Registrera din app i den externa klientorganisationen

Med Microsoft Entras externa ID kan din organisation hantera kundernas identiteter och på ett säkert sätt styra åtkomsten till dina offentliga program och API:er. Program där dina kunder kan köpa dina produkter, prenumerera på dina tjänster eller komma åt deras konto och data. Dina kunder behöver bara logga in på en enhet eller en webbläsare en gång och ha åtkomst till alla dina program som du har beviljat dem behörigheter.

För att programmet ska kunna logga in med externt ID måste du registrera din app med externt ID. Appregistreringen upprättar en förtroenderelation mellan appen och det externa ID:t. Under appregistreringen anger du omdirigerings-URI:n. Omdirigerings-URI:n är slutpunkten som användarna omdirigeras till av externt ID när de har autentiserats. Appregistreringsprocessen genererar ett program-ID, även kallat klient-ID, som unikt identifierar din app.

Externt ID stöder autentisering för olika moderna programarkitekturer, till exempel webbapp eller ensidesapp. Interaktionen mellan varje programtyp och den externa klientorganisationen skiljer sig åt. Därför måste du ange vilken typ av program du vill registrera.

I den här artikeln får du lära dig hur du registrerar ett program i din externa klientorganisation.

Förutsättningar

• Ett Azure-konto som har en aktiv prenumeration. Skapa ett konto utan kostnad.
• Din externa klientorganisation. Om du inte redan har en kan du registrera dig för en kostnadsfri utvärderingsversion.

Välj din apptyp

Ensidesapp (SPA)

Registrera din ensidesapp

Externt ID stöder autentisering för ensidesappar (SPA).

Följande steg visar hur du registrerar ditt SPA i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

3. Bläddra till Identitetsprogram>> Appregistreringar.

4. Välj + Ny registrering.

5. På sidan Registrera ett program som visas anger du programmets registreringsinformation:

   1. I avsnittet Namn anger du ett beskrivande programnamn som visas för användare av appen, till exempel ciam-client-app.

   2. Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

   3. Under Omdirigerings-URI (valfritt), väljer du Enkelsidigt program (SPA) och i rutan URL anger du http://localhost:3000/sedan .

6. Välj Registrera.

7. Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.

Om omdirigerings-URI

Omdirigerings-URI:n är slutpunkten där användaren skickas till av auktoriseringsservern (i det här fallet Microsoft Entra-ID) efter att ha slutfört interaktionen med användaren och till vilken en åtkomsttoken eller auktoriseringskod skickas till vid lyckad auktorisering.

I ett produktionsprogram är det vanligtvis en offentligt tillgänglig slutpunkt där appen körs, till exempel https://contoso.com/auth-response.

Under apputvecklingen kan du lägga till slutpunkten där programmet lyssnar lokalt, till exempel http://localhost:3000. Du kan lägga till och ändra omdirigerings-URI:er i dina registrerade program när som helst.

Följande begränsningar gäller för omdirigerings-URI:er:

• Svars-URL:en måste börja med schemat https, såvida du inte använder en localhost-omdirigerings-URL.

• Svars-URL:en är skiftlägeskänslig. Ärendet måste matcha fallet med URL-sökvägen för ditt program som körs. Om ditt program till exempel innehåller som en del av sökvägen .../abc/response-oidcanger du .../ABC/response-oidc inte i svars-URL:en. Eftersom webbläsaren behandlar sökvägar som skiftlägeskänsliga kan cookies som är associerade med .../abc/response-oidc undantas om de omdirigeras till den skiftlägesmatchade .../ABC/response-oidc URL:en.

• Svars-URL:en bör innehålla eller exkludera det avslutande snedstrecket som programmet förväntar sig. Och kan till exempel https://contoso.com/auth-responsehttps://contoso.com/auth-response/ behandlas som icke-matchande URL:er i ditt program.

Bevilja delegerade behörigheter

Den här appen loggar in användare. Du kan lägga till delegerade behörigheter till den genom att följa stegen nedan:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken Microsoft-API:er .

5. Under Avsnittet Vanliga Microsoft-API:er väljer du Microsoft Graph.

6. Välj alternativet Delegerade behörigheter .

7. Under Avsnittet Välj behörigheter söker du efter och väljer både openid - och offline_access-behörigheter .

8. Välj knappen Lägg till behörigheter.

9. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. Du som administratör måste godkänna dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
   2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.

