Краткое руководство. Регистрация приложения с помощью платформы удостоверений Майкрософт

Начните работу с платформой удостоверений Майкрософт, зарегистрировав приложение на портале Azure.

Платформа удостоверений Майкрософт обеспечивает управление удостоверениями и доступом (IAM) только для зарегистрированных приложений. Регистрация устанавливает отношение доверия между приложением (будь то клиентское приложение, например веб-или мобильное приложение, или веб-API, которое создает резервную копию клиентского приложения) и поставщиком удостоверений (платформой удостоверений Майкрософт).

Совет

Чтобы зарегистрировать приложение для Azure AD B2C, выполните действия, описанные в учебнике по регистрации веб-приложения в Azure AD B2C.

Предварительные требования

Регистрация приложения

Регистрация приложения устанавливает отношения доверия между приложением и платформой удостоверений Майкрософт. Отношение доверия является однонаправленным: ваше приложение доверяет платформе удостоверений Майкрософт, а не наоборот.

Чтобы зарегистрировать приложение, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Если у вас есть доступ к нескольким арендаторам, в верхнем меню используйте фильтр Directories + subscriptions (Каталоги и подписки) , чтобы выбрать арендатор, в котором следует зарегистрировать приложение.

  3. Найдите и выберите Azure Active Directory.

  4. В разделе Управление выберите Регистрация приложений>Создать регистрацию.

  5. Введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа. Отображаемое имя можно изменить в любое время. При этом несколько регистраций приложений смогут использовать одно и то же имя. Автоматически созданный идентификатор приложения (клиента) регистрации приложения, а не его отображаемое имя, уникальным образом идентифицирует ваше приложение на платформе удостоверений.

  6. Укажите, кто может использовать приложение. Таких пользователей иногда называют аудиторией входа.

    Поддерживаемые типы учетных записей Описание
    Accounts in this organizational directory only (Учетные записи только в этом каталоге организации) Выберите этот параметр, если создаете приложение для использования только пользователями (или гостями) в вашем клиенте.

    Это приложение, часто называемое бизнес-приложением (LOB), является приложением с одним арендатором на платформе удостоверений Майкрософт.
    Учетные записи в любом каталоге организации Выберите этот параметр, если вы хотите, чтобы пользователи в любом арендаторе Azure Active Directory (Azure AD) могли использовать ваше приложение. Этот вариант подходит, если, например, вы создаете приложение SaaS, которое планируется предоставить нескольким организациям.

    На платформе удостоверений Майкрософт оно называется приложением с несколькими арендаторами.
    Accounts in any organizational directory and personal Microsoft accounts (Учетные записи в любом каталоге организации и личные учетные записи Майкрософт) Выберите этот параметр для широкого круга клиентов.

    При выборе этого параметра регистрируется приложение с несколькими арендаторами, в котором поддерживаются пользователи с личными учетными записями Майкрософт.
    Personal Microsoft accounts (Личные учетные записи Майкрософт) Выберите этот параметр, если вы создаете приложение для использования только пользователями с личными учетными записями Майкрософт. Личные учетные записи Майкрософт включают в себя учетные записи Skype, Xbox, Live и Hotmail.
  7. Не вводите значение для URI перенаправления (необязательно) . Вы настроите его в следующем разделе.

  8. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.

    Снимок экрана: портал Azure в веб-браузере с областью регистрации приложения.

После завершения регистрации на портале Azure отображается область Общие сведения для регистрации приложения. Вы увидите значение Идентификатор приложения (клиента) . Это значение, также называемое идентификатором клиента, определяет ваше приложение на платформе удостоверений Майкрософт.

Важно!

По умолчанию новые регистрации приложений скрыты для пользователей. Когда вы будете готовы предоставить пользователям доступ к приложению на своей странице "Мои приложения", можно включить его отображение. Чтобы включить отображение приложения, на портале Azure перейдите к разделу Azure Active Directory>Корпоративные приложения и выберите приложение. Затем на странице Свойства переключите параметр Видно пользователям? на значение "Да".

