Tożsamość zewnętrzna Microsoft Entra umożliwia organizacji zarządzanie tożsamościami klientów i bezpieczne kontrolowanie dostępu do publicznych aplikacji i interfejsów API. Aplikacje, w których klienci mogą kupować produkty, subskrybować usługi lub uzyskiwać dostęp do ich konta i danych. Klienci muszą zalogować się tylko raz na urządzeniu lub w przeglądarce internetowej i mieć dostęp do wszystkich aplikacji, którym udzielono im uprawnień.
Aby umożliwić aplikacji logowanie się przy użyciu identyfikatora zewnętrznego, musisz zarejestrować aplikację przy użyciu identyfikatora zewnętrznego. Rejestracja aplikacji ustanawia relację zaufania między aplikacją a identyfikatorem zewnętrznym.
Podczas rejestracji aplikacji należy określić identyfikator URI przekierowania. Identyfikator URI przekierowania to punkt końcowy, do którego użytkownicy są przekierowywani za pomocą identyfikatora zewnętrznego po uwierzytelnieniu. Proces rejestracji aplikacji generuje identyfikator aplikacji, znany również jako identyfikator klienta, który jednoznacznie identyfikuje twoją aplikację.
Identyfikator zewnętrzny obsługuje uwierzytelnianie dla różnych nowoczesnych architektur aplikacji, na przykład aplikacji internetowej lub aplikacji jednostronicowej. Interakcja każdego typu aplikacji z dzierżawą zewnętrzną jest inna, dlatego należy określić typ aplikacji, którą chcesz zarejestrować.
Z tego artykułu dowiesz się, jak zarejestrować aplikację w dzierżawie zewnętrznej.
Rejestrowanie aplikacji jednostronicowej
Identyfikator zewnętrzny obsługuje uwierzytelnianie dla aplikacji jednostronicowych (SPA).
W poniższych krokach pokazano, jak zarejestrować spa w centrum administracyjnym firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony
Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz pozycję + Nowa rejestracja.
Na wyświetlonej stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:
W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji wyświetlaną użytkownikom aplikacji, na przykład ciam-client-app.
W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
W obszarze Identyfikator URI przekierowania (opcjonalnie) wybierz pozycję Aplikacja jednostronicowa (SPA), a następnie w polu Adres URL wprowadź .http://localhost:3000/
Wybierz pozycję Zarejestruj.
Po zakończeniu rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zapisz identyfikator katalogu (dzierżawy) i identyfikator aplikacji (klienta) do użycia w kodzie źródłowym aplikacji.
Informacje o identyfikatorze URI przekierowania
Identyfikator URI przekierowania to punkt końcowy, do którego użytkownik jest wysyłany przez serwer autoryzacji (w tym przypadku microsoft Entra ID) po zakończeniu interakcji z użytkownikiem oraz do którego jest wysyłany token dostępu lub kod autoryzacji po pomyślnej autoryzacji.
W aplikacji produkcyjnej zazwyczaj jest to publicznie dostępny punkt końcowy, w którym aplikacja jest uruchomiona, na przykład https://contoso.com/auth-response.
Podczas tworzenia aplikacji możesz dodać punkt końcowy, w którym aplikacja nasłuchuje lokalnie, na przykład http://localhost:3000. W dowolnym momencie możesz dodawać i modyfikować identyfikatory URI przekierowania w zarejestrowanych aplikacjach.
Następujące ograniczenia dotyczą identyfikatorów URI przekierowania:
Adres URL odpowiedzi musi zaczynać się od schematu https, chyba że używasz adresu URL przekierowania localhost.
W adresie URL odpowiedzi jest uwzględniana wielkość liter. Jego wielkość liter musi być zgodna ze wielkością ścieżki adresu URL uruchomionej aplikacji. Jeśli na przykład aplikacja zawiera jako część ścieżki .../abc/response-oidc, nie należy określać .../ABC/response-oidc w adresie URL odpowiedzi. Ponieważ przeglądarka internetowa traktuje ścieżki jako wrażliwe na wielkość liter, pliki cookie skojarzone z usługą .../abc/response-oidc mogą zostać wykluczone w przypadku przekierowania do niezgodnego .../ABC/response-oidc adresu URL.
