Регистрация приложения в внешнем клиенте

Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)

Внешняя идентификация Microsoft Entra позволяет вашей организации управлять удостоверениями клиентов и безопасно управлять доступом к общедоступным приложениям и API. Приложения, в которых клиенты могут покупать продукты, подписываться на ваши службы или получать доступ к их учетной записи и данным. Клиенты должны войти только на устройство или веб-браузер один раз и получить доступ ко всем приложениям, которым вы предоставили им разрешения.

Чтобы включить вход приложения с помощью внешнего идентификатора, необходимо зарегистрировать приложение с помощью внешнего идентификатора. Регистрация приложения устанавливает отношение доверия между приложением и внешним идентификатором. Во время регистрации приложения вы указываете URI перенаправления. URI перенаправления — это конечная точка, в которую пользователи перенаправляются внешним идентификатором после проверки подлинности. В процессе регистрации приложения создается идентификатор приложения (или идентификатор клиента), который однозначно идентифицирует ваше приложение.

Внешний идентификатор поддерживает проверку подлинности для различных современных архитектур приложений, например веб-приложения или одностраничного приложения. Взаимодействие каждого типа приложения с внешним клиентом отличается, поэтому необходимо указать тип приложения, которое требуется зарегистрировать.

Из этой статьи вы узнаете, как зарегистрировать приложение во внешнем клиенте.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Внешний клиент. Если у вас еще нет пробной версии, зарегистрируйтесь на бесплатную пробную версию.

Выбор типа приложения

Одностраничные (SPA)

Регистрация одностраничного приложения

Внешний идентификатор поддерживает проверку подлинности для одностраничных приложений (SPA).

Ниже показано, как зарегистрировать SPA в Центре администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений.

4. Выберите + Создать регистрацию.

5. Откроется страница "Регистрация приложения", где необходимо ввести сведения о регистрации приложения:

   1. В разделе "Имя" введите понятное имя приложения, отображаемое пользователям приложения, например ciam-client-app.

   2. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

   3. В разделе URI перенаправления (необязательно) выберите одностраничные приложения (SPA), а затем в поле URL-адреса введите http://localhost:3000/.

6. Выберите Зарегистрировать.

7. Панель обзора приложения отображается при завершении регистрации. Запишите идентификатор каталога (клиента) и идентификатор приложения (клиента), которые будут использоваться в исходном коде приложения.

Сведения о URI перенаправления

URI перенаправления — это конечная точка, в которой пользователь отправляется серверу авторизации (в данном случае идентификатор Microsoft Entra ID) после завершения взаимодействия с пользователем и которому отправляется маркер доступа или код авторизации при успешной авторизации.

В рабочем приложении обычно это общедоступная конечная точка, в которой работает приложение, например https://contoso.com/auth-response.

Во время разработки приложений можно добавить конечную точку, в которой приложение прослушивает локально, например http://localhost:3000. URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.

На URI перенаправления налагаются следующие ограничения.

• URL-адрес ответа должен начинаться со схемы https, если вы не используете URL-адрес перенаправления localhost.

• В URL-адресе ответа учитывается регистр. Его регистр должен соответствовать регистру URL-пути выполняющегося приложения. Например, если приложение включает в состав своего пути .../abc/response-oidc, не указывайте .../ABC/response-oidc в URL-адресе ответа. Так как веб-браузер обрабатывает пути с учетом регистра, файлы cookie, связанные с .../abc/response-oidc, могут быть исключены при перенаправлении на не совпадающий по регистру знаков URL-адрес .../ABC/response-oidc.

• URL-адрес ответа может включать или не включать наклонную черту в конце в зависимости от того, ожидает ли ее приложение. Например, https://contoso.com/auth-response и https://contoso.com/auth-response/ может рассматриваться как несоединяемые URL-адреса в приложении.

