教學課程：在 Azure Active Directory B2C 中註冊 Web 應用程式

您的應用程式 必須先在您所管理的租用戶中註冊應用程式，才能 與 Azure Active Directory B2C （Azure AD B2C） 互動。 本教學課程說明如何使用 Azure 入口網站 註冊 Web 應用程式。

「Web 應用程式」是指在伺服器上執行大部分應用程式邏輯的傳統 Web 應用程式。 它們可以使用 ASP.NET Core、Spring （Java）、Flask（Python） 和 Express （Node.js） 等架構來建置。

重要

如果您改用單頁應用程式 （“SPA”） （例如使用 Angular、Vue 或 React），請 瞭解如何註冊單頁應用程式。

如果您改為使用原生應用程式（例如 iOS、Android、行動 & 電腦），請 瞭解如何註冊原生用戶端應用程式。

必要條件

如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。

如果您尚未建立自己的 Azure AD B2C 租使用者，請立即建立一個。 您可以使用現有的 Azure AD B2C 租使用者。

註冊 Web 應用程式

若要在 Azure AD B2C 租用戶中註冊 Web 應用程式，您可以使用我們的新整合 應用程式註冊 體驗或舊版應用程式（舊版）體驗。 深入了解新體驗。

應用程式註冊

1. 登入 Azure 入口網站。

2. 如果您有多個租使用者的存取權，請選取頂端功能表中的 設定 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。

3. 在 Azure 入口網站中，搜尋並選取 [Azure AD B2C]。

4. 選取 [應用程式註冊]，然後選取 [新增註冊]。

5. 輸入 應用程式的 [名稱 ]。 例如， webapp1。

6. 在 [支援的帳戶類型] 下，選取 [任何身分識別提供者或組織目錄中的帳戶 (用於運用使用者流程來驗證使用者)]。

7. 在 [重新導向 URI] 底下，選取 [Web]，然後在 [URL] 文本框中輸入 https://jwt.ms 。

   重新導向 URI 是使用者完成與使用者互動之後，由授權伺服器 （Azure AD B2C， 在此案例中） 傳送至的端點，以及在成功授權時將存取令牌或授權碼傳送至該端點。 在生產應用程式中，它通常是應用程式執行所在的可公開存取端點，例如 https://contoso.com/auth-response。 基於本教學課程之類的測試目的，您可以將它設定為 https://jwt.ms，這是一個 Microsoft 擁有的 Web 應用程式，其會顯示令牌的已譯碼內容（令牌的內容永遠不會離開瀏覽器）。 在應用程式開發期間，您可以新增應用程式在本機接聽的端點，例如 https://localhost:5000。 您可以隨時在已註冊的應用程式中新增和修改重新導向 URI。

   下列限制適用於重新導向 URI：

   • 除非您使用localhost重新導向URL，否則回復URL必須以配置 https開頭。
   • 回復 URL 會區分大小寫。 其大小寫必須符合執行中應用程式的 URL 路徑大小寫。 例如，如果您的應用程式在其路徑 .../abc/response-oidc中包含 ，請勿在回覆 URL 中指定 .../ABC/response-oidc 。 由於網頁瀏覽器會將路徑視為區分大小寫，因此如果重新導向至不相符.../ABC/response-oidc的 URL，則可能會排除與相關聯的 .../abc/response-oidc Cookie。
   • 回復 URL 應包含或排除尾端正斜線，因為您的應用程式預期。 例如， https://contoso.com/auth-response 和 https://contoso.com/auth-response/ 可能會被視為應用程式中的非相符URL。

8. 在 [許可權] 底下，選取 [授與系統管理員同意以開啟標識符和offline_access許可權] 複選框。

9. 選取註冊。

應用程式（舊版）

1. 登入 Azure 入口網站。

2. 如果您有多個租使用者的存取權，請選取頂端功能表中的 設定 圖示，從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。