Adres URL odpowiedzi powinien zawierać lub wykluczyć ukośnik końcowy w miarę oczekiwania aplikacji. Na przykład https://contoso.com/auth-response i https://contoso.com/auth-response/ może być traktowana jako niezgodne adresy URL w aplikacji.
Udzielanie delegowanych uprawnień
Ta aplikacja loguje użytkowników. Możesz dodać do niego delegowane uprawnienia, wykonując poniższe kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft.
W sekcji Często używane interfejsy API firmy Microsoft wybierz pozycję Microsoft Graph.
Wybierz opcję Delegowane uprawnienia .
W sekcji Wybierz uprawnienia wyszukaj i wybierz zarówno uprawnienia openid , jak i offline_access .
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ dzierżawa jest dzierżawą klienta, użytkownicy odbiorcy sami nie mogą wyrazić zgody na te uprawnienia. Administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
- Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
- Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu zakresów jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Udziel uprawnień interfejsu API (opcjonalnie):
Jeśli SPA musi wywołać interfejs API, musisz przyznać swoje uprawnienia interfejsu API SPA, aby mógł wywołać interfejs API. Musisz również zarejestrować internetowy interfejs API , który należy wywołać.
Aby udzielić aplikacji klienckiej (ciam-client-app) uprawnień interfejsu API, wykonaj następujące kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft.
W sekcji Często używane interfejsy API firmy Microsoft wybierz pozycję Microsoft Graph.
Wybierz opcję Delegowane uprawnienia .
W sekcji Wybierz uprawnienia wyszukaj i wybierz zarówno uprawnienia openid , jak i offline_access .
Wybierz przycisk Dodaj uprawnienia .
W obszarze Skonfigurowane uprawnienia wybierz ponownie pozycję Dodaj uprawnienie .
Wybierz kartę Interfejsy API używane przez moją organizację.
Na liście interfejsów API wybierz interfejs API, taki jak ciam-ToDoList-api.
Wybierz opcję Delegowane uprawnienia .
Z listy uprawnień wybierz pozycję ToDoList.Read, ToDoList.ReadWrite (w razie potrzeby użyj pola wyszukiwania).
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ dzierżawa jest dzierżawą klienta, użytkownicy odbiorcy sami nie mogą wyrazić zgody na te uprawnienia. Aby rozwiązać ten problem, administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu zakresów jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Z listy Skonfigurowane uprawnienia wybierz uprawnienia ToDoList.Read i ToDoList.ReadWrite, pojedynczo, a następnie skopiuj pełny identyfikator URI uprawnienia do późniejszego użycia. Pełny identyfikator URI uprawnień wygląda podobnie do api://{clientId}/{ToDoList.Read} lub api://{clientId}/{ToDoList.ReadWrite}.
Jeśli chcesz dowiedzieć się, jak uwidocznić uprawnienia, dodając link, przejdź do sekcji Internetowy interfejs API .
Rejestrowanie aplikacji internetowej
Identyfikator zewnętrzny obsługuje uwierzytelnianie dla aplikacji internetowych.
W poniższych krokach pokazano, jak zarejestrować aplikację internetową w centrum administracyjnym firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz pozycję + Nowa rejestracja.
Na wyświetlonej stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:
W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji wyświetlaną użytkownikom aplikacji, na przykład ciam-client-app.
W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
W obszarze Identyfikator URI przekierowania (opcjonalnie) wybierz pozycję Sieć Web , a następnie w polu Adres URL wprowadź adres URL, taki jak http://localhost:3000/.
Wybierz pozycję Zarejestruj.
Po zakończeniu rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zapisz identyfikator katalogu (dzierżawy) i identyfikator aplikacji (klienta) do użycia w kodzie źródłowym aplikacji.