Предоставление согласия администратора

После регистрации приложения он получает разрешение User.Read . Однако, поскольку клиент является внешним клиентом, сами пользователи клиента не могут согласиться с этим разрешением. Вы, как администратор, должны предоставить это разрешение от имени всех пользователей в клиенте:

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.

2. В разделе Управление выберите Разрешения API.

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".
   2. Выберите "Обновить", а затем убедитесь, что <имя> клиента предоставлено в разделе "Состояние" для разрешения.

Предоставление разрешений API (необязательно):

Если spa должен вызвать API, необходимо предоставить разрешения API SPA, чтобы он смог вызвать API. Кроме того , необходимо зарегистрировать веб-API , который необходимо вызвать.

Чтобы предоставить клиентским приложениям (ciam-client-app) разрешения API, выполните следующие действия:

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.

2. В разделе Управление выберите Разрешения API.

3. В разделе Настроенные разрешения выберите Добавить разрешение.

4. Щелкните вкладку API, используемые моей организацией.

5. В списке API выберите API, например ciam-ToDoList-api.

6. Выберите параметр "Делегированные разрешения".

7. В списке разрешений выберите ToDoList.Read, ToDoList.ReadWrite (при необходимости используйте поле поиска).

8. Нажмите кнопку Add permissions (Добавить разрешения). На этом этапе вы правильно назначили разрешения. Тем не менее, поскольку клиент является клиентом клиента, пользователи-потребители сами не могут согласиться с этими разрешениями. Чтобы устранить эту проблему, администратор должен согласиться с этими разрешениями от имени всех пользователей в клиенте:

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".

   2. Выберите "Обновить", а затем убедитесь, что имя> клиента предоставлено <в разделе "Состояние" для обеих областей.

9. В списке настроенных разрешений выберите разрешения ToDoList.Read и ToDoList.ReadWrite по одному за раз, а затем скопируйте полный универсальный код ресурса (URI) разрешения для последующего использования. Полный универсальный код ресурса (URI) разрешений выглядит примерно так же api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}или.

Если вы хотите узнать, как предоставить разрешения, добавив ссылку, перейдите в раздел веб-API .

Тестирование потока пользователя (необязательно)

Чтобы протестировать поток пользователя с помощью этой регистрации приложения, включите неявный поток предоставления для проверки подлинности.

Внимание

Неявный поток следует использовать только для тестирования, а не для проверки подлинности пользователей в рабочих приложениях. После завершения тестирования рекомендуется удалить его.

Чтобы включить неявный поток, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
3. Перейдите к приложениям> удостоверений>Регистрация приложений.
4. Выберите созданную регистрацию приложения.
5. В разделе Управление выберите Проверка подлинности.
6. В разделе Неявное предоставление разрешения и гибридные потоки установите флажок Токены ИД (используются для неявных и гибридных потоков).
7. Выберите Сохранить.

Веб-приложение

Регистрация веб-приложения

Внешний идентификатор поддерживает проверку подлинности для веб-приложений.

Ниже показано, как зарегистрировать веб-приложение в Центре администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений.

4. Выберите + Создать регистрацию.

5. Откроется страница "Регистрация приложения", где необходимо ввести сведения о регистрации приложения:

   1. В разделе "Имя" введите понятное имя приложения, отображаемое пользователям приложения, например ciam-client-app.

   2. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

   3. В разделе URI перенаправления (необязательно) выберите Веб-адрес , а затем в поле URL-адреса введите URL-адрес, http://localhost:3000/например.

6. Выберите Зарегистрировать.

7. Панель обзора приложения отображается при завершении регистрации. Запишите идентификатор каталога (клиента) и идентификатор приложения (клиента), которые будут использоваться в исходном коде приложения.

Сведения о URI перенаправления

URI перенаправления — это конечная точка, в которой пользователь отправляется серверу авторизации (в данном случае идентификатор Microsoft Entra ID) после завершения взаимодействия с пользователем и которому отправляется маркер доступа или код авторизации при успешной авторизации.

