Настройка приложения вкладки в Идентификаторе Microsoft Entra

Идентификатор Microsoft Entra предоставляет доступ к приложению вкладки на основе удостоверения Teams пользователя приложения. Зарегистрируйте приложение вкладки с идентификатором Microsoft Entra, чтобы пользователь приложения, вошедший в Teams, получил доступ к приложению вкладки.

Включение единого входа в Microsoft Entra ID

Чтобы зарегистрировать приложение вкладки в Microsoft Entra ID и включить его для единого входа, необходимо создать конфигурацию приложения, например создать идентификатор приложения, определить область API и предварительно авторизовать идентификаторы клиентов для доверенных приложений.

Создайте регистрацию приложения в Microsoft Entra ID и предоставьте его (веб-) API с помощью областей (разрешений). Настройте отношение доверия между предоставляемым API в Идентификаторе Microsoft Entra и приложением. Это позволяет клиенту Teams получить маркер доступа от имени приложения и вошедшего в систему пользователя. Вы можете добавить идентификаторы клиентов для доверенных мобильных, настольных и веб-приложений, которые требуется предварительно авторизовать.

Вам также может потребоваться настроить другие сведения, например проверку подлинности пользователей приложения на платформе или устройстве, на котором вы хотите нацелиться на приложение вкладки.

Поддерживаются разрешения API Graph на уровне пользователя, то есть электронная почта, профиль, offline_access и OpenId. Если требуется доступ к другим областям Graph, например User.Read или Mail.Read, см. статью Получение маркера доступа с разрешениями Graph.

Конфигурация Microsoft Entra включает единый вход для приложения вкладки в Teams. Он отвечает маркером доступа для проверки пользователя приложения.

Перед настройкой приложения

Полезно, если вы заранее узнаете о конфигурации для регистрации приложения в Microsoft Entra ID. Перед регистрацией приложения убедитесь, что вы подготовили следующие данные:

• Одиночный или мультитенантный вариант. Будет ли ваше приложение использоваться только в клиенте Microsoft 365, где оно зарегистрировано, или многие клиенты Microsoft 365 будут использовать его? Приложения, написанные для одного предприятия, обычно являются однотенантными. Приложения, написанные независимым поставщиком программного обеспечения и используемые многими клиентами, должны быть мультитенантными, чтобы каждый клиент клиента смог получить доступ к приложению.
• URI идентификатора приложения — это глобально уникальный URI, идентифицирующий веб-API, который вы предоставляете для доступа своего приложения через области. Его также называют идентификатором URI. URI идентификатора приложения включает идентификатор приложения и поддомен, на котором размещено это приложение. Доменное имя приложения и доменное имя, зарегистрированное в приложении Microsoft Entra, должны быть одинаковыми. Несколько доменов на приложение не поддерживаются.
• Область — это разрешение, которое может быть предоставлено авторизованному пользователю приложения или вашему приложению для доступа к ресурсу, предоставляемому API.

Примечание.

• Пользовательские приложения, созданные для вашей организации (бизнес-приложения). Пользовательские приложения, созданные для вашей организации (бизнес-приложения), являются внутренними или конкретными в вашей организации или организации. Ваша организация может сделать эти приложения доступными в Microsoft Store.
• Клиентские приложения: единый вход также поддерживается для клиентских приложений в клиентах Azure AD B2C.

Чтобы создать и настроить приложение в Microsoft Entra ID для включения единого входа, выполните следующие действия.

• Настройте область для маркера доступа.
• Настройте версию маркера доступа.

Настройка приложения в Microsoft Entra ID

Вы можете настроить приложение вкладки в Идентификаторе Microsoft Entra, чтобы настроить область и разрешения для маркеров доступа.

Зарегистрируйте приложение в Microsoft Entra ID и настройте клиент и платформу приложения, прежде чем включить его для единого входа. Microsoft Entra ID создает новый идентификатор приложения, который необходимо заметить. Его необходимо обновить позже в файле манифеста приложения (ранее — манифест приложения Teams).

Примечание.

Microsoft Teams Toolkit регистрирует приложение Microsoft Entra в проекте единого входа. Этот раздел можно пропустить, если вы использовали Teams Toolkit для создания приложения. Однако необходимо настроить разрешения и область, а также доверять клиентским приложениям.

Узнайте, как зарегистрировать приложение в Microsoft Entra ID

Регистрация нового приложения в Идентификаторе Microsoft Entra

1. Откройте портал Azure в веб-браузере.

2. Выберите значок регистрации приложений.

   

   Появится страница регистрации приложений.

3. Выберите значок + Новая регистрация.

   

   Появится страница Регистрация приложения.

4. Введите имя своего приложения, которое вы хотите отобразить для пользователя приложения. Вы можете изменить имя на более позднем этапе, если захотите.

   

5. Выберите тип учетной записи пользователя, которая может получить доступ к этому приложению. Вы можете выбрать один или мультитенантный вариант в каталогах организации или ограничить доступ только личными учетными записями Майкрософт.