Informacje o identyfikatorze URI przekierowania
Identyfikator URI przekierowania to punkt końcowy, do którego użytkownik jest wysyłany przez serwer autoryzacji (w tym przypadku microsoft Entra ID) po zakończeniu interakcji z użytkownikiem oraz do którego jest wysyłany token dostępu lub kod autoryzacji po pomyślnej autoryzacji.
W aplikacji produkcyjnej zazwyczaj jest to publicznie dostępny punkt końcowy, w którym aplikacja jest uruchomiona, na przykład https://contoso.com/auth-response.
Podczas tworzenia aplikacji możesz dodać punkt końcowy, w którym aplikacja nasłuchuje lokalnie, na przykład http://localhost:3000. W dowolnym momencie możesz dodawać i modyfikować identyfikatory URI przekierowania w zarejestrowanych aplikacjach.
Następujące ograniczenia dotyczą identyfikatorów URI przekierowania:
Adres URL odpowiedzi musi zaczynać się od schematu https, chyba że używasz adresu URL przekierowania localhost.
W adresie URL odpowiedzi jest uwzględniana wielkość liter. Jego wielkość liter musi być zgodna ze wielkością ścieżki adresu URL uruchomionej aplikacji. Jeśli na przykład aplikacja zawiera jako część ścieżki .../abc/response-oidc, nie należy określać .../ABC/response-oidc w adresie URL odpowiedzi. Ponieważ przeglądarka internetowa traktuje ścieżki jako wrażliwe na wielkość liter, pliki cookie skojarzone z usługą .../abc/response-oidc mogą zostać wykluczone w przypadku przekierowania do niezgodnego .../ABC/response-oidc adresu URL.
Adres URL odpowiedzi powinien zawierać lub wykluczyć ukośnik końcowy w miarę oczekiwania aplikacji. Na przykład https://contoso.com/auth-response i https://contoso.com/auth-response/ może być traktowana jako niezgodne adresy URL w aplikacji.
Dodawanie delegowanych uprawnień
Ta aplikacja loguje użytkowników. Możesz dodać do niego delegowane uprawnienia, wykonując poniższe kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft.
W sekcji Często używane interfejsy API firmy Microsoft wybierz pozycję Microsoft Graph.
Wybierz opcję Delegowane uprawnienia .
W sekcji Wybierz uprawnienia wyszukaj i wybierz zarówno uprawnienia openid , jak i offline_access .
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ dzierżawa jest dzierżawą klienta, użytkownicy odbiorcy sami nie mogą wyrazić zgody na te uprawnienia. Administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
- Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
- Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu zakresów jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Tworzenie wpisu tajnego klienta
Utwórz klucz tajny klienta dla zarejestrowanej aplikacji. Aplikacja używa wpisu tajnego klienta, aby udowodnić swoją tożsamość, gdy żąda tokenów.
- Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
- W obszarze Zarządzanie wybierz pozycję Certyfikaty i wpisy tajne.
- Wybierz Nowy klucz tajny klienta.
- W polu Opis wprowadź opis wpisu tajnego klienta (na przykład wpis tajny klienta aplikacji ciam).
- W obszarze Wygasa wybierz czas trwania, dla którego wpis tajny jest prawidłowy (zgodnie z regułami zabezpieczeń organizacji), a następnie wybierz pozycję Dodaj.
- Zarejestruj wartość wpisu tajnego. Użyjesz tej wartości do konfiguracji w późniejszym kroku. Wartość wpisu tajnego nie zostanie ponownie wyświetlona i nie będzie pobierana w żaden sposób po przejściu z obszaru Certyfikaty i wpisy tajne. Upewnij się, że został on zarejestrowany.
Udzielanie uprawnień interfejsu API (opcjonalnie)
Jeśli aplikacja internetowa musi wywołać interfejs API, musisz udzielić uprawnień interfejsu API aplikacji internetowej, aby mogła wywołać interfejs API. Musisz również zarejestrować internetowy interfejs API , który należy wywołać.
Aby udzielić aplikacji klienckiej (ciam-client-app) uprawnień interfejsu API, wykonaj następujące kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft.