В рабочем приложении обычно это общедоступная конечная точка, в которой работает приложение, например https://contoso.com/auth-response.

Во время разработки приложений можно добавить конечную точку, в которой приложение прослушивает локально, например http://localhost:3000. URI перенаправления в зарегистрированных приложениях можно добавлять и изменять в любое время.

На URI перенаправления налагаются следующие ограничения.

• URL-адрес ответа должен начинаться со схемы https, если вы не используете URL-адрес перенаправления localhost.

• В URL-адресе ответа учитывается регистр. Его регистр должен соответствовать регистру URL-пути выполняющегося приложения. Например, если приложение включает в состав своего пути .../abc/response-oidc, не указывайте .../ABC/response-oidc в URL-адресе ответа. Так как веб-браузер обрабатывает пути с учетом регистра, файлы cookie, связанные с .../abc/response-oidc, могут быть исключены при перенаправлении на не совпадающий по регистру знаков URL-адрес .../ABC/response-oidc.

• URL-адрес ответа может включать или не включать наклонную черту в конце в зависимости от того, ожидает ли ее приложение. Например, https://contoso.com/auth-response и https://contoso.com/auth-response/ может рассматриваться как несоединяемые URL-адреса в приложении.

Предоставление согласия администратора

После регистрации приложения он получает разрешение User.Read . Однако, поскольку клиент является внешним клиентом, сами пользователи клиента не могут согласиться с этим разрешением. Вы, как администратор, должны предоставить это разрешение от имени всех пользователей в клиенте:

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.

2. В разделе Управление выберите Разрешения API.

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".
   2. Выберите "Обновить", а затем убедитесь, что <имя> клиента предоставлено в разделе "Состояние" для разрешения.

Создание секрета клиента

 

Создайте секрет клиента для зарегистрированного приложения. Приложение использует секрет клиента, чтобы подтвердить свое удостоверение при запросе маркеров.

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.
2. В разделе Управление выберите Сертификаты и секреты.
3. Щелкните Создать секрет клиента.
4. В поле "Описание" введите описание секрета клиента (например, секрет клиента приложения ciam).
5. В разделе "Срок действия" выберите срок действия, для которого секрет действителен (для правил безопасности организации), а затем нажмите кнопку "Добавить".
6. Запишите значение секрета в поле Значение. Это значение будет использовано позже для конфигурации. Значение секрета не будет отображаться снова и не извлекается с помощью каких-либо средств после перехода от сертификатов и секретов. Обязательно запишите его.

Предоставление разрешений API (необязательно)

Если веб-приложение должно вызвать API, необходимо предоставить разрешения API веб-приложения, чтобы он смог вызвать API. Кроме того , необходимо зарегистрировать веб-API , который необходимо вызвать.

Чтобы предоставить клиентским приложениям (ciam-client-app) разрешения API, выполните следующие действия:

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.

2. В разделе Управление выберите Разрешения API.

3. В разделе Настроенные разрешения выберите Добавить разрешение.

4. Щелкните вкладку API, используемые моей организацией.

5. В списке API выберите API, например ciam-ToDoList-api.

6. Выберите параметр "Делегированные разрешения".

7. В списке разрешений выберите ToDoList.Read, ToDoList.ReadWrite (при необходимости используйте поле поиска).

8. Нажмите кнопку Add permissions (Добавить разрешения). На этом этапе вы правильно назначили разрешения. Тем не менее, поскольку клиент является клиентом клиента, пользователи-потребители сами не могут согласиться с этими разрешениями. Чтобы устранить эту проблему, администратор должен согласиться с этими разрешениями от имени всех пользователей в клиенте:

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".

   2. Выберите "Обновить", а затем убедитесь, что имя> клиента предоставлено <в разделе "Состояние" для обеих областей.

