Краткое описание: регистрация приложения на платформе Microsoft Identity

Начало работы с платформа удостоверений Майкрософт путем регистрации приложения в Центре администрирования Microsoft Entra.

Платформа удостоверений Майкрософт обеспечивает управление удостоверениями и доступом (IAM) только для зарегистрированных приложений. Регистрация устанавливает отношение доверия между приложением (будь то клиентское приложение, например веб-или мобильное приложение, или веб-API, которое создает резервную копию клиентского приложения) и поставщиком удостоверений (платформой удостоверений Майкрософт).

Совет

Чтобы зарегистрировать приложение для Azure AD B2C, выполните действия, описанные в учебнике по регистрации веб-приложения в Azure AD B2C.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Учетная запись Azure должна быть по крайней мере администратором облачных приложений.
• Ознакомление с кратким руководством Настройка арендатора.

Регистрация приложения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Регистрация приложения устанавливает отношения доверия между приложением и платформой удостоверений Майкрософт. Отношение доверия является однонаправленным: ваше приложение доверяет платформе удостоверений Майкрософт, а не наоборот. После создания объект приложения не может быть перемещен между разными клиентами.

Чтобы зарегистрировать приложение, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню, чтобы переключиться на клиент, в котором вы хотите зарегистрировать приложение из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений и выберите "Создать регистрацию".

4. Введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа. Отображаемое имя можно изменить в любое время. При этом несколько регистраций приложений смогут использовать одно и то же имя. Автоматически созданный идентификатор приложения (клиента) регистрации приложения, а не его отображаемое имя, уникальным образом идентифицирует ваше приложение на платформе удостоверений.

5. Укажите, кто может использовать приложение. Таких пользователей иногда называют аудиторией входа.

   Поддерживаемые типы счетов	Описание
   Accounts in this organizational directory only (Учетные записи только в этом каталоге организации)	Выберите этот параметр, если создаете приложение для использования только пользователями (или гостями) в вашем клиенте. Это приложение, часто называемое бизнес-приложением (LOB), является приложением с одним арендатором на платформе удостоверений Майкрософт.
   Учетные записи в любом каталоге организации	Выберите этот параметр, если вы хотите, чтобы пользователи в любом клиенте Microsoft Entra могли использовать приложение. Этот вариант подходит, если, например, вы создаете приложение SaaS, которое планируется предоставить нескольким организациям. На платформе удостоверений Майкрософт оно называется приложением с несколькими арендаторами.
   Accounts in any organizational directory and personal Microsoft accounts (Учетные записи в любом каталоге организации и личные учетные записи Майкрософт)	Этот параметр предназначен для самого широкого набора клиентов. При выборе этого параметра регистрируется приложение с несколькими арендаторами, в котором поддерживаются пользователи с личными учетными записями Майкрософт. Личные учетные записи Майкрософт включают в себя учетные записи Skype, Xbox, Live и Hotmail.
   Personal Microsoft accounts (Личные учетные записи Майкрософт)	Выберите этот параметр, если вы создаете приложение для использования только пользователями с личными учетными записями Майкрософт. Личные учетные записи Майкрософт включают в себя учетные записи Skype, Xbox, Live и Hotmail.

6. При настройке URI перенаправления в следующем разделе оставьте URI перенаправления (необязательно ).

7. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.

   

После завершения регистрации центр администрирования Microsoft Entra отображает панель обзора регистрации приложения. Вы увидите значение Идентификатор приложения (клиента). Это значение, также называемое идентификатором клиента, определяет ваше приложение на платформе удостоверений Майкрософт.

Внимание

По умолчанию новые регистрации приложений скрыты для пользователей. Когда вы будете готовы предоставить пользователям доступ к приложению на своей странице "Мои приложения", можно включить его отображение. Чтобы включить приложение, в Центре администрирования Microsoft Entra перейдите к приложениям Identity>Apps>Enterprise и выберите это приложение. Затем на странице Свойства переключите параметр Видно пользователям? на значение "Да".