W sekcji Często używane interfejsy API firmy Microsoft wybierz pozycję Microsoft Graph.
Wybierz opcję Delegowane uprawnienia .
W sekcji Wybierz uprawnienia wyszukaj i wybierz zarówno uprawnienia openid , jak i offline_access .
Wybierz przycisk Dodaj uprawnienia .
W obszarze Skonfigurowane uprawnienia wybierz ponownie pozycję Dodaj uprawnienie .
Wybierz kartę Interfejsy API używane przez moją organizację.
Na liście interfejsów API wybierz interfejs API, taki jak ciam-ToDoList-api.
Wybierz opcję Delegowane uprawnienia .
Z listy uprawnień wybierz pozycję ToDoList.Read, ToDoList.ReadWrite (w razie potrzeby użyj pola wyszukiwania).
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ dzierżawa jest dzierżawą klienta, użytkownicy odbiorcy sami nie mogą wyrazić zgody na te uprawnienia. Aby rozwiązać ten problem, administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu zakresów jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Z listy Skonfigurowane uprawnienia wybierz uprawnienia ToDoList.Read i ToDoList.ReadWrite, pojedynczo, a następnie skopiuj pełny identyfikator URI uprawnienia do późniejszego użycia. Pełny identyfikator URI uprawnień wygląda podobnie do api://{clientId}/{ToDoList.Read} lub api://{clientId}/{ToDoList.ReadWrite}.
Rejestrowanie internetowego interfejsu API
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz pozycję + Nowa rejestracja.
Na wyświetlonej stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:
W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji, która będzie wyświetlana użytkownikom aplikacji, na przykład ciam-ToDoList-api.
W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
Wybierz pozycję Zarejestruj, aby utworzyć aplikację.
Po zakończeniu rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zapisz identyfikator katalogu (dzierżawy) i identyfikator aplikacji (klienta) do użycia w kodzie źródłowym aplikacji.
Uwidaczniaj uprawnienia
Interfejs API musi opublikować co najmniej jeden zakres, nazywany również uprawnieniem delegowanym, aby aplikacje klienckie pomyślnie uzyskały token dostępu dla użytkownika. Aby opublikować zakres, wykonaj następujące kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację interfejsu API (ciam-ToDoList-api), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uwidaczniaj interfejs API.
W górnej części strony obok pozycji Identyfikator URI identyfikatora aplikacji wybierz link Dodaj , aby wygenerować identyfikator URI unikatowy dla tej aplikacji.
Zaakceptuj proponowany identyfikator URI identyfikatora aplikacji, taki jak api://{clientId}, i wybierz pozycję Zapisz. Gdy aplikacja internetowa żąda tokenu dostępu dla internetowego interfejsu API, dodaje identyfikator URI jako prefiks dla każdego zakresu zdefiniowanego dla interfejsu API.
W obszarze Zakresy zdefiniowane przez ten interfejs API wybierz pozycję Dodaj zakres.
Wprowadź następujące wartości, które definiują dostęp do odczytu do interfejsu API, a następnie wybierz pozycję Dodaj zakres , aby zapisać zmiany:
| Właściwości |
Wartość |
| Nazwa zakresu |
ToDoList.Read |
| Kto może wyrazić zgodę |
tylko Administracja |
| Zgodę administratora wyświetlana nazwa |
Odczytywanie listy zadań do wykonania użytkowników przy użyciu listy "TodoListApi" |
| Opis zgody administratora |
Zezwól aplikacji na odczytywanie listy zadań do wykonania użytkownika przy użyciu listy "TodoListApi". |
| Stan |
Włączono |
Ponownie wybierz pozycję Dodaj zakres i wprowadź następujące wartości, które definiują zakres dostępu do odczytu i zapisu w interfejsie API. Wybierz pozycję Dodaj zakres , aby zapisać zmiany:
| Właściwości |
Wartość |
| Nazwa zakresu |
ToDoList.ReadWrite |
| Kto może wyrazić zgodę |
tylko Administracja |
| Zgodę administratora wyświetlana nazwa |
Odczytywanie i zapisywanie listy zadań do wykonania użytkowników przy użyciu listy "ToDoListApi" |
| Opis zgody administratora |
Zezwalaj aplikacji na odczytywanie i zapisywanie listy zadań do wykonania użytkownika przy użyciu listy "ToDoListApi" |
| Stan |
Włączono |
W obszarze Zarządzanie wybierz pozycję Manifest , aby otworzyć edytor manifestu interfejsu API.
