Регистрация приложения конфиденциального реестра Azure с помощью идентификатора Microsoft Entra

В этой статье вы узнаете, как интегрировать приложение конфиденциального реестра Azure с идентификатором Microsoft Entra, зарегистрируя его в платформа удостоверений Майкрософт.

Платформа удостоверений Майкрософт обеспечивает управление удостоверениями и доступом (IAM) только для зарегистрированных приложений. Регистрация устанавливает отношение доверия между приложением (будь то клиентское приложение, например веб-или мобильное приложение, или веб-API, которое создает резервную копию клиентского приложения) и поставщиком удостоверений (платформой удостоверений Майкрософт). Дополнительные сведения о платформа удостоверений Майкрософт.

Необходимые компоненты

• Учетная запись Azure с активной подпиской и разрешением на управление приложениями в идентификаторе Microsoft Entra. Создайте учетную запись бесплатно .
• Клиент Microsoft Entra. Узнайте, как настроить клиент.
• Приложение, которое вызывает конфиденциальный реестр Azure.

Регистрация приложения

Регистрация приложения конфиденциального реестра Azure устанавливает отношение доверия между приложением и платформа удостоверений Майкрософт. Отношение доверия является однонаправленным: ваше приложение доверяет платформе удостоверений Майкрософт, а не наоборот.

Чтобы зарегистрировать приложение, выполните следующие действия.

1. Войдите на портал Azure.

2. Если у вас есть доступ к нескольким клиентам, используйте фильтр каталогов и подписок в верхнем меню, чтобы переключиться на клиент, в котором требуется зарегистрировать приложение.

3. Найдите и выберите Microsoft Entra ID.

4. В разделе Управление выберите Регистрация приложений>Создать регистрацию.

5. Введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа. Отображаемое имя можно изменить в любое время. При этом несколько регистраций приложений смогут использовать одно и то же имя. Автоматически созданный идентификатор приложения (клиента) регистрации приложения, а не его отображаемое имя, уникальным образом идентифицирует ваше приложение на платформе удостоверений.

6. Укажите, кто может использовать приложение. Таких пользователей иногда называют аудиторией входа.

   Поддерживаемые типы счетов	Описание
   Accounts in this organizational directory only (Учетные записи только в этом каталоге организации)	Выберите этот параметр, если создаете приложение для использования только пользователями (или гостями) в вашем клиенте. Это приложение, часто называемое бизнес-приложением (LOB), является приложением с одним арендатором на платформе удостоверений Майкрософт.
   Учетные записи в любом каталоге организации	Выберите этот параметр, если вы хотите, чтобы пользователи в любом клиенте Microsoft Entra могли использовать приложение. Этот вариант подходит, если, например, вы создаете приложение SaaS, которое планируется предоставить нескольким организациям. На платформе удостоверений Майкрософт оно называется приложением с несколькими арендаторами.
   Accounts in any organizational directory and personal Microsoft accounts (Учетные записи в любом каталоге организации и личные учетные записи Майкрософт)	Этот параметр предназначен для самого широкого набора клиентов. При выборе этого параметра регистрируется приложение с несколькими арендаторами, в котором поддерживаются пользователи с личными учетными записями Майкрософт.
   Personal Microsoft accounts (Личные учетные записи Майкрософт)	Выберите этот параметр, если вы создаете приложение для использования только пользователями с личными учетными записями Майкрософт. Личные учетные записи Майкрософт включают в себя учетные записи Skype, Xbox, Live и Hotmail.

7. Не вводите значение для URI перенаправления (необязательно). Вы настроите его в следующем разделе.

8. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.

   

После завершения регистрации на портале Azure отображается область Общие сведения для регистрации приложения. Вы увидите значение Идентификатор приложения (клиента). Это значение, также называемое идентификатором клиента, определяет ваше приложение на платформе удостоверений Майкрософт.

Важно!

По умолчанию новые регистрации приложений скрыты для пользователей. Когда вы будете готовы предоставить пользователям доступ к приложению на своей странице "Мои приложения", можно включить его отображение. Чтобы включить приложение, в портал Azure перейдите к приложениям Microsoft Entra ID>Enterprise и выберите это приложение. Затем на странице Свойства переключите параметр Видно пользователям? на значение "Да".

Код приложения или, как правило, библиотека аутентификации в приложении, также использует идентификатор клиента. Этот идентификатор используется в ходе проверки маркеров безопасности, получаемых от платформы удостоверений.

Добавление URI перенаправления

URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации.

Например, URI перенаправления в рабочем веб-приложении часто является общедоступной конечной точкой, в которой работает приложение, например https://contoso.com/auth-response. Во время разработки также можно добавить конечную точку, в которой вы запускаете приложение локально, например https://127.0.0.1/auth-response или http://localhost/auth-response.

Чтобы добавить и изменить URI перенаправления для зарегистрированных приложений, настройте параметры платформы.