Bevilja API-behörigheter (valfritt):

Om ditt SPA behöver anropa ett API måste du bevilja dina SPA API-behörigheter så att det kan anropa API:et. Du måste också registrera webb-API :et som du behöver anropa.

Följ dessa steg för att ge klientappen (ciam-client-app) API-behörigheter:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken Microsoft-API:er .

5. Under Avsnittet Vanliga Microsoft-API:er väljer du Microsoft Graph.

6. Välj alternativet Delegerade behörigheter .

7. Under Avsnittet Välj behörigheter söker du efter och väljer både openid - och offline_access-behörigheter .

8. Välj knappen Lägg till behörigheter .

9. Under Konfigurerade behörigheter väljer du Lägg till en behörighet igen.

10. Välj fliken API:er som min organisation använder .

11. I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.

12. Välj alternativet Delegerade behörigheter .

13. I behörighetslistan väljer du ToDoList.Read, ToDoList.ReadWrite (använd sökrutan om det behövs).

14. Välj knappen Lägg till behörigheter.

15. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:

    1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.

    2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.

16. I listan Konfigurerade behörigheter väljer du behörigheterna ToDoList.Read och ToDoList.ReadWrite, en i taget, och kopierar sedan behörighetens fullständiga URI för senare användning. Den fullständiga behörighets-URI:n ser ut ungefär api://{clientId}/{ToDoList.Read} som eller api://{clientId}/{ToDoList.ReadWrite}.

Om du vill lära dig hur du exponerar behörigheterna genom att lägga till en länk går du till avsnittet Webb-API .

Webbapp

Registrera din webbapp

Externt ID stöder autentisering för webbappar.

Följande steg visar hur du registrerar din webbapp i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

3. Bläddra till Identitetsprogram>> Appregistreringar.

4. Välj + Ny registrering.

5. På sidan Registrera ett program som visas anger du programmets registreringsinformation:

   1. I avsnittet Namn anger du ett beskrivande programnamn som visas för användare av appen, till exempel ciam-client-app.

   2. Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

   3. Under Omdirigerings-URI (valfritt) väljer du Webb och anger sedan en URL i rutan URL, till exempel . http://localhost:3000/

6. Välj Registrera.

7. Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.

Om omdirigerings-URI

Omdirigerings-URI:n är slutpunkten där användaren skickas till av auktoriseringsservern (i det här fallet Microsoft Entra-ID) efter att ha slutfört interaktionen med användaren och till vilken en åtkomsttoken eller auktoriseringskod skickas till vid lyckad auktorisering.

I ett produktionsprogram är det vanligtvis en offentligt tillgänglig slutpunkt där appen körs, till exempel https://contoso.com/auth-response.

Under apputvecklingen kan du lägga till slutpunkten där programmet lyssnar lokalt, till exempel http://localhost:3000. Du kan lägga till och ändra omdirigerings-URI:er i dina registrerade program när som helst.

Följande begränsningar gäller för omdirigerings-URI:er:

• Svars-URL:en måste börja med schemat https, såvida du inte använder en localhost-omdirigerings-URL.

• Svars-URL:en är skiftlägeskänslig. Ärendet måste matcha fallet med URL-sökvägen för ditt program som körs. Om ditt program till exempel innehåller som en del av sökvägen .../abc/response-oidcanger du .../ABC/response-oidc inte i svars-URL:en. Eftersom webbläsaren behandlar sökvägar som skiftlägeskänsliga kan cookies som är associerade med .../abc/response-oidc undantas om de omdirigeras till den skiftlägesmatchade .../ABC/response-oidc URL:en.

• Svars-URL:en bör innehålla eller exkludera det avslutande snedstrecket som programmet förväntar sig. Och kan till exempel https://contoso.com/auth-responsehttps://contoso.com/auth-response/ behandlas som icke-matchande URL:er i ditt program.

Lägga till delegerade behörigheter

Den här appen loggar in användare. Du kan lägga till delegerade behörigheter till den genom att följa stegen nedan:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken Microsoft-API:er .

5. Under Avsnittet Vanliga Microsoft-API:er väljer du Microsoft Graph.

6. Välj alternativet Delegerade behörigheter .

7. Under Avsnittet Välj behörigheter söker du efter och väljer både openid - och offline_access-behörigheter .

8. Välj knappen Lägg till behörigheter.

9. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. Du som administratör måste godkänna dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
   2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.