9. В списке настроенных разрешений выберите разрешения ToDoList.Read и ToDoList.ReadWrite по одному за раз, а затем скопируйте полный универсальный код ресурса (URI) разрешения для последующего использования. Полный универсальный код ресурса (URI) разрешений выглядит примерно так же api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}или.

Тестирование потока пользователя (необязательно)

Чтобы протестировать поток пользователя с помощью этой регистрации приложения, включите неявный поток предоставления для проверки подлинности.

Внимание

Неявный поток следует использовать только для тестирования, а не для проверки подлинности пользователей в рабочих приложениях. После завершения тестирования рекомендуется удалить его.

Чтобы включить неявный поток, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
3. Перейдите к приложениям> удостоверений>Регистрация приложений.
4. Выберите созданную регистрацию приложения.
5. В разделе Управление выберите Проверка подлинности.
6. В разделе Неявное предоставление разрешения и гибридные потоки установите флажок Токены ИД (используются для неявных и гибридных потоков).
7. Выберите Сохранить.

Веб-API

Регистрация веб-API

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений.

4. Выберите + Создать регистрацию.

5. Откроется страница "Регистрация приложения", где необходимо ввести сведения о регистрации приложения:

   1. В разделе "Имя" введите понятное имя приложения, которое будет отображаться пользователям приложения, например ciam-ToDoList-api.

   2. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

6. Выберите Зарегистрировать, чтобы создать приложение.

7. Панель обзора приложения отображается при завершении регистрации. Запишите идентификатор каталога (клиента) и идентификатор приложения (клиента), которые будут использоваться в исходном коде приложения.

Предоставление разрешений

API должен опубликовать как минимум одну область, которая также называется делегированным разрешением, чтобы клиентские приложения получили маркер доступа для пользователя успешно. Чтобы опубликовать область, выполните следующие действия.

1. На странице Регистрация приложений выберите созданное приложение API (ciam-ToDoList-api), чтобы открыть страницу обзора.

2. В разделе Управление выберите Предоставление API.

3. В верхней части страницы рядом с URI идентификатора приложения выберите ссылку "Добавить", чтобы создать универсальный код ресурса (URI), уникальный для этого приложения.

4. Примите предлагаемый URI идентификатора приложения, например api://{clientId}, и нажмите кнопку "Сохранить". Когда веб-приложение запрашивает маркер доступа для веб-API, он добавляет URI в качестве префикса для каждой области, определяемой для API.

5. В разделе Области, определенные этим API выберите Добавление области.

6. Введите следующие значения, определяющие доступ для чтения к API, а затем выберите "Добавить область ", чтобы сохранить изменения:

   Свойство	Стоимость
   Имя области	ToDoList.Read
   Кто может давать согласие	Admins only (Только администраторы)
   Отображаемое имя согласия администратора	Чтение списка toDo пользователей с помощью todoListApi
   Описание согласия администратора	Разрешить приложению читать список toDo пользователя с помощью todopi TodoListApi.
   Штат	Включено

7. Снова выберите " Добавить область" и введите следующие значения, определяющие область доступа для чтения и записи в API. Выберите " Добавить область ", чтобы сохранить изменения:

   Свойство	Стоимость
   Имя области	ToDoList.ReadWrite
   Кто может давать согласие	Admins only (Только администраторы)
   Отображаемое имя согласия администратора	Чтение и запись списка пользователей ToDo с помощью toDoListApi
   Описание согласия администратора	Разрешить приложению читать и записывать список ToDo пользователя с помощью toDoListApi
   Штат	Включено

8. В разделе "Управление" выберите "Манифест" , чтобы открыть редактор манифеста API.

9. Задайте accessTokenAcceptedVersion для свойства 2значение .

10. Выберите Сохранить.

Узнайте больше о принципе минимальных привилегий при публикации разрешений для веб-API.