Настройка параметров платформы

Параметры для каждого типа приложения, включая URI перенаправления, настраиваются в разделе Конфигурация платформ на портале Azure. Для некоторых платформ, таких как веб- и одностраничные приложений, необходимо вручную указать URI перенаправления. Для других платформ, например мобильных устройств и настольных ПК, соответствующие URI перенаправления можно выбрать при настройке других параметров.

Чтобы настроить параметры приложения на основе целевой платформы или устройства, сделайте следующее:

1. Выберите приложение в разделе Регистрация приложений на портале Azure.

2. В разделе Управление выберите Проверка подлинности.

3. В разделе Конфигурации платформ щелкните Добавить платформу.

4. В разделе Настройка платформ щелкните плитку типа приложения (платформу), чтобы настроить его параметры.

   

   Платформа	Параметры конфигурации
   Веб-представление	Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации. Выберите эту платформу для стандартных веб-приложений, которые выполняются на сервере.
   Одностраничное приложение	Введите URI перенаправления для своего приложения. URI перенаправления — это расположение, в которое платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после аутентификации. Выберите эту платформу, если вы создаете веб-приложение на стороне клиента с использованием JavaScript или с помощью таких платформ, как Angular, Vue.js, React.js или Blazor WebAssembly.
   iOS, macOS	Введите идентификатор пакета приложения. Найдите его в параметрах сборки или в Xcode в файле info.plist. При указании идентификатора пакета создается URI перенаправления.
   Android	Введите имя пакета приложения. Найдите его в файле AndroidManifest.xml. Также создайте и введите хэш подписи. При указании этих параметров создается URI перенаправления.
   Мобильные и классические приложения	Выберите один из предлагаемых URI перенаправления. Или же укажите пользовательский URI перенаправления. Для классических приложений, использующих встроенный браузер, рекомендуется использовать такой адрес: https://login.microsoftonline.com/common/oauth2/nativeclient Для классических приложений, использующих системный браузер, рекомендуется использовать такой адрес: http://localhost Выберите эту платформу для мобильных приложений, которые не используют последнюю версию библиотеки аутентификации Майкрософт (MSAL) или брокер. Также выберите эту платформу для классических приложений.

5. Нажмите кнопку Настроить, чтобы завершить настройку платформы.

Ограничения для URI перенаправления

Существуют определенные ограничения формата URI перенаправления, добавляемого в регистрацию приложения. См. сведения об ограничениях для URI перенаправления и URL-адресов ответа.

Добавить учетные данные

Учетные данные используются конфиденциальными клиентскими приложениями, которые обращаются к веб-API. Примерами конфиденциальных клиентов являются веб-приложения, другие веб-API, приложения типа "служба" и "управляющая программа". Учетные данные позволяют приложению проходить самостоятельную проверку подлинности, не требуя взаимодействия с пользователем во время выполнения.

Вы можете также добавить сертификаты и секреты клиента (строку) в качестве учетных данных для регистрации конфиденциального клиентского приложения.

Добавление сертификата

Иногда называется открытым ключом, поэтому сертификат является рекомендуемым типом учетных данных, так как они считаются более безопасными, чем секреты клиента. Дополнительные сведения об использовании сертификата в качестве метода аутентификации в приложении см. в статье Учетные данные сертификата аутентификации приложения платформы удостоверений Майкрософт.

1. Выберите приложение в разделе Регистрация приложений на портале Azure.
2. Выберите Сертификаты и секреты>Сертификаты>Загрузить сертификат.
3. Выберите отправляемый файл. Он должен быть одного из следующих типов файлов: CER, PEM, CRT.
4. Выберите Добавить.

Добавление секрета клиента

Известен также как пароль приложения, секрет клиента — это строковое значение, которое ваше приложение может использовать вместо сертификата для идентификации.

Секреты клиента считаются менее безопасными, чем учетные данные сертификата. Разработчики приложений иногда используют секреты клиента во время разработки локальных приложений из-за удобства их использования. Однако для любого приложения, выполняющегося в рабочей среде, следует использовать учетные данные сертификата.

1. Выберите приложение в разделе Регистрация приложений на портале Azure.
2. Выберите Сертификаты и секреты>Секреты клиента>Создать секрет клиента.
3. Добавьте описание секрета клиента.
4. Выберите срок действия секрета или укажите настраиваемое время существования.
   • Время существования секрета клиента ограничено двумя годами (24 месяца) или меньше. Для настраиваемого времени существования нельзя задать значение, превышающее 24 месяца.
   • Корпорация Майкрософт рекомендует задать значение срока действия менее 12 месяцев.
5. Выберите Добавить.
6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы.

Рекомендации по обеспечению безопасности приложений см. в статье Рекомендации по использованию платформы удостоверений Майкрософт.

Следующие шаги

• Проверка подлинности конфиденциального реестра Azure с помощью идентификатора Microsoft Entra
• Общие сведения о Конфиденциальном реестре Microsoft Azure
• Интеграция приложений с идентификатором Microsoft Entra
• Создание приложения Microsoft Entra и субъекта-службы с доступом к ресурсам с помощью портала
• Создайте субъект-службу Azure с помощью Azure CLI.
• Проверка подлинности узлов Конфиденциального реестра Azure