Skapa en klienthemlighet

Skapa en klienthemlighet för det registrerade programmet. Programmet använder klienthemligheten för att bevisa sin identitet när den begär token.

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
2. Under Hantera väljer du Certifikat och hemligheter.
3. Välj Ny klienthemlighet.
4. I rutan Beskrivning anger du en beskrivning av klienthemligheten (till exempel ciam-appklienthemlighet).
5. Under Upphör att gälla väljer du en varaktighet för vilken hemligheten är giltig (enligt organisationens säkerhetsregler) och väljer sedan Lägg till.
6. Registrera hemlighetens värde. Du använder det här värdet för konfiguration i ett senare steg. Det hemliga värdet visas inte igen och kan inte hämtas på något sätt när du har navigerat bort från certifikaten och hemligheterna. Se till att du registrerar den.

Bevilja API-behörigheter (valfritt)

Om webbappen behöver anropa ett API måste du ge webbappens API-behörigheter så att den kan anropa API:et. Du måste också registrera webb-API :et som du behöver anropa.

Följ dessa steg för att ge klientappen (ciam-client-app) API-behörigheter:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken Microsoft-API:er .

5. Under Avsnittet Vanliga Microsoft-API:er väljer du Microsoft Graph.

6. Välj alternativet Delegerade behörigheter .

7. Under Avsnittet Välj behörigheter söker du efter och väljer både openid - och offline_access-behörigheter .

8. Välj knappen Lägg till behörigheter .

9. Under Konfigurerade behörigheter väljer du Lägg till en behörighet igen.

10. Välj fliken API:er som min organisation använder .

11. I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.

12. Välj alternativet Delegerade behörigheter .

13. I behörighetslistan väljer du ToDoList.Read, ToDoList.ReadWrite (använd sökrutan om det behövs).

14. Välj knappen Lägg till behörigheter.

15. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:

    1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.

    2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.

16. I listan Konfigurerade behörigheter väljer du behörigheterna ToDoList.Read och ToDoList.ReadWrite, en i taget, och kopierar sedan behörighetens fullständiga URI för senare användning. Den fullständiga behörighets-URI:n ser ut ungefär api://{clientId}/{ToDoList.Read} som eller api://{clientId}/{ToDoList.ReadWrite}.

Webb-API

Registrera ditt webb-API

1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

3. Bläddra till Identitetsprogram>> Appregistreringar.

4. Välj + Ny registrering.

5. På sidan Registrera ett program som visas anger du programmets registreringsinformation:

   1. I avsnittet Namn anger du ett beskrivande programnamn som ska visas för appens användare, till exempel ciam-ToDoList-api.

   2. Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

6. Välj Registrera för att skapa programmet.

7. Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.

Exponera behörigheter

Ett API måste publicera minst ett omfång, även kallat Delegerad behörighet, för att klientapparna ska få en åtkomsttoken för en användare. Följ dessa steg för att publicera ett omfång:

1. På sidan Appregistreringar väljer du det API-program som du skapade (ciam-ToDoList-api) för att öppna sidan Översikt.

2. Under Hantera väljer du Exponera ett API.

3. Längst upp på sidan bredvid Program-ID-URI väljer du länken Lägg till för att generera en URI som är unik för den här appen.

4. Acceptera den föreslagna program-ID-URI:n, till exempel api://{clientId}, och välj Spara. När ditt webbprogram begär en åtkomsttoken för webb-API:et läggs URI:n till som prefix för varje omfång som du definierar för API:et.

5. Under Omfång som definieras av det här API:et väljer du Lägg till ett omfång.

6. Ange följande värden som definierar läsbehörighet till API:et och välj sedan Lägg till omfång för att spara ändringarna:

   Property	Värde
   Omfattningsnamn	ToDoList.Read
   Vem kan ge medgivande	Endast administratörer
   Visningsnamn för administratörsmedgivande	Läsa användarnas ToDo-lista med hjälp av "TodoListApi"
   Beskrivning av administratörsmedgivande	Tillåt att appen läser användarens ToDo-lista med hjälp av "TodoListApi".
   Tillstånd	Aktiverad

7. Välj Lägg till ett omfång igen och ange följande värden som definierar ett läs- och skrivåtkomstomfång till API:et. Välj Lägg till omfång för att spara ändringarna:

   Property	Värde
   Omfattningsnamn	ToDoList.ReadWrite
   Vem kan ge medgivande	Endast administratörer
   Visningsnamn för administratörsmedgivande	Läsa och skriva användares ToDo-lista med hjälp av "ToDoListApi"
   Beskrivning av administratörsmedgivande	Tillåt att appen läser och skriver användarens ToDo-lista med hjälp av ToDoListApi
   Tillstånd	Aktiverad

8. Under Hantera väljer du Manifest för att öppna API-manifestredigeraren.

9. Ange accessTokenAcceptedVersion egenskapen till 2.

10. Välj Spara.

Läs mer om principen om lägsta behörighet när du publicerar behörigheter för ett webb-API.

