Руководство. Регистрация веб-приложения в Azure Active Directory B2C

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Прежде чем приложения смогут взаимодействовать с Azure Active Directory B2C (Azure AD B2C), они должны быть зарегистрированы в управляемом клиенте. В этом руководстве показано, как зарегистрировать веб-приложение с помощью портала Azure.

Веб-приложение ссылается на традиционное веб-приложение, которое выполняет большую часть логики приложения на сервере. Они могут создаваться с помощью таких платформ, как ASP.NET Core, Spring (Java), Flask (Python) или Express (Node.js).

Это важно

Если вы используете одностраничные приложения ("SPA") вместо этого (например, angular, Vue или React), узнайте, как зарегистрировать одностраничные приложения.

Если вы используете собственное приложение (например, iOS, Android, mobile и desktop), узнайте, как зарегистрировать собственное клиентское приложение.

Предпосылки

• Если у вас нет подписки на Azure, создайте бесплатную учетную запись перед началом.

• Если вы еще не создали собственный клиент Azure AD B2C, создайте его. Вы можете использовать существующий клиент Azure AD B2C.

Регистрация веб-приложения

Чтобы зарегистрировать веб-приложение в клиенте Azure AD B2C, можно использовать новые единые регистрации приложений. Узнайте больше о новом интерфейсе.

Регистрации приложений

1. Войдите на портал Azure.

2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.

3. На портале Azure найдите и выберите Azure AD B2C.

4. Выберите регистрации приложений и нажмите кнопку "Создать регистрацию".

5. Введите имя приложения. Например, webapp1.

6. В разделе "Поддерживаемые типы учетных записей" выберите "Учетные записи" в любом поставщике удостоверений или каталоге организации (для проверки подлинности пользователей с помощью потоков пользователей).

7. В разделе URI перенаправления выберите Веб, а затем введите https://jwt.ms в текстовое поле URL-адреса.

   URI перенаправления — это конечная точка, в которую пользователь отправляется сервером авторизации (Azure AD B2C, в данном случае) после завершения взаимодействия с пользователем, и в который отправляется маркер доступа или код авторизации при успешной авторизации. В рабочем приложении обычно это общедоступная конечная точка, в которой работает приложение, например https://contoso.com/auth-response. В целях тестирования, например в этом руководстве, можно установить его в https://jwt.ms, в веб-приложении, принадлежащем Microsoft, которое отображает декодированное содержимое токена (содержимое токена никогда не покидает ваш браузер). В процессе разработки приложения вы можете добавить конечную точку, на которой приложение прослушивает локально, например, https://localhost:5000. URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.

   На URI перенаправления налагаются следующие ограничения.

   • URL-адрес ответа должен начинаться со схемы https, если вы не используете URL-адрес перенаправления localhost.
   • В URL-адресе ответа учитывается регистр. Его регистр должен соответствовать регистру URL-пути запущенного приложения. Например, если приложение включает в состав своего пути .../abc/response-oidc, не указывайте .../ABC/response-oidc в URL-адресе ответа. Поскольку веб-браузер обрабатывает пути с учетом регистра, файлы cookie, связанные с .../abc/response-oidc, могут быть исключены при перенаправлении на URL-адрес .../ABC/response-oidc, где не совпадает регистр.
   • URL-адрес ответа может включать или не включать наклонную черту в конце в зависимости от того, ожидает ли ее приложение. Например, https://contoso.com/auth-response и https://contoso.com/auth-response/ может рассматриваться как несогласованные URL-адреса в приложении.

8. В разделе "Разрешения" установите флажок "Предоставить согласие администратора для разрешений openid и offline_access".

9. Выберите Зарегистрировать.

Подсказка

Если вы не видите приложения, созданные в разделе регистрации приложений, обновите портал.

Создание секрета клиента

Для веб-приложения необходимо создать секрет приложения. Секрет клиента также называется паролем приложения. Секрет будет использоваться вашим приложением для обмена кода авторизации на токен доступа.

Регистрации приложений

1. На странице регистрации приложений Azure AD B2C выберите созданное приложение, например webapp1.
2. В меню слева в разделе Управлениевыберите Сертификаты, секреты &.
3. Выберите новый секрет клиента.
4. Введите описание секрета клиента в поле Описание. Например, clientsecret1.
5. В разделе Истекает выберите срок действия секрета, а затем выберите Добавить.
6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Это значение используется в качестве секрета приложения в коде приложения.

Замечание

В целях безопасности можно периодически обновлять секрет приложения или немедленно в случае чрезвычайной ситуации. Любое приложение, которое интегрируется с Azure AD B2C, должно быть готово к обработке события обновления секретов независимо от частоты этого события. Вы можете задать два секрета приложения, что позволяет приложению продолжать использовать старый секрет во время события смены секрета приложения. Чтобы добавить другой секрет клиента, повторите действия в этом разделе.

Включение неявного предоставления токена идентификатора

Вы можете включить неявный поток предоставления, чтобы использовать эту регистрацию приложения для тестирования пользовательского потока в целях проверки.

1. Выберите созданную регистрацию приложения.

2. В разделе Управление выберите Проверка подлинности.

3. В разделе "Неявное предоставление и гибридные потоки" установите флажки маркеров доступа (используемых для неявных потоков) и маркеров идентификатора (используемых для неявных и гибридных потоков).

4. Нажмите кнопку "Сохранить".

Замечание

Если включить неявное предоставление для тестирования потока пользователя, убедитесь, что вы отключите параметры неявного потока предоставления перед развертыванием приложения в рабочей среде.

Дальнейшие шаги

В этой статье вы узнали, как:

• Регистрация веб-приложения
• Создание секрета клиента

Узнайте, как создать потоки пользователей в Azure Active Directory B2C