Веб-приложения

  • Статья

Предупреждение

В этом руководстве используется устаревшая конечная точка Azure Active Directory версии 1.0. Для новых проектов используйте платформу удостоверений Майкрософт.

Веб-приложения выполняют аутентификацию пользователя в веб-браузере для веб-приложения. В этом сценарии веб-приложение направляет браузер пользователя для выполнения входа в Azure AD. Azure AD возвращает ответ входа через браузер пользователя, который содержит утверждения о пользователе в маркере безопасности. Этот сценарий поддерживает вход с использованием протоколов OpenID Connect, SAML 2.0 и WS-Federation.

Схема

Поток проверки подлинности для сценария

Поток использования протокола

  1. Если пользователь открывает приложение и собирается выполнить вход, он перенаправляется через запрос входа в конечную точку проверки подлинности в Azure AD.
  2. Пользователь выполняет вход на странице входа.
  3. При успешном выполнении проверки подлинности Azure AD создает маркер аутентификации и возвращает ответ на вход в виде URL-адреса приложения, который был настроен на портале Azure. В рабочем приложении для этого URL-адреса ответа должен использоваться протокол HTTPS. Возвращаемый маркер содержит утверждения о пользователе и системе Azure AD, которые требуются приложению для проверки маркера.
  4. Приложение проверяет маркер с помощью открытого ключа подписи и сведений об издателе, которые имеются в документе с метаданными федерации для Azure AD. После проверки приложением маркера Azure AD запускает новый сеанс с пользователем. Этот сеанс позволяет пользователю работать с приложением до истечения срока его действия.

Примеры кода

См. примеры кода для сценариев "из веб-браузера в веб-приложение". Регулярно возвращайтесь к этому разделу — мы часто добавляем новые примеры.

Регистрация приложений

Чтобы зарегистрировать веб-приложение, см. раздел Регистрация веб-приложения.

  • Одноклиентное. Если создаваемое приложение предназначено только для вашей организации, его необходимо зарегистрировать в каталоге организации с помощью портала Azure.
  • Мультиклиентное приложение. Если создаваемое приложение предназначено для пользователей за пределами вашей организации, его необходимо зарегистрировать как в каталоге вашей организации, так и в каталогах каждой из организаций, пользователи которых будут использовать приложение. Чтобы ваше приложение сделать доступным в чужом каталоге, можно реализовать процесс входа для клиентов, с помощью которого они смогут предоставлять вашему приложению требуемые разрешения. При входе клиентов в приложение для них будет отображаться диалоговое окно с разрешениями, которые требуются приложению. В этом окне также можно будет предоставить требуемые разрешения. В зависимости от необходимых разрешений может потребоваться, чтобы их предоставил администратор из другой организации. Если пользователь или администратор предоставляет требуемые разрешения, приложение регистрируется в их каталоге.

Срок действия маркера

Срок действия пользовательского сеанса истекает по окончании времени жизни маркера, выданного системой Azure AD. При необходимости приложение может сократить этот период времени, например, обеспечивая выход пользователей на основании некоторого периода бездействия. По окончании сеанса пользователю будет предложено войти в систему снова.

Дальнейшие действия