Dela via

Snabbstart: Registrera ett program med Microsofts identitetsplattform

  • Artikel

Kom igång med Microsofts identitetsplattform genom att registrera ett program i Azure-portalen.

Microsoft platforma za identitete utför endast identitets- och åtkomsthantering (IAM) för registrerade program. Oavsett om det är ett klientprogram som en webb- eller mobilapp, eller om det är ett webb-API som stöder en klientapp, upprättar registreringen en förtroenderelation mellan ditt program och identitetsprovidern, Microsoft platforma za identitete.

Dricks

Om du vill registrera ett program för Azure AD B2C följer du stegen i Självstudie: Registrera ett webbprogram i Azure AD B2C.

Förutsättningar

Registrera en app

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

När du registrerar ditt program upprättas en förtroenderelation mellan din app och Microsoft platforma za identitete. Förtroendet är enkelriktat: din app litar på Microsoft platforma za identitete och inte tvärtom. När programobjektet har skapats kan det inte flyttas mellan olika klienter.

Följ dessa steg för att skapa appregistreringen:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Om du har åtkomst till flera klienter använder du ikonen Inställningar på den översta menyn för att växla till den klientorganisation där du vill registrera programmet från menyn Kataloger + prenumerationer.

  3. Bläddra till Appregistreringar för identitetsprogram>>och välj Ny registrering.

  4. Ange ett visningsnamn för programmet. Användare av ditt program kan se visningsnamnet när de använder appen, till exempel under inloggningen. Du kan ändra visningsnamnet när som helst och flera appregistreringar kan dela samma namn. Appregistreringens automatiskt genererade program-ID (klient)-ID, inte dess visningsnamn, identifierar din app unikt inom identitetsplattformen.

  5. Ange vem som kan använda programmet, som ibland kallas för dess inloggningspublik.

    Kontotyper som stöds Beskrivning
    Endast konton i den här organisationskatalogen Välj det här alternativet om du skapar ett program som endast ska användas av användare (eller gäster) i din klientorganisation.

    Den här appen kallas ofta för ett verksamhetsspecifikt program (LOB) och är ett program med en enda klientorganisation i Microsoft platforma za identitete.
    Konton i valfri organisationskatalog Välj det här alternativet om du vill att användare i en Microsoft Entra-klientorganisation ska kunna använda ditt program. Det här alternativet är lämpligt om du till exempel skapar ett SaaS-program (software-as-a-service) som du tänker tillhandahålla till flera organisationer.

    Den här typen av app kallas för ett program med flera klientorganisationer i Microsoft platforma za identitete.
    Konton i en valfri organisationskatalog och personliga Microsoft-konton Välj det här alternativet om du vill rikta de bredaste kunduppsättningarna.

    Genom att välja det här alternativet registrerar du ett program med flera klientorganisationer som också kan stödja användare som har personliga Microsoft-konton. Personliga Microsoft-konton inkluderar Skype-, Xbox-, Live- och Hotmail-konton.
    Personliga Microsoft-konton Välj det här alternativet om du bara skapar ett program för användare som har personliga Microsoft-konton. Personliga Microsoft-konton inkluderar Skype-, Xbox-, Live- och Hotmail-konton.

  6. Ange inget för omdirigerings-URI (valfritt). Du konfigurerar en omdirigerings-URI i nästa avsnitt.

  7. Välj Registrera för att slutföra den första appregistreringen.

    Skärmbild av administrationscentret för Microsoft Entra i en webbläsare som visar fönstret Registrera ett program.

När registreringen är klar visar administrationscentret för Microsoft Entra appregistreringens översiktsfönster. Du ser program-ID (klient)-ID:t. Det här värdet kallas även för klient-ID:t och identifierar ditt program unikt i Microsoft platforma za identitete.

Viktigt!

Nya appregistreringar är dolda för användarna som standard. När du är redo för användare att se appen på deras Moje aplikacije sida kan du aktivera den. Om du vill aktivera appen går du till Identity>Applications>Enterprise-program i administrationscentret för Microsoft Entra och väljer appen. På sidan Egenskaper kan du sedan växla Synlig för användare? till Ja.

Programmets kod, eller mer normalt ett autentiseringsbibliotek som används i ditt program, använder också klient-ID:t. ID:t används som en del av verifieringen av säkerhetstoken som tas emot från identitetsplattformen.

Skärmbild av administrationscentret för Microsoft Entra i en webbläsare som visar en appregistrerings översiktsfönster.

