Share via

Självstudie: Förbereda din kundklientorganisation för att auktorisera ett .NET-daemonprogram

  • Artikel

Det första steget för att skydda dina program är att registrera dem. I den här självstudien förbereder du ditt Microsoft Entra-ID för kundens klientorganisation för auktorisering. Den här självstudien är en del av en serie som hjälper dig att utveckla en .NET-daemonapp som anropar ditt eget anpassade skyddade webb-API med hjälp av Microsoft Entra-ID för kunder.

I den här guiden får du lära dig att:

  • Registrera ett webb-API och konfigurera appbehörigheter Microsoft Entra administrationscenter.
  • Registrera ett klientdaemonprogram och ge det appbehörigheter i Microsoft Entra administrationscenter
  • Skapa en klienthemlighet för daemonprogrammet i Microsoft Entra administrationscenter.

Förutsättningar

Microsoft Entra-ID för kunders klientorganisation. Om du inte redan har en kan du registrera dig för en kostnadsfri utvärderingsversion.

1. Registrera ett webb-API-program

  1. Logga in på Microsoft Entra administrationscenter som minst en programutvecklare.

  2. Om du har åtkomst till flera klienter använder du filtret Kataloger + prenumerationer på den översta menyn för att växla till din kundklientorganisation.

  3. Bläddra till Identitetsprogram>>Appregistreringar.

  4. Välj + Ny registrering.

  5. På sidan Registrera ett program som visas anger du programmets registreringsinformation:

    1. I avsnittet Namn anger du ett beskrivande programnamn som ska visas för appens användare, till exempel ciam-ToDoList-api.

    2. Under Kontotyper som stöds väljer du Endast konton i den här organisationskatalogen.

  6. Välj Registrera för att skapa programmet.

  7. Programmets översiktsfönster visas när registreringen är klar. Registrera katalog-ID :t (klient) och program-ID:t (klient) som ska användas i programmets källkod.

2. Konfigurera approller

Ett API måste publicera minst en approll för program, även kallat programbehörighet, för att klientapparna ska kunna hämta en åtkomsttoken som sig själva. Programbehörigheter är den typ av behörigheter som API:er ska publicera när de vill göra det möjligt för klientprogram att autentisera sig själva och inte behöver logga in användare. Följ dessa steg om du vill publicera en programbehörighet:

  1. sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-ToDoList-api) för att öppna dess översiktssida.

  2. Under Hantera väljer du Approller.

  3. Välj Skapa approll, ange sedan följande värden och välj sedan Använd för att spara ändringarna:

    Egenskap Värde
    Visningsnamn ToDoList.Read.All
    Tillåtna medlemstyper Program
    Värde ToDoList.Read.All
    Description Tillåt att appen läser alla användares ToDo-lista med hjälp av TodoListApi

  4. Välj Skapa approll igen, ange sedan följande värden för den andra approllen och välj sedan Använd för att spara ändringarna:

    Egenskap Värde
    Visningsnamn ToDoList.ReadWrite.All
    Tillåtna medlemstyper Program
    Värde ToDoList.ReadWrite.All
    Description Tillåt att appen läser och skriver varje användares ToDo-lista med hjälp av ToDoListApi

3. Konfigurera idtyp-tokenanspråk

Token som returneras av Microsoft-identiteten hålls mindre för att säkerställa optimala prestanda för klienter som begär dem. Därför finns flera anspråk inte längre i token som standard och måste efterfrågas specifikt per program. För den här appen inkluderar du valfritt idtyp-anspråk för att hjälpa webb-API:et att avgöra om en token är en apptoken eller en app+användartoken. Även om en kombination av scp - och rollanspråk kan användas för samma ändamål, är användningen av idtyp-anspråket det enklaste sättet att skilja en apptoken och en app+användartoken från varandra. Till exempel är värdet för det här anspråket app när token är en appspecifik token.

Använd följande steg för att konfigurera valfritt idtyp-anspråk :

  1. Under Hantera väljer du Tokenkonfiguration.

  2. Välj Lägg till valfritt anspråk.

  3. Under Tokentyp väljer du Åtkomst.

  4. Välj den valfria anspråks-ID-typ.

  5. Välj Lägg till för att spara dina ändringar.

4. Registrera daemonappen

Om du vill göra det möjligt för ditt program att logga in användare med Microsoft Entra måste Microsoft Entra-ID för kunder göras medveten om det program som du skapar. Appregistreringen upprättar en förtroenderelation mellan appen och Microsoft Entra. När du registrerar ett program genererar externt ID en unik identifierare som kallas program-ID (klient), ett värde som används för att identifiera din app när du skapar autentiseringsbegäranden.

