Поделиться через

Регистрация мобильных приложений, вызывающих веб-API

Применяется: зеленый круг с символом белой галочки. Клиенты рабочей силы белый круг с серым символом X. Внешние клиенты (дополнительные сведения)

Эта статья содержит инструкции по регистрации создаваемого вами мобильного приложения.

Поддерживаемые типы счетов

Типы учетных записей, поддерживаемые мобильными приложениями, зависят от интерфейса, который необходимо включить, и используемых потоков.

Целевая аудитория для интерактивного получения токена

Большинство мобильных приложений используют интерактивную проверку подлинности. Если ваше приложение использует эту форму проверки подлинности, вы можете аутентифицировать пользователей с любым типом учетной записи.

Аудитория для встроенной аутентификации Windows, проверки подлинности по имени пользователя и паролю, и B2C

Если у вас приложение универсальной платформы Windows (UWP), для входа пользователей можно использовать Встроенную проверку подлинности Windows (IWA). Чтобы использовать IWA или аутентификацию с именем пользователя и паролем, ваше приложение должно выполнять вход пользователей в собственный тенант разработки LOB. В рамках сценария независимого поставщика программного обеспечения (ISV) ваше приложение может авторизовать пользователей в организациях Microsoft Entra. Эти потоки аутентификации не поддерживаются для личных учетных записей Майкрософт.

Настройка платформы и URI перенаправления

Интерактивная проверка подлинности

При создании мобильного приложения, использующего интерактивную проверку подлинности, самый важный этап регистрации — это URI перенаправления. Этот интерфейс позволяет приложению получать единый вход (SSO) через Microsoft Authenticator (и Корпоративный портал Intune в Android). Она также поддерживает политики управления устройствами.

  1. Войдите в Центр администрирования Microsoft Entra как минимум разработчик приложений.

  2. Перейдите к Entra ID>регистрации приложений.

  3. Выберите "Создать регистрацию".

  4. Введите имя приложения.

  5. Для поддерживаемых типов учетных записей выберите только учетные записи в этом каталоге организации.

  6. Выберите "Зарегистрировать".

  7. Выберите "Проверка подлинности" и нажмите кнопку "Добавить платформу".

    Добавьте платформу.

  8. Если список платформ поддерживается, выберите iOS или macOS.

    Выберите мобильное приложение.

  9. Введите идентификатор пакета и нажмите кнопку "Настроить".

    Введите идентификатор пакета.

После выполнения этих действий для вас будет вычислен URI перенаправления, как показано на изображении ниже.

Результирующий URI перенаправления.

Если вы хотите настроить URI перенаправления вручную, это можно сделать с помощью манифеста приложения. Вот рекомендуемый формат манифеста:

  • iOS:msauth.<BUNDLE_ID>://auth
    • Например, введите msauth.com.yourcompany.appName://auth.
  • Андроид: msauth://<PACKAGE_NAME>/<SIGNATURE_HASH>
    • Хэш подписи Android можно создать, используя релизный ключ или ключ отладки с помощью команды KeyTool.

Аутентификация по имени пользователя и паролю

Если приложение использует только проверку подлинности по имени пользователя и паролю, вам не нужно регистрировать для него URI перенаправления. Этот поток выполняет круговой путь к платформе удостоверений Майкрософт. Ваше приложение не получит обратного вызова на какой-либо конкретный URI.

Тем не менее, укажите, что ваше приложение является общедоступным клиентским приложением. Для этого:

  1. По-прежнему в Центре администрирования Microsoft Entra выберите приложение в регистрациях приложений и выберите проверку подлинности.

  2. В разделе "Дополнительные параметры>Разрешить общедоступные потоки клиентов>включите следующие потоки для мобильных и настольных устройств: выберите Да.

    Включение общедоступного параметра клиента на панели проверки подлинности на портале Azure

Разрешения API

Мобильные приложения вызывают API для вошедшего пользователя. Приложению необходимо запросить делегированные разрешения. Эти разрешения также называются областями. В зависимости от желаемого интерфейса и процедуры делегированные разрешения можно запрашивать статически с помощью портала Azure. Или же их можно запросить динамически во время выполнения.

Статическая регистрация разрешений позволяет администраторам легко утвердить ваше приложение. Статическая регистрация является рекомендуемым вариантом.

Следующие шаги

Перейдите к следующей статье в этом сценарии, конфигурации кода приложения.