Ustaw accessTokenAcceptedVersion właściwość na 2.
Wybierz pozycję Zapisz.
Dowiedz się więcej o zasadzie najniższych uprawnień podczas publikowania uprawnień dla internetowego interfejsu API.
Dodawanie ról aplikacji
Interfejs API musi opublikować co najmniej jedną rolę aplikacji dla aplikacji, nazywanych również uprawnieniem aplikacji, aby aplikacje klienckie uzyskały token dostępu jako siebie. Uprawnienia aplikacji to typ uprawnień, które interfejsy API powinny publikować, gdy chcą umożliwić aplikacjom klienckim pomyślne uwierzytelnienie się jako siebie i nie trzeba logować użytkowników. Aby opublikować uprawnienie aplikacji, wykonaj następujące kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-ToDoList-api), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Role aplikacji.
Wybierz pozycję Utwórz rolę aplikacji, a następnie wprowadź następujące wartości, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:
| Właściwości |
Wartość |
| Display name |
ToDoList.Read.All |
| Dozwolone typy składowych |
Aplikacje |
| Wartość |
ToDoList.Read.All |
| opis |
Zezwalaj aplikacji na odczytywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "TodoListApi" |
Ponownie wybierz pozycję Utwórz rolę aplikacji, a następnie wprowadź następujące wartości dla drugiej roli aplikacji, a następnie wybierz pozycję Zastosuj , aby zapisać zmiany:
| Właściwości |
Wartość |
| Display name |
ToDoList.ReadWrite.All |
| Dozwolone typy składowych |
Aplikacje |
| Wartość |
ToDoList.ReadWrite.All |
| opis |
Zezwalaj aplikacji na odczytywanie i zapisywanie listy zadań do wykonania każdego użytkownika przy użyciu listy "ToDoListApi" |
Rejestrowanie aplikacji klasycznej lub mobilnej
W poniższych krokach pokazano, jak zarejestrować aplikację w centrum administracyjnym firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz pozycję + Nowa rejestracja.
Na wyświetlonej stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:
W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji wyświetlaną użytkownikom aplikacji, na przykład ciam-client-app.
W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
W obszarze Identyfikator URI przekierowania (opcjonalnie) wybierz opcję Aplikacje mobilne i klasyczne, a następnie w polu Adres URL wprowadź identyfikator URI z unikatowym schematem. Na przykład identyfikator URI przekierowania aplikacji klasycznej Electron wygląda mniej więcej tak, podczas gdy interfejs użytkownika aplikacji wieloplatformowej platformy .NET (MAUI) wygląda podobnie do http://localhostmsal{ClientId}://auth.
Wybierz pozycję Zarejestruj.
Po zakończeniu rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zapisz identyfikator katalogu (dzierżawy) i identyfikator aplikacji (klienta) do użycia w kodzie źródłowym aplikacji.
Dodawanie delegowanych uprawnień
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft.
W sekcji Często używane interfejsy API firmy Microsoft wybierz pozycję Microsoft Graph.
Wybierz opcję Delegowane uprawnienia .
W sekcji Wybierz uprawnienia wyszukaj i wybierz zarówno uprawnienia openid , jak i offline_access .
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ dzierżawa jest dzierżawą klienta, użytkownicy odbiorcy sami nie mogą wyrazić zgody na te uprawnienia. Administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
- Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
- Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu zakresów jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Udzielanie uprawnień interfejsu API (opcjonalnie)
Jeśli aplikacja mobilna musi wywołać interfejs API, musisz udzielić uprawnień interfejsu API aplikacji mobilnej, aby mogła wywołać interfejs API. Musisz również zarejestrować internetowy interfejs API , który należy wywołać.