Lägga till en omdirigerings-URI

En omdirigerings-URI är den plats där Microsoft platforma za identitete omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

I ett produktionswebbprogram är till exempel omdirigerings-URI ofta en offentlig slutpunkt där appen körs, till exempel https://contoso.com/auth-response. Under utvecklingen är det vanligt att även lägga till slutpunkten där du kör appen lokalt, till exempel https://127.0.0.1/auth-response eller http://localhost/auth-response. Se till att onödiga utvecklingsmiljöer/omdirigerings-URI:er inte exponeras i produktionsappen. Detta kan göras genom att ha separata appregistreringar för utveckling och produktion.

Du lägger till och ändrar omdirigerings-URI:er för dina registrerade program genom att konfigurera deras plattformsinställningar.

Konfigurera plattformsinställningar

Inställningar för varje programtyp, inklusive omdirigerings-URI:er, konfigureras i Plattformskonfigurationer i Azure-portalen. Vissa plattformar, till exempel webb - och ensidesprogram, kräver att du anger en omdirigerings-URI manuellt. För andra plattformar, till exempel mobil och stationär dator, kan du välja mellan omdirigerings-URI:er som genereras åt dig när du konfigurerar deras andra inställningar.

Följ dessa steg för att konfigurera programinställningar baserat på den plattform eller enhet som du riktar in dig på:

  1. I administrationscentret för Microsoft Entra går du till Appregistreringar och väljer ditt program.

  2. Under Hantera väljer du Autentisering.

  3. Under Plattformskonfigurationer väljer du Lägg till en plattform.

  4. Under Konfigurera plattformar väljer du panelen för din programtyp (plattform) för att konfigurera dess inställningar.

    Skärmbild av plattformskonfigurationsfönstret i Azure-portalen.

    Plattform Konfigurationsinställningar
    Webb Ange en omdirigerings-URI för din app. Den här URI:n är den plats där Microsoft platforma za identitete omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

    Utloggnings-URL för frontkanal och implicita och hybridflödesegenskaper kan också konfigureras.

    Välj den här plattformen för standardwebbprogram som körs på en server.
    Ensidesapplikation Ange en omdirigerings-URI för din app. Den här URI:n är den plats där Microsoft platforma za identitete omdirigerar en användares klient och skickar säkerhetstoken efter autentisering.

    Utloggnings-URL för frontkanal och implicita och hybridflödesegenskaper kan också konfigureras.

    Välj den här plattformen om du skapar en webbapp på klientsidan med hjälp av JavaScript eller ett ramverk som Angular, Vue.js, React.js eller Blazor WebAssembly.
    iOS/macOS Ange appens paket-ID. Hitta den i Bygginställningar eller I Xcode i Info.plist.

    En omdirigerings-URI genereras åt dig när du anger ett paket-ID.
    Android Ange appens paketnamn. Hitta den i filen AndroidManifest.xml . Generera och ange även signaturhash.

    En omdirigerings-URI genereras åt dig när du anger de här inställningarna.
    Mobil- och skrivbordsprogram Välj en av de föreslagna omdirigerings-URI:erna. Eller ange på eller flera anpassade omdirigerings-URI:er.

    För skrivbordsprogram med inbäddad webbläsare rekommenderar vi
    https://login.microsoftonline.com/common/oauth2/nativeclient

    För skrivbordsprogram som använder systemwebbläsaren rekommenderar vi
    http://localhost

    Välj den här plattformen för mobila program som inte använder det senaste Microsoft Authentication Library (MSAL) eller som inte använder en asynkron meddelandekö. Välj även den här plattformen för skrivbordsprogram.

  5. Välj Konfigurera för att slutföra plattformskonfigurationen.

Omdirigerings-URI-begränsningar

Det finns vissa begränsningar för formatet för de omdirigerings-URI:er som du lägger till i en appregistrering. Mer information om dessa begränsningar finns i Begränsningar och begränsningar för omdirigerings-URI (svars-URL).

Lägg till autentiseringsuppgifter

Autentiseringsuppgifter används av konfidentiella klientprogram som har åtkomst till ett webb-API. Exempel på konfidentiella klienter är webbappar, andra webb-API:er eller program av tjänsttyp och daemontyp. Med autentiseringsuppgifter kan programmet autentiseras som sig självt, vilket inte kräver någon interaktion från en användare vid körning.

Du kan lägga till certifikat, klienthemligheter (en sträng) eller federerade identitetsuppgifter som autentiseringsuppgifter till din konfidentiella klientappregistrering.

Skärmbild av administrationscentret för Microsoft Entra som visar fönstret Certifikat och hemligheter i en appregistrering.