Добавление ролей приложения

API должен опубликовать не менее одной роли приложения для приложений, которые также называются разрешениями приложений, чтобы клиентские приложения получили маркер доступа как сами. Разрешения приложений — это тип разрешений, которые api-интерфейсы должны публиковать, когда они хотят разрешить клиентским приложениям успешно проходить проверку подлинности как сами и не должны выполнять вход пользователей. Чтобы опубликовать разрешение приложения, выполните следующие действия.

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-ToDoList-api), чтобы открыть страницу обзора.

2. В разделе "Управление" выберите роли приложения.

3. Выберите " Создать роль приложения", а затем введите следующие значения, а затем нажмите кнопку "Применить ", чтобы сохранить изменения:

   Свойство	Значение
   Отображаемое имя	ToDoList.Read.All
   Разрешенные типы элементов	Приложения
   Значение	ToDoList.Read.All
   Description	Разрешить приложению считывать список toDo каждого пользователя с помощью todopi TodoListApi.

4. Снова нажмите кнопку "Создать роль приложения", а затем введите следующие значения для второй роли приложения, а затем нажмите кнопку "Применить ", чтобы сохранить изменения:

   Свойство	Значение
   Отображаемое имя	ToDoList.ReadWrite.All
   Разрешенные типы элементов	Приложения
   Значение	ToDoList.ReadWrite.All
   Description	Разрешить приложению считывать и записывать список toDopi каждого пользователя с помощью toDoListApi

Классическое или мобильное приложение

Регистрация классического или мобильного приложения

Ниже показано, как зарегистрировать приложение в Центре администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений.

4. Выберите + Создать регистрацию.

5. Откроется страница "Регистрация приложения", где необходимо ввести сведения о регистрации приложения:

   1. В разделе "Имя" введите понятное имя приложения, отображаемое пользователям приложения, например ciam-client-app.

   2. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

   3. В разделе URI перенаправления (необязательно) выберите вариант мобильных и классических приложений , а затем в поле URL-адреса введите универсальный код ресурса (URI) с уникальной схемой. Например, URI перенаправления классического приложения Electron выглядит http://localhost примерно так msal{ClientId}://authже, как и пользовательский интерфейс многоплатформенного приложения .NET (MAUI).

6. Выберите Зарегистрировать.

7. Панель обзора приложения отображается при завершении регистрации. Запишите идентификатор каталога (клиента) и идентификатор приложения (клиента), которые будут использоваться в исходном коде приложения.

Предоставление согласия администратора

После регистрации приложения он получает разрешение User.Read . Однако, поскольку клиент является внешним клиентом, сами пользователи клиента не могут согласиться с этим разрешением. Вы, как администратор, должны предоставить это разрешение от имени всех пользователей в клиенте:

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.

2. В разделе Управление выберите Разрешения API.

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".
   2. Выберите "Обновить", а затем убедитесь, что <имя> клиента предоставлено в разделе "Состояние" для разрешения.

Предоставление разрешений API (необязательно)

Если мобильное приложение должно вызвать API, необходимо предоставить разрешения API мобильного приложения, чтобы он смог вызвать API. Кроме того , необходимо зарегистрировать веб-API , который необходимо вызвать.

Чтобы предоставить клиентским приложениям (ciam-client-app) разрешения API, выполните следующие действия:

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.

2. В разделе Управление выберите Разрешения API.

3. В разделе Настроенные разрешения выберите Добавить разрешение.

4. Щелкните вкладку API, используемые моей организацией.

5. В списке API выберите API, например ciam-ToDoList-api.

6. Выберите параметр "Делегированные разрешения".

7. В списке разрешений выберите ToDoList.Read, ToDoList.ReadWrite (при необходимости используйте поле поиска).

8. Нажмите кнопку Add permissions (Добавить разрешения). На этом этапе вы правильно назначили разрешения. Тем не менее, поскольку клиент является клиентом клиента, пользователи-потребители сами не могут согласиться с этими разрешениями. Чтобы устранить эту проблему, администратор должен согласиться с этими разрешениями от имени всех пользователей в клиенте:

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".