Aby udzielić aplikacji klienckiej (ciam-client-app) uprawnień interfejsu API, wykonaj następujące kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft.
W sekcji Często używane interfejsy API firmy Microsoft wybierz pozycję Microsoft Graph.
Wybierz opcję Delegowane uprawnienia .
W sekcji Wybierz uprawnienia wyszukaj i wybierz zarówno uprawnienia openid , jak i offline_access .
Wybierz przycisk Dodaj uprawnienia .
W obszarze Skonfigurowane uprawnienia wybierz ponownie pozycję Dodaj uprawnienie .
Wybierz kartę Interfejsy API używane przez moją organizację.
Na liście interfejsów API wybierz interfejs API, taki jak ciam-ToDoList-api.
Wybierz opcję Delegowane uprawnienia .
Z listy uprawnień wybierz pozycję ToDoList.Read, ToDoList.ReadWrite (w razie potrzeby użyj pola wyszukiwania).
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ dzierżawa jest dzierżawą klienta, użytkownicy odbiorcy sami nie mogą wyrazić zgody na te uprawnienia. Aby rozwiązać ten problem, administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu zakresów jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Z listy Skonfigurowane uprawnienia wybierz uprawnienia ToDoList.Read i ToDoList.ReadWrite, pojedynczo, a następnie skopiuj pełny identyfikator URI uprawnienia do późniejszego użycia. Pełny identyfikator URI uprawnień wygląda podobnie do api://{clientId}/{ToDoList.Read} lub api://{clientId}/{ToDoList.ReadWrite}.
Rejestrowanie aplikacji demona
W poniższych krokach pokazano, jak zarejestrować aplikację demona w centrum administracyjnym firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz pozycję + Nowa rejestracja.
Na wyświetlonej stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:
W sekcji Nazwa wprowadź zrozumiałą nazwę aplikacji, która będzie wyświetlana użytkownikom aplikacji, na przykład ciam-client-app.
W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
Wybierz pozycję Zarejestruj.
Po zakończeniu rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zapisz identyfikator katalogu (dzierżawy) i identyfikator aplikacji (klienta) do użycia w kodzie źródłowym aplikacji.
Udzielanie uprawnień interfejsu API
Aplikacja demona loguje się jako sama przy użyciu przepływu poświadczeń klienta OAuth 2.0. Przyznajesz uprawnienia aplikacji (role aplikacji), które są wymagane przez aplikacje, które uwierzytelniają się jako siebie. Musisz również zarejestrować internetowy interfejs API , który musi wywołać aplikacja demona.
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację, na przykład ciam-client-app.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API używane przez moją organizację.
Na liście interfejsów API wybierz interfejs API, taki jak ciam-ToDoList-api.
Wybierz opcję Uprawnienia aplikacji. Wybieramy tę opcję, gdy aplikacja loguje się jako sama, a nie użytkownicy.
Z listy uprawnień wybierz pozycję TodoList.Read.All, ToDoList.ReadWrite.All (w razie potrzeby użyj pola wyszukiwania).
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ aplikacja demona nie zezwala użytkownikom na interakcję z nią, sami użytkownicy nie mogą wyrazić zgody na te uprawnienia. Aby rozwiązać ten problem, administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
- Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
- Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu uprawnień jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Rejestrowanie aplikacji interfejsu API programu Microsoft Graph
Aby umożliwić aplikacji logowanie użytkowników w usłudze Microsoft Entra, Tożsamość zewnętrzna Microsoft Entra należy pamiętać o tworzonej aplikacji. Rejestracja aplikacji ustanawia relację zaufania między aplikacją a firmą Microsoft Entra. Podczas rejestrowania aplikacji identyfikator zewnętrzny generuje unikatowy identyfikator znany jako identyfikator aplikacji (klienta) — wartość używana do identyfikowania aplikacji podczas tworzenia żądań uwierzytelniania.
