Rychlý start: registrace aplikace pomocí platformy identity Microsoft

Začněte s platformou Microsoft Identity Platform registrací aplikace v Centru pro správu Microsoft Entra.

Platforma Microsoft Identity Platform provádí správu identit a přístupu (IAM) pouze pro registrované aplikace. Ať už se jedná o klientskou aplikaci, jako je webová nebo mobilní aplikace, nebo jde o webové rozhraní API, které zálohuje klientskou aplikaci, a zaregistruje se vztah důvěryhodnosti mezi vaší aplikací a zprostředkovatelem identity, platformou Microsoft Identity Platform.

Tip

Pokud chcete zaregistrovat aplikaci pro Azure AD B2C, postupujte podle kroků v kurzu: Registrace webové aplikace v Azure AD B2C.

Požadavky

Registrace aplikace

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Registrace aplikace vytvoří vztah důvěryhodnosti mezi vaší aplikací a platformou Microsoft Identity Platform. Vztah důvěryhodnosti je jednosměrný: vaše aplikace důvěřuje platformě Microsoft Identity Platform a ne naopak. Po vytvoření nelze objekt aplikace přesouvat mezi různými tenanty.

Pokud chcete vytvořit registraci aplikace, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte na tenanta, ve kterém chcete aplikaci zaregistrovat z nabídky Adresáře a předplatná.

  3. Přejděte na Identity>Applications> Registrace aplikací a vyberte Nová registrace.

  4. Zadejte zobrazovaný název aplikace. Uživatelům vaší aplikace se může zobrazit zobrazované jméno, když aplikaci používají, například při přihlašování. Zobrazovaný název můžete kdykoli změnit a stejný název může sdílet více registrací aplikací. ID automaticky vygenerované aplikace (klienta) registrace aplikace, nikoli její zobrazovaný název, jednoznačně identifikuje vaši aplikaci na platformě Identity Platform.

  5. Určete, kdo může aplikaci používat, někdy označovanou jako cílová skupina přihlašování.

    Typy podporovaných účtů Popis
    Účty jen v tomto organizačním adresáři Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele (nebo hosty) ve vašem tenantovi.

    Tato aplikace se často označuje jako obchodní aplikace (LOB), což je aplikace s jedním tenantem na platformě Microsoft Identity Platform.
    Účty v libovolném organizačním adresáři Tuto možnost vyberte, pokud chcete, aby uživatelé v libovolném tenantovi Microsoft Entra mohli vaši aplikaci používat. Tato možnost je vhodná, pokud například vytváříte aplikaci saaS (software jako služba), kterou chcete poskytnout více organizacím.

    Tento typ aplikace se označuje jako víceklientní aplikace na platformě Microsoft Identity Platform.
    Účty v libovolném organizačním adresáři a osobní účty Microsoft Tuto možnost vyberte, chcete-li zaměřit nejširší sadu odběratelů.

    Výběrem této možnosti zaregistrujete víceklientovou aplikaci, která může také podporovat uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.
    Osobní účty Microsoft Tuto možnost vyberte, pokud vytváříte aplikaci jenom pro uživatele, kteří mají osobní účty Microsoft. Mezi osobní účty Microsoft patří účty Skype, Xbox, Live a Hotmail.
  6. Pokud teď konfigurujete identifikátor URI přesměrování v další části, nechte identifikátor URI přesměrování (volitelný).

  7. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.

    Snímek obrazovky Centra pro správu Microsoft Entra ve webovém prohlížeči s podoknem Registrace aplikace

Po dokončení registrace se v Centru pro správu Microsoft Entra zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta). Tato hodnota se označuje také jako ID klienta. Tato hodnota jednoznačně identifikuje vaši aplikaci na platformě Microsoft Identity Platform.

Důležité

Registrace nových aplikací jsou ve výchozím nastavení uživatelům skryté. Až budete připravení, aby uživatelé aplikaci viděli na Moje aplikace stránce, můžete ji povolit. Pokud chcete aplikaci povolit, přejděte v Centru pro správu Microsoft Entra do podnikových aplikací identit>a>vyberte aplikaci. Potom na stránce Vlastnosti přepněte možnost Viditelné pro uživatele? Na Ano.

Kód vaší aplikace nebo více obvykle knihovna ověřování používaná ve vaší aplikaci používá také ID klienta. ID se používá jako součást ověřování tokenů zabezpečení, které přijímá z platformy identity.

Snímek obrazovky Centra pro správu Microsoft Entra ve webovém prohlížeči s podoknem Přehled registrace aplikace

Přidání identifikátoru URI přesměrování

Identifikátor URI přesměrování je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

Například v produkční webové aplikaci je identifikátor URI přesměrování často veřejným koncovým bodem, ve kterém je vaše aplikace spuštěná, například https://contoso.com/auth-response. Během vývoje je běžné také přidat koncový bod, ve kterém aplikaci spouštíte místně, například https://127.0.0.1/auth-response nebo http://localhost/auth-response. Ujistěte se, že všechna nepotřebná vývojová prostředí nebo identifikátory URI přesměrování nejsou v produkční aplikaci vystavené. Můžete to provést tak, že budete mít samostatné registrace aplikací pro vývoj a produkci.