   2. Выберите "Обновить", а затем убедитесь, что имя> клиента предоставлено <в разделе "Состояние" для обеих областей.

9. В списке настроенных разрешений выберите разрешения ToDoList.Read и ToDoList.ReadWrite по одному за раз, а затем скопируйте полный универсальный код ресурса (URI) разрешения для последующего использования. Полный универсальный код ресурса (URI) разрешений выглядит примерно так же api://{clientId}/{ToDoList.Read} api://{clientId}/{ToDoList.ReadWrite}или.

Тестирование потока пользователя (необязательно)

Чтобы протестировать поток пользователя с помощью этой регистрации приложения, включите неявный поток предоставления для проверки подлинности.

Внимание

Неявный поток следует использовать только для тестирования, а не для проверки подлинности пользователей в рабочих приложениях. После завершения тестирования рекомендуется удалить его.

Чтобы включить неявный поток, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
3. Перейдите к приложениям> удостоверений>Регистрация приложений.
4. Выберите созданную регистрацию приложения.
5. В разделе Управление выберите Проверка подлинности.
6. В разделе Неявное предоставление разрешения и гибридные потоки установите флажок Токены ИД (используются для неявных и гибридных потоков).
7. Выберите Сохранить.

Управляющая программа

Регистрация приложения управляющей программы

Ниже показано, как зарегистрировать приложение управляющей программы в Центре администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений.

4. Выберите + Создать регистрацию.

5. Откроется страница "Регистрация приложения", где необходимо ввести сведения о регистрации приложения:

   1. В разделе "Имя" введите понятное имя приложения, которое будет отображаться пользователям приложения, например ciam-client-app.

   2. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

6. Выберите Зарегистрировать.

7. Панель обзора приложения отображается при завершении регистрации. Запишите идентификатор каталога (клиента) и идентификатор приложения (клиента), которые будут использоваться в исходном коде приложения.

Предоставление разрешений API

Приложение управляющей программы выполняет вход как само по себе с помощью потока учетных данных клиента OAuth 2.0. Вы предоставляете разрешения приложения (роли приложения), которые требуются приложениям, которые проходят проверку подлинности как сами. Кроме того , необходимо зарегистрировать веб-API , который необходимо вызвать приложению управляющей программы.

1. На странице Регистрация приложений выберите созданное приложение, например ciam-client-app.

2. В разделе Управление выберите Разрешения API.

3. В разделе Настроенные разрешения выберите Добавить разрешение.

4. Щелкните вкладку API, используемые моей организацией.

5. В списке API выберите API, например ciam-ToDoList-api.

6. Выберите параметр "Разрешения приложения". Мы выбираем этот параметр в качестве самого приложения, но не от имени пользователя.

7. В списке разрешений выберите TodoList.Read.All, ToDoList.ReadWrite.All (при необходимости используйте поле поиска).

8. Нажмите кнопку Add permissions (Добавить разрешения).

9. На этом этапе вы правильно назначили разрешения. Однако, так как приложение управляющей программы не позволяет пользователям взаимодействовать с ним, сами пользователи не могут согласиться на эти разрешения. Чтобы устранить эту проблему, администратор должен согласиться с этими разрешениями от имени всех пользователей в клиенте:

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".
   2. Выберите "Обновить", а затем убедитесь, что <имя> клиента предоставлено в разделе "Состояние" для обоих разрешений.

Тестирование потока пользователя (необязательно)

Чтобы протестировать поток пользователя с помощью этой регистрации приложения, включите неявный поток предоставления для проверки подлинности.

Внимание

Неявный поток следует использовать только для тестирования, а не для проверки подлинности пользователей в рабочих приложениях. После завершения тестирования рекомендуется удалить его.

Чтобы включить неявный поток, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
3. Перейдите к приложениям> удостоверений>Регистрация приложений.
4. Выберите созданную регистрацию приложения.
5. В разделе Управление выберите Проверка подлинности.
6. В разделе Неявное предоставление разрешения и гибридные потоки установите флажок Токены ИД (используются для неявных и гибридных потоков).
7. Выберите Сохранить.

