Регистрация приложения с помощью платформы удостоверений Майкрософт

Начните работу с платформа удостоверений Майкрософт, зарегистрировав приложение в портал Azure.

Платформа удостоверений Майкрософт выполняет управление удостоверениями и доступом (IAM) только для зарегистрированных приложений. Будь то клиентское приложение, например веб-приложение или мобильное приложение, или веб-API, который поддерживает клиентское приложение, его регистрация устанавливает отношения доверия между приложением и поставщиком удостоверений, платформа удостоверений Майкрософт.

Совет

Чтобы зарегистрировать приложение для Azure AD B2C, выполните действия, описанные в статье Руководство. Регистрация веб-приложения в Azure AD B2C.

Предварительные требования

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.
• Учетная запись Azure должна иметь разрешение на управление приложениями в Azure Active Directory (Azure AD). Любая из следующих Azure AD ролей включает необходимые разрешения:
  • Администратор приложений
  • Разработчик приложения
  • Администратор облачных приложений
• Завершение работы с кратким руководством по настройке клиента .

Регистрация приложения

Регистрация приложения устанавливает отношения доверия между приложением и платформа удостоверений Майкрософт. Доверие однонаправленно: ваше приложение доверяет платформа удостоверений Майкрософт, а не наоборот.

Чтобы создать регистрацию приложения, выполните следующие действия.

1. Войдите на портал Azure.

2. Если у вас есть доступ к нескольким клиентам, используйте фильтр Каталоги и подписки в верхнем меню, чтобы переключиться на клиент, в котором вы хотите зарегистрировать приложение.

3. Найдите и выберите Azure Active Directory.

4. В разделе Управление выберите Регистрация приложений>Новая регистрация.

5. Введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа. Отображаемое имя можно изменить в любое время, и несколько регистраций приложений могут использовать одно и то же имя. Автоматически созданный идентификатор приложения (клиента) регистрации приложения, а не отображаемое имя, однозначно идентифицирует ваше приложение на платформе удостоверений.

6. Укажите, кто может использовать приложение, которое иногда называется его аудиторией для входа.

   Поддерживаемые типы учетных записей	Описание
   Учетные записи только в этом каталоге организации	Выберите этот параметр, если вы создаете приложение для использования только пользователями (или гостями) в клиенте . Это приложение, часто называемое бизнес-приложением (LOB), является приложением с одним клиентом в платформа удостоверений Майкрософт.
   Учетные записи в любом каталоге организации	Выберите этот параметр, если вы хотите, чтобы пользователи в любом клиенте Azure Active Directory (Azure AD) могли использовать ваше приложение. Этот вариант подходит, например, если вы создаете приложение SaaS (программное обеспечение как услуга), которое планируется предоставить нескольким организациям. Этот тип приложения называется мультитенантным приложением в платформа удостоверений Майкрософт.
   Учетные записи в любом каталоге организации и личные учетные записи Майкрософт	Выберите этот параметр для широкого круга пользователей. Выбрав этот параметр, вы регистрируете мультитенантное приложение, которое также может поддерживать пользователей с личными учетными записями Майкрософт.
   Личные учетные записи Майкрософт	Выберите этот параметр, если вы создаете приложение только для пользователей с личными учетными записями Майкрософт. К личным учетным записям Майкрософт относятся учетные записи Skype, Xbox, Live и Hotmail.

7. Не вводите ничего для URI перенаправления (необязательно). Вы настроите URI перенаправления в следующем разделе.

8. Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.

   

После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Отобразится идентификатор приложения (клиента). Это значение, также называемое идентификатором клиента, однозначно идентифицирует приложение в платформа удостоверений Майкрософт.

Важно!

Новые регистрации приложений по умолчанию скрыты для пользователей. Когда вы будете готовы к просмотру приложения на странице Мои приложения, вы можете включить его. Чтобы включить приложение, в портал Azure перейдите кразделу Корпоративные приложенияAzure Active Directory> и выберите приложение. Затем на странице Свойства установите переключатель Видимые для пользователей? в положение Да.