W poniższych krokach pokazano, jak zarejestrować aplikację w centrum administracyjnym firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz pozycję + Nowa rejestracja.
Na wyświetlonej stronie Rejestrowanie aplikacji ;
- Wprowadź zrozumiałą nazwę aplikacji wyświetlaną użytkownikom aplikacji, na przykład ciam-client-app.
- W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
Wybierz pozycję Zarejestruj.
Po pomyślnej rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zarejestruj identyfikator aplikacji (klienta), który ma być używany w kodzie źródłowym aplikacji.
Udzielanie dostępu do interfejsu API aplikacji
Aby aplikacja mogła uzyskiwać dostęp do danych w interfejsie MICROSOFT Graph API, przyznaj zarejestrowanej aplikacji odpowiednie uprawnienia aplikacji. Skuteczne uprawnienia aplikacji to pełny poziom uprawnień implikowany przez uprawnienie. Aby na przykład utworzyć, odczytać, zaktualizować i usunąć każdego użytkownika w dzierżawie zewnętrznej, dodaj uprawnienie User.ReadWrite.All.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft, a następnie wybierz pozycję Microsoft Graph.
Wybierz Uprawnienia aplikacji.
Rozwiń odpowiednią grupę uprawnień i zaznacz pole wyboru uprawnienia, aby udzielić aplikacji do zarządzania. Na przykład:
User.ReadWrite.All>: w przypadku scenariuszy migracji użytkowników lub zarządzania użytkownikami.
Group Group.ReadWrite.All>: tworzenie grup, odczytywanie i aktualizowanie członkostwa w grupach oraz usuwanie grup.
AuditLog AuditLog.Read.All>: aby odczytać dzienniki inspekcji katalogu.
Policy.ReadWrite.TrustFramework>: w przypadku scenariuszy ciągłej integracji/ciągłego dostarczania (CI/CD). Na przykład wdrożenie zasad niestandardowych za pomocą usługi Azure Pipelines.
Wybierz Przyznaj uprawnienia. Zgodnie z zaleceniami poczekaj kilka minut, zanim przejdziesz do następnego kroku.
Wybierz pozycję Udziel zgody administratora (nazwa dzierżawy).
Jeśli obecnie nie zalogowano się, zaloguj się przy użyciu konta w dzierżawie zewnętrznej, do której przypisano co najmniej rolę Administracja istrator aplikacji w chmurze, a następnie wybierz pozycję Udziel zgody administratora (nazwa dzierżawy).
Wybierz pozycję Odśwież, a następnie sprawdź, czy wyrażenie "Przyznane dla ..." pojawi się w obszarze Stan. Propagacja uprawnień może potrwać kilka minut.
Po zarejestrowaniu aplikacji należy dodać klucz tajny klienta do aplikacji. Ten klucz tajny klienta będzie używany do uwierzytelniania aplikacji w celu wywołania interfejsu API programu Microsoft Graph.
Tworzenie wpisu tajnego klienta
Utwórz klucz tajny klienta dla zarejestrowanej aplikacji. Aplikacja używa wpisu tajnego klienta, aby udowodnić swoją tożsamość, gdy żąda tokenów.
- Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
- W obszarze Zarządzanie wybierz pozycję Certyfikaty i wpisy tajne.
- Wybierz Nowy klucz tajny klienta.
- W polu Opis wprowadź opis wpisu tajnego klienta (na przykład wpis tajny klienta aplikacji ciam).
- W obszarze Wygasa wybierz czas trwania, dla którego wpis tajny jest prawidłowy (zgodnie z regułami zabezpieczeń organizacji), a następnie wybierz pozycję Dodaj.
- Zarejestruj wartość wpisu tajnego. Użyjesz tej wartości do konfiguracji w późniejszym kroku. Wartość wpisu tajnego nie zostanie ponownie wyświetlona i nie będzie pobierana w żaden sposób po przejściu z obszaru Certyfikaty i wpisy tajne. Upewnij się, że został on zarejestrowany.