API Microsoft Graph

Регистрация приложения API Microsoft Graph

Чтобы приложение входить в систему с помощью Microsoft Entra, Внешняя идентификация Microsoft Entra должны быть осведомлены о создаваемом приложении. Регистрация приложения устанавливает отношение доверия между приложением и Microsoft Entra. При регистрации приложения внешний идентификатор создает уникальный идентификатор, известный как идентификатор приложения (клиента), значение, используемое для идентификации приложения при создании запросов проверки подлинности.

Ниже показано, как зарегистрировать приложение в Центре администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений.

4. Выберите + Создать регистрацию.

5. На отображаемой странице регистрации приложения;

   1. Введите понятное имя приложения, отображаемое пользователям приложения, например ciam-client-app.
   2. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

6. Выберите Зарегистрировать.

7. Панель обзора приложения отображается при успешной регистрации. Запишите идентификатор приложения (клиента), который будет использоваться в исходном коде приложения.

Предоставление доступа к API приложению

Для доступа к данным в API Microsoft Graph предоставьте зарегистрированное приложение соответствующим разрешениям приложения. Действующие разрешения для приложения включают полный уровень привилегий, подразумеваемых разрешением. Например, чтобы создать, прочитать, обновить и удалить каждого пользователя во внешнем клиенте, добавьте разрешение User.ReadWrite.All.

1. В разделе Управление выберите Разрешения API.

2. В разделе Настроенные разрешения выберите Добавить разрешение.

3. Перейдите на вкладку API Майкрософт и выберите Microsoft Graph.

4. Выберите Разрешения приложения.

5. Разверните соответствующую группу разрешений и установите флажок для разрешения, которое будет предоставлено приложению управления. Например:

   • Пользователь>User.ReadWrite.All: для сценариев миграции пользователей или управления пользователями.

   • Группа>Group.ReadWrite.All: для создания групп, чтения и обновления членства в группах, а также для удаления групп.

   • AuditLog>AuditLog.Read.All: для чтения журналов аудита в каталоге.

   • Политика>Policy.ReadWrite.TrustFramework: для сценариев непрерывной интеграции/непрерывной поставки (CI/CD). Например, пользовательское развертывание политики с помощью Azure Pipelines.

6. Выберите Добавить разрешения. В соответствии с инструкциями подождите несколько минут, прежде чем перейти к следующему шагу.

7. Выберите Предоставить согласие администратора для (имя арендатора).

8. Если вы сейчас не вошли, войдите с учетной записью во внешнем клиенте, которому назначена по крайней мере роль администратора облачных приложений, а затем выберите "Предоставить согласие администратора" (имя клиента).

9. Нажмите Обновить и после этого убедитесь, что надпись "Предоставлено для..." отображается в разделе Состояние. Распространение разрешений может занять несколько минут.

После регистрации приложения необходимо добавить секрет клиента в приложение. Этот секрет клиента будет использоваться для проверки подлинности приложения для вызова API Microsoft Graph.

Создание секрета клиента

Создайте секрет клиента для зарегистрированного приложения. Приложение использует секрет клиента, чтобы подтвердить свое удостоверение при запросе маркеров.

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.
2. В разделе Управление выберите Сертификаты и секреты.
3. Щелкните Создать секрет клиента.
4. В поле "Описание" введите описание секрета клиента (например, секрет клиента приложения ciam).
5. В разделе "Срок действия" выберите срок действия, для которого секрет действителен (для правил безопасности организации), а затем нажмите кнопку "Добавить".
6. Запишите значение секрета в поле Значение. Это значение будет использовано позже для конфигурации. Значение секрета не будет отображаться снова и не извлекается с помощью каких-либо средств после перехода от сертификатов и секретов. Обязательно запишите его.

