在 Microsoft Entra 識別碼中新增和管理應用程式認證

建置機密用戶端應用程式時，有效管理認證非常重要。 本文說明如何在 Microsoft Entra 中將用戶端憑證、同盟身分識別認證或客戶端密碼新增至您的應用程式註冊。 這些認證可讓應用程式安全地驗證自己，且不需要用戶互動即可存取 Web API。

先決條件

快速入門：在 Microsoft Entra ID 中註冊應用程式。

將認證新增至您的應用程式

當您建立機密用戶端應用程式的認證時：

• Microsoft建議您先使用憑證，而不是客戶端密碼，再將應用程式移至生產環境。 如需如何使用憑證的詳細資訊，請參閱 Microsoft身分識別平臺應用程式驗證憑證認證中的指示，。

• 基於測試目的，您可以建立自我簽署憑證，並將您的應用程式設定為向它進行驗證。 不過，在 生產環境中，您應該購買由知名證書頒發機構簽署的憑證，然後使用 Azure Key Vault 來管理憑證的存取和生命週期。

若要深入瞭解客戶端密碼弱點，請參閱 將應用程式移出秘密型驗證。

新增憑證

有時稱為「公開金鑰」，這是建議的認證類型，因為它們被視為比用戶端祕密更安全。

1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中，選取您的應用程式。

2. 選取 [憑證和祕密]>[憑證]>[上傳憑證]。

3. 選取您要上傳的檔案。 它必須是下列其中一種檔案類型：.cer、.pem、.crt。

4. 選取 ，然後新增。

5. 記錄憑證 指紋 ，以用於用戶端應用程式程序代碼。

   

新增用戶端密碼

有時稱為 應用程式密碼，用戶端密碼是應用程式可用來取代憑證來識別本身的字串值。

客戶端密碼比憑證或同盟認證不安全，因此在生產環境中不應 使用。 雖然它們對於本機應用程式開發而言可能很方便，但請務必針對生產環境中執行的任何應用程式使用憑證或同盟認證，以確保更高的安全性。

1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中，選取您的應用程式。

2. 選取 [憑證和祕密]>[用戶端密碼]>[新增用戶端密碼]。

3. 為用戶端密鑰新增描述。

4. 選取祕密的到期日，或指定自訂存留期。

   • 用戶端祕密存留期限制為兩年 (24 個月) 或更少。 您無法指定超過 24 個月的自訂存留期。
   • Microsoft 建議您將到期值設定為少於 12 個月。

5. 選取 ，然後新增。

6. 記錄用戶端秘密 值 ，以用於用戶端應用程式程式碼。 離開此頁面後，就「不會再次顯示」此祕密值。

   

備註

若使用會自動建立服務主體的 Azure DevOps 服務連線，則需要從 Azure DevOps 入口網站來更新用戶端密碼，而不是直接更新用戶端密碼。 請參閱本文件，以了解如何從 Azure DevOps 入口網站來更新用戶端密碼：針對 Azure Resource Manager 服務連線進行疑難排解。

新增同盟認證

同盟身分識別認證是一種認證，可允許工作負載 (例如 GitHub Actions)、在 Kubernetes 上執行的工作負載或在 Azure 外部的計算平台執行的工作負載存取 Microsoft Entra 受保護資源，而不需要使用工作負載身分識別同盟來管理祕密。

若要新增同盟認證，請遵循下列步驟：

1. 在 Microsoft Entra 系統管理中心的 [應用程式註冊] 中，選取您的應用程式。

2. 選取 [認證和祕密] > [同盟認證] > [新增認證]。

   

3. 在 [同盟認證案例] 下拉式方塊中，選取支援的其中一個案例，並遵循對應的指引來完成設定。

   • 客戶管理的密鑰，可讓您在另一租用戶中使用 Azure Key Vault 來加密您租用戶中的資料。
   • 使用GitHub Actions 部署 Azure 資源，並設定 GitHub 工作流程以獲取應用程式的權杖，並將資產部署到 Azure。
   • Kubernetes 存取 Azure 資源以設定Kubernetes 服務帳戶取得應用程式的權杖，並存取 Azure 資源。
   • 其他簽發者 將應用程式設定為 信任受控識別 或由外部 OpenID Connect 提供者所管理的身分識別， 以取得您應用程式的權杖並存取 Azure 資源。

如需如何使用同盟認證取得存取令牌的詳細資訊，請參閱 Microsoft身分識別平臺和 OAuth 2.0 用戶端認證流程。

相關內容

• Microsoft身分識別平臺應用程式驗證憑證認證
• 設定應用程式以信任受控識別
• 公用客戶端和機密用戶端應用程式
• 建立外部租使用者應用程式的註冊和登入使用者流程
• 將您的應用程式新增至使用者流程