Код приложения или, как правило, библиотека проверки подлинности, используемая в приложении, также использует идентификатор клиента. Идентификатор используется для проверки маркеров безопасности, получаемых с платформы удостоверений.

Добавление URI перенаправления

URI перенаправления — это расположение, в котором платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после проверки подлинности.

В рабочем веб-приложении, например, URI перенаправления часто является общедоступной конечной точкой, где выполняется приложение, например https://contoso.com/auth-response. Во время разработки также часто добавляется конечная точка, в которой вы запускаете приложение локально, например https://127.0.0.1/auth-response или http://localhost/auth-response.

Вы добавляете и изменяете URI перенаправления для зарегистрированных приложений, настроив их параметры платформы.

Настройка параметров платформы

Параметры для каждого типа приложения, включая URI перенаправления, настраиваются в конфигурации платформы в портал Azure. Для некоторых платформ, таких как веб-приложения и одностраничные приложения, требуется вручную указывать универсальный код ресурса (URI) перенаправления. Для других платформ, таких как мобильные и настольные компьютеры, можно выбрать URI перенаправления, созданные при настройке других параметров.

Чтобы настроить параметры приложения на основе целевой платформы или устройства, выполните следующие действия.

1. В портал Azure в Регистрация приложений выберите свое приложение.

2. В разделе Управление выберите Проверка подлинности.

3. В разделе Конфигурации платформы выберите Добавить платформу.

4. В разделе Настройка платформ выберите плитку для типа приложения (платформы), чтобы настроить его параметры.

   

   Платформа	параметры конфигурации;
   Web	Введите URI перенаправления для приложения. Этот URI представляет собой расположение, в котором платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после проверки подлинности. Выберите эту платформу для стандартных веб-приложений, работающих на сервере.
   Одностраничное приложение	Введите URI перенаправления для приложения. Этот URI представляет собой расположение, в котором платформа удостоверений Майкрософт перенаправляет клиент пользователя и отправляет маркеры безопасности после проверки подлинности. Выберите эту платформу, если вы создаете клиентское веб-приложение с помощью JavaScript или платформы, такой как Angular, Vue.js, React.js или Blazor WebAssembly.
   iOS / macOS	Введите идентификатор пакета приложения. Найдите его в разделе Параметры сборки или В Xcode в Info.plist. При указании идентификатора пакета создается URI перенаправления.
   Android	Введите имя пакета приложения. Найдите его в файлеAndroidManifest.xml . Также создайте и введите хэш подписи. При указании этих параметров создается URI перенаправления.
   Мобильные и настольные приложения	Выберите один из рекомендуемых URI перенаправления. Или укажите настраиваемый URI перенаправления. Для классических приложений, использующих встроенный браузер, рекомендуется https://login.microsoftonline.com/common/oauth2/nativeclient Для классических приложений, использующих системный браузер, рекомендуется http://localhost Выберите эту платформу для мобильных приложений, которые не используют последнюю версию библиотеки проверки подлинности Майкрософт (MSAL) или не используют брокер. Также выберите эту платформу для классических приложений.

5. Выберите Настроить , чтобы завершить настройку платформы.

Ограничения URI перенаправления

Существуют некоторые ограничения на формат URI перенаправления, добавляемых в регистрацию приложения. Дополнительные сведения об этих ограничениях см. в разделе Ограничения и ограничения URI перенаправления (URL-адрес ответа).

Добавление учетных данных

Учетные данные используются конфиденциальными клиентскими приложениями , которые обращаются к веб-API. Примерами конфиденциальных клиентов являются веб-приложения, другие веб-API или приложения типа службы и управляющей программы. Учетные данные позволяют приложению проходить проверку подлинности как само по себе, не требуя взаимодействия с пользователем во время выполнения.

Вы можете добавить сертификаты и секреты клиента (строку) в качестве учетных данных для регистрации конфиденциального клиентского приложения.