Тестирование потока пользователя (необязательно)

Чтобы протестировать поток пользователя с помощью этой регистрации приложения, включите неявный поток предоставления для проверки подлинности.

Внимание

Неявный поток следует использовать только для тестирования, а не для проверки подлинности пользователей в рабочих приложениях. После завершения тестирования рекомендуется удалить его.

Чтобы включить неявный поток, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.
2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.
3. Перейдите к приложениям> удостоверений>Регистрация приложений.
4. Выберите созданную регистрацию приложения.
5. В разделе Управление выберите Проверка подлинности.
6. В разделе Неявное предоставление разрешения и гибридные потоки установите флажок Токены ИД (используются для неявных и гибридных потоков).
7. Выберите Сохранить.

Собственная проверка подлинности

Регистрация собственного приложения проверки подлинности

Чтобы приложение входить в систему с помощью Microsoft Entra, Внешняя идентификация Microsoft Entra должны быть осведомлены о создаваемом приложении. Регистрация приложения устанавливает отношение доверия между приложением и Microsoft Entra. При регистрации приложения внешний идентификатор создает уникальный идентификатор, известный как идентификатор приложения (клиента), значение, используемое для идентификации приложения при создании запросов проверки подлинности.

Ниже показано, как зарегистрировать приложение в Центре администрирования Microsoft Entra:

1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

2. Если у вас есть доступ к нескольким клиентам, используйте значок параметров в верхнем меню, чтобы переключиться на внешний клиент из меню каталогов и подписок.

3. Перейдите к приложениям> удостоверений>Регистрация приложений.

4. Выберите + Создать регистрацию.

5. На отображаемой странице регистрации приложения;

   1. Введите понятное имя приложения, отображаемое пользователям приложения, например ciam-client-app.
   2. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.

6. Выберите Зарегистрировать.

7. Панель обзора приложения отображается при успешной регистрации. Запишите идентификатор приложения (клиента), который будет использоваться в исходном коде приложения.

Предоставление согласия администратора

После регистрации приложения он получает разрешение User.Read . Однако, поскольку клиент является внешним клиентом, сами пользователи клиента не могут согласиться с этим разрешением. Вы, как администратор, должны предоставить это разрешение от имени всех пользователей в клиенте:

1. На странице Регистрация приложений выберите созданное приложение (например, ciam-client-app), чтобы открыть страницу обзора.

2. В разделе Управление выберите Разрешения API.

   1. Выберите "Предоставить согласие администратора" для <имени> клиента, а затем нажмите кнопку "Да".
   2. Выберите "Обновить", а затем убедитесь, что <имя> клиента предоставлено в разделе "Состояние" для разрешения.

Включение общедоступных клиентских и собственных потоков проверки подлинности

Чтобы указать, что это приложение является общедоступным клиентом и может использовать собственную проверку подлинности, включите общедоступный клиент и собственные потоки проверки подлинности:

1. На странице регистрации приложений выберите регистрацию приложения, для которой требуется включить общедоступный клиент и собственные потоки проверки подлинности.
2. В разделе Управление выберите Проверка подлинности.
3. В разделе "Дополнительные параметры" разрешать потоки общедоступных клиентов:
   1. Для включения следующих потоков мобильных и настольных компьютеров выберите "Да".
   2. Для включения собственной проверки подлинности нажмите кнопку "Да".
4. Нажмите кнопку "Сохранить ".

Поиск идентификатора приложения (клиента)

После регистрации нового приложения вы можете найти идентификатор приложения (клиента) в обзоре в Центре администрирования Microsoft Entra.

1. На странице Регистрация приложений выберите вкладку "Все приложения" или вкладку "Принадлежащие приложения".

2. Выберите приложение, чтобы открыть страницу обзора .

3. В разделе Essentials вы найдете все сведения о приложении, включая идентификатор приложения (клиента).

   

Следующие шаги

• Создайте поток пользователя для регистрации и входа в систему