Följande steg visar hur du registrerar din app i Microsoft Entra administrationscenter:

  1. Logga in på Microsoft Entra administrationscenter som minst en programutvecklare.

  2. Om du har åtkomst till flera klienter använder du filtret Kataloger + prenumerationer på den översta menyn för att växla till din kundklientorganisation.

  3. Bläddra till Identitetsprogram>>Appregistreringar.

  4. Välj + Ny registrering.

  5. På sidan Registrera ett program som visas;

    1. Ange ett beskrivande programnamn som visas för appens användare, till exempel ciam-client-app.
    2. Under Kontotyper som stöds väljer du Endast konton i den här organisationskatalogen.

  6. Välj Register (Registrera).

  7. Programmets översiktsfönster visas vid lyckad registrering. Registrera program-ID:t (klient) som ska användas i programmets källkod.

5. Skapa en klienthemlighet

Skapa en klienthemlighet för det registrerade programmet. Programmet använder klienthemligheten för att bevisa sin identitet när den begär token.

  1. sidan Appregistreringar väljer du det program som du skapade (till exempel ciam-client-app) för att öppna dess översiktssida.
  2. Under Hantera väljer du Certifikathemligheter&.
  3. Välj Ny klienthemlighet.
  4. I rutan Beskrivning anger du en beskrivning av klienthemligheten (till exempel ciam-appens klienthemlighet).
  5. Under Upphör att gälla väljer du en varaktighet för vilken hemligheten är giltig (enligt organisationens säkerhetsregler) och väljer sedan Lägg till.
  6. Registrera hemlighetens värde. Du använder det här värdet för konfiguration i ett senare steg.

Anteckning

Det hemliga värdet visas inte igen och kan inte hämtas på något sätt när du har navigerat bort från sidan Certifikat och hemligheter , så se till att du registrerar det.
För förbättrad säkerhet bör du överväga att använda certifikat i stället för klienthemligheter.

6. Bevilja API-behörigheter till daemonappen

  1. sidan Appregistreringar väljer du det program som du skapade, till exempel ciam-client-app.

  2. Under Hantera väljer du API-behörigheter.

  3. Under Konfigurerade behörigheter väljer du Lägg till en behörighet.

  4. Välj fliken Mina API:er .

  5. I listan över API:er väljer du API:et, till exempel ciam-ToDoList-api.

  6. Välj alternativet Programbehörigheter . Vi väljer det här alternativet eftersom appen loggar in som sig själv, inte användare.

  7. I behörighetslistan väljer du TodoList.Read.All, ToDoList.ReadWrite.All (använd sökrutan om det behövs).

  8. Välj knappen Lägg till behörigheter .

  9. Nu har du tilldelat behörigheterna korrekt. Men eftersom daemonappen inte tillåter användare att interagera med den kan användarna själva inte godkänna dessa behörigheter. För att lösa det här problemet måste du som administratör samtycka till dessa behörigheter för alla användare i klientorganisationen:

    1. Välj Bevilja administratörsmedgivande för <ditt klientnamn> och välj sedan Ja.
    2. Välj Uppdatera och kontrollera sedan att Beviljat för <ditt klientnamn> visas under Status för båda behörigheterna.

6. Registrera din appregistreringsinformation

Nästa steg efter den här självstudien är att skapa en daemonapp som anropar ditt webb-API. Kontrollera att du har följande information:

  • Program-ID :t (klient) för klientdaemonappen som du registrerade.
  • Underdomänen Katalog (klientorganisation) där du registrerade din daemon-app. Om du inte har ditt klientnamn kan du läsa information om klientorganisationen.
  • Värdet för programhemlighet för daemonappen som du skapade.
  • Program-ID :t (klient) för webb-API-appen som du registrerade.

Nästa steg

I nästa självstudie konfigurerar du dina daemon- och webb-API-program.

Skapa daemonprogrammet >