Код приложения или, как правило, библиотека аутентификации в приложении, также использует идентификатор клиента. Этот идентификатор используется в ходе проверки маркеров безопасности, получаемых от платформы удостоверений.

Снимок экрана: портал Azure в веб-браузере с областью общих сведений о регистрации приложения.

Добавление URI перенаправления

URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

Например, URI перенаправления в рабочем веб-приложении часто является общедоступной конечной точкой, в которой работает приложение, например https://contoso.com/auth-response. Во время разработки также можно добавить конечную точку, в которой вы запускаете приложение локально, например https://127.0.0.1/auth-response или http://localhost/auth-response.

Чтобы добавить и изменить URI перенаправления для зарегистрированных приложений, настройте параметры платформы.

Настройка параметров платформы

Параметры для каждого типа приложения, включая URI перенаправления, настраиваются в разделе Конфигурация платформ на портале Azure. Для некоторых платформ, таких как веб- и одностраничные приложений, необходимо вручную указать URI перенаправления. Для других платформ, например мобильных устройств и настольных ПК, соответствующие URI перенаправления можно выбрать при настройке других параметров.

Чтобы настроить параметры приложения на основе целевой платформы или устройства, сделайте следующее:

  1. Выберите приложение в разделе Регистрация приложений на портале Azure.

  2. В разделе Управление выберите Проверка подлинности.

  3. В разделе Конфигурации платформ щелкните Добавить платформу.

  4. В разделе Настройка платформ щелкните плитку типа приложения (платформу), чтобы настроить его параметры.

    Снимок экрана: область настройки платформ на портале Azure.

    Платформа Параметры конфигурации
    Web Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

    Выберите эту платформу для стандартных веб-приложений, которые выполняются на сервере.
    Одностраничное приложение Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

    Выберите эту платформу, если вы создаете веб-приложение на стороне клиента с использованием JavaScript или с помощью таких платформ, как Angular, Vue.js, React.js или Blazor WebAssembly.
    iOS, macOS Введите идентификатор пакета приложения. Найдите его в параметрах сборки или в Xcode в файле info.plist.

    При указании идентификатора пакета создается URI перенаправления.
    Android Введите имя пакета приложения. Найдите его в файле AndroidManifest.xml. Также создайте и введите хэш подписи.

    При указании этих параметров создается URI перенаправления.
    Мобильные и классические приложения Выберите один из предлагаемых URI перенаправления. Или же укажите пользовательский URI перенаправления.

    Для классических приложений, использующих встроенный браузер, рекомендуется использовать такой адрес:
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Для классических приложений, использующих системный браузер, рекомендуется использовать такой адрес:
    http://localhost

    Выберите эту платформу для мобильных приложений, которые не используют последнюю версию библиотеки аутентификации Майкрософт (MSAL) или брокер. Также выберите эту платформу для классических приложений.
  5. Нажмите кнопку Настроить, чтобы завершить настройку платформы.

Ограничения для URI перенаправления

Существуют определенные ограничения формата URI перенаправления, добавляемого в регистрацию приложения. См. сведения об ограничениях для URI перенаправления и URL-адресов ответа.

Добавление учетных данных

Учетные данные используются конфиденциальными клиентскими приложениями, которые обращаются к веб-API. Примерами конфиденциальных клиентов являются веб-приложения, другие веб-API, приложения типа "служба" и "управляющая программа". Учетные данные позволяют приложению проходить самостоятельную проверку подлинности, не требуя взаимодействия с пользователем во время выполнения.

Вы можете также добавить сертификаты и секреты клиента (строку) в качестве учетных данных для регистрации конфиденциального клиентского приложения.

Снимок экрана: портал Azure с областью сертификатов и секретов в разделе регистрации приложений.