Rejestrowanie natywnej aplikacji uwierzytelniania
Aby umożliwić aplikacji logowanie użytkowników w usłudze Microsoft Entra, Tożsamość zewnętrzna Microsoft Entra należy pamiętać o tworzonej aplikacji. Rejestracja aplikacji ustanawia relację zaufania między aplikacją a firmą Microsoft Entra. Podczas rejestrowania aplikacji identyfikator zewnętrzny generuje unikatowy identyfikator znany jako identyfikator aplikacji (klienta) — wartość używana do identyfikowania aplikacji podczas tworzenia żądań uwierzytelniania.
W poniższych krokach pokazano, jak zarejestrować aplikację w centrum administracyjnym firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako deweloper aplikacji.
Jeśli masz dostęp do wielu dzierżaw, użyj ikonyUstawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej z menu Katalogi i subskrypcje.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
Wybierz pozycję + Nowa rejestracja.
Na wyświetlonej stronie Rejestrowanie aplikacji ;
- Wprowadź zrozumiałą nazwę aplikacji wyświetlaną użytkownikom aplikacji, na przykład ciam-client-app.
- W obszarze Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
Wybierz pozycję Zarejestruj.
Po pomyślnej rejestracji zostanie wyświetlone okienko Przegląd aplikacji. Zarejestruj identyfikator aplikacji (klienta), który ma być używany w kodzie źródłowym aplikacji.
Dodawanie delegowanych uprawnień
Ta aplikacja loguje użytkowników. Możesz dodać do niego delegowane uprawnienia, wykonując poniższe kroki:
Na stronie Rejestracje aplikacji wybierz utworzoną aplikację (np. ciam-client-app), aby otworzyć stronę Przegląd.
W obszarze Zarządzanie wybierz pozycję Uprawnienia interfejsu API.
W obszarze Skonfigurowane uprawnienia wybierz pozycję Dodaj uprawnienie.
Wybierz kartę Interfejsy API firmy Microsoft.
W sekcji Często używane interfejsy API firmy Microsoft wybierz pozycję Microsoft Graph.
Wybierz opcję Delegowane uprawnienia .
W sekcji Wybierz uprawnienia wyszukaj i wybierz zarówno uprawnienia openid , jak i offline_access .
Wybierz przycisk Dodaj uprawnienia.
W tym momencie przypisano uprawnienia poprawnie. Jednak ponieważ dzierżawa jest dzierżawą klienta, użytkownicy odbiorcy sami nie mogą wyrazić zgody na te uprawnienia. Administrator musi wyrazić zgodę na te uprawnienia w imieniu wszystkich użytkowników w dzierżawie:
- Wybierz pozycję Udziel zgody administratora dla <swojej nazwy> dzierżawy, a następnie wybierz pozycję Tak.
- Wybierz pozycję Odśwież, a następnie sprawdź, czy w obszarze Stan dla obu zakresów jest wyświetlana wartość Przyznane dla <nazwy> dzierżawy.
Włączanie przepływów uwierzytelniania publicznego klienta i natywnych
Aby określić, że ta aplikacja jest klientem publicznym i może używać uwierzytelniania natywnego, włącz przepływy uwierzytelniania publicznego i natywnego klienta:
- Na stronie rejestracje aplikacji wybierz rejestrację aplikacji, dla której chcesz włączyć przepływy uwierzytelniania publicznego klienta i natywnego uwierzytelniania.
- W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.
- W obszarze Ustawienia zaawansowane zezwalaj na przepływy klientów publicznych:
- W obszarze Włącz następujące przepływy mobilne i klasyczne wybierz pozycję Tak.
- W obszarze Włącz uwierzytelnianie natywne wybierz pozycję Tak.
- Wybierz przycisk Zapisz .
Po zarejestrowaniu nowej aplikacji można znaleźć identyfikator aplikacji (klienta) z przeglądu w centrum administracyjnym firmy Microsoft Entra.
Dzierżawcy siły roboczej — dzierżawcy zewnętrzni 
(dowiedz się więcej)