Lägga till approller

Ett API måste publicera minst en approll för program, även kallat Programbehörighet, för att klientapparna ska få en åtkomsttoken som sig själva. Programbehörigheter är den typ av behörigheter som API:er bör publicera när de vill att klientprogram ska kunna autentiseras som sig själva och inte behöver logga in användare. Följ dessa steg för att publicera en programbehörighet:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-ToDoList-api) för att öppna sidan Översikt.

2. Under Hantera väljer du Approller.

3. Välj Skapa approll och ange sedan följande värden och välj sedan Använd för att spara ändringarna:

   Property	Värde
   Visningsnamn	ToDoList.Read.All
   Tillåtna medlemstyper	Appar
   Värde	ToDoList.Read.All
   beskrivning	Tillåt att appen läser alla användares ToDo-lista med hjälp av TodoListApi

4. Välj Skapa approll igen och ange sedan följande värden för den andra approllen och välj sedan Använd för att spara ändringarna:

   Property	Värde
   Visningsnamn	ToDoList.ReadWrite.All
   Tillåtna medlemstyper	Appar
   Värde	ToDoList.ReadWrite.All
   beskrivning	Tillåt att appen läser och skriver alla användares ToDo-lista med hjälp av ToDoListApi

Skrivbords- eller mobilapp

Registrera din skrivbords- eller mobilapp

Följande steg visar hur du registrerar din app i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

3. Bläddra till Identitetsprogram>> Appregistreringar.

4. Välj + Ny registrering.

5. På sidan Registrera ett program som visas anger du programmets registreringsinformation:

   1. I avsnittet Namn anger du ett beskrivande programnamn som visas för användare av appen, till exempel ciam-client-app.

   2. Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

   3. Under Omdirigerings-URI (valfritt) väljer du alternativet Mobil- och skrivbordsprogram och anger sedan en URI med ett unikt schema i rutan URL. Till exempel ser Electron Desktop-appens omdirigerings-URI ut ungefär http://localhost så länge som för ett .NET Multi-Platform App UI (MAUI) ser ut ungefär msal{ClientId}://authsom .

6. Välj Registrera.

7. Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.

Lägga till delegerade behörigheter

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken Microsoft-API:er .

5. Under Avsnittet Vanliga Microsoft-API:er väljer du Microsoft Graph.

6. Välj alternativet Delegerade behörigheter .

7. Under Avsnittet Välj behörigheter söker du efter och väljer både openid - och offline_access-behörigheter .

8. Välj knappen Lägg till behörigheter.

9. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. Du som administratör måste godkänna dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
   2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.

Bevilja API-behörigheter (valfritt)

Om din mobilapp behöver anropa ett API måste du bevilja api-behörigheter för mobilappen så att den kan anropa API:et. Du måste också registrera webb-API :et som du behöver anropa.

Följ dessa steg för att ge klientappen (ciam-client-app) API-behörigheter:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken Microsoft-API:er .

5. Under Avsnittet Vanliga Microsoft-API:er väljer du Microsoft Graph.

6. Välj alternativet Delegerade behörigheter .

7. Under Avsnittet Välj behörigheter söker du efter och väljer både openid - och offline_access-behörigheter .

8. Välj knappen Lägg till behörigheter .

9. Under Konfigurerade behörigheter väljer du Lägg till en behörighet igen.

10. Välj fliken API:er som min organisation använder .

11. I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.

12. Välj alternativet Delegerade behörigheter .

13. I behörighetslistan väljer du ToDoList.Read, ToDoList.ReadWrite (använd sökrutan om det behövs).

14. Välj knappen Lägg till behörigheter.

15. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:

    1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.

    2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.