Код приложения или, как правило, библиотека аутентификации в приложении, также использует идентификатор клиента. Этот идентификатор используется в ходе проверки маркеров безопасности, получаемых от платформы удостоверений.

Добавление URI перенаправления

URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

Например, URI перенаправления в рабочем веб-приложении часто является общедоступной конечной точкой, в которой работает приложение, например https://contoso.com/auth-response. Во время разработки также можно добавить конечную точку, в которой вы запускаете приложение локально, например https://127.0.0.1/auth-response или http://localhost/auth-response. Убедитесь, что любые ненужные среды разработки или URI перенаправления не предоставляются в рабочем приложении. Это можно сделать с помощью отдельных регистраций приложений для разработки и рабочей среды.

Чтобы добавить и изменить URI перенаправления для зарегистрированных приложений, настройте параметры платформы.

Настройка параметров платформы

Параметры для каждого типа приложения, включая URI перенаправления, настраиваются в разделе Конфигурация платформ на портале Azure. Для некоторых платформ, таких как веб- и одностраничные приложений, необходимо вручную указать URI перенаправления. Для других платформ, например мобильных устройств и настольных ПК, соответствующие URI перенаправления можно выбрать при настройке других параметров.

Чтобы настроить параметры приложения на основе целевой платформы или устройства, сделайте следующее:

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

2. В разделе Управление выберите Проверка подлинности.

3. В разделе Конфигурации платформ щелкните Добавить платформу.

4. В разделе Настройка платформ щелкните плитку типа приложения (платформу), чтобы настроить его параметры.

   

   Платформа	Параметры конфигурации
   Веб-представление	Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации. Можно также настроить URL-адрес выхода front-channel и неявные и гибридные свойства потока. Выберите эту платформу для стандартных веб-приложений, которые выполняются на сервере.
   Одностраничное приложение	Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации. Можно также настроить URL-адрес выхода front-channel и неявные и гибридные свойства потока. Выберите эту платформу, если вы создаете веб-приложение на стороне клиента с использованием JavaScript или с помощью таких платформ, как Angular, Vue.js, React.js или Blazor WebAssembly.
   iOS, macOS	Введите идентификатор пакета приложения. Найдите его в параметрах сборки или в Xcode в файле info.plist. При указании идентификатора пакета создается URI перенаправления.
   Android	Введите имя пакета приложения. Найдите его в файле AndroidManifest.xml. Также создайте и введите хэш подписи. При указании этих параметров создается URI перенаправления.
   Мобильные и классические приложения	Выберите один из предлагаемых URI перенаправления. Или укажите один или несколько пользовательских URI перенаправления. Для классических приложений, использующих встроенный браузер, рекомендуется использовать такой адрес: https://login.microsoftonline.com/common/oauth2/nativeclient Для классических приложений, использующих системный браузер, рекомендуется использовать такой адрес: http://localhost Выберите эту платформу для мобильных приложений, которые не используют последнюю версию библиотеки аутентификации Майкрософт (MSAL) или брокер. Также выберите эту платформу для классических приложений.

5. Нажмите кнопку Настроить, чтобы завершить настройку платформы.

Ограничения для URI перенаправления

Существуют определенные ограничения формата URI перенаправления, добавляемого в регистрацию приложения. См. сведения об ограничениях для URI перенаправления и URL-адресов ответа.

Добавить учетные данные

Учетные данные используются конфиденциальными клиентскими приложениями, которые обращаются к веб-API. Примерами конфиденциальных клиентов являются веб-приложения, другие веб-API, приложения типа "служба" и "управляющая программа". Учетные данные позволяют приложению проходить самостоятельную проверку подлинности, не требуя взаимодействия с пользователем во время выполнения.