Lägga till ett certifikat

Ibland kallas en offentlig nyckel, ett certifikat är den rekommenderade typen av autentiseringsuppgifter eftersom de anses vara säkrare än klienthemligheter. Mer information om hur du använder ett certifikat som autentiseringsmetod i ditt program finns i Microsoft platforma za identitete certifikatautentiseringsuppgifter för programautentisering.

  1. I administrationscentret för Microsoft Entra går du till Appregistreringar och väljer ditt program.
  2. Välj Certifikat och hemligheter>Certifikat>Ladda upp certifikat.
  3. Välj den fil som du vill ladda upp. Det måste vara någon av följande filtyper: .cer, .pem, .crt.
  4. Markera Lägga till.

Lägg till en klienthemlighet

Ibland kallas ett programlösenord, en klienthemlighet är ett strängvärde som din app kan använda i stället för ett certifikat för att identifiera sig själv.

Klienthemligheter anses vara mindre säkra än certifikatautentiseringsuppgifter. Programutvecklare använder ibland klienthemligheter under utveckling av lokala appar på grund av deras användarvänlighet. Du bör dock använda certifikatautentiseringsuppgifter för alla dina program som körs i produktion.

  1. I administrationscentret för Microsoft Entra går du till Appregistreringar och väljer ditt program.
  2. Välj Certifikat och hemligheter>Klienthemligheter>Ny klienthemlighet.
  3. Lägg till en beskrivning för din klienthemlighet.
  4. Välj en förfallotidpunkt för hemligheten eller ange en anpassad livslängd.
    • Klienthemlighetens livslängd är begränsad till två år (24 månader) eller mindre. Du kan inte ange en anpassad livslängd som är längre än 24 månader.
    • Microsoft rekommenderar att du anger ett förfallovärde på mindre än 12 månader.
  5. Markera Lägga till.
  6. Registrera hemlighetens värde för användning i klientprogramkoden. Det här hemliga värdet visas aldrig igen när du har lämnat den här sidan.

Se Microsoft platforma za identitete bästa praxis och rekommendationer för programsäkerhetsrekommendationer.

Om du använder en Azure DevOps-tjänstanslutning som automatiskt skapar ett huvudnamn för tjänsten måste du uppdatera klienthemligheten från Azure DevOps-portalwebbplatsen i stället för att uppdatera klienthemligheten direkt. Läs det här dokumentet om hur du uppdaterar klienthemligheten från Azure DevOps-portalwebbplatsen: Felsöka Azure Resource Manager-tjänstanslutningar.

Lägga till en federerad autentiseringsuppgift

Federerade identitetsuppgifter är en typ av autentiseringsuppgifter som tillåter arbetsbelastningar, till exempel GitHub Actions, arbetsbelastningar som körs på Kubernetes eller arbetsbelastningar som körs på beräkningsplattformar utanför Azure, åtkomst till Microsoft Entra-skyddade resurser utan att behöva hantera hemligheter med hjälp av arbetsbelastningsidentitetsfederation.

Följ dessa steg för att lägga till en federerad autentiseringsuppgift:

  1. I administrationscentret för Microsoft Entra går du till Appregistreringar och väljer ditt program.

  2. Välj Certifikat och hemligheter>Federerade autentiseringsuppgifter>Lägg till autentiseringsuppgifter.

  3. I listrutan Federerade autentiseringsuppgifter väljer du något av de scenarier som stöds och följer motsvarande vägledning för att slutföra konfigurationen.

    • Kundhanterade nycklar för att kryptera data i din klientorganisation med hjälp av Azure Key Vault i en annan klientorganisation.
    • GitHub-åtgärder som distribuerar Azure-resurser för att konfigurera ett GitHub-arbetsflöde för att hämta token för ditt program och distribuera tillgångar till Azure.
    • Kubernetes får åtkomst till Azure-resurser för att konfigurera ett Kubernetes-tjänstkonto för att hämta token för ditt program och få åtkomst till Azure-resurser.
    • Annan utfärdare som konfigurerar en identitet som hanteras av en extern OpenID Connect-provider för att hämta token för ditt program och få åtkomst till Azure-resurser.

Mer information om hur du hämtar en åtkomsttoken med en federerad autentiseringsuppgift finns i artikeln Microsoft platforma za identitete och flödesflödet för OAuth 2.0-klientautentiseringsuppgifter.

Nästa steg

Klientprogram behöver vanligtvis komma åt resurser i ett webb-API. Du kan skydda klientprogrammet med hjälp av Microsoft platforma za identitete. Du kan också använda plattformen för att auktorisera begränsad, behörighetsbaserad åtkomst till ditt webb-API.

Gå till nästa snabbstart i serien för att skapa ytterligare en appregistrering för webb-API:et och exponera dess omfång.

Konfigurera ett program för att exponera ett webb-API