Identifikátory URI pro přesměrování registrovaných aplikací přidáte a upravíte tak, že nakonfigurujete jejich nastavení platformy.

Konfigurace nastavení platformy

Nastavení pro každý typ aplikace, včetně identifikátorů URI přesměrování, se konfigurují v konfiguracích platformy na webu Azure Portal. Některé platformy, jako jsou webové a jednostrábové aplikace, vyžadují ruční zadání identifikátoru URI přesměrování. U jiných platforem, jako jsou mobilní a desktopové platformy, si můžete vybrat z identifikátorů URI přesměrování vygenerovaných za vás, když nakonfigurujete jejich další nastavení.

Pokud chcete nakonfigurovat nastavení aplikace na základě platformy nebo zařízení, na které cílíte, postupujte takto:

  1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.

  2. V části Spravovat vyberte Ověřování.

  3. V části Konfigurace platformy vyberte Přidat platformu.

  4. V části Konfigurovat platformy vyberte dlaždici pro váš typ aplikace (platforma) a nakonfigurujte jeho nastavení.

    Snímek obrazovky s podoknem konfigurace platformy na webu Azure Portal

    Platforma Nastavení konfigurace
    Webová Zadejte identifikátor URI přesměrování aplikace. Tento identifikátor URI je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Můžete také nakonfigurovat adresu URL odhlášení front-channel a implicitní a hybridní vlastnosti toku.

    Tuto platformu vyberte pro standardní webové aplikace, které běží na serveru.
    Jednostránková aplikace Zadejte identifikátor URI přesměrování aplikace. Tento identifikátor URI je umístění, kde platforma Microsoft Identity Platform přesměruje klienta uživatele a po ověření odesílá tokeny zabezpečení.

    Můžete také nakonfigurovat adresu URL odhlášení front-channel a implicitní a hybridní vlastnosti toku.

    Tuto platformu vyberte, pokud vytváříte webovou aplikaci na straně klienta pomocí JavaScriptu nebo architektury, jako je Angular, Vue.js, React.js nebo Blazor WebAssembly.
    iOS / macOS Zadejte ID sady prostředků aplikace. Najdete ho v nastavení sestavení nebo v Xcode v souboru Info.plist.

    Identifikátor URI přesměrování se vygeneruje za vás při zadání ID sady.
    Android Zadejte název balíčku aplikace. Najděte ho v souboru AndroidManifest.xml . Vygenerujte a zadejte hodnotu hash podpisu.

    Identifikátor URI přesměrování se vygeneruje za vás, když zadáte tato nastavení.
    Mobilní a desktopové aplikace Vyberte jednu z navrhovaných identifikátorů URI přesměrování. Nebo zadejte jednu nebo více identifikátorů URI pro vlastní přesměrování.

    Pro desktopové aplikace používající vložený prohlížeč doporučujeme
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pro desktopové aplikace používající systémový prohlížeč doporučujeme
    http://localhost

    Tuto platformu vyberte pro mobilní aplikace, které nepoužívají nejnovější knihovnu MSAL (Microsoft Authentication Library) nebo nepoužívají zprostředkovatele. Vyberte také tuto platformu pro desktopové aplikace.
  5. Výběrem možnosti Konfigurovat dokončete konfiguraci platformy.

Omezení identifikátoru URI přesměrování

Formát identifikátorů URI přesměrování, které přidáte do registrace aplikace, existují určitá omezení. Podrobnosti o těchto omezeních najdete v tématu Omezení a omezení identifikátoru URI přesměrování (adresa URL odpovědi).

Přidat přihlašovací údaje

Přihlašovací údaje používají důvěrné klientské aplikace , které přistupují k webovému rozhraní API. Mezi příklady důvěrných klientů patří webové aplikace, jiná webová rozhraní API nebo aplikace typu služby a démona. Přihlašovací údaje umožňují, aby se vaše aplikace ověřila jako sama, což nevyžaduje žádnou interakci uživatele za běhu.

Jako přihlašovací údaje k registraci důvěrné klientské aplikace můžete přidat certifikáty, tajné klíče klienta (řetězec) nebo přihlašovací údaje federované identity. Pokud je to možné, doporučujeme používat certifikáty od důvěryhodné certifikační autority.

Snímek obrazovky Centra pro správu Microsoft Entra zobrazující podokno Certifikáty a tajné kódy v registraci aplikace

Někdy se označuje jako veřejný klíč, je doporučeným typem přihlašovacích údajů certifikát, protože jsou považovány za bezpečnější než tajné kódy klienta. Další informace o použití certifikátu jako metody ověřování ve vaší aplikaci najdete v tématu Přihlašovací údaje ověřovacího certifikátu aplikace platformy Microsoft Identity Platform.

  1. V Centru pro správu Microsoft Entra v Registrace aplikací vyberte svou aplikaci.
  2. Vyberte Certifikáty a certifikáty>pro nahrání certifikátů.>
  3. Vyberte soubor, který chcete nahrát. Musí to být jeden z následujících typů souborů: .cer, .pem, .crt.
  4. Vyberte Přidat.

Další krok