Сертификаты, секреты клиента (строка) или федеративные учетные данные удостоверения можно добавлять в качестве учетных данных для регистрации конфиденциального клиентского приложения. По возможности рекомендуется использовать сертификаты из доверенного центра сертификации (ЦС).

Добавление сертификата

Иногда называется открытым ключом, поэтому сертификат является рекомендуемым типом учетных данных, так как они считаются более безопасными, чем секреты клиента. Дополнительные сведения об использовании сертификата в качестве метода аутентификации в приложении см. в статье Учетные данные сертификата аутентификации приложения платформы удостоверений Майкрософт.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.
2. Выберите Сертификаты и секреты>Сертификаты>Загрузить сертификат.
3. Выберите отправляемый файл. Он должен быть одного из следующих типов файлов: CER, PEM, CRT.
4. Выберите Добавить.

Добавление секрета клиента

Известен также как пароль приложения, секрет клиента — это строковое значение, которое ваше приложение может использовать вместо сертификата для идентификации.

Секреты клиента считаются менее безопасными, чем учетные данные сертификата. Разработчики приложений иногда используют секреты клиента во время разработки локальных приложений из-за удобства их использования. Однако для любого приложения, выполняющегося в рабочей среде, следует использовать учетные данные сертификата.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.
2. Выберите Сертификаты и секреты>Секреты клиента>Создать секрет клиента.
3. Добавьте описание секрета клиента.
4. Выберите срок действия секрета или укажите настраиваемое время существования.
   • Время существования секрета клиента ограничено двумя годами (24 месяца) или меньше. Для настраиваемого времени существования нельзя задать значение, превышающее 24 месяца.
   • Корпорация Майкрософт рекомендует задать значение срока действия менее 12 месяцев.
5. Выберите Добавить.
6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы.

Рекомендации по обеспечению безопасности приложений см. в статье Рекомендации по использованию платформы удостоверений Майкрософт.

Если вы используете подключение службы Azure DevOps, которое автоматически создает субъект-службу, необходимо обновить секрет клиента на сайте портала Azure DevOps вместо прямого обновления секрета клиента. См. этот документ о том, как обновить секрет клиента на сайте портала Azure DevOps: устранение неполадок с подключениями к службе Azure Resource Manager.

Добавление федеративных учетных данных

Федеративные учетные данные удостоверения — это тип учетных данных, которые позволяют рабочим нагрузкам, таким как GitHub Actions, рабочие нагрузки, выполняемые в Kubernetes, или рабочие нагрузки, выполняемые на вычислительных платформах за пределами azure, доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами с помощью федерации удостоверений рабочей нагрузки.

Чтобы добавить федеративные учетные данные, выполните следующие действия.

1. В Центре администрирования Microsoft Entra в Регистрация приложений выберите свое приложение.

2. Выберите сертификаты и секреты>федеративных учетных>данных.

3. В раскрывающемся списке сценария федеративных учетных данных выберите один из поддерживаемых сценариев и следуйте соответствующим инструкциям, чтобы завершить настройку.

   • Управляемые клиентом ключи для шифрования данных в клиенте с помощью Azure Key Vault в другом клиенте.
   • Действия GitHub, развертывающие ресурсы Azure, чтобы настроить рабочий процесс GitHub, чтобы получить маркеры для приложения и развернуть ресурсы в Azure.
   • Kubernetes, обращающиеся к ресурсам Azure, чтобы настроить учетную запись службы Kubernetes, чтобы получить маркеры для приложения и получить доступ к ресурсам Azure.
   • Другой издатель для настройки удостоверения, управляемого внешним поставщиком OpenID Connect, для получения маркеров для приложения и доступа к ресурсам Azure.

Дополнительные сведения о получении маркера доступа с федеративными учетными данными см. в статье платформа удостоверений Майкрософт и потоке учетных данных клиента OAuth 2.0.

Следующий шаг

Настройка приложения для предоставления веб-API