16. I listan Konfigurerade behörigheter väljer du behörigheterna ToDoList.Read och ToDoList.ReadWrite, en i taget, och kopierar sedan behörighetens fullständiga URI för senare användning. Den fullständiga behörighets-URI:n ser ut ungefär api://{clientId}/{ToDoList.Read} som eller api://{clientId}/{ToDoList.ReadWrite}.

Daemon-app

Registrera din Daemon-app

Följande steg visar hur du registrerar din daemon-app i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

3. Bläddra till Identitetsprogram>> Appregistreringar.

4. Välj + Ny registrering.

5. På sidan Registrera ett program som visas anger du programmets registreringsinformation:

   1. I avsnittet Namn anger du ett beskrivande programnamn som ska visas för appens användare, till exempel ciam-client-app.

   2. Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

6. Välj Registrera.

7. Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID:t (klient)-ID:t och program-ID:t (klient) som ska användas i programmets källkod.

Bevilja API-behörigheter

En daemonapp loggar in som sig själv med OAuth 2.0-klientens autentiseringsuppgifter. Du beviljar programbehörigheter (approller), vilket krävs av appar som autentiserar som sig själva. Du måste också registrera webb-API: et som din daemon-app behöver anropa.

1. På sidan Appregistreringar väljer du det program som du skapade, till exempel ciam-client-app.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken API:er som min organisation använder .

5. I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.

6. Välj alternativet Programbehörigheter . Vi väljer det här alternativet eftersom appen loggar in som sig själv, inte användare.

7. I behörighetslistan väljer du TodoList.Read.All, ToDoList.ReadWrite.All (använd sökrutan om det behövs).

8. Välj knappen Lägg till behörigheter.

9. Nu har du tilldelat behörigheterna korrekt. Men eftersom daemon-appen inte tillåter användare att interagera med den, kan användarna själva inte samtycka till dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
   2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda behörigheterna.

Microsoft Graph API

Registrera ett Microsoft Graph API-program

För att ditt program ska kunna logga in användare med Microsoft Entra måste microsoft Entras externa ID informeras om det program som du skapar. Appregistreringen upprättar en förtroenderelation mellan appen och Microsoft Entra. När du registrerar ett program genererar externt ID en unik identifierare som kallas ett program-ID (klient)-ID, ett värde som används för att identifiera din app när du skapar autentiseringsbegäranden.

Följande steg visar hur du registrerar din app i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

3. Bläddra till Identitetsprogram>> Appregistreringar.

4. Välj + Ny registrering.

5. På sidan Registrera ett program som visas;

   1. Ange ett beskrivande programnamn som visas för appens användare, till exempel ciam-client-app.
   2. Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

6. Välj Registrera.

7. Programmets översiktsfönster visas vid lyckad registrering. Registrera det program-ID (klient)-ID som ska användas i programmets källkod.

Bevilja API-åtkomst till ditt program

För att ditt program ska få åtkomst till data i Microsoft Graph API beviljar du det registrerade programmet relevanta programbehörigheter. De gällande behörigheterna för ditt program är den fullständiga behörighetsnivån som behörigheten innebär. Om du till exempel vill skapa, läsa, uppdatera och ta bort alla användare i den externa klientorganisationen lägger du till behörigheten User.ReadWrite.All.

1. Under Hantera väljer du API-behörigheter.

2. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

3. Välj fliken Microsoft API:er och välj sedan Microsoft Graph.

4. Välj Programbehörigheter.

5. Expandera lämplig behörighetsgrupp och markera kryssrutan för behörigheten som ska beviljas till hanteringsprogrammet. Till exempel:

   • User>User.ReadWrite.All: För scenarier för användarmigrering eller användarhantering.

   • Group>Group.ReadWrite.All: För att skapa grupper, läsa och uppdatera gruppmedlemskap och ta bort grupper.

   • AuditLog>AuditLog.Read.All: För att läsa katalogens granskningsloggar.

   • Policy>Policy.ReadWrite.TrustFramework: För scenarier med kontinuerlig integrering/kontinuerlig leverans (CI/CD). Till exempel distribution av anpassad princip med Azure Pipelines.

6. Välj Lägg till behörigheter. Vänta några minuter innan du fortsätter till nästa steg.

7. Välj Bevilja administratörsmedgivande för (ditt klientnamn).

8. Om du för närvarande inte är inloggad med ett konto för global administratör loggar du in med ett konto i din externa klientorganisation som har tilldelats rollen som molnprogramadministratör och väljer sedan Bevilja administratörsmedgivande för (ditt klientnamn).

