Samouczek: rejestrowanie aplikacji internetowej w usłudze Azure Active Directory B2C

Aby aplikacje mogły wchodzić w interakcje z usługą Azure Active Directory B2C (Azure AD B2C), muszą być zarejestrowane w dzierżawie, którą zarządzasz. W tym samouczku pokazano, jak zarejestrować aplikację internetową przy użyciu witryny Azure Portal.

"Aplikacja internetowa" odnosi się do tradycyjnej aplikacji internetowej, która wykonuje większość logiki aplikacji na serwerze. Mogą być tworzone przy użyciu struktur, takich jak ASP.NET Core, Spring (Java), Flask (Python) i Express (Node.js).

Ważne

Jeśli używasz aplikacji jednostronicowej ("SPA") zamiast tego (np. przy użyciu platformy Angular, Vue lub React), dowiedz się , jak zarejestrować aplikację jednostronicową.

Jeśli zamiast tego używasz aplikacji natywnej (np. iOS, Android, mobile & Desktop), dowiedz się , jak zarejestrować natywną aplikację kliencką.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Jeśli nie utworzono jeszcze własnej dzierżawy usługi Azure AD B2C, utwórz ją teraz. Możesz użyć istniejącej dzierżawy usługi Azure AD B2C.

Rejestrowanie aplikacji internetowej

Aby zarejestrować aplikację internetową w dzierżawie usługi Azure AD B2C, możesz użyć nowego ujednoliconego środowiska Rejestracje aplikacji lub starszego środowiska aplikacji (starsza wersja). Dowiedz się więcej na temat nowego środowiska.

Rejestracje aplikacji

1. Zaloguj się w witrynie Azure Portal.

2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.

3. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

4. Wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję Nowa rejestracja.

5. Wprowadź nazwę aplikacji. Na przykład webapp1.

6. W obszarze Obsługiwane typy kont wybierz Konta w dowolnym dostawcy tożsamości lub katalogu organizacyjnym (do uwierzytelniania użytkowników za pomocą przepływów użytkownika).

7. W obszarze Identyfikator URI przekierowania wybierz pozycję Sieć Web, a następnie wprowadź ciąg https://jwt.ms w polu tekstowym Adres URL.

   Identyfikator URI przekierowania to punkt końcowy, do którego użytkownik jest wysyłany przez serwer autoryzacji (w tym przypadku usługa Azure AD B2C) po zakończeniu interakcji z użytkownikiem oraz do którego jest wysyłany token dostępu lub kod autoryzacji po pomyślnym uwierzytelnieniu. W aplikacji produkcyjnej zazwyczaj jest to publicznie dostępny punkt końcowy, w którym aplikacja jest uruchomiona, na przykład https://contoso.com/auth-response. W celach testowych, takich jak w tym samouczku, można ustawić ją na , należącą do https://jwt.msfirmy Microsoft aplikację internetową, która wyświetla zdekodowana zawartość tokenu (zawartość tokenu nigdy nie opuszcza przeglądarki). Podczas tworzenia aplikacji możesz dodać punkt końcowy, w którym aplikacja nasłuchuje lokalnie, na przykład https://localhost:5000. W dowolnym momencie możesz dodawać i modyfikować identyfikatory URI przekierowania w zarejestrowanych aplikacjach.

   Następujące ograniczenia dotyczą identyfikatorów URI przekierowania:

   • Adres URL odpowiedzi musi zaczynać się od schematu https, chyba że używasz adresu URL przekierowania localhost.
   • W adresie URL odpowiedzi jest uwzględniana wielkość liter. Jego wielkość liter musi być zgodna ze wielkością ścieżki adresu URL uruchomionej aplikacji. Jeśli na przykład aplikacja zawiera jako część ścieżki .../abc/response-oidc, nie należy określać .../ABC/response-oidc w adresie URL odpowiedzi. Ponieważ przeglądarka internetowa traktuje ścieżki jako wrażliwe na wielkość liter, pliki cookie skojarzone z usługą .../abc/response-oidc mogą zostać wykluczone w przypadku przekierowania do niezgodnego .../ABC/response-oidc adresu URL.
   • Adres URL odpowiedzi powinien zawierać lub wykluczyć ukośnik końcowy w miarę oczekiwania aplikacji. Na przykład https://contoso.com/auth-response i https://contoso.com/auth-response/ może być traktowana jako niezgodne adresy URL w aplikacji.

8. W obszarze Uprawnienia zaznacz pole wyboru Udziel zgody administratora na otwieranie i offline_access uprawnienia .

9. Wybierz opcję Zarejestruj.

Aplikacje (starsza wersja)

1. Zaloguj się w witrynie Azure Portal.

2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.

3. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

4. Wybierz pozycję Aplikacje (starsza wersja), a następnie wybierz pozycję Dodaj.

5. Wprowadź nazwę aplikacji. Na przykład webapp1.

6. W polu Uwzględnij aplikację internetową/internetowy interfejs API wybierz pozycję Tak.

7. Dla pozycji Adres URL odpowiedzi wprowadź punkt końcowy, w którym usługa Azure AD B2C powinna zwracać wszelkie tokeny żądane przez Twoją aplikację. Można na przykład ustawić go tak, aby nasłuchiwać lokalnie pod adresem http://localhost:5000. W dowolnym momencie możesz dodawać i modyfikować identyfikatory URI przekierowania w zarejestrowanych aplikacjach.

   Następujące ograniczenia dotyczą identyfikatorów URI przekierowania:

   • Adres URL odpowiedzi musi zaczynać się od schematu https, chyba że jest używany .localhost
   • W adresie URL odpowiedzi jest uwzględniana wielkość liter. Jego wielkość liter musi być zgodna ze wielkością ścieżki adresu URL uruchomionej aplikacji. Jeśli na przykład aplikacja zawiera jako część ścieżki .../abc/response-oidc, nie należy określać .../ABC/response-oidc w adresie URL odpowiedzi. Ponieważ przeglądarka internetowa traktuje ścieżki jako wrażliwe na wielkość liter, pliki cookie skojarzone z usługą .../abc/response-oidc mogą zostać wykluczone w przypadku przekierowania do niezgodnego .../ABC/response-oidc adresu URL.
   • Adres URL odpowiedzi powinien zawierać lub wykluczyć ukośnik końcowy w miarę oczekiwania aplikacji. Na przykład https://contoso.com/auth-response i https://contoso.com/auth-response/ może być traktowana jako niezgodne adresy URL w aplikacji.

8. Wybierz pozycję Utwórz , aby ukończyć rejestrację aplikacji.

Napiwek

Jeśli nie widzisz aplikacji utworzonych w Rejestracje aplikacji, odśwież portal.

Tworzenie wpisu tajnego klienta

W przypadku aplikacji internetowej należy utworzyć wpis tajny aplikacji. Wpis tajny klienta jest również nazywany hasłem aplikacji. Wpis tajny będzie używany przez aplikację do wymiany kodu autoryzacji dla tokenu dostępu.

Rejestracje aplikacji

1. Na stronie Azure AD B2C — Rejestracje aplikacji wybierz utworzoną aplikację, na przykład webapp1.
2. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Wpisy tajne certyfikatów&.
3. Wybierz Nowy klucz tajny klienta.
4. Wprowadź opis wpisu tajnego klienta w polu Opis . Na przykład clientsecret1.
5. W obszarze Wygasa wybierz czas trwania, dla którego wpis tajny jest prawidłowy, a następnie wybierz pozycję Dodaj.
6. Zapisz wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy nie jest wyświetlana ponownie po opuszczeniu tej strony. Ta wartość jest używana jako wpis tajny aplikacji w kodzie aplikacji.

Aplikacje (starsza wersja)

1. Na stronie Azure AD B2C — Aplikacje wybierz utworzoną aplikację, na przykład webapp1.
2. Wybierz pozycję Klucze , a następnie wybierz pozycję Generuj klucz.
3. Wybierz pozycję Zapisz , aby wyświetlić klucz. Zanotuj wartość pola Klucz aplikacji. Ta wartość jest używana jako wpis tajny aplikacji w kodzie aplikacji.

Uwaga

W celach bezpieczeństwa można okresowo przerzucać wpis tajny aplikacji lub natychmiast w razie awarii. Każda aplikacja zintegrowana z usługą Azure AD B2C powinna być przygotowana do obsługi zdarzenia przerzucania wpisów tajnych, niezależnie od tego, jak często może wystąpić. Możesz ustawić dwa wpisy tajne aplikacji, dzięki czemu aplikacja będzie nadal używać starego wpisu tajnego podczas zdarzenia rotacji wpisów tajnych aplikacji. Aby dodać kolejny klucz tajny klienta, powtórz kroki opisane w tej sekcji.

Włącz niejawne udzielanie tokenu identyfikatora

Jeśli zarejestrujesz tę aplikację i skonfigurujesz ją przy https://jwt.ms/ użyciu aplikacji na potrzeby testowania przepływu użytkownika lub zasad niestandardowych, musisz włączyć niejawny przepływ udzielania w rejestracji aplikacji:

1. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.

2. W obszarze Niejawne udzielanie i przepływy hybrydowe zaznacz pola wyboru Tokeny dostępu (używane dla przepływów niejawnych) i Tokeny identyfikatorów (używane w przypadku przepływów niejawnych i hybrydowych).

3. Wybierz pozycję Zapisz.

Następne kroki

W tym artykule zawarto informacje na temat wykonywania następujących czynności:

• Rejestrowanie aplikacji internetowej
• Tworzenie wpisu tajnego klienta

Dowiedz się, jak tworzyć przepływy użytkowników w usłudze Azure Active Directory B2C