   Параметры для поддерживаемых типов учетных записей

   Параметр	Выберите это, чтобы...
   Только учетные записи в этом каталоге организации (только Майкрософт — один клиент)	Создайте приложение для использования только пользователями (или гостями) в вашем клиенте. Это приложение, часто называемое пользовательским приложением, созданным для вашей организации (бизнес-приложение), является приложением с одним клиентом на платформе удостоверений Майкрософт.
   Учетные записи в любом каталоге организации (любой клиент Идентификатора Microsoft Entra — мультитенантный)	Разрешите пользователям в любом клиенте Microsoft Entra использовать ваше приложение. Этот вариант подходит, например, если вы создаете приложение SaaS и планируете сделать его доступным для нескольких организаций. Этот тип приложения называется мультитенантным приложением на платформе удостоверений Майкрософт.
   Учетные записи в любом каталоге организации (любой клиент Microsoft Entra ID — multitenant) и личные учетные записи Майкрософт (например, Skype, Xbox)	Нацелить на самый широкий круг клиентов. Выбрав этот параметр, вы регистрируете мультитенантное приложение, которое может поддерживать пользователей приложений с личными учетными записями Майкрософт.
   Только личные учетные записи Майкрософт	Создавайте приложение только для пользователей, у которых есть личные учетные записи Microsoft.

   Примечание.

   Вам не нужно вводить URI перенаправления для включения единого входа для приложения вкладки.

6. Нажмите Зарегистрировать. В браузере появится сообщение о том, что приложение создано.

   

   Отобразится страница с идентификатором приложения и другими конфигурациями.

   

7. Запишите и сохраните идентификатор приложения из идентификатора приложения (клиента), чтобы позже обновить манифест приложения.

   Ваше приложение зарегистрировано в Идентификаторе Microsoft Entra. Теперь у вас есть идентификатор приложения вкладки.

Настройка области для маркера доступа

После создания новой регистрации приложения настройте параметры области (разрешения) для отправки маркера доступа в клиент Teams и авторизации доверенных клиентских приложений для включения единого входа.

Чтобы настроить область и авторизовать доверенные клиентские приложения, вам потребуется следующее:

• Чтобы предоставить API, настройте параметры области (разрешений) для своего приложения. Предоставление веб-API и настройка URI идентификатора приложения.
• Чтобы настроить область API, определите область для API и пользователей, которые могут дать согласие на область действия. Вы можете позволить только администраторам давать согласие на более привилегированные разрешения.
• Настройка авторизованного клиентского приложения: создайте авторизованные идентификаторы клиентов для приложений, которые требуется предварительно авторизовать. Это позволяет пользователю приложения получать доступ к настроенным вами областям приложения (разрешениям) без дополнительного согласия. Предварительная проверка подлинности только тех клиентских приложений, которым вы доверяете, так как пользователи приложения не будут иметь возможность отклонить согласие.

Чтобы предоставить API

1. Выберите Управление>Предоставить API на панели слева.

   

   Появится страница Предоставление API.

2. Выберите Добавить , чтобы создать URI идентификатора api://{AppID}приложения в формате .

   

   Появится раздел для настройки идентификатора приложения URI.

3. Введите URI идентификатора приложения в формате, описанном здесь.

   

   • URI идентификатора приложения заполняется идентификатором приложения (GUID) в формате api://{AppID}.
   • Формат URI идентификатора приложения должен иметь следующий формат: api://fully-qualified-domain-name.com/{AppID}.
   • Вставьте между fully-qualified-domain-name.com и {AppID}api:// (то есть GUID). Например, api://example.com/{AppID}.

   где

   • fully-qualified-domain-name.com — это удобочитаемое доменное имя, из которого обслуживается ваше приложение для вкладок. Доменное имя приложения и доменное имя, зарегистрированное в приложении Microsoft Entra, должны быть одинаковыми.

     Если вы используете службу туннелирования, такую ​​как ngrok, вы должны обновлять это значение при каждом изменении вашего поддомена ngrok.

   • AppID — это идентификатор приложения (GUID), созданный при регистрации приложения. Вы можете просмотреть его в разделе Обзор.

   Важно!

   • Конфиденциальные сведения. URI идентификатора приложения регистрируется в процессе проверки подлинности и не должен содержать конфиденциальную информацию.

   • URI идентификатора приложения для приложения с несколькими возможностями. Если вы создаете приложение с помощью бота, расширения для обмена сообщениями и вкладки, введите URI идентификатора приложения как api://fully-qualified-domain-name.com/botid-{YourClientId}, где {YourClientId} — это идентификатор приложения бота.

   • Формат доменного имени: используйте строчные буквы для доменного имени. Не используйте верхний регистр.

     Например, чтобы создать службу приложений или веб-приложение с именем ресурса, demoapplicationвыполните :

     Если используется базовое имя ресурса	URL-адрес будет...	Формат поддерживается на...
     demoapplication	https://demoapplication.example.net	Все платформы
     DemoApplication	https://DemoApplication.example.net	Только для компьютеров, Интернета и iOS. Он не поддерживается в Android.