Добавление сертификата

Иногда называется открытым ключом, поэтому сертификат является рекомендуемым типом учетных данных, так как они считаются более безопасными, чем секреты клиента. Дополнительные сведения об использовании сертификата в качестве метода аутентификации в приложении см. в статье Учетные данные сертификата аутентификации приложения платформы удостоверений Майкрософт.

  1. Выберите приложение в разделе Регистрация приложений на портале Azure.
  2. Выберите Сертификаты и секреты>Сертификаты>Загрузить сертификат.
  3. Выберите отправляемый файл. Он должен быть одного из следующих типов файлов: CER, PEM, CRT.
  4. Выберите Добавить.

Добавление секрета клиента

Известен также как пароль приложения, секрет клиента — это строковое значение, которое ваше приложение может использовать вместо сертификата для идентификации.

Секреты клиента считаются менее безопасными, чем учетные данные сертификата. Разработчики приложений иногда используют секреты клиента во время разработки локальных приложений из-за удобства их использования. Однако для любого приложения, выполняющегося в рабочей среде, следует использовать учетные данные сертификата.

  1. Выберите приложение в разделе Регистрация приложений на портале Azure.
  2. Выберите Сертификаты и секреты>Секреты клиента>Создать секрет клиента.
  3. Добавьте описание секрета клиента.
  4. Выберите срок действия секрета или укажите настраиваемое время существования.
    • Время существования секрета клиента ограничено двумя годами (24 месяца) или меньше. Для настраиваемого времени существования нельзя задать значение, превышающее 24 месяца.
    • Корпорация Майкрософт рекомендует задать значение срока действия менее 12 месяцев.
  5. Выберите Добавить.
  6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы.

Рекомендации по обеспечению безопасности приложений см. в статье Рекомендации по использованию платформы удостоверений Майкрософт.

Добавление федеративных учетных данных

Учетные данные федеративных удостоверений — это тип учетных данных, который позволяет рабочим нагрузкам, таким как GitHub Actions, рабочим нагрузкам, выполняемым в Kubernetes, или рабочим нагрузкам, выполняемым на вычислительных платформах за пределами Azure, Azure AD защищенным ресурсам без необходимости управлять секретами с помощью федерации удостоверений рабочей нагрузки.

Чтобы добавить федеративные учетные данные, выполните следующие действия.

  1. Выберите приложение в разделе Регистрация приложений на портале Azure.

  2. Выберите Секреты сертификатов &>Федеративные учетные> данныеДобавить учетные данные.

  3. В раскрывающемся списке Сценарий федеративных учетных данных выберите один из поддерживаемых сценариев и следуйте соответствующим рекомендациям, чтобы завершить настройку.

    • Ключи, управляемые клиентом, для шифрования данных в клиенте с помощью Azure Key Vault в другом клиенте.
    • Действия GitHub, развертывающие ресурсы Azure , чтобы настроить рабочий процесс GitHub для получения маркеров для приложения и развертывания ресурсов в Azure.
    • Kubernetes обращается к ресурсам Azure для настройки учетной записи службы Kubernetes для получения маркеров для приложения и доступа к ресурсам Azure.
    • Другой издатель настраивает удостоверение, управляемое внешним поставщиком OpenID Connect , для получения маркеров для приложения и доступа к ресурсам Azure.

Дополнительные сведения о том, как получить маркер доступа с федеративными учетными данными, см. в статье платформа удостоверений Майкрософт и поток учетных данных клиента OAuth 2.0.

Дальнейшие действия

Клиентским приложениям обычно требуется доступ к ресурсам в веб-API. Вы можете защитить клиентское приложение с помощью платформы удостоверений Майкрософт. Кроме того, вы можете использовать платформу для авторизации ограниченного определенной областью доступа к веб-API на основе разрешений.

Перейдите к следующему краткому руководству в серии, чтобы зарегистрировать еще одно приложение для веб-API и предоставить его области действия.