomionej aplikacji. Jeśli na przykład aplikacja zawiera ciąg jako część ścieżki .../abc/response-oidc, nie należy określać .../ABC/response-oidc w adresie URL odpowiedzi. Ponieważ przeglądarka internetowa traktuje ścieżki jako rozróżnianą wielkość liter, pliki cookie skojarzone z usługą .../abc/response-oidc mogą zostać wykluczone, jeśli nastąpi przekierowanie do niezgodnego .../ABC/response-oidc adresu URL.
   • Adres URL odpowiedzi powinien zawierać lub wykluczać ukośnik końcowy, jak oczekuje aplikacja. Na przykład https://contoso.com/auth-response i https://contoso.com/auth-response/ może być traktowana jako niezgodne adresy URL w aplikacji.

9. Wybierz pozycję Utwórz , aby ukończyć rejestrację aplikacji.

Porada

Jeśli nie widzisz aplikacji utworzonych w Rejestracje aplikacji, odśwież portal.

Tworzenie wpisu tajnego klienta

W przypadku aplikacji internetowej należy utworzyć wpis tajny aplikacji. Wpis tajny klienta jest również nazywany hasłem aplikacji. Wpis tajny będzie używany przez aplikację do wymiany kodu autoryzacji dla tokenu dostępu.

Rejestracje aplikacji

1. Na stronie Azure AD B2C — Rejestracje aplikacji wybierz utworzoną aplikację, na przykład webapp1.
2. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Wpisy tajne certyfikatów&.
3. Wybierz pozycję Nowy klucz tajny klienta.
4. Wprowadź opis wpisu tajnego klienta w polu Opis . Na przykład clientsecret1.
5. W obszarze Wygasa wybierz czas trwania, dla którego wpis tajny jest prawidłowy, a następnie wybierz pozycję Dodaj.
6. Zapisz wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy nie jest wyświetlana ponownie po opuszczeniu tej strony. Ta wartość jest używana jako wpis tajny aplikacji w kodzie aplikacji.

Aplikacje (starsza wersja)

1. Na stronie Azure AD B2C — Aplikacje wybierz utworzoną aplikację, na przykład webapp1.
2. Wybierz pozycję Klucze , a następnie wybierz pozycję Generuj klucz.
3. Wybierz pozycję Zapisz , aby wyświetlić klucz. Zanotuj wartość pola Klucz aplikacji. Ta wartość jest używana jako wpis tajny aplikacji w kodzie aplikacji.

Uwaga

W celach bezpieczeństwa można okresowo przerzucać wpis tajny aplikacji lub natychmiast w razie wystąpienia awarii. Każda aplikacja zintegrowana z usługą Azure AD B2C powinna być przygotowana do obsługi zdarzenia przerzucania wpisów tajnych, niezależnie od tego, jak często może wystąpić. Możesz ustawić dwa wpisy tajne aplikacji, co pozwala aplikacji na używanie starego wpisu tajnego podczas zdarzenia rotacji wpisów tajnych aplikacji. Aby dodać kolejny klucz tajny klienta, powtórz kroki opisane w tej sekcji.

Włączanie niejawnego udzielenia tokenu identyfikatora

Jeśli zarejestrujesz tę aplikację i skonfigurujesz ją w https://jwt.ms/ aplikacji na potrzeby testowania przepływu użytkownika lub zasad niestandardowych, musisz włączyć niejawny przepływ udzielania w rejestracji aplikacji:

1. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

2. W obszarze Niejawne udzielanie i przepływy hybrydowe zaznacz pola wyboru Tokeny dostępu (używane dla przepływów niejawnych) i Tokeny identyfikatorów (używane w przypadku przepływów niejawnych i hybrydowych).

3. Wybierz pozycję Zapisz.

Następne kroki

W tym artykule zawarto informacje na temat wykonywania następujących czynności:

• Rejestrowanie aplikacji internetowej
• Tworzenie wpisu tajnego klienta

Następnie dowiesz się, jak utworzyć przepływy użytkowników, aby umożliwić użytkownikom rejestrowanie się, logowanie i zarządzanie profilami.

Tworzenie przepływów użytkowników w usłudze Azure Active Directory B2C >