     Используйте параметр demoapplication в нижнем регистре в качестве базового имени ресурса.

4. Нажмите кнопку Сохранить.

   В браузере появляется всплывающее сообщение о том, что идентификатор URI идентификатора приложения был обновлен.

   

   URI идентификатора приложения отображается на странице.

   

5. Запишите и сохраните URI идентификатора приложения, чтобы позже обновить манифест приложения.

Чтобы настроить область действия API

1. Выберите + Добавить область в разделе Области, определенные этим API.

   

   Появится страница Добавление области.

2. Введите данные для конфигурации области действия.

   

   1. Введите имя области. Это поле является обязательным.
   2. Выберите пользователя, который может дать согласие на эту область. Параметр по умолчанию — Только для администраторов.
   3. Введите отображаемое имя согласия администратора. Это поле является обязательным.
   4. Введите описание для согласия администратора. Это поле является обязательным.
   5. Введите отображаемое имя согласия пользователя.
   6. Введите описание для описания согласия пользователя.
   7. Выберите параметр Включено для состояния.
   8. Нажмите Добавить область.

   В браузере появится сообщение о том, что область добавлена.

   

   Новая область, которую вы определили, отобразится на странице.

   

Настройка авторизованного клиентского приложения

1. Перейдите на страницу Предоставление API в раздел авторизованного клиентского приложения и выберите + Добавить клиентское приложение.

   

   Появится страница Добавление клиентского приложения.

2. Введите соответствующий идентификатор клиента Microsoft 365 для приложений, которые вы хотите авторизовать для веб-приложения приложения.

   

   Примечание.

   • Идентификаторы клиентов Microsoft 365 для мобильных, настольных и веб-приложений для Teams, приложения Microsoft 365 и Outlook — это фактические идентификаторы, которые необходимо добавить.
   • Для приложения вкладки Teams требуется веб-приложение или SPA, так как вы не можете использовать мобильное или классическое клиентское приложение в Teams.

   1. Выберите один из следующих идентификаторов клиентов:

      Клиентское приложение Microsoft 365	Идентификатор клиента
      Классическое, мобильное приложение Teams	1fec8e78-bce4-4aaf-ab1b-5451cc387264
      Веб-приложение Teams	5e3ce6c0-2b1f-4285-8d4b-75ee78787346
      Microsoft 365 web	4765445b-32c6-49b0-83e6-1d93765276ca
      Microsoft 365 desktop	0ec893e0-5785-4de6-99da-4ed124e5296c
      Microsoft 365 mobile	d3590ed6-52b3-4102-aeff-aad2292ab01c
      Классическое приложение Outlook	d3590ed6-52b3-4102-aeff-aad2292ab01c
      Outlook Web	bc59ab01-8403-45c6-8796-ac3ef710b3e3
      Outlook Mobile	27922004-5251-4030-b22d-91ecd9a37ea4

      Примечание.

      Некоторые клиентские приложения Microsoft 365 используют идентификаторы клиентов.

   2. Выберите URI идентификатора приложения, который вы создали для своего приложения, в Авторизованных областях, чтобы добавить область в предоставленный вами веб-API.

   3. Нажмите кнопку Добавить приложение.

      В браузере появится сообщение о том, что авторизованное клиентское приложение добавлено.

      

      На странице отображается идентификатор клиента авторизованного приложения.

      

Примечание.

Вы можете авторизовать более одного клиентского приложения. Повторите шаги этой процедуры для настройки другого авторизованного клиентского приложения.

Вы успешно настроили область приложения, разрешения и клиентские приложения. Запишите и сохраните универсальный код ресурса (URI) идентификатора приложения. Затем настройте версию маркера доступа.

Настройка версии маркера доступа

Необходимо определить версию маркера доступа для приложения. Эта конфигурация выполняется в манифесте приложения Microsoft Entra.

Чтобы определить версию маркера доступа

1. Выберите Управление>Манифест на панели слева.

   

   Откроется манифест приложения Microsoft Entra.

2. Введите 2 в качестве значения свойства accessTokenAcceptedVersion.

   Примечание.

   Если вы выбрали только личные учетные записи Майкрософт или Учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Мультитенантный) и личные учетные записи Майкрософт (например, Skype и Xbox) во время регистрации приложения, обновите значение accessTokenAcceptedVersion свойства как 2.

   

3. Нажмите кнопку Сохранить.

   В браузере появится сообщение о том, что манифест приложения успешно обновлен.

   

Поздравляем! Вы завершили настройку приложения с идентификатором Microsoft Entra, необходимым для включения единого входа для приложения вкладки.

Следующий этап

Настройка кода для включения единого входа

См. также

• Клиентская среда в Microsoft Entra ID
• Быстрое начало: регистрация приложения на платформе Microsoft Identity
• Быстрое начало: настройка приложения для предоставления веб-API
• Поток кода авторизации OAuth 2.0