Вариант 1. Добавление сертификата

Сертификат, который иногда называется открытым ключом, является рекомендуемыми учетными данными, так как они считаются более безопасными, чем секреты клиента. Дополнительные сведения об использовании сертификата в качестве метода проверки подлинности в приложении см. в разделе платформа удостоверений Майкрософт учетные данные сертификата проверки подлинности приложения.

1. В портал Azure в Регистрация приложений выберите свое приложение.
2. Выберите Секреты сертификатов &>>СертификатыОтправить сертификат.
3. Выберите файл, который нужно отправить. Он должен иметь один из следующих типов файлов: CER, PEM, CRT.
4. Нажмите Добавить.

Вариант 2. Добавление секрета клиента

Секрет клиента, который иногда называется паролем приложения, — это строковое значение, которое приложение может использовать вместо сертификата для идентификации себя.

Секреты клиента считаются менее безопасными, чем учетные данные сертификата. Разработчики приложений иногда используют секреты клиента во время разработки локального приложения из-за простоты использования. Однако следует использовать учетные данные сертификата для любого из приложений, работающих в рабочей среде.

1. В портал Azure в Регистрация приложений выберите свое приложение.
2. Выберите Секреты сертификатов Секреты &>>клиентаНовый секрет клиента.
3. Добавьте описание секрета клиента.
4. Выберите срок действия секрета или укажите пользовательское время существования.
   • Время существования секрета клиента ограничено двумя годами (24 месяцами) или менее. Нельзя указать пользовательское время существования, превышающее 24 месяца.
   • Корпорация Майкрософт рекомендует установить срок действия менее 12 месяцев.
5. Нажмите Добавить.
6. Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу.

Рекомендации по безопасности приложений см. в платформа удостоверений Майкрософт рекомендациях и рекомендациях.

Вариант 3. Добавление федеративных учетных данных

Учетные данные федеративных удостоверений — это тип учетных данных, который позволяет рабочим нагрузкам, таким как GitHub Actions, рабочим нагрузкам, выполняемым в Kubernetes, или рабочим нагрузкам, выполняемым на вычислительных платформах за пределами Доступа Azure, Azure AD защищенным ресурсам без необходимости управлять секретами с помощью федерации удостоверений рабочей нагрузки.

Чтобы добавить федеративные учетные данные, выполните следующие действия.

1. В портал Azure в Регистрация приложений выберите свое приложение.

2. Выберите Секреты сертификатов &>Федеративные учетные> данныеДобавить учетные данные.

3. В раскрывающемся списке Сценарий федеративных учетных данных выберите один из поддерживаемых сценариев и следуйте соответствующим рекомендациям, чтобы завершить настройку.

   • Ключи, управляемые клиентом, для шифрования данных в клиенте с помощью Azure Key Vault в другом клиенте.
   • GitHub выполняет развертывание ресурсов Azure , чтобы настроить рабочий процесс GitHub для получения маркеров для приложения и развертывания ресурсов в Azure.
   • Kubernetes обращается к ресурсам Azure для настройки учетной записи службы Kubernetes для получения маркеров для приложения и доступа к ресурсам Azure.
   • Другой издатель для настройки удостоверения, управляемого внешним поставщиком OpenID Connect , для получения маркеров для приложения и доступа к ресурсам Azure.

Дополнительные сведения о том, как получить маркер доступа с федеративными учетными данными, проверка статью платформа удостоверений Майкрософт и поток учетных данных клиента OAuth 2.0.

Дальнейшие действия

• Узнайте больше о разрешениях и согласии в платформа удостоверений Майкрософт и о том, как работают разрешения в Microsoft Graph.
• Выберите краткое руководство по добавлению основных функций управления удостоверениями и доступом (IAM) в приложения, а также рекомендации по обеспечению безопасности и доступности приложений.
• Дополнительные сведения о двух объектах Azure AD, представляющих зарегистрированное приложение, и о взаимосвязи между ними: Объекты приложения и субъекта-службы.