9. Välj Uppdatera och kontrollera sedan att "Beviljas för ..." visas under Status. Det kan ta några minuter innan behörigheterna sprids.

När du har registrerat ditt program måste du lägga till en klienthemlighet i ditt program. Den här klienthemligheten används för att autentisera ditt program för att anropa Microsoft Graph API.

Skapa en klienthemlighet

Skapa en klienthemlighet för det registrerade programmet. Programmet använder klienthemligheten för att bevisa sin identitet när den begär token.

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.
2. Under Hantera väljer du Certifikat och hemligheter.
3. Välj Ny klienthemlighet.
4. I rutan Beskrivning anger du en beskrivning av klienthemligheten (till exempel ciam-appklienthemlighet).
5. Under Upphör att gälla väljer du en varaktighet för vilken hemligheten är giltig (enligt organisationens säkerhetsregler) och väljer sedan Lägg till.
6. Registrera hemlighetens värde. Du använder det här värdet för konfiguration i ett senare steg. Det hemliga värdet visas inte igen och kan inte hämtas på något sätt när du har navigerat bort från certifikaten och hemligheterna. Se till att du registrerar den.

Intern autentisering

Registrera ett internt autentiseringsprogram

För att ditt program ska kunna logga in användare med Microsoft Entra måste microsoft Entras externa ID informeras om det program som du skapar. Appregistreringen upprättar en förtroenderelation mellan appen och Microsoft Entra. När du registrerar ett program genererar externt ID en unik identifierare som kallas ett program-ID (klient)-ID, ett värde som används för att identifiera din app när du skapar autentiseringsbegäranden.

Följande steg visar hur du registrerar din app i administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra som minst programutvecklare.

2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

3. Bläddra till Identitetsprogram>> Appregistreringar.

4. Välj + Ny registrering.

5. På sidan Registrera ett program som visas;

   1. Ange ett beskrivande programnamn som visas för appens användare, till exempel ciam-client-app.
   2. Under Kontotyper som stöds väljer du Endast Konton i den här organisationskatalogen.

6. Välj Registrera.

7. Programmets översiktsfönster visas vid lyckad registrering. Registrera det program-ID (klient)-ID som ska användas i programmets källkod.

Lägga till delegerade behörigheter

Den här appen loggar in användare. Du kan lägga till delegerade behörigheter till den genom att följa stegen nedan:

1. På sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna sidan Översikt.

2. Under Hantera väljer du API-behörigheter.

3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

4. Välj fliken Microsoft-API:er .

5. Under Avsnittet Vanliga Microsoft-API:er väljer du Microsoft Graph.

6. Välj alternativet Delegerade behörigheter .

7. Under Avsnittet Välj behörigheter söker du efter och väljer både openid - och offline_access-behörigheter .

8. Välj knappen Lägg till behörigheter.

9. Nu har du tilldelat behörigheterna korrekt. Men eftersom klientorganisationen är en kunds klientorganisation kan konsumentanvändarena själva inte samtycka till dessa behörigheter. Du som administratör måste godkänna dessa behörigheter för alla användare i klientorganisationen:

   1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
   2. Välj Uppdatera och kontrollera sedan att Beviljat för <klientorganisationens namn> visas under Status för båda omfången.

Aktivera offentliga klient- och interna autentiseringsflöden

Om du vill ange att den här appen är en offentlig klient och kan använda intern autentisering aktiverar du offentliga klient- och inbyggda autentiseringsflöden:

1. På sidan appregistreringar väljer du den appregistrering som du vill aktivera offentliga klient- och inbyggda autentiseringsflöden för.
2. Under Hantera väljer du Autentisering.
3. Under Avancerade inställningar tillåter du offentliga klientflöden:
   1. För Aktivera följande mobil- och skrivbordsflöden väljer du Ja.
   2. För Aktivera intern autentisering väljer du Ja.
4. Välj knappen Spara .

Hitta program-ID :t (klient)

När du har registrerat ett nytt program kan du hitta program-ID:t (klient)i översikten i administrationscentret för Microsoft Entra.

1. På sidan Appregistreringar väljer du fliken Alla program eller Ägda program.

2. Välj programmet för att öppna sidan Översikt .

3. Under Essentials hittar du all appinformation, inklusive program-ID (klient-ID).

   

Nästa steg

• Skapa ett användarflöde för registrering och inloggning