3. 在 Azure 入口網站中，搜尋並選取 [Azure AD B2C]。

4. 選取 [應用程式] [舊版]，然後選取 [ 新增]。

5. 輸入應用程式的名稱。 例如， webapp1。

6. 針對 [包含 Web 應用程式/Web API]，選取 [ 是]。

7. 針對 [ 回復 URL]，輸入 Azure AD B2C 應傳回應用程式要求的任何令牌的端點。 例如，您可以將它設定為在 本機 http://localhost:5000接聽。 您可以隨時在已註冊的應用程式中新增和修改重新導向 URI。

   下列限制適用於重新導向 URI：

   • 除非使用 localhost，否則回復 URL 必須以 配置https開頭。
   • 回復 URL 會區分大小寫。 其大小寫必須符合執行中應用程式的 URL 路徑大小寫。 例如，如果您的應用程式在其路徑 .../abc/response-oidc中包含 ，請勿在回覆 URL 中指定 .../ABC/response-oidc 。 由於網頁瀏覽器會將路徑視為區分大小寫，因此如果重新導向至不相符.../ABC/response-oidc的 URL，則可能會排除與相關聯的 .../abc/response-oidc Cookie。
   • 回復 URL 應包含或排除尾端正斜線，因為您的應用程式預期。 例如， https://contoso.com/auth-response 和 https://contoso.com/auth-response/ 可能會被視為應用程式中的非相符URL。

8. 選取 [建立] 以完成應用程式註冊。

提示

如果您沒有看到您在 應用程式註冊 下建立的應用程式，請重新整理入口網站。

建立用戶端密碼

針對 Web 應用程式，您必須建立應用程式密碼。 用戶端密碼也稱為 應用程式密碼。 您的應用程式會使用秘密來交換存取令牌的授權碼。

應用程式註冊

1. 在 [Azure AD B2C - 應用程式註冊] 頁面中，選取您建立的應用程式，例如 webapp1。
2. 在左側功能表中，於 [管理] 下，選取 [憑證和祕密]。
3. 選取 [新用戶端密碼]。
4. 在 [描述] 方塊中輸入客戶端密碼的描述。 例如， clientsecret1。
5. 在 [到期] 下，選取祕密的有效持續時間，然後選取 [新增]。
6. 記錄秘密的值，以用於用戶端應用程式程式碼。 離開此頁面後，就「不會再次顯示」此祕密值。 您可以使用此值作為應用程式程式代碼中的應用程式密碼。

應用程式（舊版）

1. 在 [Azure AD B2C - 應用程式 ] 頁面中，選取您建立的應用程式，例如 webapp1。
2. 選取 [ 金鑰 ]，然後選取 [ 產生金鑰]。
3. 選取 [ 儲存] 以檢視金鑰。 記下 應用程式索引鍵 值。 您可以使用此值作為應用程式程式代碼中的應用程式密碼。

注意

基於安全性考慮，您可以定期變換應用程式秘密，或在發生緊急狀況時立即變換。 任何與 Azure AD B2C 整合的應用程式都應該準備好處理秘密變換事件，無論其發生頻率為何。 您可以設定兩個應用程式秘密，讓應用程式在應用程式秘密輪替事件期間繼續使用舊密碼。 若要新增另一個客戶端密碼，請重複本節中的步驟。

啟用標識元令牌隱含授與

如果您註冊此應用程式並使用 https://jwt.ms/ 應用程式來測試使用者流程或自定義原則，則必須在應用程式註冊中啟用隱含授與流程：

1. 在左側功能表中，於 [管理]下，選取 [驗證]。

2. 在 [隱含授與和混合式流程] 下，選取 [存取權杖 (用於隱含流程)] 和 [識別碼權杖 (用於隱含和混合式流程)] 核取方塊。

3. 選取 [儲存]。

下一步

在本文中，您已瞭解如何：

• 註冊 Web 應用程式
• 建立用戶端密碼

瞭解如何 在 Azure Active Directory B2C 中建立使用者流程